2013年8月13日 星期二

非典型APT

非典型APT

APT最重要的特性就是非典型,而面對APT攻擊最有效的方法就是強化資安鍊條的每一段強度。 

過去我們所面臨的資安威脅,都有特定的定義。不論是從一開始的電腦病毒,到演化為變種的電腦蠕蟲,以至近期的木馬程式,這些說法都代表著一種特定的威脅,也會衍生出相對應的防護措施,防病毒、防蠕蟲、防木馬等等的工具因應而生。

我們對於資安防禦的觀念,其實也在這種演化的過程中逐漸定型。中毒了,就裝防毒軟體;中木馬了,就裝防木馬的軟體。但是,APT(Advanced Persistent Threat)一被提出來之後,這個歷久不衰的觀念就踢到鐵板了。

或許是因為在這一路的演化過程中,大家聽過了太多的資安專有名詞了,所以再聽到一個APT,其實也不會有什麼值得大驚小怪的。反正就依照慣例,中了APT,不就是再裝個防APT的資安軟體罷了。然而,這回可就不是如此。

APT到底是什麼?光從它的名稱實在是看不出個所以然,也難怪我們很容易把它當成是病毒的同義詞。但是,在APT的攻防戰中,不再像過去應付資安威脅那樣好處理,沒有單一軟體能有效解決APT,目前也沒有單一廠商能提供完整方案。對APT的認知錯了,就會導致整個防禦策略的錯誤。

在本期的封面故事中,我們試圖以幾個真實的APT攻擊案例來說明,包括日前在全世界引起軒然大波的APT1調查報告,首度在臺灣揭露的APT101報告,以及日本資安研究員發現的多層次釣魚郵件攻擊。希望藉由深入描述APT攻擊內幕,幫助大家認識APT攻擊的特性。

以美國資安公司Mandiant揭露的APT1報告來說,他們多年持續追蹤的141起攻擊事件,一路引領他們到達位於中國上海的中國人民解放軍總參三部二局的61398部隊基地。原來,中國網軍確有其事,而且這141起攻擊事件橫跨20個主要的產業,所以不是只有政府機關會面臨網軍威脅,許多企業早已是網軍滲透、竊取商業情報的目標。其中有兩個被害組織就位於臺灣。

除了美國的報告,臺灣的資安研究團隊也不遑多讓,由中研院與資安公司艾斯酷博合作的研究團隊,首度對外公布了一個從2007年就開始攻擊臺灣,至今仍持續針對政府機關與民間企業發動釣魚郵件攻擊的駭客組織APT101。

臺灣的APT101調查雖未直接證實駭客組織是中國網軍,卻也突顯APT攻擊者是一群擁有嚴謹工作流程的精良部隊,執行著宛如導彈般精準的網路攻擊行動。臺灣的資安研究團隊發現,APT101駭客組織只有約25人,操縱著分散在4個不同傀儡網路的數千臺電腦。他們用於攻擊的惡意程式有統一的命名原則,而惡意程式又分好多種,在攻擊行動的不同階段,配合著自動產生器自動產出攻擊用的釣魚郵件。

第一波攻擊的惡意程式,可以不驚動防毒軟體而入侵電腦,在無聲無息地搶灘之後,開始以合法指令蒐集電腦與網路資訊,讓駭客決定第二波派出更具殺傷力的惡意程式。如此有層次的一波波展開攻擊,長期潛伏竊取資訊,可謂蠶食鯨吞。

日本的研究員則發現手法更精良的多層次釣魚郵件,駭客謊稱學校要訂購商品,要求廠商填寫校方要求的文件,廠商接著收到的文件檔案其實就挾帶第一波入侵的惡意程式,接下來駭客又謊稱第一次寄送的文件檔案格式不對,要求廠商再收一次信,第二封信就是挾帶著第二波攻擊所需的惡意程式。就在這樣的往返通訊過程中,駭客以社交工程手法來掩飾,逐一讓惡意程式依照其設定好的順序潛入企業。

上述案例中,不難發現APT攻擊有一些相似性,卻又不是完全相同。沒錯,APT最重要的特性就是非典型,它沒有特定的型式,因為駭客會想盡辦法攻下目標。所以面對APT沒有萬靈丹,有效的方法就是強化資安鍊條的每一段強度

轉載自《iThome》