網路間諜的攻擊8階段
然駭客針對企業發動的APT攻擊手法,受駭者往往很難察覺,本身已經是被鎖定要竊取重要情資的對象,但是,在越來越多企業可能是網路間諜受駭對象時,彙整資安廠商分析駭客採用APT的攻擊手法的8個階段,可作為企業面對駭客APT威脅時的自我檢視之道。
雖然電子郵件是這種網路間諜最常見的攻擊手法,但作為一個使命必達的網路間諜,為達目的、不擇手段的情況下,一定會同時使用多重鎖定的攻擊方式,務必將攻擊的網鋪天蓋地,讓被鎖定的對象無路可跑。柴惠珍表示,這幾年政府已經有無預警的社交工程演練,希望能藉此提高同仁的警覺性。但她說,企業因為忽略本身也可能是遭駭客鎖定攻擊的對象,往往對此較為忽略。
所以,除了理解電子郵件這種隱含社交工程手法的方式外,也可以從資安公司分析幾起駭客採用的APT手法,彙整可能的攻擊階段,知己知彼,才能了解自我預防之道。
彙整McAfee、RSA和Symantec的資料,間諜針對特定對象採用的APT攻擊手法可以分成8個階段,大致可以分成:偵察→找出可利用的漏洞(釣魚或零時差)→入侵→植入後門程式→安裝C&C可遠端控制工具→資料過濾外傳→撤離→留下隱藏的活棋。
所以,除了理解電子郵件這種隱含社交工程手法的方式外,也可以從資安公司分析幾起駭客採用的APT手法,彙整可能的攻擊階段,知己知彼,才能了解自我預防之道。
彙整McAfee、RSA和Symantec的資料,間諜針對特定對象採用的APT攻擊手法可以分成8個階段,大致可以分成:偵察→找出可利用的漏洞(釣魚或零時差)→入侵→植入後門程式→安裝C&C可遠端控制工具→資料過濾外傳→撤離→留下隱藏的活棋。
階段1:偵察
打仗前一定要先能夠掌握敵人在哪理,觀察整體環境,知道誰是這一波的攻擊對象。臺灣McAfee技術經理沈志明表示,駭客鎖定特定對象,先利用社交工程取得相關資料,進而發覺可以入侵或利用的弱點。
階段2:找出可利用的漏洞(釣魚郵件或零時差)
鎖定對象後,沈志明說,利用發送魚叉式的網路釣魚郵件,針對被鎖定對象寄送相關的惡意郵件,夾帶惡意Word或PDF文件,利用還未修補的漏洞,取得在電腦植入惡意程式的第一個機會。
階段3:入侵
賽門鐵克大中華區資深技術顧問林育民表示,駭客入侵、滲透進企業後,通常會先潛伏一段時間,再伺機騙取管理者的帳號、密碼。為了確保攻擊成功,該惡意程式入侵後,會自我隱藏以避免被安全軟體發現。
階段4:植入後門程式
臺灣RSA資深技術顧問莊添發指出,植入後門程式取得管理者的帳號、密碼和權限,針對橫向沒受攻擊的網路系統,利用漏洞植入後門程式後,使該臺電腦門戶洞開,也會同時間低調取得其他重要人士的帳號密碼。
階段5:安裝C&C可遠端控制工具
沈志明強調,駭客為了偷電腦內的資料,會安裝遠端遙控下指令(Command & Control)工具,用來偷密碼、存取電子郵件、修正運行程式,還可以將機敏資料或智慧財產權,利用Tunnel或是木馬程式將內網資料往外送。
階段6:資料過濾外傳
駭客要的往往是特定的機敏資料,林育民說,當駭客鎖定攻擊對象、過濾找到所需的機敏資料外,會利用FTP和加密方式傳送機密資料;若有無法辨識的檔案格式,駭客也可能採用自己的加密方式外傳。
階段7:撤離
莊添發指出,將機敏資料往外傳後,駭客會先確認任務完成後才會進行撤離,同時會隱藏自己在系統中存在的蹤跡,不讓人有跡可尋,也會利用洋蔥式的路由和加密方式傳送機敏資料,隱形自己存在。
階段8:留下隱藏的活棋
駭客從受駭系統撤離後,並不意味著駭客喪失對鎖定對象的掌控權。莊添發表示,為了未來有需要時還可以操控該臺受駭電腦,駭客撤離前會在受駭系統留下沈睡的惡意程式(Sleeping Malware),以便有需要時隨時可用。
資安教育訓練是最後防線
面對駭客使用APT網路間諜的攻擊手法,臺灣趨勢科技技術總監戴燊認為,這並沒有單一解決之道,因為駭客為達目的、不擇手段的攻擊方式,企業的資安防護也必須從企業弱點的防護下手。
首先,防毒軟體還是基本防禦之道。駭客使用這些針對式的惡意程式,一般商用防毒軟體無法偵測,戴燊建議,政府或企業環境內應先部署各種感應器,並針對可疑的惡意程式樣本先進行第一輪的過濾後,再送到後端自動化分析機制,判斷該惡意程式是否是客製化的,若是,合作的防毒廠商就必須針對該特定樣本製作客製化的病毒碼給該單位。
不過,柴惠珍表示,面對駭客採用的APT攻擊手法,政府和企業仍應具有縱深防禦概念,若以美國政府使用的防毒機制為例,第一、二層防毒是採用現有的商用防毒軟體,但第三層涉及國家安全等級,限制只能套用CIA的資安政策設定。
除了防毒軟體的防禦層面外,進行企業環境的威脅偵測分析,是第2個預防之道。莊添發表示,要預防駭客發動APT攻擊,得先改變對威脅環境的認知,進行各種進階偵測威脅分析以降低災害。他說,許多IT人員為了避免遭到各種網路資安攻擊,甚至認為只要能夠作到完全阻擋就安全了。但是,現在企業營運跟IT息息相關,很多時候根本不是IT人員想擋就擋得了,一旦阻擋,可能連公司基本運作都會出問題。
第3點,企業內的IT基礎建設應具備足夠的防禦能力。出現APT的威脅後,莊添發認為,企業應該強化對IT基礎建設的投資,因為駭客是組織性、針對性的攻擊,「人有失手、馬有亂蹄」,只要有「一個人」踩到地雷中標,駭客的攻擊就能進入內網。不過,他說,以前大家認為阻擋性防禦,把威脅阻擋在門外就足夠,基礎建設好,就可以有能力阻擋惡意威脅。但是,現在就算有安全的基礎防護,駭客要有決心,時間一久,還是有機會進入公司內部。
除了原本偵測機制是否夠用,政府和企業還可以利用更進階的偵測機制,防禦進階的攻擊手法。行有餘力,建置有效、可用的SOC(資安監控中心),是第4種預防之道。
莊添發說,面對駭客使用的APT攻擊手法,除了看組織內的監控機制是否足夠,是否有專人可以分析封包或Session的攻擊特徵,也要看,從SOC的Log分析中,對於發生問題的封包來源是否存下來,而企業是否有足夠專業人士作這種資安分析。但翁世豪提醒,SOC經常是APT攻擊中略過(Bypass)的一環,企業內有人會用、懂得怎麼用,比有設備更重要。
張裕敏認為,至少每半年,必須要定期更改或調整網路架構,升高防禦機制的動態安全防護機制,是企業面對駭客發動APT攻擊的第5個防禦之道。他說,駭客會把鎖定攻擊的政府或企業網路架構、內部關係和人員名單資料蒐集得很完整,也清楚彼此的網路互動。他指出,企業強迫自己半年內調整網路架構難度雖高,但至少可以提供比較安全的網路環境。
第6點,從資安報表分析長期攻擊趨勢。要了解並防護駭客發起的APT攻擊,張裕敏表示,對於Log(登錄檔)記錄的分析,除了周報、月報外,更重要的是要看出長期的趨勢變化,時間更長的半年報甚至是年報所呈現出來的攻擊趨勢,其實更重要。因為面對駭客發動的APT攻擊,企業最忌諱當成單一事件,所以他也鼓勵IT同仁對於每個月資安事件的檢視,應該確定是否每個月都重複發生,也要觀察是否有持續性。
第7點,面對這種針對性攻擊,張裕敏認為,企業和政府都可以參考美國政府積極推動的「資訊安全內容自動化協定」(Security Content Automation Protocol,SCAP)。他說,不論是企業或政府推動SCAP後,好處是,所有的個人電腦組態統一,IT同仁容易評估風險,管理上也更為方便,一旦有新的資安政策加入,可以自動設定,並作到定期掃描和主動比對,幫企業或政府內的電腦做良好的健康檢查。他強調,SCAP保留了電腦所有功能,只是修正不正常組態設定的問題,並不是如同其他精簡型電腦,因為限縮電腦功能而作到安全與便於管理。
最後,資安教育訓練仍是企業面對APT威脅最後一道防線。從多起駭客採用APT攻擊手法來看,「人」依舊是企業環境安全的關鍵,張裕敏表示,閘道端的防禦頂多只能抵擋8成左右的威脅,其餘的資安防護,還是得仰賴更多的資安教育訓練,提升「使用者」的資安意識,避免受騙上當外,也必須從過往的經驗中,找出攻擊的關聯性與連結性,作到加以防範。
打仗前一定要先能夠掌握敵人在哪理,觀察整體環境,知道誰是這一波的攻擊對象。臺灣McAfee技術經理沈志明表示,駭客鎖定特定對象,先利用社交工程取得相關資料,進而發覺可以入侵或利用的弱點。
階段2:找出可利用的漏洞(釣魚郵件或零時差)
鎖定對象後,沈志明說,利用發送魚叉式的網路釣魚郵件,針對被鎖定對象寄送相關的惡意郵件,夾帶惡意Word或PDF文件,利用還未修補的漏洞,取得在電腦植入惡意程式的第一個機會。
階段3:入侵
賽門鐵克大中華區資深技術顧問林育民表示,駭客入侵、滲透進企業後,通常會先潛伏一段時間,再伺機騙取管理者的帳號、密碼。為了確保攻擊成功,該惡意程式入侵後,會自我隱藏以避免被安全軟體發現。
階段4:植入後門程式
臺灣RSA資深技術顧問莊添發指出,植入後門程式取得管理者的帳號、密碼和權限,針對橫向沒受攻擊的網路系統,利用漏洞植入後門程式後,使該臺電腦門戶洞開,也會同時間低調取得其他重要人士的帳號密碼。
階段5:安裝C&C可遠端控制工具
沈志明強調,駭客為了偷電腦內的資料,會安裝遠端遙控下指令(Command & Control)工具,用來偷密碼、存取電子郵件、修正運行程式,還可以將機敏資料或智慧財產權,利用Tunnel或是木馬程式將內網資料往外送。
階段6:資料過濾外傳
駭客要的往往是特定的機敏資料,林育民說,當駭客鎖定攻擊對象、過濾找到所需的機敏資料外,會利用FTP和加密方式傳送機密資料;若有無法辨識的檔案格式,駭客也可能採用自己的加密方式外傳。
階段7:撤離
莊添發指出,將機敏資料往外傳後,駭客會先確認任務完成後才會進行撤離,同時會隱藏自己在系統中存在的蹤跡,不讓人有跡可尋,也會利用洋蔥式的路由和加密方式傳送機敏資料,隱形自己存在。
階段8:留下隱藏的活棋
駭客從受駭系統撤離後,並不意味著駭客喪失對鎖定對象的掌控權。莊添發表示,為了未來有需要時還可以操控該臺受駭電腦,駭客撤離前會在受駭系統留下沈睡的惡意程式(Sleeping Malware),以便有需要時隨時可用。
資安教育訓練是最後防線
面對駭客使用APT網路間諜的攻擊手法,臺灣趨勢科技技術總監戴燊認為,這並沒有單一解決之道,因為駭客為達目的、不擇手段的攻擊方式,企業的資安防護也必須從企業弱點的防護下手。
首先,防毒軟體還是基本防禦之道。駭客使用這些針對式的惡意程式,一般商用防毒軟體無法偵測,戴燊建議,政府或企業環境內應先部署各種感應器,並針對可疑的惡意程式樣本先進行第一輪的過濾後,再送到後端自動化分析機制,判斷該惡意程式是否是客製化的,若是,合作的防毒廠商就必須針對該特定樣本製作客製化的病毒碼給該單位。
不過,柴惠珍表示,面對駭客採用的APT攻擊手法,政府和企業仍應具有縱深防禦概念,若以美國政府使用的防毒機制為例,第一、二層防毒是採用現有的商用防毒軟體,但第三層涉及國家安全等級,限制只能套用CIA的資安政策設定。
除了防毒軟體的防禦層面外,進行企業環境的威脅偵測分析,是第2個預防之道。莊添發表示,要預防駭客發動APT攻擊,得先改變對威脅環境的認知,進行各種進階偵測威脅分析以降低災害。他說,許多IT人員為了避免遭到各種網路資安攻擊,甚至認為只要能夠作到完全阻擋就安全了。但是,現在企業營運跟IT息息相關,很多時候根本不是IT人員想擋就擋得了,一旦阻擋,可能連公司基本運作都會出問題。
第3點,企業內的IT基礎建設應具備足夠的防禦能力。出現APT的威脅後,莊添發認為,企業應該強化對IT基礎建設的投資,因為駭客是組織性、針對性的攻擊,「人有失手、馬有亂蹄」,只要有「一個人」踩到地雷中標,駭客的攻擊就能進入內網。不過,他說,以前大家認為阻擋性防禦,把威脅阻擋在門外就足夠,基礎建設好,就可以有能力阻擋惡意威脅。但是,現在就算有安全的基礎防護,駭客要有決心,時間一久,還是有機會進入公司內部。
除了原本偵測機制是否夠用,政府和企業還可以利用更進階的偵測機制,防禦進階的攻擊手法。行有餘力,建置有效、可用的SOC(資安監控中心),是第4種預防之道。
莊添發說,面對駭客使用的APT攻擊手法,除了看組織內的監控機制是否足夠,是否有專人可以分析封包或Session的攻擊特徵,也要看,從SOC的Log分析中,對於發生問題的封包來源是否存下來,而企業是否有足夠專業人士作這種資安分析。但翁世豪提醒,SOC經常是APT攻擊中略過(Bypass)的一環,企業內有人會用、懂得怎麼用,比有設備更重要。
張裕敏認為,至少每半年,必須要定期更改或調整網路架構,升高防禦機制的動態安全防護機制,是企業面對駭客發動APT攻擊的第5個防禦之道。他說,駭客會把鎖定攻擊的政府或企業網路架構、內部關係和人員名單資料蒐集得很完整,也清楚彼此的網路互動。他指出,企業強迫自己半年內調整網路架構難度雖高,但至少可以提供比較安全的網路環境。
第6點,從資安報表分析長期攻擊趨勢。要了解並防護駭客發起的APT攻擊,張裕敏表示,對於Log(登錄檔)記錄的分析,除了周報、月報外,更重要的是要看出長期的趨勢變化,時間更長的半年報甚至是年報所呈現出來的攻擊趨勢,其實更重要。因為面對駭客發動的APT攻擊,企業最忌諱當成單一事件,所以他也鼓勵IT同仁對於每個月資安事件的檢視,應該確定是否每個月都重複發生,也要觀察是否有持續性。
第7點,面對這種針對性攻擊,張裕敏認為,企業和政府都可以參考美國政府積極推動的「資訊安全內容自動化協定」(Security Content Automation Protocol,SCAP)。他說,不論是企業或政府推動SCAP後,好處是,所有的個人電腦組態統一,IT同仁容易評估風險,管理上也更為方便,一旦有新的資安政策加入,可以自動設定,並作到定期掃描和主動比對,幫企業或政府內的電腦做良好的健康檢查。他強調,SCAP保留了電腦所有功能,只是修正不正常組態設定的問題,並不是如同其他精簡型電腦,因為限縮電腦功能而作到安全與便於管理。
最後,資安教育訓練仍是企業面對APT威脅最後一道防線。從多起駭客採用APT攻擊手法來看,「人」依舊是企業環境安全的關鍵,張裕敏表示,閘道端的防禦頂多只能抵擋8成左右的威脅,其餘的資安防護,還是得仰賴更多的資安教育訓練,提升「使用者」的資安意識,避免受騙上當外,也必須從過往的經驗中,找出攻擊的關聯性與連結性,作到加以防範。
沒有留言:
張貼留言