第194期 / December 5, 2013

產業觀察

分享到臉書!分享到維特!分享到噗浪!分享到Google+!分享到微博!轉寄友人友善列印

新式駭客攻擊解密 - APT攻擊及防禦措施解析

作者/馬志軒

[發表日期:2013/12/2]

隨著2012年10月個資法施行之後,各式各樣和資安相關的工具皆打著個資法解決方案的名號,如雨後春筍般不斷的冒出頭,在這個資安議題已成為各大企業關注話題的同時,駭客們也不斷upgrate他們的攻擊方式和手法,以因應這些新型態的防禦設備,近年來APT的攻擊方式,已成為最新的一種駭客手法,也是各個企業目前最頭痛也是最難面對的一個新課題,以下我們將針對APT攻擊,為讀者進行全面的分析和介紹:

何謂APT攻擊

所謂的APT(Advanced Persistent Threat)攻擊,必須符合3個要件:進階的(Advanced)、持續(Persistent)、威脅(Threat),它之所以厲害,是駭客們以組織性的行動,針對單一企業或機關進行客製化攻擊,簡單的說就是針對特定企業以複雜的方式進行網路的攻擊。

歸納出APT的攻擊特色,不論是意圖營利或是駭客單純炫耀行為,大致的手法都大同小異,相關流程及說明如下:

《圖一》典型APT攻擊流程


一、鎖定特定目標:

通常駭客會鎖定某機關的某些特定人士,做為滲透的起始點,進行潛伏伺機而動。

二、利用假冒信件:

針對被鎖定的對像,偽冒幾可亂真的社交信件,ex:公司的人事徵才、長官交辦事項、客戶邀標資料.…..等,來取得將惡意程式植入個人的PC當中。

三、攻擊時間長:

通常這種攻擊時間一定不會太短,可能數月甚至一年以上,如此才能讓被攻擊者不會有任何的感覺並疏於防備。

四、客製化惡意元件:

除了一般的攻擊程式之外,駭客還會用客製化的元件來進行攻擊。

五、安裝遠端控制元件:

攻擊者利用各種方式取得管理者權限並伺機安裝遠端控制的元件伺機進行控制。

六、傳送有利情資:

將分析後有利的情資利用加密的方式傳送至外部加以利用或販賣。

APT攻擊案例分析

這類型的攻擊事件和手法,我們可以說是智慧型的網路攻擊,一般而言,企業內部若是遭到APT的攻擊,造成的資料外洩數量都不小,同時被竊取的也必定都是重要的機密資料。舉例而言,近年幾起事件如:

一、2010 年 1 月 — Google:

在一起名為「極光行動」的事件中, Google 遭受APT攻擊。

當時一位 Google 員工點了即時通訊訊息中的一個連結,接著就連上了一個惡意網站,不知不覺下載了惡意程式,開啟了接下來的一連串APT 事件。

在此事件中,攻擊者成功滲透 Google 伺服器,竊取部分智慧財產以及重要人士帳戶資料。

二、2011 年 3 月 – RSA:

歹徒寄了兩封標題為「 2011 Recruitment Plan 」( 2011 年度徵才計畫)的信件給員工。

這兩封信件實為網路釣魚(Phishing),引發了後續的資料外洩事件。

在 RSA 遭到攻擊後隔月,駭客以從 RSA 竊得的 SecureID 通過身分認證,侵入武器製造商洛克希德馬丁。

三、2011 年 4 月 – Sony:

Sony PSN 資料庫遭侵入,部分用戶資料未經加密遭竊,另有信用卡資料、購買歷程明細、帳單地址等等。

官方說法為尚未修補的已知系統漏洞遭攻擊。

到了 10 月又遭攻擊者冒名登入,並取得 9 萬多筆用戶資料。

遭竊的信用卡資料在地下網站上拍賣。

四、2013年3月 –南韓大規模APT攻擊事件:

北韓至少策畫了8個月來主導這次攻擊,成功潛入韓國金融機構1千5百次來部署攻擊程式,受駭電腦總數達4萬8千臺,這次攻擊路徑涉及韓國25個地點、海外24個地點,造成許多企業營運中斷達4-5天。

APT攻擊防護的困難點

由以上的APT攻擊手法分析及案例說明我們得到要防護APT攻擊的困難點大致如下:

一、針對性客製化攻擊
二、高技術攻擊手法
三、攻擊範圍小
四、攻擊時間長


企業及個人該如何防護APT攻擊

APT攻擊看來是企業主無可避免且必需要面對的,我們提供以下幾種方式給各位IT管理人員做為公司資安規劃及政策制訂的參考:

一、主動防護
  • 實施可以定期測試和部署更新的計畫,尤其是安全更新。

  • 檢查所有端點和伺服器上安裝的軟體,確保在最新狀態。

  • 確認每個地方都有部署安全軟體(而且在運行中)。也要設定好來偵測和預防攻擊的各個階段,同時也要監控網路、硬碟和記憶體內所出現的各種狀況。

  • 流程和標準作業程序(SOP)在建立時要考慮到安全性。這不只是適用於員工,還包括合作夥伴、承包商和客戶。

  • 調查任何異常的網路和系統行為。攻擊通常都以偵察開始,這類可疑的活動可能是攻擊的第一個跡象。

  • 持續和所有必要單位(不只是IT團隊)規劃和審查你的事件回應程序。

二、已遭受攻擊時

過去有些攻擊會被「公布」。攻擊細節 – 像是何時會發生、目標是誰 – 都會事先向公眾宣布。在這種情況下,企業最重要的是要確保所有的主動防禦措施都有到位,並且對於網路和日誌檔都維持高等級的警覺程度。

駭客公布的行動,以及它們公開出來的戰術、工具和程序都是評估和改進現實防禦對策的難得機會。趁此機會來訓練員工、流程和技術去識別針對性攻擊的跡象,不管是已公開還是隱藏的行動是一個非常重要的議題。

結論

我們相信隨著科技日新月異,駭客攻擊的手法也持續不斷的更新,資安人員面臨的挑戰也會愈來愈多且難度增加,唯有不斷的教育員工正確和安全的防護意識並且持續檢視公司的資安環境及政策,同時建議還要定期請第三方資安顧問針對公司環境進行全面的審視,以確保企業網路安全。