2013年8月9日 星期五

軍隊化APT攻擊大揭露,25人精密操控5千多臺殭屍電腦

軍隊化APT攻擊大揭露,25人精密操控5千多臺殭屍電腦

一個規模只有25個人的駭客組織,竟能同時操縱4個Botnet傀儡網路、5千多臺殭屍電腦,他們的工作流程比大多數的企業IT部門還要有制度,發動釣魚郵件攻擊已達自動化,而超過半數的受害電腦皆來自臺灣的政府機關與民間企業

在今年(2013)2月,美國資安公司Mandiant公布一份APT攻擊的調查報告──《APT1:揭露一個中國的網路軍事間諜組織》,直指位於中國上海的中國人民解放軍61398部隊,與他們長期跟蹤調查的APT(Advanced Persistent Threat)攻擊行動(命名為APT1)有極高的相關性。種種跡象顯示,中國網軍有計畫的滲透上百個政府機關與民間企業,經年累月竊取大量的國家與商業情報,其中臺灣就有2個受害單位。

新一代殭屍網路(Botnet)控制模式宛如訓練有素的軍隊 

傳統殭屍網路(Botnet)的控制模式


殭屍電腦竊取所需情資,回傳至中繼站,駭客再到中繼站拿取資料

新一代殭屍網路(Botnet)的控制模式


新一代殭屍網路的控制模式遠比傳統殭屍網路控制模式更為複雜,架構具有層次化,在每群殭屍網路中選定一臺殭屍電腦擔任「班長」電腦的角色,駭客對班長下達指令,班長再指示其餘殭屍電腦。殭屍電腦將蒐集到的資料,打包外傳至中繼站,駭客設有好幾個中繼站,若其中一個被企業封殺,隨時變換殭屍電腦傳送的位置。接著駭客再將中繼站的資料後送至駭客的雲端資料中心,駭客再去拿取情資,完全隱身於幕後行動。

美國APT1報告讓中國網軍現形 
Mandiant公司指出,從2006年他們開始調查至今,APT1攻擊行動已經滲透過橫跨20個主要產業的141家公司。平均而言,APT1攻擊行動會在每個受害目標潛伏1年之久,試圖竊取各式各樣的資料,包括技術藍圖、製造方法、測試結果、商業計畫、售價文件、合作協議,以及各種電子郵件、聯絡名單、帳號密碼、網路架構、身分驗證等等。而潛伏最久的入侵行動,甚至長達4年10個月都沒有被發現。

若是一般為了謀利而犯案的駭客組織,除了竊取有價資訊之外,通常會想辦法再偷些金錢,但是Mandiant在追蹤APT1攻擊行動的過程中,卻發現這個駭客組織只專注於竊取情報與智慧財產,絕不碰任何金錢。而其中單一個案被竊取的資料量,最多的竟然高達6.5TB。

Mandiant公司根據APT1攻擊行動所使用的IP位置,追蹤到中國人民解放軍61398部隊位於上海的基地,再追蹤APT1在全球各地申請假網址所使用的帳號,更進一步識別出其中幾名駭客的身分。同時,比對APT1攻擊者的技能與61398部隊的人才召募條件,以及攻擊行動中屢次出現的英文拼錯與文法上明顯的錯誤,種種跡象讓Mandiant為此調查下了結論:APT1絕非一般的駭客組織,他們有精心布局的攻擊策略,專注於竊取大量有價值的情報;APT1就是中國的一支網軍,隸屬於中國人民解放軍總參三部二局的61398部隊。

APT1報告一出爐,旋即引起軒然大波。有人擔心日後要調查駭客行動會更加困難,也有人贊同Mandiant此舉能讓社會大眾更認清APT攻擊的嚴重性,以及必須立即面對此議題的迫切性。

多年來,臺灣因政治關係長期籠罩在中國網軍滲透的陰影之下,政府機關或政治人物的電腦被駭是時有所聞,然而,卻鮮少有人可以具體指出中國網軍的存在,以及攻擊行動的事實。APT1這份報告出爐之後,這個答案昭然若揭。

或許你會認為臺灣在APT1攻擊的141個被害組織中,不過只占了2名,但是,就在Mandiant的調查報告公布後不久,臺灣的資安研究團隊也有了驚人的發現,他們追蹤到另一個駭客組織的足跡,而臺灣是最大的受害者。

臺灣APT101報告的驚人發現
事情源自於中研院與資安公司艾斯酷博合組了一個4人的研究團隊,成員包括中研院計算中心資安組組長叢培侃、中研院資安研究員Fyodor Yarochkin、艾斯酷博創辦人吳明蔚與艾斯酷博首席資安研究員邱銘彰。他們從上萬封電子郵件中發現許多駭客攻擊的蹤跡,都指向同一個駭客組織的作為,而且這些以釣魚郵件為攻擊手法的駭客入侵活動,有許多是有目的性的針對臺灣政府機關、新聞媒體與民間企業,例如其中一個被鎖定的政府機關,就是掌管產業發展的重要單位。

邱銘彰表示,這些釣魚郵件所挾帶的惡意程式,經過測試皆能安然通過防毒軟體的檢測,而且截至目前為止,這個他們稱之為APT101的駭客組織,仍然針對臺灣的政府機關與民間企業散播攻擊郵件。

其中有一個攻擊郵件偽裝為學術單位的會議通知,倘若收到信件的使用者對於APT與釣魚郵件的警覺性不夠高,直接開啟會議通知檔案,在防毒軟體無法提出警告的情況下,可以想見許多人的電腦都已經被這群駭客所挾持了。

臺灣的資安團隊循線追查這群駭客近二年的活動軌跡,發現他們並非等閒之輩。邱銘彰表示,APT101駭客組織大約有25個人,然而他們曾經攻下的電腦超過5千8百臺,而且這數千臺殭屍電腦被分成4個不同的傀儡網路(Botnet),遍及30個國家。要以25名人力,在4個不同的傀儡網路中,同時操蹤數千臺殭屍電腦,竊取駭客所要的情報,邱銘彰說,這絕對需要精細的工作流程與精密的管理。

進一步分析被駭客利用來做為殭屍網路控制中繼站(Command & Control)的受害電腦,臺灣的資安團隊逐步釐清APT101組織的後臺管理機制,描繪出APT101駭客攻擊的運作模式。

邱銘彰表示,過去都誤以為一個駭客組織只操蹤著一個傀儡網路,透過這起事件調查首度發現駭客竟然同時操蹤多個傀儡網路,而且為了掩人耳目,駭客以不同的通訊協定在操蹤這些傀儡網路(如偽裝成即時通訊或電子郵件通訊協定),其管理的複雜度可想而知。

同時他們發現駭客已經採用更聰明的控制方法,在傀儡網路中安排了好幾臺能對殭屍電腦下達指令的控制中繼站,並且都具有備援能力,即使其中的控制中繼站被發現而清除了,另外尚存的控制中繼站仍可自動接手。所以,對於傀儡網路若無法同時全盤清除,只要殘餘勢力仍存在,駭客的傀儡網路就會伺機再壯大。

要能同時操控這麼複雜的傀儡網路,APT101駭客組織顯然得要有一套精良的工作流程。臺灣的資安團隊從惡意程式的檔名也發現了這一點,對於每一次的攻擊行動,APT101都採取一致的命名原則,都有相同的格式註記攻擊日期、攻擊對象,與該次攻擊所使用的惡意程式的代碼,甚至還發現一些預先設定好、處於待命狀態的攻擊計畫,從名稱上就可以了解攻擊日期與對象。而且,攻擊行動也都有Log檔記錄,在攻擊過程中由其他人接手,照著Log檔的記錄就能繼續執行未完成的步驟。

再由收集到的惡意程式來分析,邱銘彰表示,APT101的攻擊手法非常精細,駭客使用好幾種惡意程式,依照攻擊腳本在攻擊的各個階段發揮功能,以確保攻擊行動成功。

駭客發動釣魚信件流程圖

在ㄧ次APT攻擊事件中,擁有發動攻擊權限的駭客,一開始會將代表任務編號的Horse Code輸入至自動產生器中,加上由自動產生器生成的識別標籤(Tag),結合起來就變成不同的惡意文件或惡意程式,駭客再將其封裝成社交工程釣魚信件,發送給特定目標,開始執行滲透任務。

這群駭客發動攻擊的首部曲,是利用釣魚郵件植入惡意程式。如上述所說偽裝成學術會議的通知信,就是其中一種手法,而該學術會議的相關訊息目前在多家大專院校的網站上都還查得到。

在釣魚郵件的製作上,APT101駭客組織已經採取自動化的流程。首先攻擊者會依照既定計畫,將攻擊行動的代碼與設定輸入自動產生器,接著自動產生器會產出相對應的惡意文件檔案,並製作挾帶惡意檔案的釣魚郵件,自動發動攻擊。

以APT101的攻擊行動來看,第一波透過釣魚郵件挾帶的惡意程式,肩負著搶灘的功用,必須要能騙過防毒軟體等資安防禦設施,靜悄悄地入侵受害電腦。因此,為了避免驚動警報器,這一類型的惡意程式威脅性不大,以便蒙混過關。

第一波搶灘的惡意程式著陸之後,就會開始執行偵搜任務,了解電腦狀態與網路環境。為了不被發現,這類惡意程式會執行電腦許可的指令,例如net user、net view等等,藉此蒐集電腦與網路的資訊,以利駭客發動下一波攻勢。由於這些都是電腦本機的合法指令,而且IT管理人員也常使用這些指令,因此資安防護措施通常對於這些指令不會提出任何警告,也就無法在初期掌握駭客的動態。

邱銘彰表示,第一波攻擊的惡意程式甚至會偵測其著陸的電腦是否為沙箱(Sandbox),以了解入侵的電腦是否為誘敵用的糖罐(Honeypot),可見駭客聰明到不想浪費時間在無謂的標的。

第二波進攻的攻擊程式,就是真正武力強大的惡意程式了,像是惡名昭彰的鍵盤側錄器、遠端遙控工具等等,建立進出用的後門,開始竊取資訊。

在APT101駭客組織所掌控過的5千8百臺殭屍電腦中,邱銘彰表示,臺灣就占了一半以上,可見臺灣是這個駭客組織的首要目標。然而更嚴重的是,目前這個攻擊行動尚未停止,面對如此訓練有素的駭客組織,他們每隔2天就會以自動產生器生成新的惡意程式,防禦的速度永遠慢於攻擊的速度,想要只依靠防毒軟體來阻擋,顯然是緣木求魚。

這些事實在在告訴我們,網路戰爭早已經在臺灣發生了,而且受害的對象不只有政府機關,民間企業的智慧財產也悄悄外流。面對形同軍隊的APT,唯有正視敵人,才能找到制敵之道。

艾斯酷博科技首席資安研究員邱銘彰-政府要帶頭培養APT防禦人才
APT攻擊不斷演化改變,看似企業防不勝防,但是,艾斯酷博科技首席資安研究員邱銘彰表示,沒有所謂的完美犯罪,也沒有完美的不在場證明,一定會留下指紋、錄音錄影、或是遠端遙控記錄等,企業想要抵擋駭客入侵,得先知道駭客成功滲透的手法,例如駭客利用了什麼安全漏洞或是企業防範體系中的弱點來入侵。

邱銘彰表示,一個良好的資安防禦體系,不能害怕被入侵,唯有駭客入侵後,啟動資安事件調查,才能了解惡意程式的攻擊目標,掌握背後控制惡意程式的中繼站,也才能從中了解駭客是為什麼要攻擊企業。企業可以將調查後發現的經驗,回饋至企業自身的防禦體系中,修補這些被發現的弱點或漏洞,就能提升企業防禦能耐。邱銘彰表示:「從錯誤中學習,才能讓企業防禦體系自我成長,下次駭客勢必要耗費更多的成本資源入侵,企業甚至可成功阻擋駭客攻擊。」

但是,大手筆採購了各式各樣的資安設備後,企業就足以抵擋APT攻擊嗎?邱銘彰認為,缺乏好的資安鑑識人才,空有具備防範功能的資安設備,也無法有效發揮,就像頂級的賽車也需要頂尖的賽車手駕馭,才能在每場賽事戰無不勝。

例如,有些企業花費大筆預算建置了資安監控中心(Security Operation Center,SOC),但卻還是聘請工讀生來查看資安產品搜集到的Log紀錄,而不是聘請專業的資安人員來分析,這樣也無法有效地發揮SOC的功用。

而且,邱銘彰表示,企業還需要自己擁有這樣的資安鑑識人才,而不能只是依賴委外廠商,來滿足這樣的人力需求。邱銘彰進一步解釋,很多公司的IT作業和內部運作流程程息息相關,委外廠商往往不熟悉這些細節,也就無法知道哪些重要業務由哪些員工負責,這就難以辨別誰最可能成為駭客鎖定的頭號目標,或者是企業中哪些部門的哪些員工,被攻擊的風險比其他員工更高,資安人員缺乏這些了解,就無法建立起有效的防禦體系。

邱銘彰建議,企業或政府單位應該建立制度來累積防禦情報,訂定資安作業的SOP,就算是負責的人員離職了,下一位要接手資安鑑識作業的人,除了自身專業能力再搭配這些SOP的輔助,就能夠盡快上手。企業可以挑選具有資安鑑識能力的內部員工,或是培訓員工,自組資安鑑識團隊,才能從資安事件中吸取經驗,駭客從哪裡進入,了解資料為什麼外洩,學到駭客是怎麼看待企業的IT架構,知道企業根本的漏洞在哪。

不過,回歸現實面,在臺灣,企業想要尋覓好的資安鑑識人才,一直都是個挑戰。邱銘彰表示,因為臺灣沒有資安產業,白帽駭客沒有市場也不是個職業,投身這份工作的人多半是因為自身興趣而投入,資安廠商越來越少,紛紛倒閉,可見資安產業前景不被看好,而且,許多具有資安能力的人才都四散在各企業中擔任網管、工程師等其他職務,造成臺灣資安人才沒有匯聚起來相互學習,甚至累積茁壯來培養更多人才。

不只暨有的資安鑑識人才不足,新人才補充的力道也弱,社會對駭客通常只有不好的印象,家長往往認為,投身這個領域無法賺錢,也不鼓勵小孩往這個領域發展,因此資訊新血很難投入資安領域。

邱銘彰建議,要由政府帶頭扮演產業發展的推手,從政策面來克服廠商為了自身利益和市場競爭,而不願意參與產業發展的問題。

例如像政府韓國為了發展遊戲產業,先透過政策來刺激內需,韓國政府要求大公司贊助遊戲比賽,將遊戲比賽昇華成電子競技賽,就像職業棒球一樣,由企業來認養遊戲團隊。這樣一來,韓國的遊戲產業開始慢慢成形,更多遊戲社群成立,遊戲開始成為社會認可的活動,遊戲廠商也可從比賽中賺到門票與知名度等,遊戲進一步就變成大家認可的職業運動。

而且,當年輕人玩遊戲的能力超群,甚至可以直接加入韓國國軍的遊戲戰隊參加比賽,來代替服兵役。讓年輕人不會因為當兵,疏忽了遊戲技能的訓練,中斷了實力的養成,削弱了遊戲新人才的持續培養。韓扶持遊戲產業的經驗,也同樣運用在扶植資安產業上。例如韓國政府會向家長宣導,駭客或資安相關工作未來是有出路的好工作,例如小孩參加駭客比賽未來服兵役時可以改服較輕鬆的替代役,也可以到大公司上班,甚至能變成終身工作。

韓國人口雖只有臺灣人口的2倍,卻有超過2百家的資安廠商,這數量反映出韓國資安產業的蓬勃發展。邱銘彰表示,要讓民眾認為資安相關工作可以賺錢,這個產業是有前景的,並讓企業找得到人才繼續發展,才能產生正向循環。

在臺灣,政府也漸漸比過去更重視資安人才的培育工作,例如今年的臺灣駭客年會,首度由行政院科技會報辦公室副執行秘書黃彥男開場致詞。可見政府開始正視駭客社群,參與駭客人才聚會。

黃彥男更表示,政府相當重視資訊安全,也會重視資安人材的培育,「是否有像韓國一樣的(駭客人才培育)計畫,現在還在討論中。希望不久的將來,會有明確的做法。」

行政院資通安全辦公室主任蕭秀琴也表示,政府確實有必要對駭客社群多一些了解和關心,資安人才培育是強化國家整體資安能力十分重要的一環,相關機關原先就有投入資源辦理中,她也表示,未來,行政院資通安全辦公室會繼續加強這部分的工作。

邱銘彰認為,韓國資安產業成功的發展,相當值得臺灣借鏡參考。當資安產業成形,白帽駭客就有機會變成一種終身職業,有了專業人才的供給,更有機會滿足資安產業、企業和政府的需求,提升臺灣整體的資安能量。

轉載自《iThome》