感染APT威脅無(wú)人能倖免,現(xiàn)在資安廠商也體認(rèn)到,真正要緊的是,如何為客戶縮短發(fā)現(xiàn)遭受攻擊的時(shí)間,進(jìn)而爭(zhēng)取時(shí)效并做出回應(yīng)
進(jìn)階持續(xù)性滲透攻擊(APT)是一種近年來(lái)相當(dāng)常見(jiàn)的網(wǎng)絡(luò)攻擊型態(tài),攻擊者往往是相當(dāng)有組織的駭客集團(tuán),針對(duì)特定對(duì)象設(shè)計(jì)專(zhuān)屬的攻擊策略,在2016年iThome資安大會(huì)中,2天總共有53個(gè)議程里,就有11個(gè)探討APT攻擊的問(wèn)題,換言之,每5個(gè)議題就至少有1個(gè)針對(duì)APT,其中像是趨勢(shì)科技分析駭客運(yùn)作模式的議程,更是爆滿,許多人站在走道上與會(huì),足以顯示這個(gè)問(wèn)題對(duì)于企業(yè)的嚴(yán)重性。
但進(jìn)一步來(lái)看,其實(shí)所有的議題多少都與APT有所關(guān)連,像是企業(yè)的資料防護(hù)、電子郵件、高權(quán)限帳號(hào)管控、網(wǎng)絡(luò)安全等等,想要防范駭客滲透到企業(yè)內(nèi)部,這些面向也都要兼顧,我們甚至可以說(shuō)是大多資安的議題,都算是APT相關(guān)的范圍。
而這類(lèi)的問(wèn)題不容易察覺(jué),受害的企業(yè)往往都是直到發(fā)現(xiàn)異常,才驚覺(jué)事態(tài)嚴(yán)重,那么APT攻擊這顆不定時(shí)炸彈,大多會(huì)埋藏多久之后,才被發(fā)現(xiàn)呢?
趨勢(shì)科技全球核心技術(shù)部資深協(xié)理張?jiān)C粼诖髸?huì)主題演講中指出,企業(yè)遭受APT攻擊時(shí)的潛伏時(shí)間平均為559天,部分較為極端的案例則超過(guò)2,000天以上,換言之,這段從駭客最早入侵,直到企業(yè)發(fā)現(xiàn)受到攻擊的時(shí)間,就長(zhǎng)達(dá)1年半以上。
而專(zhuān)注網(wǎng)絡(luò)威脅的Damballa公司,與針對(duì)特權(quán)帳號(hào)管理的CyberArk公司,兩者提出APT攻擊潛伏的時(shí)間數(shù)據(jù),分別為170天與416天。
這些報(bào)告結(jié)果的差異,我們可以歸于研究機(jī)構(gòu)的樣本取樣的不同,但是都突顯這種惡意攻擊潛藏在企業(yè)的時(shí)間,普遍來(lái)說(shuō)都相當(dāng)長(zhǎng),甚至可說(shuō)是短時(shí)間內(nèi)難以查覺(jué)。
APT攻擊手法與時(shí)俱進(jìn),需全面戒備
APT攻擊手法令企業(yè)聞之色變,潛藏在內(nèi)部網(wǎng)絡(luò)的時(shí)間又長(zhǎng),但到底駭客們?cè)趺慈肭值檬郑谄髽I(yè)內(nèi)來(lái)去自如,又不被發(fā)現(xiàn)呢?
趨勢(shì)科技資安核心技術(shù)部門(mén)資深工程師黃浩倫指出,駭客實(shí)行這種攻擊,首先要滲透到目標(biāo)網(wǎng)絡(luò)中,再來(lái),提升控制權(quán),以便留在這個(gè)網(wǎng)絡(luò)中活動(dòng)。直到最后,駭客將能與管理者平起平坐,取得任何有關(guān)想要得知的企業(yè)內(nèi)部資料。
黃浩倫說(shuō),一般而言,想要滲透到企業(yè)或是政府組織內(nèi),駭客組織會(huì)利用魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)(Spear-phishing attacks)攻擊,藉此進(jìn)入目標(biāo)單位的內(nèi)部網(wǎng)絡(luò)。這個(gè)方法,大致可分為3個(gè)任務(wù),首先,就是要取得攻擊對(duì)象的聯(lián)絡(luò)管道,通常對(duì)網(wǎng)絡(luò)釣魚(yú)來(lái)說(shuō)就是具有高權(quán)限身分用戶的電子郵件信箱。
再者,就是要利用社交工程攻擊,讓攻擊目標(biāo)的高權(quán)限使用者上鉤,包含使用看起來(lái)像是會(huì)議出席提醒、求職者的履歷表、重大的新聞,或是實(shí)用資訊(例如某個(gè)景點(diǎn)旅游美食一覽表)的電子郵件,吸引用戶開(kāi)啟其中的附件。
而這個(gè)附件檔案也會(huì)夾帶惡意程式,藉此取得使用者的權(quán)限。黃浩倫也提到駭客具有組織與管理的一面,他以Bifrost后門(mén)管理程式為例,說(shuō)明駭客如何產(chǎn)生惡意程式、連結(jié)C&C中繼站,以及查看受害者狀況,而這個(gè)軟體近年來(lái)也開(kāi)始能夠控制Windows 64位元版本,與Linux作業(yè)系統(tǒng)電腦,因此,使用者不能再有改用某些作業(yè)系統(tǒng),就能免受APT惡意攻擊的觀念。
