2013 年


2013-10-31

Openfind 研發協理 張嘉淵

揭開APT攻擊最神秘的面紗

APT (Advanced Persistent Threat)是近一兩年最熱門的資安詞彙,每當有資安事件發生就會被拿出來加以報導、重複引用。人氣之所在、商機之所在,為了因應新型的攻擊手法,每間資安產品廠商都推出了相關的資安防護解決方案,滿足市場的資安需求。當您聽過一些提供APT防護解決方案的廠商講得天花亂墜的同時,是否有真正想過,這些產品真的可以解決自己面臨的資安挑戰嗎?

知己知彼、百戰百勝

知己知彼,要對APT的攻擊手法做有效的防護,必須對這類攻擊的進行方式有透徹的了解。過去的病毒攻擊,攻擊成功後會敲鑼打鼓,就是要讓您知道”您中毒了”,當時的病毒開發者多以炫耀的成分居多,目的是要在短時間內,讓自己的作品搶佔大量的電腦,讓自己的作品躍上新聞頭條。但是現今的APT攻擊,剛好相反,目的就是要讓您不知道,細水長流,不知不覺的潛伏在組織內部,慢慢竊取有用資訊,或者等待時機成熟,做毀滅性的破壞。根據統計,從被APT攻擊得逞的組織或企業,從入侵到被發現,平均要經歷九個月,更有超過八成的組織或企業,到現在仍然不知不覺。您是否有想過,是不是”匪諜就在你身邊”?

集團化、企業化經營

在APT這個名詞尚未被創造出來之前,這類的攻擊早已存在多年,攻擊的目的主要著重在政治(情報)價值與商業價值,所以攻擊的目標鎖定政府單位和知名的企業,攻擊者以個體戶駭客為主;但隨著時間演變,目前APT攻擊的規模已經逐漸擴大,以南韓在今年3/20發生的大規模資安事件,影響了南韓三大銀行、三大電視台數萬台的電腦。如此龐大的感染範圍,已非個體戶駭客可以完成。APT的攻擊需要經過縝密的規劃,龐大的後勤系統,商業利益的多寡會引導資訊技術的演進跟走向。殺頭的生意有人做、賠錢的生意沒人理,最近很熱門的惡意軟體— CryptoLocker可稱得上代表範例,您可以把這軟體研發商想像成一群擁有超高資訊技術的黑道份子或者土匪,透過APT攻擊方式把這 “加密軟體”佈署到企業或者個人的電腦,該軟體會偵測該台電腦有沒有人正在用,神不知鬼不覺的把使用者的資料,透過PKI的加密方式全部加密起來,當使用者發現的時候,螢幕會跳出這個畫面。

想要回您的寶貝資料,得先付100 USD / 100 EUR,這套”加密軟體”相當貼心,付費相當方便,整合了信用卡付費的金流系統,軟體的開發商,把這筆金錢,視為資料解密費用,他們並不認為這是犯法的,就像鎖匠幫您開鎖要收一筆錢(只是如果上鎖的人是鎖匠,那很難讓人服氣)。當然,第一直覺可能會想說,那我透過防毒軟體把CryptoLocker給砍掉,是不是就可以解決了,如果您有這種想法,您就錯了,您會看到這畫面。

清楚的告訴您,用來解密這些資料的Private Key會被自動刪除的時間,如果您了解PKI加密的機制,您就知道砍掉Private Key是一件多可怕的事情。

新版的CryptoLocker功能又更強大,解密的費用也從100 USD提高到300 USD,由於這件事情非常嚴重,目前美國FBI已經介入調查(http://www.ic3.gov/media/2013/131028.aspx)。

個資的利用

      APT攻擊之所以難防護且令人聞風喪膽,主因在於攻擊者很精於善用系統、人性的弱點,像剝洋蔥的方式,逐層突破。現有的APT防護系統,對於加密類型的檔案通常沒有有效的偵測方式,有些較為聰明的防護系統會從信件內容猜測可能的密碼,加以嘗試解密。該機制假設,這類的攻擊,一定會把密碼寫得很大,因為收件者解不開,那所有攻擊不就白搭?這時聰明的駭客會想到,是不是有一種方法,不需要在信件內容告知密碼,但是使用者又能知道密碼?答案是肯定的,猶如上一個段落提到的,這類攻擊通常是商業化、組織化的攻擊方式,要取得被攻擊者的個資,並不是一件太困難的事情。目前常出現的APT攻擊類型中,有一類就是利用使用者個資來進行攻擊。現在眾多的金融、電信企業為了節省營運成本,都鼓勵使用者使用電子帳單,將信用卡帳單、電話帳單、保險費帳單透過PDF或其他可加密的檔案形式透過Email來寄送,這類帳單的密碼,通常都是使用者的身分證字號,攻擊者也巧妙的利用這個特性,將惡意軟體偽裝成這類的帳單,來進行攻擊。如果您是正在尋找APT解決方案,您是否想過?這類的攻擊該如何防護?您的APT解決方案,知道每個收件者的身分證嗎?

虛實結合

每當有資安案例發生,媒體的大篇幅報導慢慢發揮一些教育的功用,尤其科技公司、政府單位每年都會編列預算進行資安政策的落實,隨著APT防護產品的布建,對APT攻擊的嚇阻已經有一定的成效,但是”人”的因素,往往是資安環節最弱的一環。最近有幾起案例,已經超越傳統攻擊方式。假設A公司負責電腦硬體零組件的銷售,今天C業務收到一封要求提供電腦零組件報價的信件,附上清單檔案,並且將清單檔案以壓縮軟體加密,信中提到,因為公司資安政策要求,所有零組件清單傳送必須加密,隨後會以電話告知解壓縮密碼。三十分鐘後,C業務接到一通電話,對方操著南部口音的腔調,告知了解壓縮密碼,這樣的案例,是您否找的到破綻?如果該檔案被解壓縮後,是惡意軟體呢?如果您正在尋找APT解決方案,您是否想過?這類的攻擊該如何防護?

防禦的最佳策略

APT攻擊的防護,目前並沒有保證有效的防護策略,APT的防護策略應該因地制宜,從內向外,層層防護。APT是具有組織性的攻擊,但是並非完全沒有弱點,APT攻擊手法最大的弱點在於時間,這類攻擊需要經年累月,像剝洋蔥的方式一層一層往內剝,需要一段時間才能讓攻擊進到核心,少則數月,多則數年,愈早發現處理起來也相對容易。多層次防禦機制是相對有效的解決方案,但是多層次防禦代表的是需要建置更多套的系統,也許要花費更大筆的採購經費,常常讓負責資安的部門不知如何下手。對於APT防禦系統的建置,提供下列建議:

  1. 資產清查
    廢棄在機房角落,不知道有甚麼用途的電腦是APT攻擊者的最愛,那是最不容易被發現的進攻堡壘,而且通常沒有定時做系統更新,擁有的系統漏洞最多,最容易被入侵,以那台電腦當跳板對公司內部發動攻擊,很難被發現,因此定時更新設備清單,找出那些被沒人負責的機器,釐清那些機器的資安風險,是防禦策略的第一步。
  2. 核心防護
    分析過百起的APT攻擊案例,攻擊目的,通常只有兩個,政治目的、商業目的,前者的防護較為複雜,因為動機、目的,因應國際情勢、國家戰略位置而有所差異;後者相較單純許多,只要想著一個原則,公司有哪些資料可以換成錢。這些資料就是最核心的資料,通常也是APT攻擊的最後目的。這些資料可能是公司的研發資產、客戶名單、客戶往來的信件、金融資訊…等。
  3. 層層包裹
    既然攻擊是從外向內,防護就應該從內向外,逐層防護、逐層清查。從APT的入侵動機,分析出最核心的資產,從核心資產的防護,逐漸往外擴張,逐層逐起防護城牆,是最符合經濟效益的防護方式。從分析的案例中,APT攻擊目標的前三名分別是:
    ** 企業帳號系統 (如Microsoft Active Directory)
    ** 企業郵件系統
    ** 檔案管理系統
  4. 交互預警
    預警系統,最常見的問題,就是誤判比例過高,造成”狼來了”,以至於真正發生問題時,沒人認真看待,透過細膩的系統調校,降低誤判比例,輔以多層次的預警系統,透過交互預警的方式,才能讓攻擊的預警資訊準確傳達。
  5. 事件回應
    儘管有再好的資安防護系統,如果不能針對資安預警系統的每一個事件告警加以回應,勢必事倍功半,防護效果大打折扣,分析數百個APT攻擊的案例中,每個事件發生過程,至少會有數十個徵兆,並非完全沒有線索,針對這些徵兆加以確認,並對現有資安防護系統的不足加以補強,才能讓資安防護跟上資安攻擊手法的日新月異。

結語

APT的攻擊並不會就此結束,在2014年這類的攻擊會比今年更氾濫、更有組織、手法必定推陳出新;國外的研究資料顯示,現在透過手機進行商業活動的比例已經逐年上升,APT的攻擊已經從傳統的PC慢慢移到行動裝置(Mobile Device)。雲端檔案分享工具的普及,對資安防護無疑是個更大的挑戰。殺頭的生意有人做、賠錢的生意沒人理,只要有利可圖,這個邪惡產業就會蓬勃發展,資安的問題並不可怕,真正可怕的是,身處危險環境下,卻自以為安全,可以高枕無憂。面對未來的資安挑戰,您不孤獨,我們願意與您並肩作戰。