2012-12-27

破譯瀏覽器紀錄檔,從URL編碼還原網路使用證據。

破譯瀏覽器紀錄檔,從URL編碼還原網路使用證據。


現今犯罪者會透過網路進行犯罪手法的分享以及收集相關背景知識,如果鑑識人員能夠掌握犯罪者所搜尋的關鍵字,對於證明犯罪者涉案的動機與證據將有所幫助。不過,市面上網頁瀏覽器的種類繁多,各種瀏覽器所產生的URL碼皆不相同,而且還有亂碼問題,因而造成鑑識人員辨析上的困難。為此,本文將探討URL碼組成元素及URL碼的編碼方式,了解網址列中的URL亂碼問題。

搜尋引擎提供現今網路大眾平台上所需的功能,舉凡Yahoo奇摩、Google、Findbook等網路平台上,皆有附上搜尋引擎的服務,以吸引使用者造訪自己的網站。

當使用者輸入關鍵字時,搜尋引擎會依此關鍵字在網路中搜尋網頁並且過濾資訊,列出符合使用者可能需要的內容,使用者透過點選瀏覽清單中的網頁來選取瀏覽。而所瀏覽的網頁資訊會自動地被伺服端及本地端電腦儲存,如文字檔、Cookies、網頁表單。

這些紀錄檔記錄著使用者的網路活動,使用者在搜尋引擎所鍵入的關鍵字,在網路紀錄檔是以URL碼方式儲存,如奇摩搜尋引擎搜尋information時,將記錄成「http://tw.search.yahoo.com/search?p=information&fr=yfp&ei=utf-8&v=0」。

但很特別地,非英語系國家的文字,如日文、中文、韓文,URL碼會變成由看似亂數所組成的一串亂碼,無法得知使用者搜尋的資訊。為了解亂碼問題,必須探討URL編碼方式以及各瀏覽器關鍵字搜尋URL碼的編碼方法,並分析鑑識工具如何還原URL搜尋字串。

網路資料搜尋 

網路資料是豐富且方便的,所以在需要查詢資料時,網路往往是優先搜尋資料的來源選項。透過搜尋引擎平台上的關鍵字搜尋服務,使用者可以立即找到相關的資料,並透過點選網頁進一步瀏覽確認內容。

網路中充滿多樣性的資源,如語言教育、旅遊、社群交友等,從中可獲取許多資料幫助學習,但有些非法人士卻利用網路進行犯罪,在網路中搜尋敏感性的資訊,獲取非法利益,例如他人信用卡卡號或毒品製作方法。

經由關鍵字搜尋進行的犯罪活動,鑑識人員可從網路紀錄檔中萃取URL碼,藉由URL碼來還原非法人士的網路歷史紀錄,確定犯罪行為。但是,URL碼因各國的編碼不同而使得HTTP URL的儲存情形呈現亂碼,因此URL的亂碼問題會出現在非英語系國家中,而英語系國家則不會有問題。

網頁容許各式各樣的編碼,如Big5、Unicode,所以非英語系國家會發展出屬於自己國家的編碼系統。但依據RFC 1738的規定,URL的內容只能出現部分ASCII碼,非英文的文字會被編碼成16進位數字。

如此一來,鑑識人員在URL的紀錄中將無法直接觀察出使用者所搜尋的字串,若要了解原始文字,必須透過反編碼方能解譯。

由於鑑識人員從網路紀錄中萃取的搜尋字串URL多呈現亂碼現象,所以還必須正確地解譯URL碼,了解URL編碼及其在不同瀏覽環境下的編碼方式,才能進一步地將搜尋字串還原。

何謂URL

使用者在瀏覽器的網址搜尋列中所鍵入的網址,即是統一資源定位符(Uniform/Universal Resource Locator,URL)。每一列URL碼代表著網頁位址,當鍵入網址URL碼時,瀏覽器便會將網址轉譯成IP再連線至網站,與此網址的遠端伺服器連線溝通。

而網路中每一筆網頁資料都有位置,所以要在網路世界搜尋資料,連線到資料所屬網站的網址是非常重要的步驟。

統一資源定位符最初是由蒂姆.?伯納斯-李(Tim Berners-Lee)發明,作為全球資訊網(WWW)的地址,它使用ASCII代碼的一部分來表示網際網路的地址。

目前全球資訊網聯盟已將URL編製為網際網路標準RFC1738,是網際網路上標準的資源地址(Address),URL編寫有一定的規則,它的組成元素依序為「協定類型://伺服器地址(必要時須加上埠號)/路徑/文件名」,標準格式如圖1所示:

▲圖1 統一資源定位符格式。

以「http://www.google.com/search?hl=en&source=hp&q=forensic&aq=f&oq=&aqi=g10」為例,它為Google搜尋引擎所搜尋的URL碼,其變數為q,而「forensic」為所搜尋的字串,如圖2所示。

▲圖2 Google搜尋引擎搜尋「forensic」。

配合圖2的例子,說明HTTP協定的統一資源定位符的五個基本元素,如下所列:

1. 傳送協定,如http、https(傳送資料時加密)、ftp。
2. 伺服器,例如www.google.com、www.yahoo.com等。
3. 埠號:以數字方式表示,如HTTP的埠號預設值為80,通常埠號可被省略。
4. 路徑:以「/」字元區別路徑中的每一個目錄的名稱。
5. 查詢:GET模式的表單參數,以「?」字元為起點,而每個參數之間以「&」隔開,「=」符號則區隔資料與參數名稱,如「q=forensic」。查詢的URL編碼通常以UTF-8為主,以避開字元衝突的問題。

URL編碼簡介

URL碼是連結網頁的媒介,但在網路引擎內所鍵入的關鍵字,在搜尋列上時常會呈現亂碼,此情形的發生,相關因素如下:

1. 網路允許不一樣的編碼方式,但因依據RFC 1738的規定,URL的內容只能出現部分的ASCII碼。

2. 沒有任何標準來規範網頁資料與後端伺服器之間應該如何編碼,造成資料格式在程式介面之間的轉換混亂。所以當使用者在搜尋引擎上,雖然輸入同一字串,但URL碼會依據作業系統、預設語系、瀏覽器的不同而顯現出不同的編碼結果。

一般常見的中文編碼分為繁體與簡體,Big5為繁體編碼、GB為簡體中文編碼,這兩種編碼無法彼此相容,所以當電子郵件以Big5為編碼方式傳送出去後,如果對方不是使用相同的編碼方式閱讀信件(例如採用GB碼),郵件內容就會出現亂碼。

這是因為原先以Big5編碼的文字,對應到GB碼時,因為格式不同,無法正確對應出原來的文字,這時就會出現怪字,或是一堆看不懂的符號。

同樣地,瀏覽國外的網站也可能發生同樣的狀況,當編碼方式無法對應時,就可能會看到一堆亂碼,這就是編碼沒辦法相容的緣故。

中文編碼並非ASCII碼,當中文網頁於伺服器與客戶端間傳輸時,勢必要經過一番處理,變成ASCII碼才能傳輸,以下為URL編碼實際例子。

在Google Chrome瀏覽器中,以Google為搜尋引擎,輸入「美國牛」,其產生的URL碼如表1所示:

表1 中文的URL

瀏覽器發送URL編碼的區別

因為URL編碼無標準規範網頁,造成同一組字串在不同瀏覽器中,卻顯現不同的URL,以下就以市占率前三名的瀏覽器IE、Firefox、Chrome來介紹編碼的差異性。

Internet Explorer(IE)

IE為微軟所設計的瀏覽器,一般使用者購買Windows作業系統,就會附上Internet Explorer的內建瀏覽器,由於微軟作業系統市占率高,因而帶動了IE的高使用率。

IE將URL記錄在index.dat,它是具有隱藏性的檔案,儲存使用者的Cookies、Web History,其預設儲存路徑彙整如表2。

表2 IE Index.dat預設路徑

利用IE瀏覽器,在搜尋引擎輸入「毒品」,然後察看URL編碼情形,如圖3所示。而圖3上方框內的字串「%E6%AF%92%E5%93%81」為關鍵字毒品經過UTF-8編碼方式而成。

▲圖3 在IE瀏覽器中鍵入關鍵字進行搜尋。

Mozilla Firefox

Firefox瀏覽器是Mozilla基金會從Mozilla Application Suite獨立出來採用開放原始碼與全球網路社群共同開發的網頁瀏覽器。而Firefox於3.0版本後,使用SQLite儲存資料,如Bookmarks、Cookies、瀏覽紀錄等。

透過SQLite Viewer可查看Firefox網路紀錄檔的內容,表3是紀錄檔預設路徑。而Firefox的URL紀錄儲存在places.sqlite表單內。與IE相同,也在Google搜尋引擎內輸入「毒品」察看URL編碼情形,如圖4所示。

表3 Firefox紀錄檔預設路徑
▲圖4 在Firefox瀏覽器中鍵入關鍵字搜尋。

很奧妙的是,在搜尋列上觀察到變數q後面所出現的參數為「毒品」,這與IE不同。針對此差異的發生,這裡利用Firefox瀏覽器選項功能列中的語言及字元編碼察看其編碼方式,如圖5所示。

▲圖5 Firefox的編碼方式。

讀者可能發現Firefox與IE的編碼方式其實是相同的,依然為UTF-8,但為何Firefox的搜尋列中URL所顯示的字串為「毒品」。探究其原因,在於這串URL是給使用者自己看的,並非是傳給伺服器,所以將字串傳輸出去時,仍然會是「%E6%AF%92%E5% 93%81」。

Google Chrome

Chrome是由Google開發的網頁瀏覽器。「Chrome」是化學元素「鉻」的英文名稱,其程式碼是基於其他開放原始碼軟體所撰寫,包括WebKit和Mozilla,Google Chrome的整體發展目標是提升穩定性、速度和安全性,並創造出簡單且有效率的用戶介面。

Google Chome紀錄檔存放路徑彙整如表4所示,URL則記錄在History表單內。與前兩個瀏覽器相同,在Google搜尋引擎內輸入「毒品」時,如圖6所示,其URL編碼為「%E6%AF%92%E5%93%81」。

表4 Google Chrome紀錄檔案預設路徑
▲圖6 在Chrome瀏覽器內鍵入關鍵字搜尋。

由此可以發現,各個瀏覽器都有屬於自己的編碼方式,從IE、Firefox及Google Chrome所顯示的URL搜尋字串及參數資料可以觀察得到,在Firefox中甚至以中文明碼顯示。

但這是瀏覽器所顯示的URL編碼,並非遠端伺服器所了解的,所以當瀏覽器傳送查詢字串時,仍會轉換成16進位編碼,如本例中的「毒品」。

案例說明 

甲君為破獲台灣北部販毒集團於供毒名單中的一員,由於線索明確,執法單位人員遂往甲君的住處逕行搜索。

在甲君的住處並沒有發現有關的毒品,但是卻發現數量極多的感冒藥、化學器材以及一台電腦,這引起了注意,因感冒藥可用來提煉安非他命。安非他命屬於中樞神經興奮劑,吸食之後會產生幻覺,屬於第二級毒品。

鑑識人員在甲君所使用的電腦硬碟進行初步分析,並未發現有關毒品製造的文檔資料,轉而朝網路紀錄著手,察看其上網紀錄。

甲君所使用的瀏覽器為Google Chrome,於是鑑識人員便透過鑑識工具ChromeAnalysis Plus將甲君的網路紀錄萃取出,並進行分析,以下為鑑識取證的過程:

步驟一:將甲君的硬碟做位元串流拷貝
首先,鑑識人員利用位元串流拷貝(Bit Stream Copy)技術將硬碟進行完整備份,目的是為了避免人員存取到硬碟,影響到數位證據的完整性。

步驟二:開啟ChromeAnalysis Plus並載入Google Chrome紀錄檔
開啟Chrome Analysis後,新建一個案例並將要萃取的網路紀錄路徑指向「C:\Users\<使用者名稱>\AppData\Local\Google\Chrome\User Data\Default」,如圖7所示,而圖8為甲君的上網紀錄。

▲圖7 讀取Chrome紀錄檔。
▲圖8 甲君的網路紀錄。

常瀏覽的網站等。從網路紀錄中發現,甲君有每天上網的習慣,並會利用Google搜尋引擎查詢資訊。

開始便無記錄,因此懷疑部分網路紀錄可能已遭刪除,因此嘗試以FTK Imager進行Logical Drive萃取。鑑識結果發現有幾項以透過Google搜尋片斷的URL碼(圖9)。

▲圖9 片斷的搜尋字串URL碼。▲圖9 片斷的搜尋字串URL碼。

從圖9中可觀察出,甲君使用Google搜尋引擎來進行資料的蒐集,URL為「http://www.google.com/webhp?source=search_app#hl=zhTW&site=webhp&source=hp&q=%E5%AE%89%E9%9D%9E%E4%BB%96%E5%91%BD」,變數q後的參數為搜尋字串,但因編碼問題造成字串顯示為「%E5%AE%89%E9%9D%9E%E4%BB%96%E5%91%BD」的亂碼。

鑑識人員將此段URL碼輸入反編碼的編輯器內,獲得「安非他命」的文字,如圖10所示。接著,其他搜尋字串URL經反編碼後得到「安非他命的化學元素」、「安非他命製造器材」以及「感冒藥提煉」等文字字串,這些資訊顯示甲君男利用網路搜尋安非他命的化學組成,並獲取感冒藥提煉安排他命的方法。由於這些數位證據,使得甲君所宣稱無製毒意圖和能力的證詞出現矛盾,甲君涉及製毒的可能性非常高。

▲圖10 反編碼後得到「安非他命」。

結語

非英語系國家所使用的文字(非ASCII),在輸入搜尋引擎後會因編碼關係而造成亂碼,使得鑑識人員不易辨識搜尋字串。此案例中,雖然網路紀錄的URL亂碼利用鑑識工具成功地將搜尋字串還原,但必須思考的是,鑑識工具無法支援每一種瀏覽器,遇到此種情形時,將對鑑識人員造成莫大的困擾。

瀏覽器都有屬於各自的編碼方式,並無一定規範,但卻有一定的規則,例如各參數執行、字串的編碼及位元組以「%」符號作區隔,透過此規則,可以從網路紀錄中擷取片斷的URL資料,再經過URL反編碼轉譯還原字串。

如本例中,鑑識人員利用FTK Imager進行Logical Drive萃取片斷的URL搜尋字串,再執行反編碼。因此,鑑識人員在進行網路紀錄分析時,需考慮編碼問題,方不至於漏掉內含重要訊息的數位證據。

中央警察大學資訊密碼暨建構實驗室(ICCL)
轉載自《網管人》

揭露網路威脅秘辛 5分鐘搞懂APT攻擊是什麼?!

揭露網路威脅秘辛 5分鐘搞懂APT攻擊是什麼?!


近來APT攻擊一詞很熱門,可是明確的來說,什麼才是APT攻擊?什麼其實並不是APT攻擊呢?此次我們也特別專訪台灣對APT攻擊防禦專家Xecure Lab首席資安研究員邱銘彰,讓大家在5分鐘內就搞懂APT攻擊是什麼?


1. 攻擊趨勢的改變:已經從封包攻擊、DDoS攻擊,到前幾年開始有了針對應用程式的攻擊,這幾年來更轉變成社交工程攻擊,目標是更上層的使用者。也就是從IP Port Aware => Application Aware => User Aware (or Threat Aware)。

防護思維是不是也應該跟著改變呢?

2. APT攻擊指的是網路上有組織、有計劃的間諜活動。

有人說,手機的JB、資料庫入侵也是APT?若是有組織、有計劃的,廣泛來說或者也可稱是APT攻擊。不過,APT攻擊最主要指的還是網路上有組織、有計劃的間諜活動,就是指透過社交工程、惡意郵件的攻擊。

通常郵件內會附加惡意文件,根據研究報告顯示,有高達38%的比例都是內含有問題的PDF、DOC、PPT格式等文件,寄送惡意程式反倒不多。

3. 社交工程演練雖可提高使用者資安意識,不過如果真的遇到APT攻擊,使用者很難靠自己來辨識,建議可以透過系統化、配套的機制來做偵測與防禦。



引用自《資安人科技網



覬覦企業重要資料 新型態攻擊暗中猖獗

覬覦企業重要資料 新型態攻擊暗中猖獗

當企業逐漸具備基本的資安防禦與觀念,來因應惡意攻擊與資安威脅時,駭客攻擊手法卻也隨之越發快速發展,可說是日新月異,讓企業防不勝防。近期以來最受企業與資安領域關注的議題,莫過於APT(Advanced Persistent Threat,先進持續威脅)攻擊。如Google、Sony甚至是RSA等公司都曾遭受過APT攻擊,顯見APT已成為不得不面對的資安威脅。

什麼是APT攻擊?趨勢科技技術總監戴燊表示,APT指的是一種具針對性目標攻擊模式的總稱,其使用進階攻擊手法,以長時間、低頻率且極為低調不易察覺的方式進行。換句話說,APT並不是一種新的病毒或攻擊種類,而是一種攻擊「方式」,這種低調潛伏的攻擊方式,讓企業防不勝防。

防禦APT的方法

▲McAfee技術經理沈志明












若將APT比喻為軍事滲透行為,殭屍網路(Botnet)便是涵管下水道,Check Point台灣技術顧問陳建宏表示:「APT攻擊往往透過Botnet進行滲透或傳遞惡意程式,因此對企業而言,如果要防禦APT攻擊,可先從Botnet開始著手。」陳建宏表示,現有的資安防禦方式大多針對已知攻擊或惡意網站以設立黑名單、阻斷連線的方式來防止殭屍網路,然而有越來越多未知的殭屍網路及持續變形的未知攻擊型態,因此,光是採以特徵碼的方式來防堵難以有效預防,行為分析也成為防止新型態攻擊的一大關鍵。

趨勢科技台灣暨香港區總經理洪偉淦認為,防禦的重點在於提高「能見度」,他解釋:「APT是一種表面上看不見的攻擊,而既有的資安解決方案大多針對看得見、已知的攻擊進行防禦,因此要想防堵APT攻擊,最主要的工作是將看不見的、未知的攻擊資訊轉化為可視的內容,再依照其攻擊威脅手法以相對應的資安防禦機制進行阻絕。」另外,由於APT是針對性攻擊,因此建議企業依照組織環境的資安弱點,進行客製化加強佈署防禦措施。

▲台灣賽門鐵克資深技術顧問 張士龍












身為APT受「駭」者的RSA,對於APT則有更深刻的瞭解與建議。RSA台灣區資深技術顧問莊添發表示,大多數企業雖然已佈署資安防禦機制,然而往往仍缺乏資安管理與資安鑑識分析來強化交叉比對分析能力,他解釋:「資安管理與資安鑑識分析,指的是針對組織各環節端點所遭遇到的資安事件以及相關資訊,進行綜合管理與比對分析,透過這些管理與分析,才能及早發現資安威脅進而防禦。」

莊添發表示,傳統防火牆、IPS等設備都是針對已知攻擊行為進行比對與防堵過濾,而APT往往都是採以未知攻擊手法潛伏進行,既有設備難以預防,因此,「強化可視度」是企業資安機制接下來的發展重點,「包括對於資安策略是否正確執行、資安管理成效如何的可視度;防護與分析層面的資料可視度;以及網路行為的可視度等,都是因應新型態資安威脅與攻擊的關鍵。」

著重資安政策管理的主要目的在於確保企業內部資安政策確實執行,並且發揮應有的效果,尤其許多APT攻擊以企業內部員工為目標,例如發送針對特定員工的釣魚郵件,取得員工資料之後,再滲透到企業內部竊取更多資料,因此確認資安政策被確實遵循與執行,較能減少一定程度的人為因素所造成的資安漏洞。至於資料可視度以及網路行為可視度,目的便在於能夠控管從企業內傳送出去的資料有哪些、網路上所有對外以及對內的活動,以確認是否正遭受APT攻擊。

▲Websense台灣區技術經理 林秉忠


















APT攻擊的複雜性以及難以預測的特性,讓資安防禦機制走向更嚴密控管的方向發展。McAfee技術經理沈志明表示,因應APT攻擊,除了基本必備的端點安全解決方案之外,閘道端的網路安全機制將更顯重要,「例如建立網路流量分析、行為異常分析能力、可判斷檔案類型真偽等等,藉以找出可疑行為。」 Websense台灣區技術經理林秉忠也表示,一直以來安全防護以攔阻網路犯罪與惡意程式為主要重點,隨著APT或其他新型態攻擊以竊取資料為目的的攻擊方式日益增加,閘道端佈署網路安全機制將能夠較有效防範重要資料遭竊風險。

為了能夠確實分析資安事件與行為,側錄網路封包與網路行為並且完整還原的機制也會成為企業未來的重要需求,也因此,McAfee、RSA、趨勢科技等各家資安廠商,不約而同提出可完整紀錄、還原資安事件,並且具備交叉分析能力的解決方案,除了協助企業防禦隱藏式攻擊,也能作為稽核與追蹤,以符合法令規範需求。

台灣賽門鐵克資深技術顧問張士龍表示,對於賽門鐵克而言,未來的資安產品將更強調產品之間的整合能力、事件分析能力以及早期預警能力,必須協助企業從過去以「點」的方式佈署管理資安機制,提升到以「面」整合的方式強化資安防禦能力,才能避免單一環節出現安全問題。

▲趨勢科技技術總監戴燊












雖然各家資安廠商已觀察到APT等新型態攻擊將對企業造成衝擊與損失,開始積極推出相對應解決方案與市場佈局,然而不可諱言地,多數企業對APT威脅的認知與危機意識仍有待教育。RSA台灣區資深技術顧問莊添發表示,不少企業客戶目前仍較重視資料保護,先行佈署如日誌保存、證據保留等基本措施,作為第一階段的防護以及因應法規需求,至於對於APT的認知以及應該如何防禦,企業則較為陌生,也還在觀望階段。McAfee技術經理沈志明表示,企業往往認為自己不會成為被攻擊目標,而對於新型態資安威脅抱持觀望態度,「其實企業擁有非常多重要資料,如生產資料、智慧財產權、合約、開發程式碼等等,這些都可能成為駭客覬覦的目標。」

趨勢科技台灣暨香港區總經理洪偉淦表示,由於之前遭受APT攻擊的對象如Google、RSA等公司較具規模,資安防禦機制也比一般企業來得更為嚴謹,因此多數企業認定自己不會被駭客盯上,或以消極心態設想,就算佈署資安解決方案,也不可能比這些大公司更嚴謹周密,更防堵不了新型態攻擊,「企業必須建立的觀念是,資料值錢與否、是否可能成為值得攻擊的目標,這些價值上的認定是由駭客來決定,畢竟敵暗我明,企業仍須評估與考量相對應的措施。」


引用自《網管人》




淺談APT進階持續性威脅 (Advanced Persistent Threat, APT)~含中文社交工程郵件案例

淺談APT進階持續性威脅 (Advanced Persistent Threat, APT)~含中文社交工程郵件案例


APT進階持續性威脅 (Advanced Persistent Threat, APT) 主要是針對特定組織所做的複雜且多方位的網路攻擊。

過去所發生過的大規模病毒攻擊事件,往往是有人藉由所謂的0-day弱點,在未發布修正程式的空窗期將惡意程式大量散播,短時間內就能癱瘓企業網路與主機,並造成難以估計的損失.不過一旦發布了修補程式後,這類型的病毒便很難繼續進行攻擊。

為什麼我們要特別注意APT進階持續性威脅 (Advanced Persistent Threat, APT)?因為所謂的APT進階持續性威脅 (Advanced Persistent Threat, APT)並不像上述說的病毒類型是短時間的大量攻擊,這類型的病毒往往長時間的潛伏在企業內部,先從蒐集情報開始,找尋適合攻擊的目標或跳板,最後再藉由這些目標對內部重要的主機發動攻擊。

根據統計,APT進階持續性威脅 (Advanced Persistent Threat, APT)主要活動的前三大地區為台灣、美國與香港,受害比例最高的是台灣,整體而言亞洲是遭受APT攻擊最主要的地區。

以下是近年來知名的APT進階持續性威脅 (Advanced Persistent Threat, APT)事件

2010年7月Stuxnet USB蠕蟲病毒攻擊西門子系統
2010年1月極光行動(Operation Aurora)攻擊Google Mail
2011年5月Comodo的數位簽章被竊
2011年4月Sony PSN個資外洩

相關圖闢請看文末 註:近兩年來遭受 APT 攻擊的著名案例:

由基本面來看,符合下列三項特點,我們就認為這攻擊是APT進階持續性威脅 (Advanced Persistent Threat, APT):

◎出於經濟利益或競爭優勢
◎一個長期持續的攻擊
◎針對一個特定的公司,組織或平台


所以企業與政府通常是APT進階持續性威脅 (Advanced Persistent Threat, APT)的目標,要注意APT進階持續性威脅 (Advanced Persistent Threat, APT)是長期且多階段的攻擊,早期階段可能集中在收集關於網路設定和伺服器作業系統的的詳細資訊,可能透過SQL Injection攻擊突破外網Web伺服器主機,接著,受駭的Web伺服器作為跳板,對內網其他主機或用戶端進行情報蒐集.安裝Rootkit或其他惡意軟體去取得控制權或是跟命令與控制伺服器(C&C Server)建立連線。再下來的攻擊可能集中在複製機密或是敏感數據來竊取知識產權。

APT進階持續性威脅 (Advanced Persistent Threat, APT)的主要行為:目標式攻擊郵件

在APT進階持續性威脅 (Advanced Persistent Threat, APT)的活動中,最主要的就是透過郵件進行滲透式的攻擊,主要有三種類型

◎釣魚郵件:竊取使用者的帳號與密碼
◎惡意的指令碼:蒐集使用者電腦的環境資訊
◎安裝惡意程式(例如Botnet或rootkit)


APT進階持續性威脅 (Advanced Persistent Threat, APT)的攻擊郵件通常是以文件類型的檔案作為附件,例如Microsoft Office文件或是PDF檔,與一般認知的病毒郵件有著極大的差異,這類型的APT進階持續性威脅 (Advanced Persistent Threat, APT)攻擊郵件通常與使用者平時收發的郵件無太大的相異之處,容易降低使用者的戒心,以下便是APTAPT進階持續性威脅 (Advanced Persistent Threat, APT)郵件的樣本:


APT不是一種新的攻擊手法,也不是可以藉由阻止或破壞一次攻擊就讓問題消失。APT可以被視為更像是一個網路攻擊活動而不是單一類型的威脅;可以想成是進行中的過程。防毒軟體可能可以阻止APT攻擊所使用的惡意程式,但並不意味著停止攻擊。就其性質而言,一個APT是一段持續的攻擊。如果一個戰術行不通,就會再嘗試另外一個。實際上,我們不應該只去思考單一對策,或只是在多層次安全策略上增加更多防禦層,相反的,我們應該思考將其他例子中可能用來攔截、偵測和遏制的各種方式都組合起來。

從實務面來看,在可預見的未來,APT將會一直與我們同在是很合理的假設。APT是長期的過程導向攻擊,是攻擊者動機和攻擊手段改變下的產物。 我們應該繼續部署攔截對策。防毒軟體,加密,弱點掃描和上修正程式(Patch)都是很好的做法。但是這些還不足以去應付APT,所以我們應該假設會被攻擊成功。在會被攻擊成功的前提下,我們必須即時的監控網路流量和電腦上的活動,包括隔離被入侵的設備,關閉伺服器和收集資料以作鑑識分析之用。 萬一攻擊發生了,能夠儘快偵測到攻擊和遏制它所造成的影響才是最主要的目的。

註:近兩年來遭受 APT 攻擊的著名案例

· 2010 年 1 月 — Google:
在一起名為「極光行動」的事件中, Google 遭受 APT 攻擊。
當時一位 Google 員工點了即時通訊訊息中的一個連結,接著就連上了一個惡意網站,
不知不覺下載了惡意程式,開啟了接下來的一連串APT 事件。
在此事件中,攻擊者成功滲透 Google 伺服器,竊取部分智慧財產以及重要人士帳戶資料。

「極光行動」常用像這樣的軟體更新下載程式作為誘餌。

 2010 年 7 月 — 西門子:
Stuxnet 是世界上第一隻攻擊西門子 SIMATIC WinCC 與 PCS 7 系統的蠕蟲病毒,
主要攻擊目標為發電廠或煉油廠等等的自動化生產與控制系統( SCADA )。
Stuxnet 藉由微軟 MS10-046 Windows 系統漏洞散佈,
其目的在於取得 WinCC SQL Server 登入 SQL 資料庫的權限。

· 2011 年 3 月 — Comodo:
數位簽章遭竊,憑證遭到破解,使得許多使用者及網站暴露於危險之中。

· 2011 年 3 月 – RSA:
歹徒寄了兩封標題為「 2011 Recruitment Plan 」( 2011 年度徵才計畫)的信件給員工。
這兩封信件實為網路釣魚(Phishing),引發了後續的資料外洩事件。

RSA APT 事件中的網路釣魚(Phishing)

· 2011 年 4 月 — 洛克希德馬丁:
在 RSA 遭到攻擊後隔月,駭客以從 RSA 竊得的 SecureID 通過身分認證,侵入武器製造商洛克希德馬丁。

· 2011 年 4 月 – Sony:
Sony PSN 資料庫遭侵入,部分用戶資料未經加密遭竊,
另有信用卡資料、購買歷程明細、帳單地址等等。
官方說法為商未修補的已知系統漏洞遭攻擊。
到了 10 月又遭攻擊者冒名登入,並取得 9 萬多筆用戶資料。
遭竊的信用卡資料在地下網站上拍賣。

轉載自《雲端防毒是趨勢》

用客製化防禦對付APT

用客製化防禦對付APT


過去企業最關注的資安威脅,往往是全球病毒爆發事件,但從2011年起,焦點則轉向進階持續性滲透攻擊(Advanced Persistent Threat,APT),因為就連資安把關嚴密的大型企業,都能被APT突穿防線而渾然不知,顯見此類攻擊確實可怕,難怪舉世為之震驚。

APT是客製化的目標式攻擊,處心積慮就是要透滲攻擊目標,所以面對防毒軟體、防火牆或入侵防禦系統等傳統資安防線,早已深諳閃避之道,也擅長運用社交工程郵件以假亂真,讓員工在不疑有他的情況下,淪為駭客的禁臠,企業那怕做再多宣導與訓練,終將防不勝防。

企業如何因應APT?第一步即是調整心態,先假設自己已遭攻擊,然後一方面積極提高被攻擊的門檻,避免持續遭到滲透,二方面設法早期發現、儘速處理。針對「發現」與「處理」,企業亦應有所體認,面對客製化攻擊,唯有運用客製化防禦才能順利反制,莫再倚賴一體適用的工具,只因這些工具根本無效;此時企業可與資安廠商合作將因應新型攻擊的反應機制和流程在企業內部建立,方可做到客製化的防禦。

要滿足上述目標,少不得需要工具輔助。所以近年來,奠基於沙箱模擬分析技術的APT解決方案,一一現身於市場,以協助用戶揪出惡意檔案,並據此求助防毒軟體廠商,儘速清理禍害。這類方案確實擁有一定價值,但亦存在若干盲點。 沙箱模擬是必要的分析工具,但單靠此一技術難以抑止實際攻擊。首先,高達九成APT攻擊,皆以社交工程郵件為先遣部隊,企業需考慮如何在第一時間阻擋社交工程電子郵件進入內部,以減少後續災害控制的成本。單一沙箱模擬技術在時效及效能難以符合實際需求。

其次,APT惡意程式運作行為複雜,其特徵與型態明顯超出傳統防毒軟體的認知範圍,所以未必能有效以傳統解藥清除。

所以企業想要對付APT,須特別注意另外兩道重要防線。一是閘道端的社交工程郵件攔截機制,先將大多數APT先遣部隊拒於企業門外,縱使有少數矇混過關,亦可縮小打擊面,大幅減輕後續處理負擔;另一則是引進「事件處理(Incident Response ,IR)」工具及顧問服務,由精通於資安威脅的外部專才從旁指點,幫助企業分析並發掘深層潛伏的威脅,將埋伏在各個端點的暗樁,悉數加以剷除。

總括來說,完整的APT防線,必須涵蓋社交工程郵件閘道攔截、模擬分析、網路監測、惡意程式清除等必要工具,並結合IR顧問服務的奧援,方能將受害機率降到最低;愈能一舉提供完整工具與服務的廠商,自然愈值得用戶託以重任。

作者:現任趨勢科技台灣暨香港區總經理
轉載自《網管人》

Windows 8 防毒軟體相容列表


Windows 8 防毒軟體相容列表




專業防毒評測單位AV-test測試了市面上各品牌的防毒軟體後,提供了一份目前相容於Windows 8的防毒軟體列表:

※原始出處
轉載自《小7聚樂部》


Producer
Product
Ahnlab
V3 Internet Security 8.0
AVG
AntiVirus Free 2013
AVG
AntiVirus 2013
AVG
Internet Security 2013
Avast
Free Antivirus 7.0.1473
Avast
Pro Antivirus 7.0.1473
Avast
Internet Security 7.0.1473
Bitdefender
AntiVirus Plus 2013
Bitdefender
Internet Security 2013
Bitdefender
Total Security 2013
BullGuard
Antivirus 2013 (13.0)
BullGuard
Internet Security 2013 (13.0)
Check Point
ZoneAlarm Extreme Security 11.0.000
Check Point
ZoneAlarm Free Antivirus + Firewall 11.0.000
Check Point
ZoneAlarm Internet Security Suite 11.0.000
Commtouch
Command Anti-Malware 5.1.20
COMODO
Internet Security Free 5.12
COMODO
Antivirus 5.12
COMODO
Internet Security Pro 5.12
Dr.Web
Security Space 7.0
Dr.Web
Antivirus 7.0
ESET
Smart Security 5.2.9
ESET
NOD32 Antivirus 5.2.9
Emsisoft
Anti-Malware 7.0.0.12
Emsisoft
Internet Security Pack 7.0.0.12
F-Secure
Internet Security 2013
F-Secure
Anti-Virus 2013
Fortinet
FortiClient Lite 4.3.5
G Data
AntiVirus 2013 (23.0.5.9)
G Data
InternetSecurity 2013 (23.0.5.9)
G Data
TotalProtection 2013 (23.0.5.9)
GFI
VIPRE
IKARUS
anti.virus 2.2.12
Kaspersky
Internet Security 2013 (13.0.1.4190)
Kaspersky
Anti-Virus 2013 (13.0.1.4190)
Kaspersky
 Pure 2.0 (12.0.2.733)
McAfee
AntiVirus Plus 2013
McAfee
Internet Security 2013
McAfee
Total Protection 2013
McAfee
All Access 2.0
Norman
Antivirus 10
Norman
Security Suite 10
Norman
Security Suite 10 Pro
Panda
Cloud Antivirus 2.0
Panda
Antivirus Pro 2013
Panda
Internet Security 2013
Panda
Global Protection 2013
Qihoo
360 Antivirus 4.0.0.3102
Quick Heal
AntiVirus Pro 2013 (14.0)
Quick Heal
Internet Security 2013 (14.0)
Quick Heal
Total Security 2013 (14.0)
Symantec
Norton AntiVirus 20.1
Symantec
Norton Internet Security 20.1
Symantec
Norton 360 (20.1)
Total Defense
Anti-Virus 8.0.0.215
Total Defense
Internet Security Suite 8.0.0.215
Trend Micro
Titanium Antivirus+ 2013
Trend Micro
Titanium Internet Security 2013
Trend Micro
Titanium Maximum Security 2013
Webroot
SecureAnywhere Anti-Virus 8.0.1
Webroot
SecureAnywhere Internet Security Plus 8.0.1
Webroot
SecureAnywhere Complete 8.0.1

AV-Test:微軟防毒軟體Security Essentials不及格

AV-Test:微軟防毒軟體Security Essentials不及格


AV-Test實驗室九、十月分為Windows 7家用環境頒布了資安認證,結果參與的24套防毒軟體中,只有微軟的Security Essentials沒得到認證標章。


德國獨立資安實驗室AV-Test的最新測試顯示,微軟的免費防毒軟體Security Essentials表現不佳,今年9、10月測試的24個Windows 7家用資安軟體中,唯一在測試中不合格的產品。

該項測試主要評比Windows 7上各款資安軟體對於病毒、蠕蟲、木馬等惡意軟體的防護、修復與可用性等功能,各配置6分的分數,總分為18分,必須達到11分才算及格,但Security Essentials在測試中僅取得10.5分。這是該軟體在2010年九月之後,再度沒有通過該項測試的標準。

Security Essentials表現最糟糕的是保護能力測試,總分6分中僅取得1.5分,在零時差漏洞項目的攔截能力更從9月的69%掉到10月的64%,低於產業平均值89%。微軟未對此測試結果做出回應。

此次測試中,Windows 7平台得分最高的是Bitdefender Internet Security,在滿分18分中取得17分,F-Secure Internet Security、卡巴斯基(Kaspersky)Internet Security居二、三名,前三名都為收費軟體,免費軟體則由Check Point ZoneAlarm Free Antivirus + Firewall以12.5分居首。另外該研究機構發現,這次測試的資安產品整體能力比5、6月份下降。

AV-Test目前針對家庭用戶及企業用戶,依據作業系統Windows XP、Vista及7,對各種資安軟體給予測試評比,另外也提供Android平台的評比資訊。由於Windows 8才剛推出不久,該實驗室還未公布評比資訊。(編譯/沈經)

轉載自《iThome》

E-mail成駭客攻擊管道 APT攻擊防不勝防

E-mail成駭客攻擊管道 APT攻擊防不勝防


新北市府研考會在今年9月對6179名員工發出測試電子郵件,郵件主旨為「李宗瑞影片,趕快下載呦!」,居然有高達996名員工好奇點閱「中招」,也顯示儘管IT部門設下各種防禦措施,仍然很難克服人性的脆弱,也成為企業資訊安全管理體系中,最脆弱的一個環節。

事實上,根據趨勢科技曾經針對國內某家超過300人的企業所做的調查顯示,防毒意識最差的部門是:業務部,而最會開危險郵件的員工是:工讀生等臨時雇員。而在2012年7月舉行的Black Hat USA安全大會上所做的調查。有250個與會者進行了投票,69%的人表示每週都會有網路釣魚(Phishing)郵件進入到使用者的信箱。超過25%的人表示有高階主管和其他高權限員工被網路釣魚攻擊成功。

透過電子郵件附件進行的APT攻擊,已成為企業聞之色變的主要入侵方式。

電子郵件成為主要攻擊管道

近年來讓許多組織機構聞之色變的「進階持續性滲透攻擊 (Advanced Persistent Threat, APT)」 ,主要的入侵方式,就是針對被鎖定對象寄送幾可亂真的社交工程惡意郵件,使用者只要一時不察,就可能會讓自己的電腦被植入惡意程式。

趨勢科技指出,駭客發動的APT攻擊從2010年起,攻擊的對象已經從政府轉為企業,包括RSA及Sony都在2011年被駭客攻陷,不但數百萬客戶的資料被竊取,面臨天文數字的賠償責任,修復過程的費用以及無形商譽的損失,更是難以估計。

根據統計,APT攻擊的主要地區,分別為台灣、美國與香港,受害比例最高的是台灣,整體而言,亞洲是遭受APT攻擊最主要的地區.

值得注意的是,過去的大規模攻擊事件,多半是駭客利用作業系統的弱點,趁尚未發布修正程式的空窗期,大量散播惡意程式,短時間內癱瘓企業網路與主機,並造成難以估計的損失.但這種攻擊方式,只要修補程式一發布,不但就很難進行攻擊,而且其他企業也可以及早做出防範。

反觀APT的攻擊模式,就不只是短時間的大量攻擊,而是長時間的潛伏在企業內部,早期階段先收集有關網路設定和伺服器作業系統的的詳細資訊,以設法攻擊突破外網Web伺服器主機,再利用受駭的Web伺服器作為跳板,對內網其他主機或用戶端進行情報蒐集.安裝Rootkit或其他惡意軟體,以取得控制權或是跟命令與控制伺服器(C&C Server)建立連線後,再進一步複製機密或是敏感數據,以竊取企業重要的知識產權,如技術文件或客戶名單等。

APT最主要的滲透方式,就是透過電子郵件,通常是以文件類型的檔案作為附件,由於APT攻擊郵件通常與使用者平時收發的郵件無太大的相異之處,容易降低使用者的戒心,加上企業使用電子郵件相當頻繁。據趨勢科技統計,每天的電子郵件流量有超過60%屬於企業用途,一般企業員工平均每天會寄送41封和接收100封的電子郵件,其中有24封帶有附件,在2012年每日的企業電子郵件流量更高達890億封,預計會在2016年底達到1430億封。這麼龐大的流量,也導致資安管理的困難度的增加。

企業需要更大規模的多層次安全解決方案


養成良好的電腦使用習慣,避免開啟來路不明的郵件附件,是企業員工起碼的資訊安全素養,也是對抗APT攻擊的首要秘訣。因此,企業資安部門也應該定期做好教育訓練,讓員工隨時認識最新入侵方式,如何識別釣魚郵件、連結或電話。

如大部分的網路釣魚訊息,目的是希望讓人進入會收集個人資料的惡意網站,由於這些電子郵件或其他形式訊息都是用HTML格式,使用者在點選連結前,只要將滑鼠箭頭停在這些連結上,就可以在瀏覽器狀態列上,看到實際網址(通常在瀏覽器或電子郵件軟體視窗的底部),如果你不認得這網站,或它用的是像bit.ly的短網址,或這寄送連結的來源是你沒有接觸過的,那就不要去點。

此外,凡是要求提供任何個人資料,或是用威脅口吻,要求使用者儘快與寄信者聯繫,以免觸犯法律的郵件,都不要使用電子郵件內的聯絡人資料,最好是直接聯繫該公司,以確認真偽。

但除了電子郵件,即時通訊和社群網站也已經成為駭客的攻擊啟始點,行動平台更已成為被鎖定的對象。趨勢科技建議,企業需要更大規模的多層次安全解決方案,包括建立早期預警系統,監控可疑連線及電腦;佈建多層次的資安防禦機制,達到縱深防禦效果;對企業內部敏感資料建立監控與存取政策;企業內部應定期執行社交工程攻擊演練,才能讓網路管理者能夠深入了解並掌控企業整體網路的全貌,不管駭客會利用什麼設備(例如智慧型手機、平板電腦等)或入侵方式(例如行動設備、電子郵件、即時通或社群網站),都能設法降低目標攻擊的危險性。

轉載自《DIGITIMES中文網》

窺探人心的駭客新手法

窺探人心的駭客新手法


電影《火柴人》(Matchstick Men)中,尼可拉斯凱吉(Nicolas Cage)所飾的主角與女星艾莉森羅曼(Alison Lohman)有這麼一段對話:
羅曼:「你看起來不像個壞人。」
凱吉:「所以我才屢屢得手。」


這段簡短的對白道出了所有詐欺手段的原理,無論是在數位空間或真實世界中都一樣——以狡猾的手段令某人卸下心防,讓竊盜變得更容易。以駭客的術語來說,即所謂的社交工程(social engineering)。

社交工程的目的就在於窺探人心,比起零時差攻擊(zero day attack)等藉以尋找軟體弱點作為入侵企業跳板的手法,顯然社交工程要容易得多。零時差攻擊的作法,對駭客來說需要花費大量時間且價值不菲。但若能以影響力或說服力欺騙他人,在其機器中植入病毒碼,那就可降低許多入侵時的探索代價。總而言之,只要可以說服某人讓你登堂入室,那又何必費力破門而入?

話說回來,什麼才是技術高超的社交工程入侵?關鍵就在於誘因。舉凡臉書上的一則吸睛的名人八卦貼文,到一封標題與你公司業務相關的電子郵件,類型千奇百怪。

過去幾年來最知名的一次攻擊,就是針對美國網路安全公司RSA的入侵事件,當時就肇始於一名員工開啟了標題為「2011年招募計畫」的電子郵件。當該名員工打開了信件中所附的檔案,他就因暗藏的誤導手法而啟用了一連串的動作,最後導致公司資料遭到破解。

入侵系統需要對撰寫弱點刺探程式具有相當的知識,但若要破解心防卻需要不一樣的知識。說穿了,就是哪種電子郵件或網址連結最容易誘使人們點閱。

掌握這種資訊的手法之一,即從人們的工作與興趣著手,而這類資訊最好的來源,就是社群網路。只要耐心地瀏覽LinkedIn資料,就能挖掘出某人的職涯與職位;從一個不設防的臉書帳號,就能研究出他的交友圈和嗜好。

雖然過去幾年來社群網路致力於強化隱私控管,很多人可能還是對此視若無睹,不經意地將完全不熟識的人加為朋友,導致隱私控管形同虛設。根據研究顯示,光是臉書上的一個假人帳號,就擁有平均726個「朋友」,是網站中一般使用者朋友人數的5倍以上。

想要窺探人心,還有其他不同的形式。例如,搜尋引擎最佳化(SEO)就是駭客最愛的新手段。原本SEO的用意在於設法提升你的網站在搜尋引擎中的排名。只要運用得當,這是完全合法的;但要是居心不良,就可能誘使人們誤入惡意網站。其他還有一些根本談不上是技術的技術,例如傳統的電話詐欺便可突破心防。

根據Check Point贊助Dimensional Research所進行的研究發現,在全球受訪的853位IT人員當中,有43%的受訪者表示,他們曾經是社交工程的鎖定目標。研究還發現,新進員工最容易被這類攻擊突破,有60%認為新聘用人員是社交工程的「高風險群」。

但不幸的是,教育訓練似乎無法抑阻這類威脅,而且只有26%的受訪者確實持續執行訓練,34%的受訪者表示他們完全不曾刻意教導員工要提高警覺。不過這股趨勢正在變化,已經有更多的企業逐漸開始注重資安威脅,以及何種社交工程技術最容易使員工上當。

教育訓練是防範入侵攻擊的重要關鍵之一,整個過程必須從宣導資料保護的資安政策開始,包括控管哪些人可以接觸何種資訊,制定強制實施的規範,在日常作業中落實執行。

從此開始,員工應了解資安政策內容,然後針對宣導偵測到的攻擊資訊對員工進行模擬測試,這樣他們才可以進一步了解他們自身是如何成為被駭客覬覦的目標並提高警覺。如果有一封非預期的電子郵件要求提供隱私訊息,那麼較好的作法即是追蹤該發信人的身分以確保該信件是否安全且合法。

要維持穩健的資訊安全環境,必須要有受到良好保護的網路和端點,以及隨時進行最新的安全修正。但事實上,在對抗「人心」的入侵時,員工心態上的調整遠比技術的武裝更為重要。

企業必須經常對員工更新關於公司資安政策的新知,同時保持警覺,知道駭客是如何在旁窺伺。將這類資訊融入到教育訓練計畫當中,就可以產生截然不同的結果:資料外洩、或是資安無虞的辦公室。

轉載自(文章由Check Point 台灣區總經理馬勝彰撰,DIGITIMES整理)

駭客針對APT的網路攻擊8階段

駭客針對APT的網路攻擊8階段


網路間諜的攻擊8階段

然駭客針對企業發動的APT攻擊手法,受駭者往往很難察覺,本身已經是被鎖定要竊取重要情資的對象,但是,在越來越多企業可能是網路間諜受駭對象時,彙整資安廠商分析駭客採用APT的攻擊手法的8個階段,可作為企業面對駭客APT威脅時的自我檢視之道。


雖然電子郵件是這種網路間諜最常見的攻擊手法,但作為一個使命必達的網路間諜,為達目的、不擇手段的情況下,一定會同時使用多重鎖定的攻擊方式,務必將攻擊的網鋪天蓋地,讓被鎖定的對象無路可跑。柴惠珍表示,這幾年政府已經有無預警的社交工程演練,希望能藉此提高同仁的警覺性。但她說,企業因為忽略本身也可能是遭駭客鎖定攻擊的對象,往往對此較為忽略。

所以,除了理解電子郵件這種隱含社交工程手法的方式外,也可以從資安公司分析幾起駭客採用的APT手法,彙整可能的攻擊階段,知己知彼,才能了解自我預防之道。

彙整McAfee、RSA和Symantec的資料,間諜針對特定對象採用的APT攻擊手法可以分成8個階段,大致可以分成:偵察→找出可利用的漏洞(釣魚或零時差)→入侵→植入後門程式→安裝C&C可遠端控制工具→資料過濾外傳→撤離→留下隱藏的活棋。

階段1:偵察
打仗前一定要先能夠掌握敵人在哪理,觀察整體環境,知道誰是這一波的攻擊對象。臺灣McAfee技術經理沈志明表示,駭客鎖定特定對象,先利用社交工程取得相關資料,進而發覺可以入侵或利用的弱點。

階段2:找出可利用的漏洞釣魚郵件或零時差
鎖定對象後,沈志明說,利用發送魚叉式的網路釣魚郵件,針對被鎖定對象寄送相關的惡意郵件,夾帶惡意Word或PDF文件,利用還未修補的漏洞,取得在電腦植入惡意程式的第一個機會。

階段3:入侵
賽門鐵克大中華區資深技術顧問林育民表示,駭客入侵、滲透進企業後,通常會先潛伏一段時間,再伺機騙取管理者的帳號、密碼。為了確保攻擊成功,該惡意程式入侵後,會自我隱藏以避免被安全軟體發現。

階段4:植入後門程式
臺灣RSA資深技術顧問莊添發指出,植入後門程式取得管理者的帳號、密碼和權限,針對橫向沒受攻擊的網路系統,利用漏洞植入後門程式後,使該臺電腦門戶洞開,也會同時間低調取得其他重要人士的帳號密碼。

階段5:安裝C&C可遠端控制工具
沈志明強調,駭客為了偷電腦內的資料,會安裝遠端遙控下指令(Command & Control)工具,用來偷密碼、存取電子郵件、修正運行程式,還可以將機敏資料或智慧財產權,利用Tunnel或是木馬程式將內網資料往外送。

階段6:資料過濾外傳
駭客要的往往是特定的機敏資料,林育民說,當駭客鎖定攻擊對象、過濾找到所需的機敏資料外,會利用FTP和加密方式傳送機密資料;若有無法辨識的檔案格式,駭客也可能採用自己的加密方式外傳。

階段7:撤離
莊添發指出,將機敏資料往外傳後,駭客會先確認任務完成後才會進行撤離,同時會隱藏自己在系統中存在的蹤跡,不讓人有跡可尋,也會利用洋蔥式的路由和加密方式傳送機敏資料,隱形自己存在。

階段8:留下隱藏的活棋
駭客從受駭系統撤離後,並不意味著駭客喪失對鎖定對象的掌控權。莊添發表示,為了未來有需要時還可以操控該臺受駭電腦,駭客撤離前會在受駭系統留下沈睡的惡意程式(Sleeping Malware),以便有需要時隨時可用。

資安教育訓練是最後防線
面對駭客使用APT網路間諜的攻擊手法,臺灣趨勢科技技術總監戴燊認為,這並沒有單一解決之道,因為駭客為達目的、不擇手段的攻擊方式,企業的資安防護也必須從企業弱點的防護下手。

首先,防毒軟體還是基本防禦之道。駭客使用這些針對式的惡意程式,一般商用防毒軟體無法偵測,戴燊建議,政府或企業環境內應先部署各種感應器,並針對可疑的惡意程式樣本先進行第一輪的過濾後,再送到後端自動化分析機制,判斷該惡意程式是否是客製化的,若是,合作的防毒廠商就必須針對該特定樣本製作客製化的病毒碼給該單位。

不過,柴惠珍表示,面對駭客採用的APT攻擊手法,政府和企業仍應具有縱深防禦概念,若以美國政府使用的防毒機制為例,第一、二層防毒是採用現有的商用防毒軟體,但第三層涉及國家安全等級,限制只能套用CIA的資安政策設定。

除了防毒軟體的防禦層面外,進行企業環境的威脅偵測分析,是第2個預防之道。莊添發表示,要預防駭客發動APT攻擊,得先改變對威脅環境的認知,進行各種進階偵測威脅分析以降低災害。他說,許多IT人員為了避免遭到各種網路資安攻擊,甚至認為只要能夠作到完全阻擋就安全了。但是,現在企業營運跟IT息息相關,很多時候根本不是IT人員想擋就擋得了,一旦阻擋,可能連公司基本運作都會出問題。

第3點,企業內的IT基礎建設應具備足夠的防禦能力。出現APT的威脅後,莊添發認為,企業應該強化對IT基礎建設的投資,因為駭客是組織性、針對性的攻擊,「人有失手、馬有亂蹄」,只要有「一個人」踩到地雷中標,駭客的攻擊就能進入內網。不過,他說,以前大家認為阻擋性防禦,把威脅阻擋在門外就足夠,基礎建設好,就可以有能力阻擋惡意威脅。但是,現在就算有安全的基礎防護,駭客要有決心,時間一久,還是有機會進入公司內部。

除了原本偵測機制是否夠用,政府和企業還可以利用更進階的偵測機制,防禦進階的攻擊手法。行有餘力,建置有效、可用的SOC(資安監控中心),是第4種預防之道。

莊添發說,面對駭客使用的APT攻擊手法,除了看組織內的監控機制是否足夠,是否有專人可以分析封包或Session的攻擊特徵,也要看,從SOC的Log分析中,對於發生問題的封包來源是否存下來,而企業是否有足夠專業人士作這種資安分析。但翁世豪提醒,SOC經常是APT攻擊中略過(Bypass)的一環,企業內有人會用、懂得怎麼用,比有設備更重要。

張裕敏認為,至少每半年,必須要定期更改或調整網路架構,升高防禦機制的動態安全防護機制,是企業面對駭客發動APT攻擊的第5個防禦之道。他說,駭客會把鎖定攻擊的政府或企業網路架構、內部關係和人員名單資料蒐集得很完整,也清楚彼此的網路互動。他指出,企業強迫自己半年內調整網路架構難度雖高,但至少可以提供比較安全的網路環境。

第6點,從資安報表分析長期攻擊趨勢。要了解並防護駭客發起的APT攻擊,張裕敏表示,對於Log(登錄檔)記錄的分析,除了周報、月報外,更重要的是要看出長期的趨勢變化,時間更長的半年報甚至是年報所呈現出來的攻擊趨勢,其實更重要。因為面對駭客發動的APT攻擊,企業最忌諱當成單一事件,所以他也鼓勵IT同仁對於每個月資安事件的檢視,應該確定是否每個月都重複發生,也要觀察是否有持續性。

第7點,面對這種針對性攻擊,張裕敏認為,企業和政府都可以參考美國政府積極推動的「資訊安全內容自動化協定」(Security Content Automation Protocol,SCAP)。他說,不論是企業或政府推動SCAP後,好處是,所有的個人電腦組態統一,IT同仁容易評估風險,管理上也更為方便,一旦有新的資安政策加入,可以自動設定,並作到定期掃描和主動比對,幫企業或政府內的電腦做良好的健康檢查。他強調,SCAP保留了電腦所有功能,只是修正不正常組態設定的問題,並不是如同其他精簡型電腦,因為限縮電腦功能而作到安全與便於管理。

最後,資安教育訓練仍是企業面對APT威脅最後一道防線。從多起駭客採用APT攻擊手法來看,「人」依舊是企業環境安全的關鍵,張裕敏表示,閘道端的防禦頂多只能抵擋8成左右的威脅,其餘的資安防護,還是得仰賴更多的資安教育訓練,提升「使用者」的資安意識,避免受騙上當外,也必須從過往的經驗中,找出攻擊的關聯性與連結性,作到加以防範。

聯防機制、沙箱技術 抵禦APT攻擊須多管齊下

社交工程攻擊滲透 難解卻不可不防
聯防機制、沙箱技術 抵禦APT攻擊須多管齊下


資訊安全領域一向對於新攻擊手法相當敏感,從去年初開始由APT(Advanced Persistent Threat,進階持續性威脅)攻擊造成像是Stuxnet蠕蟲、夜龍(Night Dragon)、RSA等資安事件後,隨即成為媒體關注焦點,大家聞APT色變;當然資安廠商馬上看到了這股由APT攻擊所帶來的商機,近來皆相繼推出相關的解決方案。

趨勢科技台灣區技術總監戴燊直言,APT實在無萬靈丹可解。他強調:「APT可說是一種針對性的間諜入侵行為,試想有哪一個企業可以阻擋宛如中情局般,擁有龐大資源的組織,所發動的間諜攻擊?因此沒任何一家廠商,包括趨勢,能提供完美的解決方案。」儘管如此,戴燊還是表示,因為台灣所處環境較特殊,對岸一直有很多不斷嘗試入侵竊取相關情資的事件發生,因此身為台灣本土資安廠商的趨勢科技,其實已在處理客戶APT的攻擊上已累積了許多經驗。

APT的攻擊、控制、滲透入侵三步驟

究竟APT一種什麼樣的攻擊模式?戴燊指出,簡單來說就是用社交工程來竊取情資的一種手法。而所謂的社交工程,通常指透過Email來進行攻擊的行為,經由特製的電子郵件來發送給特定對象,並往往夾帶暗藏漏洞的文件,或是可躲避引擎偵測的加密檔案,再誘使受害者點選附件文件來觸發攻擊以植入木馬,此為攻擊階段;接著開始與中繼站進行低頻率的連絡,以遠端控制、回傳資料,甚至進行惡意程式的更新,以免被防毒軟體發現,這是第二階段的控制;最後則是取得主機帳號密碼等重要資料,且伺機入侵其他主機的內網滲透,至此完成APT攻擊、控制與滲透的入侵三步驟。

FireEye北亞區技術經理林秉忠則舉例說明,駭客組織是如何先花時間從社交網站了解攻擊對象,以進行背景研究。他提到,去年RSA的攻擊事件後來追查出,起因來自於一位負責EMC郵件系統的管理人員,將個人資料放在著名的社交網站─LinkedIn上,並註明目前任職於EMC,且擔任郵件系統管理職務,因此被鎖定為攻擊目標。而現今社交網路發達,只要有確定的目標後,就很容易透過社交網站了解該目標的興趣、喜好、工作與家庭等相關背景資料,隨即就可針對目標設計出「客製化」的電子郵件攻擊,大大提高攻擊成功的機率。

Mail和Web閘道設備的聯防機制


由於傳統防毒的做法,都是先由駭客看到弱點且發動攻擊後,資安廠商才會收到病毒樣本據此製作解藥,因此以往的資安廠商與駭客較勁的是如何快速收集到樣本,也就產生了後來所謂的「雲端防毒」。林秉忠認為,在這種邏輯思維下,解藥永遠比攻擊慢上一步,因此要尋求一種方法不需樣本就能發現未知攻擊,才能有效突破困境。對此,專門針對APT問題提供解決方案的的美國資安廠商FireEye,從2007年開始即運用沙箱技術(Sandbox),試圖求解。

林秉忠說明,所謂的沙箱,就是一種動態模擬的分析技術,也就是利用虛擬化環境,來偵測惡意程式的行為。他進一步提到,FireEye的沙箱機制會執行附檔文件,並觀察這些程式會做哪些動作?連到哪些跳板?下載安裝哪些程式?做一個詳細完整的分析記錄,並將發現的攻擊情報送到FireEye的雲端監控中心去做攻擊資訊的分享。

沙箱技術的缺點在於執行效能較慢,且相當消耗資源,執行一次分析可能需3至5分鐘,因此若被判定為攻擊且上傳雲端成為黑名單後,其他用戶只要經過比對為相同特徵的惡意程式,就無需再送入沙箱,只有那些不在黑名單內,且未曾看過的可疑檔案才會送入執行檢測。如此一來,即可減輕沙箱運行的負擔,也可提高檢測效率。

多種設備建構偵測與阻斷機制

目前FireEye已將沙箱技術運用在Mail和Web閘道設備上,之所以選擇這兩個媒介管道,林秉忠解釋,主要就是因為APT會經由郵件入侵,然後再透過網頁連結通訊管道,把竊取的資料傳送出去。而FireEye的Mail和Web閘道產品能相互支援,郵件閘道會將其沙箱所分析出關於APT所連絡的惡意IP與網站資訊,傳送給Web閘道進行阻擋,形成一道聯防機制。

從桌面端防毒軟體起家的趨勢科技,多年來早已陸續發展出網路閘道設備、電子郵件安全閘道等多種資安產品,因此趨勢科技在APT的防禦上是採用多種設備所組成的整套解決方案。

戴燊提到,因為APT難以事先預防,所以偵測後的回應能力更顯重要,針對前述APT的攻擊、控制與滲透的入侵三步驟,建置出相對的完整防禦系統。對APT攻擊階段的偵測,趨勢與FireEye同樣都是在郵件閘道上先進行,但不同的是,趨勢是先在郵件安全閘道(InterScan Messaging Security Virtual Appliance)上,部署針對APT惡意文件所開發的掃描引擎進行攔截阻擋,然後將取得的樣本丟到DTAS(Dynamic Threat Analysis System)沙箱中進行動態分析,再把該惡意程式回應IP或傳到哪些中繼站等詳細的攻擊行為資訊回報雲端監控中心。

而這些已得知的攻擊行為模式資料,會同步至其他網路設備進行阻斷,或由TDA(Threat Discovery Appliance)於內部網路做封包過濾,了解電腦是否出現此類被入侵的行為,以遏止來自網路的遠端控制。最後對內部那些已遭受攻擊滲透的主機,則以用戶端的安全軟體來進行惡意程式的清除工作。

選擇可完整模擬使用者行為環境的沙箱技術

或許有人會認為沙箱技術不就是個虛擬環境而已,聽起來似乎沒什麼技術門檻,戴燊和林秉忠也承認,沙箱其實不難做,但真正的核心重點是在如何對沙箱內的行為進行分析,判斷哪些是惡意程式,又如何辨識出新的攻擊手法。 林秉忠提到很多防毒軟體也號稱有沙箱,多數偏向針對執行檔的過濾,可是現在很多APT攻擊是透過文件檔,所以需要更專業的模擬環境去進行偵測。他同意,其他資安廠商勢必也會將APT的防禦功能整合到自家的產品之中,像有新一代的防火牆就能由使用者將可疑的檔案透過防火牆丟到雲端沙箱去做分析。不過林秉忠提醒,這種雲端沙箱的方式比較適合用在一般的執行檔,因為如果是像報價單或合約這類的文件檔,企業可能會因為涉及機密隱私,而不願送上雲端進行檢測。此外,沙箱分析相當耗用資源,當大家都將檔案丟到雲端分析時,如果需要超過1小時才能獲得分析結果,就無法做到即時性的阻擋,當然也就更難以應付僅在數分鐘內即可快速變形的病毒攻擊。

資安技術不斷進步,但產品架構難有很大改進,林秉忠建議在選擇APT解決方案時,首先應先了解產品架構是否能符合企業需要,像是否包含Mail或Web等不同管道,接著才是技術層次的偵測效果。而針對沙箱技術,則要考量是否能完整模擬使用者行為環境,內建的應用程式是否有足夠不同版本以供模擬,也是評估時需要一併考量的項目之一。

轉載自《不及格網管