APT攻擊所使用的惡意程式越來越刁鑽,艾斯酷博科技執行長邱銘彰指出,從最近攻擊趨勢來看,越來越多APT攻擊使用加了密碼的惡意文件檔,甚至還結合部落格或社群媒體網站來發動攻擊。
當受害者開啟惡意文件檔後,就會自動下載惡意程式到自己的電腦中,而這隻惡意程式會以加密字串的方式嵌入一段網址,這段網址通常是Blog或Twitter…等合法網站,駭客將程式或指令寫成文章,讓受害者電腦中的後門程式定期、自動來網站抓指令,接受駭客的遠端搖控。或者是透過留言機制,把中繼站的IP、Port夾在內文或留言裡,從中建立中繼站連線,或定期更換中繼站,降低被網路設備擋掉連線的風險,由於閱讀這些網站都是正常流量,資安設備也就很難從流量高低或方向去分辨是不是惡意連線。
面對這一類的未知攻擊威脅,中研院資訊安全組組長叢培侃認為,企業應該建立一些行為偵測的機制,不能只用特徵碼為基礎的資安設備做防禦,不過,因為是以行為做為判斷基準,相對誤判(false negative)或誤報(false positive)的風險也就比較高,企業在採購時必須將這一部份成本納入考量。
畢竟現實世界中,沒有任何一種資安防禦設施可以做到100%的偵測率,企業與其一昧地提高偵測率,不如將成本投資在資安事件處理上,邱銘彰認為,企業可將預算中的80%用來提高偵測率,剩下20%用來投資於資安事件處理,透過加快對於受害電腦的事件處理速度,來降低資安攻擊事件對企業的損害。