資安威脅層出不窮,除了強化企業內部安全機制、提升人員的安全意識之外,瞭解駭客手法演變,也成為一門必要的功課。當資安情勢不斷急劇變遷,惡意攻擊不再只是單一型態,唯有知道現有的防禦措施是否足夠,才能確切地落實資安防護,確保個資與企業財產安全。
另外,張士龍也提到,過去一年,每天發現的全新惡意程式就高達100萬種以上,以往不少資安業者都會使用沙箱(Sandbox)技術來抵禦惡意程式,但是道高一尺魔高一丈,惡意軟體現在也會反偵測,目前有28%的惡意軟體可偵測到虛擬機(VM),另外像是Crisis這類會主動感染VMDK的惡意程式也已經出現,「如果發現是位於虛擬機環境,惡意程式會先停止運作或發送假數據測試,或者採取迴避的行為,但如果看到VMDK就會執行感染與安裝。」
雲端也成為駭客工具
 |
| ▲ 台灣賽門鐵克資深技術顧問張士龍指出,以往不少資安業者都會使用沙箱(Sandbox)技術來抵禦惡意程式,但是道高一尺魔高一丈,惡意軟體現在也會反偵測,如果發現位於虛擬機(VM)環境,惡意程式會先停止運作或者發送假數據測試或者採取迴避的行為。 |
愈來愈多新穎的手法被駭客拿來運用,如今駭客並不是在網站中直接植入惡意軟體,而是將受害者重導向(Redirect)到受到攻擊者控制的網站上,並且運用SaaS(軟體即服務,Software as a Service)快速地提供惡意程式更新。另外,Akamai亞太暨日本區技術總監林榮龍也分享看法,他提到雲端服務是一個很好的方案,但是也有可能成為駭客攻擊的工具,例如某家銀行曾經發現遭受大量的DDoS攻擊,每分鐘高達180萬個Request,這並不容易做到,經調查發現,駭客其實利用了雲端伺服器來攻擊。
而另一方面,現在的DDoS攻擊已不再只是單純的DDoS攻擊了,它的目的是用來掩蓋其他小型的攻擊,以便順利竊取資料或金融相關的資訊,許多防火牆及資安設備在受到超級大量攻擊時,會暫停阻擋直接Bypass以避免全面斷線,這也是導致後來的攻擊能夠順利進入企業竊取的原因。
缺乏資安基礎知識
一直以來,由於身份驗證策略管理不足,使用者經常設立密碼強度太弱、重複使用同一組密碼,使得駭客能輕而易舉地破解的事件時有所聞,而這也成為資料外洩的一個主因。另外,使用預設密碼也是一個問題。由於一些預設的密碼很容易被得知,因此駭客便能以合法技術支援故障排除的螢幕共用軟體,透過遠端連線進入POS系統,取得機密資料。當然這也顯示出,使用者缺乏資安意識的現狀。
張士龍提到,許多駭客鎖定攻擊的對象是業務助理,原因是助理能接觸許多機敏資料,但對安全的意識卻相對薄弱,舉例一封名為「這封郵件有發票,請馬上處理」的郵件可能就含有惡意程式,但是業務助理可能以為這封信很重要就開啟,這類釣魚信件的手法其實很常被運用。
行動惡意威脅上升
伴隨著行動裝置盛行,行動裝置惡意威脅的數量成長幅度更是以驚人速度大幅攀升,根據趨勢科技《2015年第一季資安報告》內容指出,2015年第一季已經突破500萬大關。這其中,惡意廣告軟體已經為行動裝置排名第一的資安威脅,據報今年三月份Google Play曾有超過2,000個App可能含有惡意廣告程式,Google已持續移除可疑App中。
簡勝財提到,趨勢發現約540萬的惡意和高風險Android應用程式,跟2014年第四季(430萬)相較起來成長了27%。在這些應用程式中,大約有一半是廣告軟體,可以無須取得行動設備使用者的同意就顯示廣告內容。另外,現今仍使用iOS 7的設備也可能會因為Pawn Storm而面臨到風險。趨勢發現有兩個間諜軟體可以在iOS 7環境運作,並且使用該設備進行監聽。
新研究,包括趨勢科技《2015年第一季資安報告》、賽門鐵克第20期最新《網路安全威脅報告》、Websense 2015 Threat Report以及IBM X-Force資安調查報告都提到不少資安威脅發展,同時,多位專家也提出不少精闢觀察,值得作為參考。
加密勒索軟體侵入企業
首先,加密勒索軟體肆虐,而且危及企業的程度也不斷攀升。趨勢科技資深技術顧問簡勝財指出,「加密勒索軟體(Ransomware)的數量還在不斷上升。對比2014年第一季,感染數量翻了兩倍,2015年第一季的感染數量達到了7,844。值得注意的是,某些加密勒索軟體直接針對企業而來,例如TorrentLocker的模仿者CryptoFortress,會對通常存在於企業網路中的共享資源檔案進行加密,而Ransomweb(CRYPWEB)則是會加密網頁伺服器。雖然去年就看過類似的行為,新崛起的兩個變種更明顯證實了企業已成為加密勒索軟體的目標。」
他提到,加密勒索軟體之所以為患不絕,其實是因為利之所趨。過往,建立一個殭屍網路、出租感染者、竊取銀行憑證並從銀行帳戶拿到錢,平均可以獲取的利益是500美元,但使用勒索軟體則更直接,而且不法的獲利更多。
同樣留意到數位勒索案件持續增加的賽門鐵克,則發現到勒索軟體已經在不少企業橫行,而且台灣也有企業真的支付了費用。台灣賽門鐵克資深技術顧問張士龍指出,「網路犯罪分子採用勒贖軟體等卑劣的攻擊方法獲取暴利,這樣的手法光是在去年就增加了113%,受害者比以前增加了45倍。這類密碼勒贖軟體的攻擊策略不像傳統勒贖軟體會偽裝成執法部門盜取內容再收取罰金,反而更直接擺明了劫持受害者的檔案、照片和其他數位內容。」
他以真實發生於企業案例的勒贖軟體畫面截圖為例說明,通常網路犯罪分子會指定一個付款的期限,若超過期限則贖金還會加倍。「其實不只個人電腦、筆記型電腦,現在就連智慧型手機也有勒贖軟體。預期未來密碼勒贖軟體將繼續猖獗,並且針對Office、PDF文件、個人文件與照片、網路芳鄰、雲端儲存等等劫持數位內容。」
漏洞攻擊仍未緩解
在IBM X-Force資安調查報告中則針對基礎漏洞進行觀察,內容提到,由於一些開源內容管理系統CMS(如WordPress、Joomla!和Drupal)的核心平台或外掛程式出現了一些重大漏洞,以及Web論壇軟體(phpBB和vBulletin)也存在一些關鍵漏洞,因此攻擊者便能利用這些漏洞接管Web伺服器,從而實施大規模分散式拒絕服務(DDoS)攻擊。
IBM全球資訊科技服務事業部經理徐偉倫指出,目前最常見的攻擊手法還是以隱蔽式攻擊最多,其次是惡意軟體、DDoS以及SQLi(SQL injection)。「這其中,SQLi也應該多加留意,這項攻擊手法,對於Web伺服器以及應用程式竊取資料仍非常有效,不少案例都是因為漏洞導致大規模攻擊,因而造成資料外洩。」
2014年耳熟能詳的安全漏洞包括Shellshock、Heartbleed和POODLE,而攻擊的力道也未曾減弱。另外,FREAK漏洞的出現,也突顯了漏洞修補的問題。FREAK是個會影響網站及瀏覽器所使用的傳輸層安全性/安全通訊端層(TLS/SSL)身份認證協定漏洞,這個漏洞會強制安全性連線使用較弱的加密,讓網路犯罪份子得以解密敏感資料。FREAK漏洞之所以會造成危害,主要是缺少直接負責修補漏洞的人員,因此IT管理員也很難降低風險,目前必須仰賴第三方才有解決方案。
駭客攻擊愈見精準與聰明
多位專家都指出,駭客攻擊不僅愈來愈精準,而且也更聰明。Websense北亞區技術總監莊添發表示,從去年到今年的攻擊事件明顯看出攻擊新的變化。網路攻擊變得更有效率,攻守雙方不斷地在惡意程式的偵測與繞過技
術中互有領先,企業若將防護押在單一節點上,一旦失守便全軍覆沒。
「Websense安全實驗室在2014年觀察到39.6億個安全威脅,比起2013年少了5.1%,但卻反而有更多已部署眾多資安防禦的企業仍遭資料外洩,也說明攻擊威脅已經變得更有效率。」他繼續說明,攻擊者為了不被人建立起他們的威脅檔案(Threat Profiles),已經開始重組攻擊的手法,而且不會按照傳統威脅殺傷鏈的順序發動攻擊,這也使得偵測的工作變得更加困難。
一般而言,垃圾郵件通常會是主要的第一階段,但後續的手法變化卻有很大的落差,Websense觀察到的可疑郵件數量增加了高達25%,但惡意檔案下載(Dropper Files)數量卻少了77%,與遠端C&C連線活動行為增加93%,可是弱點攻擊包的使用卻減少了98%,反倒是惡意網站重新導向的活動量維持不變。