感染APT威脅無人能倖免,現(xiàn)在資安廠商也體認(rèn)到,真正要緊的是,如何為客戶縮短發(fā)現(xiàn)遭受攻擊的時間,進(jìn)而爭取時效并做出回應(yīng)
進(jìn)階持續(xù)性滲透攻擊(APT)是一種近年來相當(dāng)常見的網(wǎng)絡(luò)攻擊型態(tài),攻擊者往往是相當(dāng)有組織的駭客集團(tuán),針對特定對象設(shè)計(jì)專屬的攻擊策略,在2016年iThome資安大會中,2天總共有53個議程里,就有11個探討APT攻擊的問題,換言之,每5個議題就至少有1個針對APT,其中像是趨勢科技分析駭客運(yùn)作模式的議程,更是爆滿,許多人站在走道上與會,足以顯示這個問題對于企業(yè)的嚴(yán)重性。
但進(jìn)一步來看,其實(shí)所有的議題多少都與APT有所關(guān)連,像是企業(yè)的資料防護(hù)、電子郵件、高權(quán)限帳號管控、網(wǎng)絡(luò)安全等等,想要防范駭客滲透到企業(yè)內(nèi)部,這些面向也都要兼顧,我們甚至可以說是大多資安的議題,都算是APT相關(guān)的范圍。
而這類的問題不容易察覺,受害的企業(yè)往往都是直到發(fā)現(xiàn)異常,才驚覺事態(tài)嚴(yán)重,那么APT攻擊這顆不定時炸彈,大多會埋藏多久之后,才被發(fā)現(xiàn)呢?
趨勢科技全球核心技術(shù)部資深協(xié)理張?jiān)C粼诖髸黝}演講中指出,企業(yè)遭受APT攻擊時的潛伏時間平均為559天,部分較為極端的案例則超過2,000天以上,換言之,這段從駭客最早入侵,直到企業(yè)發(fā)現(xiàn)受到攻擊的時間,就長達(dá)1年半以上。
而專注網(wǎng)絡(luò)威脅的Damballa公司,與針對特權(quán)帳號管理的CyberArk公司,兩者提出APT攻擊潛伏的時間數(shù)據(jù),分別為170天與416天。
這些報告結(jié)果的差異,我們可以歸于研究機(jī)構(gòu)的樣本取樣的不同,但是都突顯這種惡意攻擊潛藏在企業(yè)的時間,普遍來說都相當(dāng)長,甚至可說是短時間內(nèi)難以查覺。
APT攻擊手法與時俱進(jìn),需全面戒備
APT攻擊手法令企業(yè)聞之色變,潛藏在內(nèi)部網(wǎng)絡(luò)的時間又長,但到底駭客們怎么入侵得手,在企業(yè)內(nèi)來去自如,又不被發(fā)現(xiàn)呢?
趨勢科技資安核心技術(shù)部門資深工程師黃浩倫指出,駭客實(shí)行這種攻擊,首先要滲透到目標(biāo)網(wǎng)絡(luò)中,再來,提升控制權(quán),以便留在這個網(wǎng)絡(luò)中活動。直到最后,駭客將能與管理者平起平坐,取得任何有關(guān)想要得知的企業(yè)內(nèi)部資料。
黃浩倫說,一般而言,想要滲透到企業(yè)或是政府組織內(nèi),駭客組織會利用魚叉式網(wǎng)絡(luò)釣魚(Spear-phishing attacks)攻擊,藉此進(jìn)入目標(biāo)單位的內(nèi)部網(wǎng)絡(luò)。這個方法,大致可分為3個任務(wù),首先,就是要取得攻擊對象的聯(lián)絡(luò)管道,通常對網(wǎng)絡(luò)釣魚來說就是具有高權(quán)限身分用戶的電子郵件信箱。
再者,就是要利用社交工程攻擊,讓攻擊目標(biāo)的高權(quán)限使用者上鉤,包含使用看起來像是會議出席提醒、求職者的履歷表、重大的新聞,或是實(shí)用資訊(例如某個景點(diǎn)旅游美食一覽表)的電子郵件,吸引用戶開啟其中的附件。
而這個附件檔案也會夾帶惡意程式,藉此取得使用者的權(quán)限。黃浩倫也提到駭客具有組織與管理的一面,他以Bifrost后門管理程式為例,說明駭客如何產(chǎn)生惡意程式、連結(jié)C&C中繼站,以及查看受害者狀況,而這個軟體近年來也開始能夠控制Windows 64位元版本,與Linux作業(yè)系統(tǒng)電腦,因此,使用者不能再有改用某些作業(yè)系統(tǒng),就能免受APT惡意攻擊的觀念。
