2011年9月2日 星期五

從政府、企業到個人 都是駭客鎖定發動APT攻擊的對象


從政府、企業到個人 都是駭客鎖定發動APT攻擊的對象
常言道:「保護防諜、人人有責」,針對實體的間諜我們很容易提醒自己要提高警覺,在「隔牆有耳」的前提下,各種機密資料的傳遞更為小心謹慎。以前的「長江一號」為了保護機敏資料的安全性,除了透過各種手法隱匿自己的身分外,也會把機敏資料作各種的加密,避免讓人一旦查獲相關資料,就可以立即了解其整個間諜集團的關聯性。

但是APT這種網路間諜的攻擊方式,最終目的在於取得針對性目標的機敏資料,進行情報蒐集,如同間諜一樣,除了要隱匿自己、不被察覺外,為達目的更是不擇任何手段。

所以說,若要定義駭客針對企業,採用的APT攻擊手法到底有哪些,其實現階段所有的資安漏洞和攻擊手法,都是駭客採用的APT攻擊手法。駭客採用的APT攻擊手法和一般網路攻擊手法差別在於,駭客因為已經鎖定目標,一定會千方百計找到各種可以使用的弱點和漏洞,從社交工程到各種資安攻擊入侵手法等,都是駭客使用的手法之一,務求順利潛伏到鎖定企業的內部,進而可以竊取資料、蒐集情資。

企業、學校到個人,都會是駭客鎖定的情蒐對象
若以McAfee先前發表的《灰鼠行動》資安調查報告中可以發現,包括大型企業、高科技製造業、國防工業、金融相關產業以及智庫與非政府組織等,都是駭客鎖定攻擊的對象。行政院科技顧問組資安小組主任柴惠珍表示,現在駭客的情報蒐集,除了以往基於敵對國家情報蒐集的可能性外,也開始出現基於企業其他珍貴智慧財產權、商業或金錢利益的各種情報蒐集。所以,只要有研發實力、擁有智慧財產權和商業機密的企業,也是駭客鎖定攻擊的對象。

除了產業特性外,Xecure-Lab首席資安研究員邱銘彰認為,和政府有往來,不論是上、下游供應鏈的互動,或者是企業委外承攬政府的相關業務時,駭客雖然原本是鎖定政府機關,但在企業對於APT攻擊手法缺乏警覺,加上某些企業資安防禦機制相對薄弱,駭客同樣可以鎖定這些企業,作為攻擊政府的跳板。也就是說,雖然駭客終極目標鎖定的是政府,但不小心的企業則可以讓駭客搭上攻擊的順風車,甚至成為幫凶。

除了企業外,柴惠珍認為,學校也是臺灣另外一個遭到駭客鎖定攻擊的對象。她指出,有一些專門接政府研究專案的學校或學術研究單位,擁有很多和政府合作的智慧財產權與專利,這些單位的資安防禦機制往往較為鬆散,也是駭客很容易鎖定入侵的對象。

在駭客的情蒐對象中,個人也無法倖免於難。以RSA遭駭為例,駭客就是鎖定特定員工、寄送特定網路釣魚信件,誘使員工開啟內含惡意程式的電子郵件。從這樣的案例中發現,只要員工的社交網絡和駭客鎖定攻擊的對象有重疊,個人就會成為企業最脆弱的環節。

惡意郵件是駭客主要攻擊手法
從Google到RSA,這些單位受駭的關鍵因素都是社交工程的惡意郵件。邱銘彰表示,駭客利用APT的主要攻擊手法仍是包含社交工程的惡意信件為主,因為情報在人的身上,電子郵件是個人聯絡信箱,鎖定電子郵件就可以鎖定人,相當具有針對性。

數聯資安技術處副總經理張裕敏認為,從該公司SOC(資安監控中心)的統計數據來看,駭客發動APT攻擊時,至少7、8成的攻擊手法是利用電子郵件夾帶惡意程式。以臺灣遭受駭客發動APT攻擊的演進歷程來看,早在2000年時是利用網路現有的漏洞發動攻擊,當時的攻擊多視為單一事件。

但到了2003~2004年,情況開始改變,張裕敏說,有50%的駭客會利用網路漏洞發動APT攻擊,另一半是透過社交工程手法寄送惡意郵件。從2008年開始,就有超過9成駭客是利用社交工程手法發動各種針對性攻擊。到了2011年,開始出現手機上的惡意程式,可以跨平臺、混合式攻擊,手機成為駭客鎖定攻擊與偷取資料的目標。

這類透過電子郵件發送的惡意郵件中,冒名發送電子郵件是最常見的攻擊手法之一。民進黨中央黨部文宣部副主任張力可表示,因為兩岸政治情勢複雜,民進黨長期都會有來自其他國家的IP連線,日前有黨部同仁調任競選辦公室的職務,但是在該名同仁正式調任前,相關同仁卻已經收到以該名同仁名義寄出的電子郵件。一經追查,才發現駭客老早就已經在相關同仁的電腦植入木馬程式,並假冒幹部同仁的名義,寄送副檔名為.doc、實則為.exe惡意程式到相關同仁的電子信箱。

張力可表示,這樣的惡意郵件攻擊已經是長期現象,由於黨部本身有資訊專職同仁可以協助同仁在閘道端做垃圾郵件過濾,會比較安全。但他也聽說,有些黨務主管喜歡使用個人電子信箱作為公務聯繫之用,因為缺乏資安意識,曾經收過假冒黨部同仁名義寄送假冒公務標題的惡意郵件,在不疑有他情況下直接開啟信件,導致黨務同仁的電腦被植入惡意程式。甚至,他也看過有同仁的私人信箱,因為電腦中毒後而被駭客設定郵件轉寄功能,所有信件都被轉寄到不明的電子信箱中。未來民進黨則將持續強化黨務同仁主管和志工的資安教育訓練。

除了冒名發送電子郵件的手法外,惡意郵件也是目前駭客針對臺灣政府甚至是企業最常使用的攻擊手法之一。張裕敏表示,該公司因為有針對政府做資安監控,比較容易歸納政府遭遇到的攻擊手法,但針對其他可能遭駭客鎖定攻擊的企業,則可以參考政府受攻擊的方式,引以為戒。

2010年3月~9月,駭客曾針對政府部門同仁,植入可以修改Word巨集安全性的惡意程式。這樣的攻擊方式曾停止一陣子,但從今年8月又開始盛行。張裕敏表示,當駭客針對使用者電腦植入惡意程式後,該惡意程式會偷偷開啟預設關閉的Word巨集,並將預設為最高安全性的設定調降為最低安全性,再啟動遠端圖片下載巨集功能。當使用者在呼叫圖片下載的同時,被植入惡意程式的電腦則會再下載其他惡意或後門程式,也同時將該臺電腦的機密資料往外傳。

如果企業資安防護層級較好,同仁資安相關警覺性較高,同仁便不會開啟先前冒名或者是假冒公務標題的惡意郵件。但張裕敏表示,日前駭客也使用一種新的攻擊手法,誘使使用者點擊惡意郵件的命中率,幾乎是百分百成功。

駭客搭配時事或公務相關的惡意郵件標題,誘使使用者開啟信件後,在該使用者的電腦植入惡意程式,之後伺機入侵該組織的郵件伺服器,並設法取得管理者權限。駭客會先鎖定特定重要對象,只要這些特定對象對外發送夾帶附件的電子郵件後,潛伏在郵件伺服器中的惡意程式,會在5分鐘內,假冒該特定對象另外發出第2封註明「先前附件檔案有誤,請以此封為主」的電子郵件,並且已經修改附件隱含惡意程式在內。

駭客除了會針對政府或企業特定使用者寄送惡意郵件外,今年5月,趨勢科技發現Hotmail發生一起針對性的XSS攻擊。臺灣趨勢科技研發工程師翁世豪表示,透過對信件的分析發現,此次駭客鎖定1,498位特定對象,每封信都是給特定對象,都有一個特定的數字隱含在內。收件者只要預覽郵件,就會觸發駭客設定的攻擊方式,預設將收件者的聯絡人資料以及信箱的所有信件,都會陸續上傳到某個中繼站。而且,翁世豪說,該收件人的信箱也被預設了信件轉寄功能,因為收件對象不同,駭客設定的郵件轉寄位址也不一樣。這也是一起駭客發動的針對性攻擊。

駭客針對企業使用APT攻擊與一般網路攻擊手法差異
 APT攻擊一般網路攻擊
時間長時間攻擊,會隱匿行蹤攻擊時間長短並不一定
動機竊取所需要的特定機密,包含國家安全、各種組織情報和商業機密等等,常具有政治動機竊取金融與個人資料換取實質利益,不見得具有特定動機
攻擊者有資源、有組織、有計畫性的團體一般的個人或駭客組織
攻擊對象有針對性、小範圍,通常是以政府、軍事國防機構、大型能源石油天然氣產業、高科技產業、金融業等無針對性、大範圍,一般以金融業、線上交易業者、具有大量個資企業為主
攻擊標的將挑選過的、高價值的機敏資料、各種組織的重要情資或智慧財產權等一般信用卡、銀行帳戶檔金融資料,或個人資料為主
攻擊武器客製化,常用單一的漏洞,經常是零時差漏洞的攻擊,或者是Drop Embedded RAT非客製化,複合多種常見漏洞在單一檔案攻擊,攻擊範圍大;URL Download Botnet
攻擊手法為了確定攻擊一定成功,或同實用多種攻擊手法入侵速戰速決,通常以大量快速有效的單一手法入侵
防毒軟體偵測率1個月內新樣本偵測率約30%以下 1個月內新樣本偵測率約90%
資料來源:Xecure-Lab、RSA,iThome整理,2011年8月

沒有留言:

張貼留言