壞人不從正門來！偷偷摸摸逼近高權限　

2010 / 10 / 04

吳依恂

這一、兩年之間，可以看出網路威脅集中在新興的線上購物產業，過去較大流量的官網、主網頁常常都是攻擊的目標，不過，隨著大家對網站安全的重視，慢慢隨著設備更新、網站改版時也都逐漸佈署了像是網頁應用程式防火牆的安全工具，減少許多威脅，但，此時攻擊者卻又開始轉向一些不重要的小網站，如發佈EDM、公告的網站或是會員回饋網頁，甚至是辦公室系統(OA Site)。

過去的社交工程主要是針對個人資料的竊取，或是純粹當作「肉雞」來販賣。但近來可以看到攻擊者開始透過個人慢慢進行內部滲透，如同Google當初被駭客入侵的類似案例，許多工程師、業務甚至客服人員先被盯上，可能先透過內部區網封包的竊取等，攻擊者逐漸從低權限使用者一步步逼近高權限使用者，尤其像是工程師的電腦當中，可能還包括一些Source Code、ID帳號密碼或是IP位址等，將辦公室內部的一些使用者電腦當作跳板，作為一個長遠的佈局，而不再只是單純的利用該台中毒的電腦。

建議解決方案：
由於攻擊者多半會在非上班時間動作，所以可以嘗試在非上班時間監控是否有異常的連線。敦陽科技資安顧問吳東霖建議，如果企業可以全面導入AD(Active Directory)，把帳號Lockdown或要求登出（有些電腦從不關機），就可以在下班時間觀察是否有不正常的連線或異常流量，但光是要全面導入AD並且嚴格執行帳號的控管，其實在執行面上就有一定的難度。過去也有些企業早已全面導入AD並且鎖定權限，但由於執行的不夠徹底，依然有漏網之魚，還是讓攻擊者趁隙而入。

此外，亦可從閘道端去觀察protocol的行為，監控流量。也由於受到感染的電腦幾乎都會是同一版本的作業系統，這也可以作為一個觀察重點，此外，攻擊者也相當聰明，可能會觀察到有特定的主機通通都連接到某一個Blog去，而非惡意網站，避免引起資安人員的注意。

像這樣長遠且又有目標性的滲透，即使要清查也很難徹底，所以目前並沒有一個完整且治本的解決方案，僅能透過一些監控的管理手段來遏止持續被入侵的動作。企業除了針對官網等重要網站維護，對於一些看似不重要的小網站或是辦公室系統也需要多加留心，切莫讓惡意攻擊者先一步發現企業弱點。

權限 OA 吳東霖敦陽 WAF Web Application Firewall Gateway 閘道端網頁應用程式防火牆肉雞社交工程弱點