2013 年


2013-12-31

產品經理 林家正

從分析駭客與商業間諜的手法,來談APT 與資料外洩防禦

1. 前言

最近筆者在看第四台的電影頻道,看到令人懷念的"不可能的任務"系列電影,帥氣的 Tom Cruise 與他的團隊在大螢幕上一次又一次的完成拯救世界任務,而這系列的電影,大家也都非常喜歡看他們的團隊如何透過各種不同的客製手法,針對目標對象進行精準的滲透任務,並在敵方的內部閃避保全系統,竊取相關的資料,電影過程中給人感覺既新鮮又緊張刺激。

看完電影後,除了覺得意猶未盡外,也感覺這就很像資安界會發生的APT 攻擊或是商業間諜竊取機密的方式,駭客會想辦法用客製的手法來滲透目標組織,之後進行癱瘓服務與竊取資料等目的;商業間諜則是會想辦法將組織重要的機敏資料,閃避相關的稽核系統並將資料偷渡出去。

2. 剖析近年來的駭客與商業間諜的手法

在服務眾多的客戶時,也觀察出近年來的資安事件均是跟 APT 與資料外洩,而資料外洩又是以商業間碟竊取機密為主,因此本文就以 APT 與商業間碟的兩個角度來加以分析。

2.1 APT 的特性分析

近年來的APT事件,大多是從電子郵件開始發起,原因也很簡單,電子郵件攻擊的成本非常低,命中機率不低,相對於其他攻擊手法的C/P值高。而APT攻擊特性可以分成四個步驟,分別是鎖定目標、設法入侵、客製攻擊與竊取情資。

  • 鎖定目標

在搜尋引擎與社交網絡盛行的時代,許多組織或個人的資料都可以在網路上被找到,甚至駭客可透過社交網站觀察目標對象的行為,以便規劃後續的客製化攻擊。如透過Facebook便可了解目標對象對吃的非常有興趣,那攻擊者便可知道用甚麼方式來包裝攻擊能夠有比較高的命中率。

  • 設法入侵

駭客蒐集完情資後,便會開始跟目標對象進行接觸,如目標是某公司的業務經理,則駭客會偽裝成客戶,跟目標對象取得第一步的聯繫,之後透過密切的電子郵件往來,嘗試降低戒心,為後續的入侵攻擊鋪路。

  • 客制攻擊

當駭客降低目標對象的戒心後,接者就是客製專屬的攻擊手段或方法。如之前的例子,當駭客透過偽裝客戶的方式,要與目標對象進行採購,在多次的信件往來後,駭客便可發送挾帶偽裝成文件檔的木馬程式,假借要記錄廠商資料的名義請目標對象開啟該檔案並填寫,一旦開啟該檔案,則木馬就入侵到目標對象的電腦中。

  • 竊取情資

入侵後,便可開始了解目標對象的資訊系統環境,並透過各種方式竊取情資等相關動作。

2.2 商業間諜的手法

所謂的商業間諜,是已經潛伏在目標企業中,並偷偷的透過各種方式將該公司的情資外洩。面對資安防備比較不足的企業,商業間碟會透過電子郵件、USB與其他網路傳輸等方式竊取資料;碰到資安防備等級較高的企業時,最起碼還有電子郵件可以對外溝通,若沒有完善的防禦,則會成為資安的死角。

  • 偽冒的附檔

以往的稽核可以針對更改過的副檔名偵測,但商業間諜的技術已經今非昔比,內鬼甚至會將檔案型態更改,如可將文件檔偽造成圖形檔,讓不知情的人開啟此附檔時,發現此為一張圖片,但知情的人便會解壓縮該檔案,並使用Office系列或是PDF的軟體開啟。

  • 加密的附檔

此外,商業間諜也會透過壓縮加密、Office系列軟體加密以及PDF加密,讓系統無法透過關鍵字或是正規式偵測其內文是否有商業機密。

3. 預防方法

無論是APT攻擊或是商業間諜外洩資料,都有共同的特性,就是透過電子郵件的管道進行攻擊或是外洩的發起。主因不外乎是電子郵件攻擊的成本低廉,另外企業對外溝通的主要管道也是電子郵件,因此若說到要防範本文談到的攻擊手法,組織必須先從電子郵件防禦開始著手。

3.1 先檢查公司的郵件架構

從下圖便可得知,企業針對外部的連線,先建置一道外部防火牆,之後建立DMZ(Demilitarized Zone,非軍事區),並將Mail Gateway的防護置於該區,以便對外部入侵的攻擊提供完善的保護。在內部防火牆的後面,將Mail Server 與 Mail Archiving 置於內部防火牆後端,Mail Server 關閉 POP3 與 IMAP4 等對外服務,而Mail Archiving 定期做後稽核,防範內部間諜。

3.2 定期更新 Patch

作業系統定期更新Patch是必要的,而郵件相關系統軟體,則要透過可信賴且有經驗的郵件廠商,定期將郵件軟體最新的到最新版本,避免駭客與商業間碟等針對系統漏洞進行攻擊。

3.3 人的思維也要定期更新 

透過資安意識的訓練與各種實際案例,讓管理者與使用者的腦袋也跟上最新的資安潮流,但訓練的成效畢竟還是會有一定的限度,因此要透過下列幾種系統機制來輔助。

  • 關於系統,需定期偵測:
    • 系統檔是否遭受竄改
    • 是否被設定不當的轉寄
    • 是否有可疑的加密信件
    • 是否有大量外寄
    • 使用者密碼是否太過於簡單
  • 關於收信,系統自動:
    • 警示危險連結
    • 移除超連結
    • 警示危險附檔
  • 關於寄信,系統自動:
    • 個資外寄偵測,避免外洩
    • 偽造附檔抓取,釐清異常事件
    • 大量收件人轉成密件副本,避免聯絡方式外洩
  • 所有歷史郵件歸檔,保留任何蛛絲馬跡,以便後續追查

4. 結語

眾觀APT攻擊與商業間碟外洩的防禦,電子郵件絕對是這場戰役的首要關鍵,因此郵件安全絕對是必須要被重視的重要環節。此外,並定期更新作業系統、應用程式與人的思維,才能在這場資安戰爭中,達到有效的縱深防禦,