2013年9月2日 星期一

臺灣首份APT白皮書出爐,8成受駭機構9個月才察覺

臺灣首份APT白皮書出爐,8成受駭機構9個月才察覺

趨勢科技匯整其臺灣用戶遭受APT攻擊的資料,發布了臺灣首份APT白皮書,發現8成的受駭機構不知已遭APT攻擊,平均要9個月後才察覺已被駭

趨勢科技近日發表了臺灣首份APT白皮書,揭露了2012年47個臺灣政府單位與民間企業曾遭受APT攻擊的案例,其中,竟有8成的機構不知已遭受APT攻擊,平均要9個月後才察覺被駭客滲透。

這份白皮書的資料來源是根據趨勢科技輔導受駭單位進行資安鑑識、部署於受駭單位APT解決方案所攔阻的數十萬封社交工程信件,以及受駭單位回報的惡意程式資訊,分析研究後的成果。

趨勢科技發現,高科技製造業平均需要346天才發現已遭滲透,金融業則為275天,政府單位254天,關鍵基礎設施(油水電等)則是243天。臺灣趨勢科技技術支援部資安顧問邱豐祥表示,政府單位因為長期以來都是駭客攻擊的頭號目標,資安認知與因應流程相較其他產業更完善,民間企業多半認為不會遭受APT攻擊,也沒有政策強制規定和專職機構監看,所以才需要更長時間因應。

若是將駭客滲透的嚴重程度區分成3個不同階段,第一階段是發動社交工程信件、第二階段為成功入侵僅控制數臺電腦、第三階段則是在內部大量散佈並取得高權限的帳密。 

在這47個受駭單位中,有77%是已經在內部大量擴散了,就好像癌症末期般嚴重,其中,更有多數是政府單位、中小企業與關鍵基礎設施。

從這些受駭單位蒐集得來的攻擊樣本來看,駭客發動APT的攻擊手法和普遍認知相同,都是透過社交工程信件誘騙企業使用者,潛入企業後再透過惡意程式遠端遙控,慢慢地瓦解企業的資安防禦體系。

社交工程信件常夾帶企業日常辦公常用的文件類型 

趨勢科技發現,近9成的APT釣魚郵件會夾帶企業日常辦公常用的文件類型,檔案類型前3名分別是Word(50%)、Excel(23%)、PDF(12%)。邱豐祥表示,駭客製作的社交工程信件,夾帶企業使用者常使用的文件檔案類型,可降低使用者的警覺心,提升攻擊率。

接著,趨勢再萃取所有電子郵件的主旨和夾帶的附件,統計信件主旨和附件出現的次數,發現信件主旨和夾帶的附件重複性極低,幾乎9成的主旨出現不到5次,邱豐祥表示,這代表著,雖然攻擊模式相同,但是駭客會參考攻擊對象的業務,特別關注事項等,再將主旨和附件客製化成更能夠吸引使用者的信件,就算是相關體系的政府單位,駭客也不會一信重複多次使用,同一種類的主旨和附件,僅會發送給同一個目標單位。

而在惡意程式的部份,趨勢科技發現,駭客發動APT攻擊所使用的惡意程式,僅占了2012年駭客攻擊所用的惡意程式中的4.69%,邱豐祥表示,回顧過去2年的統計,大約都是在5%左右,這是因為APT攻擊所使用的惡意程式具有高度隱匿性、少量等特性。

用來發動APT攻擊的惡意程式,主要可分為兩大類,下載器與後門程式。邱豐祥表示,下載器通常是駭客第一波攻擊使用的惡意程式,會夾帶在社交工程信件內,一旦使用者受駭,惡意程式便會連結至中繼站,自動下載後門程式。

從趨勢科技發表的這份白皮書來看,邱豐祥表示,APT攻擊不論政府單位和民間企業都不能輕忽,而且,傳統防禦方式無法有效防堵APT攻擊,企業防範的方式必須更為客製化,像是駭客使用的中繼站有6成是未曾發現過的,企業必須定期將蒐集到的資訊回饋給資安設備,才能夠抵擋駭客的下一波行動。

轉載自《iThome》