觀點

從APT攻擊真實案例思考因應對策

2012 / 05 / 15
編輯部 (2012資安趨勢論壇-換個腦袋做資安專刊,2011.12月)
從APT攻擊真實案例思考因應對策

APT攻擊的情況通常不是由個別的駭客執行,而是透過一個完整的任務編制團隊進行,在每次鎖定任務目標之後,也會先收集目標的各種相關資訊,再逐步滲透,把任務目標的底摸清之後,最後一舉成擒。透過勘查、收集資訊,再逐步入侵,加上過程十分緩慢而且低調,所以通常很難被偵測到,看看近期的苦主:Google、HBGary、RSA,哪一家不是掌握豐富資安技術與資源的公司,卻多還是在造成嚴重傷害後,才驚覺自己已經成為別人嘴邊的肥肉了!更何況這些已經被證實出事的單位,極可能僅僅是浮上水面的冰山一角罷了!

攻擊的流程與步驟:

一、 鎖定目標:由於背後需要有龐大的資源撐腰,所以遭APT攻擊鎖定的目標往往有其特別含義,通常是具有高度機密性或持有大量個人資訊的單位,如國防、軍火供應商或金融業等,目前很熱門的雲端服務則被公認是未來最有潛力的受害者。
二、 收集資訊:當目標確定之後,便開始透過各種公開或地下的管道進行資料收集。常被收集的資訊包含公開的人員與系統相關資訊,萬能的Google大神在這部份常提供了不少的幫助,地下的資訊則泛指利用各種不法手段取得的機敏資料,可能取得的有用資訊就更多采多姿了。
三、 發動攻擊:資料收集完後,接下來便開始針對收集到的資料進行分析。就像好的廚師可以依據不同食材做出各種不同的美味料理一樣,好的任務團隊也會依據手上收集到的資料規劃出最有效的攻擊方式與路徑。

當收集到的有用資訊只有一些公開的人員資訊時,攻擊者可能會藉由發送包含加料過文件檔案的惡意電子郵件。當拜請Google大神就輕易地找到可利用主機時,攻擊者也不需要太麻煩了,直接借來用用更省事。當可利用的攻擊點越多時,攻擊者可選擇的攻擊模式自然也越多。

這邊要留意的是,隨便找個野生駭客都可以直接摸掉的企業單位,資訊多已呈現半公開狀態,並不具備太高的交易價值,所以一般也較少動用到APT攻擊,會遭受到APT攻擊的單位,攻擊的難度普遍略高,能取得的有用資訊也相對較少,有時候甚至連公開的可利用資訊都難以取得,所以這時候的攻擊並不一定會由正面而來,而是由各個間接的面向慢慢地往目標匍匐前進。

在這邊分享某個企業發生的真實案例,該企業在近半年內發生了數次的資安事件,引起資安人員的關切。由於在當時整體資訊是分散的,網路攻擊、網站攻擊和內部發生的病毒事件分別由網路、程式、資安三個功能不同且獨立運作的單位進行處理,由於各個單位均將發生之事件列為單一案件,故僅止於將資訊同步,並未針對相關資訊進行串連分析深究,此時所有的處理人員並不知道企業已同時遭受從外部及內部的攻擊,該企業也針對種種案件向許多相關單位投訴求援(例如行政院國家資通安全會報技術服務中心),但由於攻擊來源的IP大多是來自於對岸內地或海外無邦交之國家,因此在案件處理上亦是遭遇到相當大的困難與阻礙,整體處理的方針也只能採取阻擋攻擊來源IP、修改程式判斷邏輯架構,以及採用防堵設備等消極的辦法。 


所有具參考價值的Log,均已被攻擊者移除,甚至嘗試透過 Disk Recovery 找出 被刪去的檔案,亦發現攻擊者採用的刪除方式是將該磁區整個覆寫(Full Wipe)

 

1. 內部遭受病毒攻擊

系統工程師在檢查各系統日常確認項目時發現某台伺服器的系統記錄(Event Log)不知何故被清空的異狀,之後陸續發現其他伺服器也有部份具有此情況,透過緊急回報處理後資安人員開始針對已發現異狀之伺服器進行徹查,在該次事件處理當中所在事件處理當中找到的病毒樣本,嘗試上傳至如Virustotal之類的線上多元掃毒中心(Online Multi-Anti Virus Engine Scanning Center),發現該些病毒樣本均無法被當下的防毒軟體有效的偵測出,透過逆向工程將編譯過的病毒樣本進行解譯,再針對解譯後的資訊,分析該些病毒所樣本感染的途徑與行為模式,因此資安人員知道目前找出的伺服器,只是後續遭受感染的跳板而非根源,當嘗試想透過受感染的伺服器殘留的資訊找出根源時,發現所有具參考價值的Log,均已被攻擊者利用特殊的方式移除以致失去應有的參考價值,甚至嘗試透過Disk Recovery想找出被刪去的檔案,亦發現攻擊者採用的刪除方式是將該磁區整個覆寫(Full Wipe)故無法復原(註1),因此苦於無法找出進入下個調查環節的線索。

2. 該企業對外提供的網路服務亦遭受長達數個月的阻斷式服務(DoS)之苦。

同時,該企業發現其網路速度出現異常之情況,同時亦接獲ISP業者通知目前正遭受大規模阻斷式服務(DDoS)的攻擊,透過Netflow監控系統亦證實網路正遭受不同IP傳遞大量封包之攻擊行為,之後嘗試截錄部份攻擊的封包,發現此攻擊行為不斷更換IP位置且隨機傳遞類型不同的阻斷式攻擊,導致對外服務持續中斷,嘗試讓企業疲於處理此問題。該企業持續的加入新的ACL(Access Control List)規則,將攻擊來源IP予以阻擋,同時也更換設備來進行防堵,但此舉動若稍不注意亦可能間接產生人為疏失,比如在較舊型的網路交換機(Switch)上設置超過某個限度的ACL,則可能造成超出限制的Buffer讓所有ACL失效導致門戶大開之問題。

3. 網站的會員中心亦遭受大量攻擊。

此事發原由來自於會員反應遭受不明IP位置嘗試登入,以及帳號遭受盜用之案件不斷提升,網站管理者調取了網頁程式的登入記錄來查看,發現有特定IP位置大量嘗試登入帳號之異常行為,針對此行為分析後,發現正遭受大量登入之攻擊,此攻擊行為乃基於一般使用者都有在不同網站,使用相同帳號、密碼的慣性,於是攻擊者便嘗試利用這種心理,透過相當豐富的帳號、密碼字典檔,針對該企業的官網上進行大量的登入攻擊。


不安全的夥伴等於攻擊者的幫兇

正當該企業陷入該如何有效的處理所發生問題的當下,卻在某個因緣際會下發現了網路攻擊的IP來源位置因阻擋而更換,所更換的位置與其所捕獲的病毒樣本資訊比對後,反連位置竟都是源自於內地的某個相同IP位址,藉由這個起點,開始針對手邊現有的資訊進行分析判斷,而文章後續的資安事件,更足以佐證種種攻擊行為均源自於相同的來源。

現今提供多元化網路服務的企業不外乎具B2B (Business to Business)的合作,而在之後資安事件發現,該企業與海外的第三方合作廠商共同管理的伺服器亦發現類似的攻擊,於該伺服器上所採取到的病毒樣本行為,與之前採樣的大致上功能相同,經過與合作廠商的資訊交換發現該廠商所遭受的攻擊來源亦是相同,在廠商的伺服器上甚至找出了未曾發現過的樣本,在針對樣本分析發現具部份可追蹤的網路指紋(註2),再透過該網路指紋於網路資源搜尋器上(如:Google、百度等)找尋後多方比對歸納出了攻擊者的資訊,該攻擊者為中國內地某駭客團體的成員之一,因此該企業可將種種資訊歸納整理報告,證明企業已遭受APT攻擊之威脅以及相關的問題改善建議。

而其實,在與第三方合作廠商溝通相關事宜時,一開始對方的態度是相當抗拒,完全不願意提供任何資訊,直到該企業從遭受感染的伺服器上,找出了來源為合作廠商IP之有利證據,與可能提出之相關法律告訴後,對方廠商才願意配合後續樣本搜查事宜,經由此案件亦學習到,針對企業本身與第三方合作廠商的服務合約需重新檢視,另外權責區分亦應區分清楚,避免有灰色模糊地帶,畢竟我們沒有辦法知道,也沒有辦法保證合作伙伴是否具備足夠的資安意識,是否那天攻擊者會透過該合作廠商間接滲透我方。

 

與合作廠商資訊交換,在廠商伺服器上找出未曾發現過的樣本,分析發現具部分可追蹤的網路指紋,並藉此搜尋找出了攻擊者的資訊。

 

串聯資訊找出資安威脅線索

進階的持續性惡意威脅,這是我們對APT的名詞解譯,顧名思義倘若企業已遭APT鎖定攻擊,此威脅將會一直存在,沒看見不代表沒發生,當所有的系統均正常運作時,企業可能早已受到APT之威脅,此時更應思考是否仍有什麼未曾注意到地方。想要發現是否已遭受APT攻擊,相對的也考驗到企業資訊人員對於事件處理的敏感程度,已發生的事件是否具連貫性,甚至還有多少威脅是存在但我們仍未發現的?在某個研討會上曾聽過一句相當實用的話,「通常知道自己失去了什麼並非是最可怕的,而真正可怕的是不知道自己究竟失去了些什麼」。

因此必須時時反思自身的系統Log搜集、保存機制是否完整?在事件發生後,該些Log可提供何種程度的參考價值?並反思企業所採用之監控架構是反完整及佈及程度是否完善?且由於APT的攻擊手法相當先進,要知道通常在駭客身上保存著為數不少,可運用於攻擊的零時差漏洞是相當合理的,在防禦上也正呼應了「沒有攻不破的系統,只有相對的比較難以入侵的系統」的說法。

因此我們必須從基礎做起,定期實際提升員工資安意識的教育訓練,APT的攻擊目標乃是自基層員工至高階主管甚至是董事長,因此具高資安意識的公司較能降低遭APT攻擊之風險,在管理面上亦需成立如資安監控中心(SOC, Security Operation Center)之類的單位,並訂定相關的SOP,如此較可在事件發生時,有效的統一資訊並擬定後續處理方案及緊急應變措施。

但我想大家在資訊業也都待一段時間了,想也知道不可能會有這麼好康的事,SIEM平台固然好用,還是有他的問題點:
1. 價格高昂:建置一套SIEM系統所費不貲,動輒百萬千萬的建置費用,加上後續的維護費用也不便宜,常讓許多企業常在聽到報價後就直接打退堂鼓了。
2. 建置難度高:再者,SIEM平台建置的服務品質需求很高,必須先對企業單位內的網路架構與IT環境有充分的了解,並商討出要收集的資訊與記錄檔,還可能會遇到各家SIEM平台無法支援部分系統的記錄檔格式,而產生客製化的需求。如果遇到的廠商能力不足或服務品質不佳,都有可能會讓你的SIEM平台漏失掉關鍵的重要資訊。
3. 維運人力:當一個SIEM平台建置完成後,維運的人力也是一個需要考量的成本;一般來說,7x24(hrs)的一線操作人員是最基本的需求,這對企業來說也會是一筆沈重的成本負擔。
4. 事件關聯分析:要能充分發揮SIEM平台的事件分析功能,必須要依據單位的環境作許多的事件關聯分析,而如何定義這些事件關聯分析的邏輯,就有賴更高階的二線(Level 2)與三線(Level 3)人員的努力了。可惜最近就業市場上具備資安專長的技術人才供不應求,一般企業要想找到具備足夠事件分析能力的專業資安人員,恐怕不是一件容易的事。

當然,如果企業IT單位的規模、預算真的無法負擔整個SIEM系統,資安監控中心(SOC)的委外代管或許是一個可以考慮的選擇。

最後,要強調的是,即便是上述建議都已經確實做到,也只能夠提高發現APT攻擊行為的機率,並無法完全阻絕攻擊的產生。由於敵暗我明的情勢加上各種反鑑識技術的普及,即便找來最頂尖的資安高手,也不見得能夠順利追蹤到攻擊的來源,有時則是好不容易追蹤出一個脈絡,卻發現只要追到位於國外的節點,就會被迫中斷而無法再往下追蹤下去。所以在APT攻擊事件中,通常我們能夠作的只是藉由事件的追蹤來評估內部損害範圍,至少先截斷攻擊者的來時路,並剿滅攻擊者現有的據點,避免惡意攻擊者一試成主顧而再三光顧。