觀點

鬼網入侵─談偵測預防之道

2009 / 06 / 08
編輯部
鬼網入侵─談偵測預防之道
在4月初,疑似中國大陸的網路間諜網入侵百餘國,加拿大研究單位根據其所使用的工具,取了一個名稱─鬼網(Ghost Net)。我們要如何抓鬼以及偵測預防呢?

外電報導
達賴喇嘛辦公室懷疑電腦遭到入侵,因此委託多倫多大學蒙克國際研究中心(Munk Center for International Studies)的電腦安全專家進行調查,結果發現一籮筐的受害人,包含各地的西藏流亡政府,2年間有103國的1,295台電腦遭到入侵,還有很多國家的駐外大使館和其他政府機構的電腦,機密資料被偷光光,其中以台灣被入侵的數量世界第一。研究報告中指出,鬼網使用電子郵件做網路「釣魚」(Phishing),可以說有如用魚叉一隻一隻的補獲,有系統的針對特定對象進行社交式的郵件攻擊,進而監控受害者的一舉一動。不過中國駐紐約領事館發言人駁斥中國利用網路間諜監控反對視力與言論的作法,表示「中國政府反對並嚴禁各種網路犯罪行為」。


隨後根據2009年4月7日歐洲的「明鏡週刊」報導,德國反制間諜部門主任Burkhard Even表示,德國政府電腦每天都受到駭客攻擊並且將矛頭指向中國,與加拿大和英國的學者揭發滲透全球網路間諜網的幕後操控者大部分位在中國如出一轍。Burkhard指出,從攻擊手法、技術和竊取對象就可以找到幕後主謀,而動機更是明顯。例如在德國總理梅克爾(Angela Merkel)訪問中國之前、西藏精神領袖達賴喇嘛訪問柏林前、北京奧運前,駭客攻擊的頻率也隨著這些議題而增加。儘管中國政府至今駁斥,不過德國情報首長相信,中國的官方在背後主導這個網路間諜系統。

在網路上研究中國駭客頗具知名度的Dark Visitor網站,則發表出追蹤鬼網的文章” Hunting the GhostNet Hacker”,從駭客遺留的網路資訊中,「人力蒐尋」拼圖找出相關駭客的蹤跡。首先是從鬼網所使用的網域位址(Domain Name)註冊資料相關性追蹤起,找到了可疑的MAIL信箱,接著透過人工搜尋後,更成功地找出這個信箱在各網站的註冊資料,指向了一個在四川成都的27歲人士。但是,這終究是網路上的資訊蒐集,是否能真正確認真有其人或者牽涉入所謂鬼網的攻擊,亦或其資料遭到盜用與栽贓,仍是未知數。

鬼網會做什麼?對企業影響有多大?
鬼網使用的是所謂社交工程攻擊或針對性攻擊(targeted attack),亦即針對西藏社群發出e-mail,其電子郵件網址刻意捏造是由「campaigns@freetibet.org」發出,郵件並夾帶一個Word文件檔,標題是「Translation of Freedom Movement ID Book for Tibetans in Exile」,該份Word文件檔則夾有病毒。遭鎖定的電腦使用習慣不好,或者缺乏危機意識者,加上系統漏洞未修補就有機會被攻陷。而攻擊會導致系統自動向外連結下載gh0st RAT後門程式,受害電腦會被做鍵盤側錄、搜尋檔案或下載特定檔案,還可以遠端遙控其麥克風與Web Camera。對於企業而言,內部網路從此洞開,因為駭客可以透過這一台被入侵的跳板繼續向內部進攻,直到找到他們所定的對象以及所需要的資料為止。企業E化之後很多資訊都存放在電腦上,因此對於企業而言不僅商業秘密不保,還有可以因為喪失競爭力而倒閉。

這樣的攻擊類型已經是網路世界中的主要潮流,企業管理人應該要知道,您的公司正面臨著這樣的威脅,您的公司與員工是否都有這樣的安全意識與防護能力呢? 一旦被攻擊成功,不管是公司的辦公電腦、機敏資料或客戶資料等,還是家中電腦的個人隱私都將蕩然無存,更何況是維繫公司競爭力與生存關鍵的營運資料。

鬼網怎麼進到企業與單位?郵件和網頁是鬼門關
根據美國IC3組織(在2003年由Internet Fraud Complaint Center更名為 Internet Crime Complaint Center)所發表的2008年網際網路犯罪報告指出,透過郵件和網頁是造成網路犯罪的兩大管道,金錢與經濟損失上則暴增至2.65億美金,平均每起案件的經濟損失約為930美金(約台幣 31,000元)。如果不能把守住這個郵件和網頁往來的通道,小心鬼網就有可能找上你。在多倫多大學蒙克國際研究中心的鬼網報告中,也列出了幾個試圖夾帶惡意後門的電子郵件案例,足以證實電子郵件是最大的肇因。聯合國反恐委員會(UN Counter Terrorism Committee)負責人史密斯(Mike Smith)在「恐怖主義與網路安全會議」開幕時發言,「精通電腦」的恐怖份子正將網路用作新武器,資訊技術、尤其是網路已成為恐怖團體的重大工具,也是潛在的目標。恐怖份子利用網路傳播其意識型態,徵召、訓練和激勵追隨者,同時策劃攻擊並相互跨國連繫。

因此要談到如何偵測與預防這樣的攻擊方式,主要可以從幾個面向來看,包含在進入企業的郵件和網頁,這樣的郵件是不是能夠提前攔截下來,而不讓用戶接觸甚至開啟呢?現在我們的答案是:很難,主要的原因是這樣的信件其實都是經過特別的精心設計,可以躲過各種現有的防禦機制,包含常見的網路內容過濾與防毒軟體等,所以必須在資安防線往後退一層,也就是你要預期這樣的攻擊是一定會進到企業內部,然後呢?你要如何讓這個攻擊是失效的,不會成功的呢?第1、是系統的漏洞更新,這樣的議題其實大家都知道,但是真正完全做到的很少;第2、被入侵之後你如何降低其影響呢?降低影響的做法,一種是他存活的時間僅讓縮短,也就是你要有偵測的機制,另外一種就是即便他進到企業內部,你還有一層防線,就是員工不要開啟這個信件或者是不要打開附件;第3、重要的用戶系統定期還原,減低其影響的生命週期。

然而,很多作法都會因為不同的原因或藉口使成效大打折扣,如果問題已經存在的現況下,要如何抓鬼呢?有人說,我用多種防毒軟體掃描過後就沒問題了,有人認為這樣還不夠,要定期用一些可以替電腦健康檢查的軟體來做輔助掃描。實務上,目前防毒軟體的效果已經有限,是已知的事實,防毒大廠也都承認了這一點,因此必須要更進一步地有其他的偵測機制。透過網路內容與異常封包的分析,可能是一個最後的辦法,雖然這樣的工作量很大,未來只要配合適當的工具便可以做出異常流量的引流與過濾。

再者,加強用戶的資安意識,配合用戶端檢測以及權限限制,讓這樣的攻擊沒有機會成功,在多道防禦之下,增加此攻擊成功的障礙與門檻,現在政府定期都有進行所謂的社交工程演練,就是要確保公務人員不亂開可疑郵件,而造成公務資料被竊非戰之罪的洩密問題。 另外,還要配合定期的內部資訊檢查與稽核,把各種網路、權限、主機、用戶、政策的真正落實程度提高,在問題發生之前找出問題並且提出矯正的解決措施,亦可避免鬼網等相關惡意攻擊的發生。最重要的就是不要自欺欺人,你我都知道問題存在不是一兩天或者是一份鬼網報告可以道盡,應該正視問題的存在而非視其為鬼魅,看不到也說不得。
驅鬼網─大必要執行項目
一、用戶端權限,必須縮到最小,絕對不能是Administrator(對於一些軟體必須要有管理者權限才能正常執行的問題,可以用特例的方式用XP本身就有提供「以管理者權限執行」或「執行身分」的方法執行;此方法可以把問題減少大半。
二、使用多種防惡(Anti-Malware)與健檢程式 (CHC, Computer Healthy Check Tool)進行掃描:除了企業在網路閘道與用戶端採用不同的防止惡意軟體程式之外,最好定期用一些單次掃瞄電腦是否遭到惡意程式感染的檢查工具來確保作業環境的安全。例如:Dr.Web、NPAScan、BlackLight、GMER、Archon Scanner、RootkitRevealer、Rootkit Buster等
三、定期做資安社交工程演練與意識宣導,而且要驗證其成效。人是資安最弱的一環,同時也是最後的一道防線,應該要定期上Patch,補充最新的攻擊手法的預防以及注意事項,透過實際演練的方式,將成效列為評比績效的指標之一,將可以有效地驅動資安最後防線的建立與串聯。
四、定期做資訊環境的滲透測試與稽核,很多單位都有買一堆資安設備,殊不知這些設備需要被管理、更新,否則是沒有用的,或者是發生資安問題之前,其實這些設備都已經有一些警訊出現,但是沒有人注意到。可以透過定期由外部專家團隊稽核的方式,找出未落實的資安缺陷以及更新防禦體質。