另闢蹊徑對抗APT攻擊 追溯駭客棲息生態圈

竊取資料
攻擊者建立遠端控制架構，定期或不定期將過濾後的敏感、機密資料，利用公開協定（如WWW或DNS）、特定通道（如TCP port 53、TCP port 80），以加密方式外傳。

APT的鑑識與追蹤

APT威脅具特定的手法及特色，在挑選被攻擊對象時，存在一定的脈絡。透過對APT的行為分析，常見的判斷及情資蒐集說明如下。

事件分析

Google提供YouTube、Gmail、Google+等豐富的網路資源服務，使用人數眾多。以Google面臨的Operation Aurora伺服器入侵事件為例，如呈現下列徵兆，將更能確認是否為特定國家或組織的駭客所為：

• 遭駭的郵件帳戶為特定國家或組織的異議人士所有
• 反組譯攻擊用的惡意程式出現特定語言文字（如簡 體中文）
• 異常通訊封包源自特定國家
• 多筆攻擊來源網址源自特定網段

類似APT威脅的手法，簡述如下：

資訊蒐集
駭客經長時間蒐集而得資訊，可建構概略人際網絡，了解相關相對關係，如職場上下或平行的關係、家人或朋友等。

網頁綁架
駭客蒐集被害人經常瀏覽網站，植入惡意的網頁JavaScript、HTML程式。

社交工程
駭客利用被害人周遭熟悉的朋友、上司、下屬或家人的郵件帳戶，寄送含有可疑文件或連結的電子郵件給被害人，誘導瀏覽該網站。被害人未經確認打開連結，將被帶往駭客已攻陷之綁架網站。

感染木馬
被害人的瀏覽器通常含有未經發現的漏洞，惡意程式便利用該漏洞感染被害人的電腦，進而取得控制權。駭客再利用被害跳板電腦的溝通機制，下達指令操作被害人電腦，將電腦中資料傳送至惡意程式指定的處所（伺服器或電子郵件）。

過程分析

過程分析可以分成棲息地聚集、情資蒐集、演化與持續威脅三個面向來加以探討。

棲息地聚集
為汲取新知，駭客會群聚在特定的聊天室、論壇討論區，研究作業系統、商用軟體等漏洞，討論攻擊途徑。過去，駭客攻擊政府機關、民間組織的電腦，以提升自己在駭客間的名望，滿足虛榮心，或希望藉名氣的傳播被企業聘用為資安專家，取得工作。現在，不少投機份子因前述棲息地而結識，為非法的金錢利益形成組織，分工合作，對政府、企業等目標進行攻擊。為躲避查緝，成員間緊密團結。

情資蒐集
調查駭客攻擊時，可如滾雪球般拓展集團性駭客的攻擊情報蒐集網絡。得以特定駭客為中心，接觸其周遭熟悉朋友，再逐一擴展，蒐集、建構人際網絡關係，了解其慣用手法，檢測改善網路防禦組態設定。

演化與持續威脅
APT資安威脅，多從蒐集情報開始，包括目標組織結構、組織內重要人事及其周圍家人、朋友、同事，同時保持低調不被察覺，累積足夠資訊後便擬訂多種可行的攻擊途徑，期間可能花費數週、數月之久，絕非少數駭客即可完成。嘗試可行的攻擊途徑，研究系統漏洞撰寫攻擊程式，再部署所需的工具，一旦以上工作完成，往往只需數分鐘即可達成入侵、偷竊資料等目的。

APT威脅的鑑識調查

越來越多工作、服務諸如購物、轉帳、報稅等等可藉由電腦和網際網路達成；網路行動裝置的普及，創造Instagram、LINE、Flipboard等許多令人驚豔服務，當人們逐步運用網路服務時，也相對吸引非法者目光。

每日網路資訊流通量龐大，全球伺服器儲存各式各樣資訊，例如醫療健康紀錄、報稅帳目、信用卡帳戶等個人資料，皆是駭客或非法者眼中的無限寶藏。

▲圖2 APT威脅的鑑識調查。

關於APT威脅的鑑識調查如圖2所示，以下分別加以說明。

棲息地

人類因共同興趣、目的而聚集在一起，從事特定的行為、分享資訊。駭客會因專精領域不同，形成不同的群組（棲息地），資安攻擊方面可大略分為傳統主機及行動裝置。

傳統主機其系統可能為UNIX、Windows、Macintosh、Embedded System等不同領域。另一方面，行動裝置系統可區分為Windows、iOS、Android、Symbian、Firefox OS等。

如同自然界生物因合宜居住環境而群聚在一起，網路駭客也會為學習知識、分享心得或技術，透過實際見面或虛擬網路的聊天彼此連結。對事物的熱衷與好奇，使人們主動尋找相關資源，形成複雜的網絡。

駭客人數可能從一開始的三五成群，逐步成長為具規模的論壇，成為絕佳之精進技術的資安研習場所。就資安事件的調查而言，論壇的存在即是一個駭客棲息的所在；藉由知己知彼，百戰百勝，深入了解論壇運作，即是釐清事件的重大利器。

滾雪球

滾雪球方法可分成線型滾雪球法、指數型無鑑別度滾雪球法、指數型具鑑別度滾雪球法三種類型，如圖3所示。滾雪球方法適用於被調查對象的條件特殊且不易搜尋情況下，僅能透過人際關係相互引介，從一個人推薦找到下一個人，逐漸累積到足夠的調查樣本為止稱之。一個接一個地尋找新對象，如滾雪球一般，直到沒有其他新的對象且滿足數量要求為止。