2011年9月2日 星期五

RSA遭受駭客以APT手法攻擊的來龍去脈

RSA遭受駭客以APT手法攻擊的來龍去脈
時隔不久,在今年愚人節時,EMC RSA新技術部門、客戶身分保護部門主管Uni Rivner,也針對RSA遭到駭客以APT手法入侵事件的來龍去脈,在RSA官方部落格中撰寫調查報告。

根據Uni Rivner的調查,這起造成RSA史上最重大損害的源頭,是2封鎖定RSA公司內兩小群員工的網路釣魚信件。

他說,如同其他對資安防護要求極高的公司一樣,RSA同樣採用各種最先進、防護等級最高的資安防禦設備,希望能夠抵抗各種威脅。但這樣的防護依舊抵擋不住駭客的入侵。

Uni Rivner表示,從這次的調查經過發現,當駭客們鎖定要入侵特定公司例如RSA時,第一件做的事情便是,透過查詢各種公開的資訊,包含各式各樣的社交網站資訊,藉此鎖定RSA特定的員工,並針對這些特定員工寄送經過設計的「魚叉式網路釣魚信件(Spear Phishing email)」。

這些針對特定員工寄送網路釣魚信件,其內容則是完全針對這些特定員工的工作內容所設計,如果你是在財務部門工作,就會寄送和財務相關的法規遵循內容或者是相關資安控制措施的信件等。這些手法都確保收件人一定會點擊信件。

因此,駭客當時就針對RSA的兩小群員工,在2天內開始寄送2封針對性的網路釣魚信件,並在標題寫著「2011年招募計畫」,也夾帶一個Excel附加檔案。

據調查,這個Excel檔案其實已經包含了一個當時還沒有發現、也還沒有被修補的PDF漏洞,只要駭客針對的這兩小群RSA員工,只要有任何一個人因為任何原因,開啟了這個Excel檔案,就會在開啟該Excel檔案員工的個人電腦上,安裝一個後門程式。

當RSA某位員工的電腦淪陷、被駭客控制並安裝後門程式後,駭客便開始APT攻擊手法的共通階段,那就是要安裝可以遠端控制該臺電腦的遙控工具。Uni Rivner說,在RSA的案例中,駭客使用的變種惡意程式Poison Ivy RAT,也和鬼網(GhostNet)以及其他多起國家、企業遭駭客利用APT攻擊手法攻陷鎖定對象時,所使用的惡意程式是一樣的。由於該變種惡意程式採用反向連結的方式,防毒軟體對這種惡意程式的偵測率更低。

當然,駭客控制了員工電腦,但是不同員工對資料存取權限,不見得剛好滿足駭客的需要。因此,駭客也會開始評估該受駭電腦員工存取權限為何,先行取得帳號、密碼後,伺機設法取得具有更高管理權限員工的帳號、密碼,包括IT與非IT伺服器的管理者權限,進而偷取駭客所需的各種機敏資料。

駭客在這樣的過程中,當然會設法隱匿自己的形跡,避免被察覺到。因此,駭客便可以一直偷取所需要的機敏資料,並持續透過FTP的方式去傳送加密的檔案,整個潛伏的過程會持續到被發現,或者是駭客覺得時機成熟、可以撤離後,才會進行撤離。

Uni Rivner表示,從RSA這次的受駭經驗中發現,因為社交網路的蓬勃發展,企業以往只專注在防禦各種由內到外的各種威脅,相對的,企業的資安防護也是從這樣的角度出發。不過,當員工成為企業資安最脆弱的環節,企業也開始要警覺到,企業資安的防護必須將員工某些社交網路行為納入。

企業成駭客採APT攻擊手法的對象
從RSA受駭的事件可以發現,駭客一剛開始針對某些特定員工發送的釣魚郵件,就是該起RSA遭到駭客使用APT手法進行攻擊的所有源頭。在今年稍早,美國有另外一家資安顧問公司HBGary也面臨類似的攻擊方式,那就是駭客假冒CEO發信給IT部門同仁,由於天時地利人和的條件配合下,IT人員對於駭客冒名發送的這封信件完全不疑有他,IT人員直接寄送該公司IT系統Administrator的帳號、密碼給被駭客冒名的CEO。因此,HBGary內部的IT系統防護也一夕潰堤。

RSA遭受到駭客這種的長期性、針對性、計畫性以及組織性的攻擊行動時,就是所謂的APT。以往駭客受雇使用這樣的APT手法,主要是針對國家層級的對象。但從過去一年半以來,從數起類似的資安事件中,卻可以發現,包含Yahoo!、Google、RSA、Comodo等大型企業或資安公司,以往我們認為不是駭客採用APT手法攻擊的對象,也都陸續成為受駭對象,這也證明,企業已經是繼政府之外,駭客採用APT攻擊手法主要的受駭對象了。

沒有留言:

張貼留言