(下集) IBM X-Force 威脅情報：「勒索軟體即服務」與「暗黑網路」

暗黑網路
現在的威脅手法複雜精密，並非都透過一般人熟知且常用的網路環境發動攻擊。所用的途徑也更加隱密。「洋蔥路由器」(Tor) （The Onion Router）當初是由美國政府協助建置並參與資助持續開發，因為有許多政府部門都在使用 Tor 網路。各國政府與執法單位在設法破解 Tor 網路的同時，據說美國國家安全局 (NSA) 則是藉由 Tor 的流量來鎖定需要密切監控的對象。因為有很多人利用 Tor 來掩蔽行蹤。當中有些人可能是專制政權下據稱是動機純良的告密者或公民。其他也有國家行政人員、情報人員、網路犯罪份子，以及居心不良的罪犯。這些善良與邪惡的個人及組織便組成「暗黑網路」。

避免遭到惡意份子利用，Tor 著手保護正當通訊
Tor 由美國海軍研究實驗室於 2004 年設計、導入及部署，原本屬於用來保護政府通訊的第三代洋蔥路由器專案。時至今日，Tor 的用途十分廣泛，使用族群包括一般民眾、軍方、記者、執法人員、社會運動者及其他人士。不過由於透過 Tor 可進行匿名通訊，因此也被不法人士利用。勒索軟體和其他惡意軟體的散播者發覺 Tor 十分有用，因為透過它能進行主機與主機之間的保密通訊。Tor 可作為含有「出口節點」的 Proxy 伺服器，能讓使用者匿名瀏覽全球資訊網外部網頁。任何人若想隱匿身份並對傳回主機電腦或裝置的通訊加密，Tor 可提供充足的匿名性。

出口節點
建立 Tor 出口節點並不困難。只需一部備用電腦，加上 Linux 平台並下載一些軟體，您也能建立 Tor 節點。某種程度來說，美國政府刻意使節點易於建立以方便更多人運用 Tor 網路，藉此掩蔽政府本身的使用情形。建立 Tor 節點雖然簡單，但後續的操作安全問題卻十分複雜。一旦部署節點後，操作者便難以控管此簡單新節點所支援的流量。從流量可看出來自節點的內容相關責任問題，以及管理 Tor 節點的網路操作者所造成的資源耗用問題。
此外，其安裝簡單的特性不但造成廣泛使用，還有利於員工在公司網路內暗中部署 Tor 節點，這也是 IBM MSS 調查客戶事件時所發現的情況。最後導致有些惡意軟體在受感染的主機上偷偷安裝 Tor 用戶端軟體，藉以掩蓋不良行動的指揮控制作業；有些惡意軟體則安裝 Tor 節點軟體，以提供 Tor 網路新的出口或內部節點。

Tor 與地理位置
Tor 及其網路還能提供另一項匿名優勢，即掩飾要求者的地理位置。世界各國以荷蘭跟美國擁有最多的 Tor 出口節點，其中包含數個高頻寬的出口節點。不過 Tor 網路的出口節點會分布在許多不同國家。圖 3 顯示 Tor 出口節點的地理分布概況 (排名前 11 位的國家)。 

圖 3. 按照出口節點使用的 IP 地理位置來看，荷蘭總計擁有最多非惡意與惡意節點
資料來源：IBM MSS 資料 (2015 年 1 月 1 日 - 2015 年 5 月 10 日)。

圖 4 是源自 Tor 出口節點之攻擊所鎖定的目標產業清單，亦具有值得注意的觀點。根據 IBM MSS 監視的流量來看，這些攻擊的主要目標是資通訊產業，接著為製造業與金融保險業。這份排名乍看之下似乎有悖常理。一般人可能認為金融保險業才是主要攻擊對象，這是由於著名的資料外洩事故總是涉及財務資訊失竊，加上媒體相關報導加深印象所致。然而，資通訊產業與製造業的攻擊事件總數卻是金融保險業的三倍之多。合理的解釋是這些攻擊要的不是金錢，而是企圖竊取智慧財產及/或窺視公司運作。

圖 4. 超過 50% 的惡意 Tor 流量是以資通訊產業和製造業為攻擊目標
資料來源：IBM MSS 資料 (2015 年 1 月 1 日 - 2015 年 5 月 10 日)。

Tor 即攻擊基礎架構
IBM MSS 資料顯示，各式源自 Tor 網路出口節點的攻擊數目近幾年持續成長。每年透過 Tor 網路匿名性採取攻擊的惡意駭客越來越多。值得注意的是，Tor 流量高峰往往與惡意殭屍網路活動有關，而這些殭屍網路不是寄居於 Tor 網路內，就是利用 Tor 網路作為流量傳輸工具。

來自 Tor 的常見攻擊
IBM MSS 積極監視 Tor 出口節點以識別 Tor 網路所產生的攻擊活動。此份資料顯示一些源自 Tor 的常見攻擊模式。

SQL 資料隱碼攻擊
目前為止，大多數客戶所受到的 Tor 出口節點攻擊當中，主要形式是我們熟知的 SQL 資料隱碼攻擊 (SQLi)。某方面來說，可能是因為 Tor 節點通常用於處理 HTTP 流量。另一個原因是，即使到了 2015 年，SQLi 攻擊仍可帶來暴利。經過多年後，新建置的網站仍易受到 SQLi 感染。而像是 Havij 這樣的惡意工具則讓原本嚴重的情況更加惡化；它的點擊式介面使用簡單，降低成功建立 SQLi 攻擊的技術門檻。

漏洞掃描
來自 Tor 網路的漏洞掃描攻擊如此普遍，不令人意外。漏洞掃描通常屬於攻擊初期階段，駭客藉此評估攻擊目標的堅固性。駭客可透過 Tor 網路隱匿來源並跨出口節點叢集進行探測，降低被發現的風險。最新型的侵入偵測與網頁應用程式防火牆系統可輕鬆進行偵測並回報掃描進度，進而封鎖來源。因此，運用多個出口節點不但能避免遭到封鎖，還可掌握更多其他未遭封鎖的 IP 位址。

分散式阻斷服務
透過 Tor 網路進行分散式阻斷服務 (DDoS) 攻擊相當符合常理。此類攻擊結合了 Tor 指揮式殭屍網路與成群的 Tor 出口節點。值得注意的是，某些位於美國的出口節點提供相當大的頻寬。殭屍網路控制者在精心規劃的 DDoS 攻擊中安排數個出口節點，並從上百個 Bot 主機發動攻擊，可對目標系統造成極大的負擔，同時具備資源經濟性與高度隱匿性。

緩解
Tor 網路的動態性質雖提高攻擊防護的難度，但不表示完全沒辦法解決。基本上，公司網路必須防止出入流量涉及 Tor 之類的隱密網路。Tor 網路規模雖大但仍有限度；有許多經常更新的資料目錄可識別 Tor 節點，並在防火牆進行整批封鎖。應用閘道和侵入預防系統/侵入偵測系統 (IPS/IDS) 解決方案可即時標記攻擊，進而封鎖該來源的流量。

結論
諸如 Tor 這樣的應用程式有助於駭客達成目的，卻無法協助受害者解決問題。請確實運用本文提及的緩解方式，儘管攻擊活動會透過 Tor 持續擴張且變得更難解決。公司網路的確在解決方案上選擇不多，但基本須封鎖隱密網路的通訊。此類網路含有大量非法及惡意活動。若允許公司網路與隱密網路之間的存取活動，恐讓公司面臨資訊遭竊與資料外洩風險，在某些情形或司法轄區內甚至須負法律責任。

管控公司網路上洋蔥路由器 (Tor) （The Onion Router）的使用
在您不知情的情況下，駭客可避開管控並透過您的網路傳播惡意軟體。您必須立即採取步驟封鎖惡意行動，避免財務損失與法律責任。在公司網路封鎖對 Tor 或其他類似網路的存取乃必要工作。本文重申該結論，同時提供技術性 IP 位址資訊及駭客用於規避 Tor 使用限制的方式，以協助您保護公司網路。亦即，我們以控管公司網路上Tor 的使用建議作法為總結。

規避 IT 管控
在深入探索管控使用 Tor的做法之前，必須先瞭解技術資訊：
Tor 網路流量在到達 Tor 網路的第一組 IP 位址 (中繼站) 前，不會加密。大多數的部署中，第一個中繼站是位於來源電腦內部，而明文流量要在出口節點將其轉送至目標主機後，才會在網路出現。
規避 Tor 的管控原則方法包括：
* 使用私有訂閱 Proxy 伺服器來存取 Tor 網路
* 透過 USB 裝置執行 Tor
* 使用身分隱匿即時系統 (Amnesic Incognito Live System，TAILS)

Tor IP 位址
Tor 網路是由全世界的 IP 位址組成。IP 位址屬動態性質，因為舊的 IP 位址用途會改變，而新的 IP 位址每天出現。網路上有各種網站提供 Tor 節點 IP 位址的清單。這些清單會持續更新，有時每 30 分鐘就更新一次。不少網站也提供指令碼下載清單，可用於編寫自己的拒絕或封鎖清單。

有關防止使用 Tor 的建議
有關防止 Tor 中繼站的首要建議是制定與發佈全面性公司政策以限制相關使用。
建議政策的內容包括：
* 禁止使用未經核准的加密 Proxy 伺服器服務
* 禁止使用個人訂閱的 Proxy 伺服器服務
* 禁止下載和安裝未經核准的軟體
* 禁止使用私有抽取式裝置，例如 USB、光學媒介體及安全數位 (SD) 卡
* 如果需要使用抽取式媒體，則限制僅可使用公司核准的裝置
* 禁止用硬碟以外的其他任何媒體啟動公司電腦
* 將電腦的 BIOS 更改為僅用硬碟開機
* 停用自動執行抽取式裝置
* 使用公開的 Proxy 伺服器節點清單以封鎖往來這些網站的網路流量
* 實施全面性案頭審查方案以確認是否遵循規定

請掃QR code 進入IBM 資安網站了解更多；
填寫線上問卷領取精美IBM贈品。