https://newera17031.activehosted.com/index.php?action=social&chash=a60937eba57758ed45b6d3e91e8659f3.2219&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=a60937eba57758ed45b6d3e91e8659f3.2219&nosocial=1

觀點

壞人不從正門來!偷偷摸摸逼近高權限 

2010 / 10 / 04
吳依恂
壞人不從正門來!偷偷摸摸逼近高權限 

這一、兩年之間,可以看出網路威脅集中在新興的線上購物產業,過去較大流量的官網、主網頁常常都是攻擊的目標,不過,隨著大家對網站安全的重視,慢慢隨著設備更新、網站改版時也都逐漸佈署了像是網頁應用程式防火牆的安全工具,減少許多威脅,但,此時攻擊者卻又開始轉向一些不重要的小網站,如發佈EDM、公告的網站或是會員回饋網頁,甚至是辦公室系統(OA Site)。

過去的社交工程主要是針對個人資料的竊取,或是純粹當作「肉雞」來販賣。但近來可以看到攻擊者開始透過個人慢慢進行內部滲透,如同Google當初被駭客入侵的類似案例,許多工程師、業務甚至客服人員先被盯上,可能先透過內部區網封包的竊取等,攻擊者逐漸從低權限使用者一步步逼近高權限使用者,尤其像是工程師的電腦當中,可能還包括一些Source Code、ID帳號密碼或是IP位址等,將辦公室內部的一些使用者電腦當作跳板,作為一個長遠的佈局,而不再只是單純的利用該台中毒的電腦。

建議解決方案:
由於攻擊者多半會在非上班時間動作,所以可以嘗試在非上班時間監控是否有異常的連線。敦陽科技資安顧問吳東霖建議,如果企業可以全面導入AD(Active Directory),把帳號Lockdown或要求登出(有些電腦從不關機),就可以在下班時間觀察是否有不正常的連線或異常流量,但光是要全面導入AD並且嚴格執行帳號的控管,其實在執行面上就有一定的難度。過去也有些企業早已全面導入AD並且鎖定權限,但由於執行的不夠徹底,依然有漏網之魚,還是讓攻擊者趁隙而入。

此外,亦可從閘道端去觀察protocol的行為,監控流量。也由於受到感染的電腦幾乎都會是同一版本的作業系統,這也可以作為一個觀察重點,此外,攻擊者也相當聰明,可能會觀察到有特定的主機通通都連接到某一個Blog去,而非惡意網站,避免引起資安人員的注意。

像這樣長遠且又有目標性的滲透,即使要清查也很難徹底,所以目前並沒有一個完整且治本的解決方案,僅能透過一些監控的管理手段來遏止持續被入侵的動作。企業除了針對官網等重要網站維護,對於一些看似不重要的小網站或是辦公室系統也需要多加留心,切莫讓惡意攻擊者先一步發現企業弱點。