https://newera17031.activehosted.com/index.php?action=social&chash=17ed8abedc255908be746d245e50263a.2770&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=17ed8abedc255908be746d245e50263a.2770&nosocial=1

觀點

看APT實際案例 破案關鍵在聯防

2011 / 11 / 17
Zero
看APT實際案例  破案關鍵在聯防

APT (Advanced Persistent Threat)這個名詞最近不論是在新聞或是相關的資安研究報告中均經常被提及,但許多企業的技術人員對於APT真正的定義卻是模糊的,甚至企業可能早已經在APT攻擊的威脅下,但仍舊將種種爆發出的資安現象當成單純的中毒或是一般的網路攻擊行為等等,採取見招拆招的態度將爆出的問題列為單一事件來處理,這種處理的態度及方式雖不至於錯誤,但很可能因此讓已存在的威脅持續的活躍於企業內部系統,繼續藏身於那塊未曾發現且充滿著惡意的陰影之處。

真實案例分享

筆者分享在某個企業發生的真實案例,該企業在近半年內發生了數次的資安事件,引起資安人員的關切。

1. 內部遭受病毒攻擊
系統工程師在檢查各系統日常確認項目時發現某台伺服器的系統記錄(Event Log)不知何故被清空的異狀,之後陸續發現其他伺服器也有部份具有此情況,透過緊急回報處理後資安人員開始針對已發現異狀之伺服器進行徹查,在該次事件處理當中所在事件處理當中找到的病毒樣本,嘗試上傳至如Virustotal之類的線上多元掃毒中心(Online Multi-Anti Virus Engine Scanning Center),發現該些病毒樣本均無法被當下的防毒軟體有效的偵測出,透過逆向工程將編譯過的病毒樣本進行解譯,再針對解譯後的資訊,分析該些病毒所樣本感染的途徑與行為模式,因此資安人員知道目前找出的伺服器,只是後續遭受感染的跳板而非根源,當嘗試想透過受感染的伺服器殘留的資訊找出根源時,發現所有具參考價值的Log,均已被攻擊者利用特殊的方式移除以致失去應有的參考價值,甚至嘗試透過Disk Recovery想找出被刪去的檔案,亦發現攻擊者採用的刪除方式是將該磁區整個覆寫(Full Wipe)故無法復原(註1),因此苦於無法找出進入下個調查環節的線索。

2. 該企業對外提供的網路服務亦遭受長達數個月的阻斷式服務(DoS)之苦。
同時,該企業發現其網路速度出現異常之情況,同時亦接獲ISP業者通知目前正遭受大規模阻斷式服務(DDoS)的攻擊,透過Netflow監控系統亦證實網路正遭受不同IP傳遞大量封包之攻擊行為,之後嘗試截錄部份攻擊的封包,發現此攻擊行為不斷更換IP位置且隨機傳遞類型不同的阻斷式攻擊,導致對外服務持續中斷,嘗試讓企業疲於處理此問題。該企業持續的加入新的ACL(Access Control List)規則,將攻擊來源IP予以阻擋,同時也更換設備來進行防堵,但此舉動若稍不注意亦可能間接產生人為疏失,比如在較舊型的網路交換機(Switch)上設置超過某個限度的ACL,則可能造成超出限制的Buffer讓所有ACL失效導致門戶大開之問題。

3. 網站的會員中心亦遭受大量攻擊。
此事發原由來自於會員反應遭受不明IP位置嘗試登入,以及帳號遭受盜用之案件不斷提升,網站管理者調取了網頁程式的登入記錄來查看,發現有特定IP位置大量嘗試登入帳號之異常行為,針對此行為分析後,發現正遭受大量登入之攻擊,此攻擊行為乃基於一般使用者都有在不同網站,使用相同帳號、密碼的慣性,於是攻擊者便嘗試利用這種心理,透過相當豐富的帳號、密碼字典檔,針對該企業的官網上進行大量的登入攻擊。在後來搜集到的Log資訊及清單中,發現筆者平日常用論壇的帳號、密碼,顯見攻擊者的帳密字典檔是相當豐富且具正確性的,並非隨意亂產出,當然,事後筆者也急忙將幾個設置相同帳密的網站進行更改。

而在當時整體資訊是分散的,網路攻擊、網站攻擊和內部發生的病毒事件分別由網路、程式、資安三個功能不同且獨立運作的單位進行處理,由於各個單位均將發生之事件列為單一案件,故僅止於將資訊同步,並未針對相關資訊進行串連分析深究,此時所有的處理人員並不知道企業已同時遭受從外部及內部的攻擊,該企業也針對種種案件向許多相關單位投訴求援(例如行政院國家資通安全會報技術服務中心),但由於攻擊來源的IP大多是來自於對岸內地或海外無邦交之國家,因此在案件處理上亦是遭遇到相當大的困難與阻礙,整體處理的方針也只能採取阻擋攻擊來源IP、修改程式判斷邏輯架構,以及採用防堵設備等消極的辦法。

不安全的夥伴等於攻擊者的幫兇

正當該企業陷入該如何有效的處理所發生問題的當下,卻在某個因緣際會下發現了網路攻擊的IP來源位置因阻擋而更換,所更換的位置與其所捕獲的病毒樣本資訊比對後,反連位置竟都是源自於內地的某個相同IP位址,藉由這個起點,開始針對手邊現有的資訊進行分析判斷,而文章後續的資安事件,更足以佐證種種攻擊行為均源自於相同的來源。

現今提供多元化網路服務的企業不外乎具B2B (Business to Business)的合作,而在之後資安事件發現,該企業與海外的第三方合作廠商共同管理的伺服器亦發現類似的攻擊,於該伺服器上所採取到的病毒樣本行為,與之前採樣的大致上功能相同,經過與合作廠商的資訊交換發現該廠商所遭受的攻擊來源亦是相同,在廠商的伺服器上甚至找出了未曾發現過的樣本,在針對樣本分析發現具部份可追蹤的網路指紋(註2),再透過該網路指紋於網路資源搜尋器上(如:Google、百度等)找尋後多方比對歸納出了攻擊者的資訊,該攻擊者為中國內地某駭客團體的成員之一,因此該企業可將種種資訊歸納整理報告,證明企業已遭受APT攻擊之威脅以及相關的問題改善建議。

而其實,在與第三方合作廠商溝通相關事宜時,一開始對方的態度是相當抗拒,完全不願意提供任何資訊,直到該企業從遭受感染的伺服器上,找出了來源為合作廠商IP之有利證據,與可能提出之相關法律告訴後,對方廠商才願意配合後續樣本搜查事宜,經由此案件亦學習到,針對企業本身與第三方合作廠商的服務合約需重新檢視,另外權責區分亦應區分清楚,避免有灰色模糊地帶,畢竟我們沒有辦法知道,也沒有辦法保證合作伙伴是否具備足夠的資安意識,是否那天攻擊者會透過該合作廠商間接滲透我方。

串聯資訊找出資安威脅線索

進階的持續性惡意威脅,這是我們對APT的名詞解譯,顧名思義倘若企業已遭APT鎖定攻擊,此威脅將會一直存在,沒看見不代表沒發生,當所有的系統均正常運作時,企業可能早已受到APT之威脅,此時更應思考是否仍有什麼未曾注意到地方。想要發現是否已遭受APT攻擊,相對的也考驗到企業資訊人員對於事件處理的敏感程度,已發生的事件是否具連貫性,甚至還有多少威脅是存在但我們仍未發現的?在某個研討會上曾聽過一句相當實用的話,「通常知道自己失去了什麼並非是最可怕的,而真正可怕的是不知道自己究竟失去了些什麼」。

因此必須時時反思自身的系統Log搜集、保存機制是否完整?在事件發生後,該些Log可提供何種程度的參考價值?並反思企業所採用之監控架構是反完整及佈及程度是否完善?且由於APT的攻擊手法相當先進,要知道通常在駭客身上保存著為數不少,可運用於攻擊的零時差漏洞是相當合理的,在防禦上也正呼應了「沒有攻不破的系統,只有相對的比較難以入侵的系統」的說法,因此我們必須從基礎做起,定期實際提升員工資安意識的教育訓練,APT的攻擊目標乃是自基層員工至高階主管甚至是董事長,因此具高資安意識的公司較能降低遭APT攻擊之風險,在管理面上亦需成立如資安監控中心(SOC, Security Operation Center)之類的單位,並訂定相關的SOP,如此較可在事件發生時,有效的統一資訊並擬定後續處理方案及緊急應變措施。

此外,亦需將曾經發生的事件資訊及線索整理貫通,最後才能在所有已串連的資訊中找出具連貫性的線索進行分析確認,設法找出起源與攻擊者的目的方可對症下藥,才有可能將早已深植系統內部的惡意威脅根除。

 

註1:一般刪除檔案的行為,只是先把要刪除的檔案標示為刪除,讓系統可再使用該檔案佔用的空間而並非是將資料完全刪去,如此在進行硬碟檔案救援時可透過工具把刪除標示去除後將檔案救回,但是要針對硬碟內的檔案做完全刪除時,則必須將該些檔案佔用的空間完全覆寫,這也是銷毀機密資料時常用的做法。
註2:網路指紋,泛指在使用網路時所執行的任何行為,比如在某個論壇申請的ID、某篇Blog發文、使用社群網站時留下的資料,甚至是撰寫程式時的註解或是撰寫人姓名、暱稱,等可利用於反追蹤的資訊,現今常看見的「人肉搜索」亦是建構在這些資訊上。

作者為資安人科技網駐站專家。