【2011 HIT現場直擊】情資導向為防護思維　拉高視野看APT攻擊

近來，國際間出現不少APT(Advanced Persistent Threat)攻擊事件，也因此造成這個話題的熱門。不過，八月初將於第19屆美國駭客年會Defcon發表「亞洲區APT攻擊解密」的Xecure Lab團隊說，APT攻擊，其實常被誤解。

例如過去就曾有某許姓立法委員召開記者會，收到行政院秘書室的病毒信，要求要徹查資安，而這起事件被認為是一起「病毒信」事件，Birdman說，其實這正APT攻擊當中的一環，秘書的電腦往往要處理最多機敏的事情，所以往往是攻擊的目標。所以最錯誤的處理，就是將之當成單一的病毒事件，掃毒結束後便以為事件結束。

APT的攻擊武器都是相當獨特的，採取0 day漏洞再搭配客製化攻擊，由於是針對高價值的政治、經濟、高科技、軍事目標，因此往往也都是運用國家級的資源來製作攻擊武器。也因此，任何的攻擊行動都有其背後的目的，例如發行簽章的公司被攻破，真正目標是要運用簽章來進行下一步的佈署，目的是對某個防守嚴密的政府機關進行社交工程，對方一看到經過簽章的信件，便信任的打開，這反而是最危險的安全認證。

Birdman說，他們透過國外蒐集APT、惡意程式的專家Mila的樣本(註)來做研究，取其242個APT樣本，對樣本進行靜態分析，觀察出八大族群，而這些族群雖然都運用八到九種不同的漏洞，在使用惡意程式的方式上倒有固定類型。

此外，台灣、美國與香港分別是被APT攻擊的前三名，顯示可能由於這些地方相對有著良好的網路環境以及許多的駭客攻擊中繼站(C&C, Control & Command Server)，成為遭受APT攻擊最多的地方。他們也透過這個研究，找到了APT攻擊武器販售商，並與之對話，透過駭客的觀點來看資安，可以知道的是，目前紅極一時的Apple系統將會是駭客未來的攻擊發展目標。

而這個研究方向，主要是希望可以透過分析APT樣本的行動與武器特徵，找出背後的駭客集團特徵和習慣，Birdman認為最重要的關鍵在於，現在資安的研究還停留在單一樣本的分析，做單一惡意程式行為的分析，視野不能提升就難以觀察到駭客集團的趨勢與計劃。

他強調，未來的資安策略應該是「情資導向」的防護思維。當你了解到這個集團的領導者是誰？有可能採用什麼惡意程式工具？找誰來當打手？就越可能運用一些自動化的情資分析系統，推演分析出對方的戰略，而不是將對方的攻擊戰略中的一小步，當成普通的病毒事件來處理，掃掃毒就算危機解除。

網路黑社會都軍事化了，我們還在拿棍棒練身體，豈不是自以為無敵的義和團？這些是人的問題，得靠人解決。

註：http://contagiodump.blogspot.com/