Lastline Damballa Verint 趨勢科技 威瑞特 亞利安 APT 資安 攻擊 威脅 安全 中飛 叡廷

強化APT防禦機制 確保機密資料安全

2015-07-07
自從2012年底南韓政府組織被北韓駭客入侵,導致許多銀行、政府機關營運中斷的黑暗首爾事件之後,可以明顯感受到駭客組織發動的資安攻擊,已跨越過去僅鎖定商業組織的作法,亦逐漸將政府機構、基礎設施列為攻擊目標,企圖透過網軍滲透情報、破壞民生經濟甚至國家恐怖主義的手段,達成特定政治意圖。
因此,世界各國政府也紛紛制訂行政機關資安防禦準則,如台灣行政院便在2015年3月公佈一份政府機關(構)資通安全責任等級分級作業規定,其目的為明確規範政府機關(構)資通安全責任等級分級作業流程,寄望透過統一資通安全管理機制,以防範潛在資安威脅,進而提升國家資安防護水準。值得一提之處,行政院更在防禦準則中,直接明訂屬於A級的行政機關,在防護縱深機制設計上,除傳統防毒、防火牆、郵件過濾裝置、IDS/IPS、Web應用程式防火牆之外,也需添購可對抗APT攻擊的防禦設備。

台灣受威脅日深 政府加重防禦力

行政院制訂資安防禦準則的動作雖然來得稍晚,但總算對保護國家資訊安全有所幫助,因為中國駭客疑似在官方幕後資助下,早將台灣列為首要攻擊目標,根據FireEye日前公佈的調查結果顯示,台灣是亞太地區遭駭客入侵最嚴重的國家,其目的在於竊取情報資料。而行政院副院長張善政在接受媒體採訪時,也明白指出對岸網軍除將台灣作為資安攻擊試驗場外,也會將台灣當成對外發動攻擊的跳板,所以不僅政府單位要注重資訊安全,企業也不能忽視此威脅帶來的影響。

趨勢科技網路安全長Tom Kellermann在趨勢科技發佈的2014 APT白皮書中指出,有越來越多駭客會利用毀滅性攻擊,宣揚其激進主義或者反制資安應變措施。根據該份白皮書提供的資料顯示,2013 年主要攻擊者多分布於美國、北韓、俄羅斯、中國、越南及印度,2014年則有些來自於敘利亞、伊朗、英國和法國等地。值得注意的是,這並非全然代表攻擊發動者位於上述國家之中,因為駭客多半是利用遠端遙控中繼站的方式,對特定目標發動APT攻擊。

要辨識APT攻擊背後是否有政府組織協助,最簡單方式即是觀察該攻擊行為與目的,如從2007年活躍至今的Pawn Storm,即是一項有政府在背後支援的攻擊行為,因為該惡意程式目標均是鎖定美國及其友邦國家,如法國、匈牙利、波蘭、巴基斯坦等的軍事機關、外交機構、國防單位以及媒體單位,進行政治及經濟間諜活動。

Pawn Storm之所以成為政府機關的夢魘,除暴露出用戶普遍資安意識不足之外,也在於駭客會結合時事,以情境式社交工程為誘餌,引誘收件者點選郵件中的附加檔案。如先前在攻擊法國國防部時,駭客組織便在電子郵件當中挾帶名為「International Military.rtf」惡意程式附件檔。此外,在發生馬航空難時,亦曾有波蘭政府員工誤觸挾帶名為「MH17.doc」附件檔案的電子郵件,足見即便是已經問世多年的惡意程式,只要與熱門時事結合,同樣可能對企業與政府造成極大傷害。

駭客鎖定封閉平台 蘋果恐成新目標

一般而言,APT攻擊大致上是由情報蒐集、突破防線、幕後操縱(C&C)、橫向移動、搜尋資產╱資料、資料外傳等不同攻擊階段所組成。APT攻擊之所以不易防禦,關鍵在於駭客組織同時採取惡意程式的攻擊手法,加上程式之間會相互掩護,所以能躲過傳統資安設備的偵測。

值得注意之處在於,上述六大階段並非僅進行單一次流程,而是各階段不斷重複循環進行,這代表資料外傳也不會只有一次,駭客組織會依照企業防禦機制決定通訊與橫向溝通的頻率。趨勢科技表示,惡意程式找到企業內部的機密資料之後,會鎖定目標攻擊,並且進入一個維護階段,讓資安人員的因應措施完全無效,以便能夠持續竊取有用的資訊。

相較於過去幾年,2014年出現多起的新型態APT攻擊事件,大致上已說明2015年駭客組織未來的攻擊方向。首先,過去被認為特殊應用程式、軟體、作業系統等運算環境,可免於遭受駭客入侵的想法,已在2014年10月14日破功。有資安公司發現一隻專門針對奇異智慧型平台(GE Intelligent Platform)設計的Cimplicity惡意程式,這代表所有採用奇異公司此型自動化控制解決方案的企業或政府單位,都可能成為駭客組織攻擊的對象,成為資安防護上的大漏洞。

向來號稱安全性最高的蘋果行動裝置,同樣在2014年成為駭客組織攻擊的目標,目前至少發現有兩個可在已越獄蘋果裝置上運作的iOS App,其內部都含有會側錄鍵盤輸入並竊取資訊的SEDNIT惡意程式家族。而根據資安顧問追查發現,兩個軟體都會竊取受害者的簡訊、通訊錄、相片、GPS定位資料、音訊檔案,以及已安裝的應用程式清單,最後再透過HTTP POST方法傳送給駭客組織。

APT結合零時差 企業最大夢魘

近幾年APT攻擊愈來愈不易防禦的關鍵,與駭客組織刻意撰寫惡意程式功力進步有關,現在已出現將惡意程式植入開放原始碼,或免費工具之中的作法,藉此達成跨平台攻擊的目標。例如,Anunak組織即使用多種HKTL_MIKATZ開放原始碼漏洞攻擊程式,配合網路掃描軟體來執行網路偵察後,達成竊取使用者帳號密碼的目的。


▲企業應該要瞭解駭客組織的動機,才能建立有效的防禦網。(資料來源:趨勢科技2014 APT白皮書)

另外,駭客組織也開始在網路平台上,大量販售各種APT攻擊包,即便是剛入門的菜鳥業餘駭客,也只需要依照文件中的說明,即可自行產生新變種惡意程式,並且針對防禦能力不足、未針對舊漏洞進行修補的企業發動攻擊。

當然,APT攻擊絕非只會利用已存在的舊漏洞。早在2014年2月時即已出現過APT攻擊是利用Internet Explorer存在的零時差漏洞,將惡意程式植入受害電腦的記憶體中,讓該程式躲過資安軟體的檢查。儘管受害者只要電腦重開即可,但也因無法追查駭客究竟竊取哪些資料,反而會讓企業陷入更大恐慌之中。

有鑑於今年零時差漏洞攻擊與APT攻擊之間的整合將會愈來愈頻繁,專家建議,企業在建構APT防禦機制時,應該要加速與資安顧問公司合作的速度,才能有效從惡意程式威脅的惡夢中脫離。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!