觀點

2015年安全事件大剖析 (系列二)

2015 / 02 / 09
編輯部
2015年安全事件大剖析 (系列二)

上一篇系列一中所提及2015年安全事件大剖析, 分別提到: 愈來愈泛濫的資料外洩事件、IOT資料安全、不安全的路由器和永不停竭的漏洞攻擊。接下來,我們將繼續分享行動安全、APT目標式攻擊等等。

浮出枱面的行動安全
     包括行動裝置與物聯網裝置等各種連網裝置的大行其道,讓企業原本頭痛不已的端點問題變得更加複雜困難。行動App的普遍也讓行動安全變得更棘手,其中行動支付安全勢將成為2015年最關鍵的行動安全議題之一。  F5在2014預測中便指出,終端使用者希望能夠安全的從任何裝置存取服務,但由於Web應用面對持續升高的攻擊,因此詐欺預防將成為最高優先。最後,非侵入性的clientless詐欺活動驗證不但能夠幫助金融機構維護安全,而且也能讓客戶受惠。

    針對行動支付安全問題,趨勢科技指出,隨著Google Pay、Google Wallet等行動支付方案的推出與相關應用的日漸普及,專門針對行動支付應用的惡意攻擊將會開始泛濫,這點可從Android平台上出現專門鎖定特定使用者Google Wallet帳號密碼的FakeID漏洞攻擊事件。

    事實上,除了Android平台外,過去一直被視安全無虞的iOS平台也開始出現安全威脅,Palo Alto Networks資安研究團隊Unit42便發現鎖定蘋果用戶的WireLurker惡意程式。其為第一隻不需透過越獄,便可在iPhone與Mac電腦進行USB連線同步化之際感染iOS系統的惡意程式。

日漸普遍的APT與目標式攻擊
    趨勢科技《2015年暨未來預測》大膽指出,APT與目標式攻擊(Targeted Attack)在新的一年裡將成為與一般網路犯罪一樣普遍的威脅。儘管當前這類攻擊仍以魚叉式釣魚郵件或水坑式攻擊做為起頭,但今後社群網路將會成為重要的攻擊管道。

    令人驚訝的是,2014年上半年遭到APT及目標式攻擊最多的地區是台灣(46%),其次則為日本(20%)與美國(12%)。趨勢科技並且指出,因應APT與目標式攻擊,唯有更優質的資安情況分析,加上網路狀的視覺化掌握,以及經驗式或行為式威脅偵測機制,才能有效將安全風險降低。

 <圖>各國目標式攻擊占比圖(資料來源:趨勢科技)

     HP在《2013年度資安風險報告》中,甚至將SCADA的風險程度與IE漏洞相提並論,這是因為SCADA在當前工業界中幾乎無所不在,所以對於攻擊者而言,SCADA是可與IE相提並論之極具攻擊效益的一大目標。

    2014年12月,德國煉鋼廠的鼓風爐控制權,在駭客嘗試存取工作網路後便成功落入駭客手中,進而造成該工廠遭受巨大損失與破壞,這是一個數位攻擊真實引發實體破壞的罕見實例之一。該攻擊可說運用了魚叉式網路釣魚攻擊與精細複雜的社交工程技術,進而獲取該工廠辦公室網路的存取權,然後再進一步成功入侵工作網路。在系統遭劫持後,個別元件甚或整個系統便開始經常故障。德國聯邦資訊安全局稱此攻擊技術非常先進,因為該攻擊涉及對各種不同內部系統與工控元件的劫持入侵,攻擊者不但必須具備強大的IT安全知識,同時也得擁有工業控制與生產流程的Know-how才行。

死灰復燃的惡意巨集
     除了骨灰級漏洞開始被駭客重新運用外,過去骨灰級的Office巨集也開始死灰復燃地成為駭客攻擊的利器。回顧以往,過去為了防止巨集的濫用,打從2001年發佈的Office XP以來,使用者只要在執行檔案中內嵌未簽名巨集之際,會被系統詢問是否同意。也因為這個機制讓攻擊者紛紛停止使用巨集,而改用其他散佈惡意程式的方法。但微軟惡意程式防護中心( Microsoft Malware Protection Center, MMPC)在2015年1月2日的官方部落格貼文中卻指出,近來採用巨量來散播惡意程式碼的威脅數量有增加的趨勢。

     2014年12月有兩個分別以美英兩國使用者為鎖定目標的巨集威脅-Adnel及Tarbir出現,兩者皆透過內嵌於.doc與.xls文件中的巨集進行散播,同時該文件是透過偽裝成收據、發票、電滙確認單、帳單與出貨通知等垃圾郵件的方式來發送。不疑有他的使用者,會依照步驟式指式來啟動並執行巨集而淪為受害者。

     根據安全方案商Trustwave指出,另外還有名為Dridex的惡意程式,它專門鎖定線上金融交易使用者。在該病毒最高峰泛濫的2014年11月裡,Dridex相關垃圾郵件行動每天最高散播高達1.5萬筆內含惡意巨集的文件,同時該文件並偽裝成來自軟體公司、線上經銷商、金融機構及貨運公司的發票。

     除了網路犯罪者外,國家級攻擊者也開始採用惡意巨量技術,在2014年12月30日的德國漢堡舉行的「混沌通訊大會」(Chaos Communication Congress, C3)駭客大會上,安全研究人員Gadi Evron及Tillmann Werner 提出對名為「火箭小貓」(Rocket Kitten)的網路間諜行動之分析報告,鎖定以色列與西歐政府與學術組織的攻擊者,採用內含Excel惡意巨量檔的魚叉式釣魚郵件,一旦執行,巨集會安裝精緻複雜的後門程式。另外還有於2014年9月被揭露的CosmicDuke網路間諜活動,該活動採用內含惡意巨量的Word文件檔,並至少以某一家歐洲國家的外交部為鎖定目標。

以網路詐騙與勒索為首的猖獗網路犯罪
     就像實體社會裡的犯罪事件不會消失一樣,牟取金錢利益的網路犯罪會是網路世界裡永遠的安全議題,其常見的犯罪手法大致分為入侵攻擊、網路詐騙與網路勒索兩大類。 至於網路詐騙則會結合釣魚郵件、釣魚網站與社交工程手法來竊取受害者身分資訊,然後再於網上或地下論壇販賣牟利。趨勢科技《2015年暨未來預測》指出,更多的網路犯罪集團利用黑暗網路、地下論壇,抑或Tor、I2P及Freenet等匿名點對點網路來分享與販賣犯罪軟體。

     根據HP《2014年全球網路犯罪成本報告》指出,2014年平均年化網路犯罪成本為每年760萬美元,較2013年的720萬美元,提升10.4%的淨變化,顯示網路犯罪有呈現持續上升的趨勢。就攻擊對象而言,所有產業都有淪為攻擊目標的可能風險,其中尤以能源、公共事業及金融服務相關的網路犯罪成本最高。再就攻擊類型來說,該報告指出成本最高的網路犯罪分別是,企業內賊、阻斷服務與Web攻擊。面對這些攻擊,HP建議可以SIEM、IPS、應用程式安全檢測,以及企業治理、風險管理與法規遵循(GRC)解決方案來因應,並指出運用這類安全智慧系統之公司,比起沒有採用該技的公司,平均可節省260萬美元之成本。

    該報告同時指出,安全控管網路攻擊平均所需時間為31天,平均時間內所耗費的平均成本高達63.95萬美元,相較於2013年27天平均時間下的50.97萬美元,其成本增加了23%。針對網路攻擊所造成的後果,其中以業務中斷帶來最高的外部成本,佔外部總成本的38%,其次分別為資料外洩(35%)、營收損失(22%)與設備損壞(4%)。

<圖>網路攻擊外部後果成本百分比。資料來源: HP《2014年全球網路犯罪成本報告》。

     F5《2015預測》指出,隨著網際網路存取的泛濫,以及線上購物與娛樂服務的爆炸成長,人們例行性資料分享的組織比以往更多。隨著App與網站的蓬勃興起,安全控管也變得更加破碎分散,再加上社交平台上或透過不安全通道之個人資訊的雜亂無章共享狀況,更讓身分資料所面臨的安全風險更甚以往,無異為網路詐騙者大開方便之門。

    雖然勒索是個非常古老的犯罪手法,但網路勒索卻成為過去幾年裡為犯罪者取得空前成功的詐騙手法之一。其常見的做法便是將特定目標的電腦或檔案加密,使用者必須付贖金才能成功解開檔案。此就以2014年8月出現的勒索軟體CrypotWall來做介紹,該軟體被視為是CryptoLocker的二流繼承者,但隨著變種出現,卻大大地讓安全研究人員受到挫敗。Dell SecureWorks於2014年8月預估指出,CrypotWall在前6個月便造成60萬台電腦受到感染,勒索總金額達100萬美元。

   變種CrypotWall變得更難偵測,而且同時支援32及64位元系統,並跨越Mac OS X與Windows。該程式會運用微軟權限提升弱點來獲得受害者電腦的更大控制權。其只會自我解密一部分的二進位碼,並具備偵測沙箱及虛擬環境的能力,一旦偵測是,便不會進行自我解密動作。若偵測認定安全,便會自我解密,然後透過Tor匿名網路來與C&C主控伺服器連線,也因為如此,安全研究人員並無法看到CrypotWall所連線伺服器的IP位址。

資料來源 :
2014年SafeNet《資料外洩水平指數》
F5《2015預測》
HP《2013年度資安風險報告》
HP《2014年全球網路犯罪成本報告》
Palo Alto 2014版《應用程式使用狀況與威脅報告》
Proofpoint2014年初安全報告
趨勢科技《2015年暨未來預測》
資料整理 : 編輯部