https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

三起APT事件攻擊手法解析

2012 / 05 / 15
本文由Xecure-Lab提供 (2012資安趨勢論壇-換個腦袋做資安專刊,2011.12月)
三起APT事件攻擊手法解析

自2010年1月的Google極光行動(Operation Aurora)資安事件,以及持續放砲的維基解密(WikiLeaks),都凸顯一個大家最不想面對的現實,不論是外部威脅或內部威脅都幾乎難以預防。我們都知道資安就是風險管理,用「有效資安投資」去「降低風險」至「可承擔接受的程度」,而絕非無限上綱。

舉個簡單例子,根據我們的經驗,經常上網的人多半擁有10幾個線上帳號(電子郵件、部落格、噗浪、網路銀行、網拍等等),而很高的機會他們不會有10幾組完全不一樣的帳密!如果您有一套便利的密碼管理方式,那就是一個有效的資安投資,因為它的便利讓您的所有帳密遭輕而易舉破解的風險大幅降低,而即使有一天真的某單一帳戶被暴力破解成功,也不至於產生連鎖效應,故風險在可承擔接受的程度。但科技日新月異,可能有一天這套便利的密碼管理方式被駭客惡意攔截,以至於所有帳密即使再複雜都被側錄竊取,這時它就不再是「有效」的資安投資,自然無法降低風險至我們可承擔接受的程度。

網路裡的鬼──APT 陰魂不散

類似地無奈也正悄然發生,過去大家普遍難以對資訊安全真正放心,但隨著網路無國界、大軍立馬到,真正的擔心才開始。細數過去造成各地哀鴻遍野,全球高達數億至百億美金慘重損失的病毒文件或蠕蟲攻擊包括CIH病毒(1998年)、Melissa病毒(1999年)、iloveyou病毒(2000年)、Code Red蠕蟲(2001年)、Blaster蠕蟲(2003年)、Sasser蠕蟲(2004年)等等,以當今的資安防護技術,大部分的企業與個人都至少有建置防火牆與防毒軟體,我們都可相當程度地免於這些以病毒或蠕蟲為主的舊時代資安威脅。

不過「道高一尺、魔高一丈」,好人在資安意識上逐步地提升、加強建置資安佈署,躲在暗處的壞人也沒有閒著!他們更積極大量地利用現成的工具套件來生產惡意程式,這幾年的惡意程式數量大幅激增,年年突破過去歷年總數。這叫防毒廠商情何以堪?幾年前某防毒軟體執行長說「防毒產業騙了客戶20年」。確實,傳統的防毒方法太過自我膨脹,若沒有病毒樣本,就根本不可能去偵測到。整個防毒產業趨勢也轉戰雲端服務,其中一個原因也是因為不可能將肥大的病毒資料庫檔放在使用者端,過度依賴使用者端去執行掃毒作業已是緩不濟急!在「防毒產業賺了客戶20年」之後,繼病毒、蠕蟲、木馬之後,資安攻防出現新的攻擊勢力,網路裡的鬼-APT(Advanced Persistent Threat,進階持續性威脅),一股常駐在單位網路中陰魂不散的攻擊力量!是的,這「P(Persistent)」是APT精隨,沒有了這股陰魂不散,APT就跟一般網路攻擊以快進快閃見長,沒有兩樣。

 

對付陰魂不散的APT攻擊,防守方務必要持續收集與分析戰情,才能知彼知己,百戰百勝。

 

Google極光行動:內網桌機 首遭入侵

在Google極光行動資安事件中,首遭入侵的不是外部主機,而是內網桌機。當時Google員工瀏覽某含有惡意程式的網站,該頁面載入有shellcode的JavaScript程式碼會造成IE瀏覽器溢位,進而執行FTP下載程式,並從遠端進一步抓了更多新的程式來執行(其中部分程式的編譯環境路徑名稱帶有Aurora字樣,攻擊方以此命名專案),隨後以SSL加密通道與遠端攻擊方進行互動,監聽竊取該機器登入Google伺服器的帳號密碼等資訊,自此成功滲透竊取部分智財與重要人士帳戶。

回顧此入侵事件有幾個環節值得大家省思:
1. 為什麼是這些受駭對象(該Google員工與外洩資料的關聯性?)
2. 為什麼會進行危險動作(收到釣魚信件導致訪問惡意網站?)
3. 為什麼是這些資安漏洞(某老舊IE版本竟仍存在於內網且外鬼精準知悉?)
4. 為什麼是這些外洩資料(那些東西遭竊取?與近期有哪些商業活動或利益衝突相關聯?)

夜龍(Night Dragon)行動:由外往內打 層層突破

2011年2月10日,McAfee資安公司發表一份標題為「全球能源虛擬網絡攻擊:夜龍(Night Dragon)」的19頁研究報告,之所以命名夜龍是隱喻這些攻擊主要是來自中國。原文請見 http://www.mcafee.com/tw/about/night-dragon.aspx

相較於Google極光行動是內網直接遭遇突破入侵成功,夜龍行動所描述的是APT的標準攻擊流程,由外往內打,層層突破:
1. 外網主機如Web伺服器遭突破成功,多半是被SQL注入攻擊
2. 受駭Web伺服器被作為跳板,對內網的其他伺服器或桌機進行偵蒐
3. 內網機器如AD伺服器或開發人員電腦遭突破成功,多半是被密碼暴力破解
4. 受駭機器遭植入惡意程式,多半被安裝遠端控制工具(RAT),傳回大量機敏文件(WORD、PPT、PDF等等),包括所有會議記錄與組織人事架構圖
5. 更多內網機器被「設計」遭入侵成功,多半為高階主管點擊了看似正常的郵件附檔,卻不知其中含有惡意程式


RSA與軍火商連鎖效應:電郵夾帶突破,最終輪流遭殃

2011年3月EMC的RSA遭到駭客入侵被竊取部份SecurID技術及客戶資料,此戰果之後在5月被用於入侵Lockheed Martin,該公司為國際與美國聯邦政府主要軍火供應商之一。類似的手法大家應該不陌生,2010年7月14日針對西門子(Siemens)軟體Simatic WinCC與PCS 7而來的Stuxnet木馬,所利用的數位憑證更是從台灣新竹科園區兩家廠商中竊取而來的!而2011年3月Comodo憑證被盜事件,或者也包括鬆散不切實的憑證申請與審查機制,讓攻擊方能夠更容易以合法掩護非法來降低收件人的警戒。

在RSA SecurID資安事件中,攻擊方沒有使用大規模SQL注入,也沒有使用網站掛馬或釣魚網站,而是以最原始的網路通訊方式,直接寄送電子郵件給特定人士,並夾帶防毒軟體保證不會警示的惡意文件。我們整理RSA SecurID受駭過程如下:

1. RSA有兩組同仁們在兩天之中分別收到標題為"2011 Recruitment Plan"的惡意郵件,夾檔是名為"2011 Recruitment plan.xls"的試算表
2. 其中一位同仁對此郵件感到興趣,將其從垃圾桶取出並點閱,殊不知此試算表其實含有當時最新的Adobe Flash零時差漏洞(CVE-2011-0609)
3. 該主機遭植入惡名昭彰的Poison Ivy遠端控制工具,並開始自C&C中繼站下載指令進行任務
4. 首波受害的使用者並非「位高權重」人物,緊接著相關聯的人士包括IT與非IT等伺服器管理員相繼受駭
5. RSA發現開發用伺服器(Staging server)遭入侵,攻擊方隨即進行撤離,加密並壓縮所有資料(此案都是.rar格式),並以FTP傳送至遠端主機,又迅速再次搬離該主機,清除任何蹤跡

 

APT偵測防禦該有的觀念

資安意識與素養需要不厭其煩地提醒與討論,相信很快地大家都會對APT朗朗上口,能體會APT攻擊與技術的關聯較小,它是一種陰魂不散、組織作戰的型態,不再像過去亂無章法、隨機攻擊。近年發生這麼多APT層級資安事件後,日前美國拋出將網路攻擊納入第五個作戰空間,考慮將「武裝衝突法」(Laws of Armed Conflict)同樣適用於網路攻擊來量化戰爭行為(Act of War),那麼資訊戰將不再是一場沒有煙硝的戰爭。

文末,對於APT的偵測與防禦,我們提出淺見如下:
1. 正視威脅,謀定而後動。
美國已將APT防護議題拉高至國家層級,而非視為個資外洩等民生議題。

2. 工欲善其事,必先利其器。
資安防護產業也正面臨挑戰,APT時代的來臨可能意味著難以利用蜜罐(honeypot)和蜜網(honeynet)誘捕到惡意樣本,因為僅有特定人士會收到這些天上掉下來的禮物。所以關鍵在於如何提供便利的介面給特定人士即時自動詳細檢查可疑文件本身,包括文件標頭、格式、內容,而非延遲至有其他受駭者或樣本實驗室有特徵碼才能有所因應。我們舉個例子,當你在Gmail收到一份PDF檔案時,不要急著下載用Acrobat PDF用戶端軟體來開啟,可試著透過線上Google Doc進行自動轉檔,通常如果是惡意文件,因為其格式錯誤不符等問題,會造成轉檔失敗,無法正常在Google Doc中開啟。

3. 正兵當敵,奇兵致勝。
現有的資安防護設備是必備的,但要贏得資安攻防的勝利是不足的,因為如同APT的陰魂不散,資安防護也要與時俱進。防守方必須要體認到,當成功偵測與阻擋下APT攻擊時,就意味著下次對方得換一招更狠的再來,也就是攻擊方的手法與力道會成長!那防守方呢?如果是以不變應萬變,那遲早有被攻破的一天!是以,防守方務必也要持續收集與分析戰情,才能知彼知己,百戰百勝。 
 

4. 安全基準,最佳實務。
實體隔離,公務公辦,嚴禁USB隨身碟任意插拔等基本要求都已推行多年,如今拜雲端與虛擬化技術之成熟,這些不便的管理作業都更貼近人性。行政院研考會與技服中心也持續編撰一系列的資安參考指引,提供國人酌參。

 

行政院技服中心網站有許多資安參考指引資源可供利用。