自從上個月超級間諜病毒Flame被爆出後,其罕見的手法與複合式的攻擊能力讓各方資安專家嘖嘖稱奇,包括內建一個SQLite資料庫,可以快速比對後選擇模組化攻擊武器,使用遊戲軟體常用的Lua script來存取這個資料庫,以及冒用微軟發出的數位簽章來騙取信任…等。因此,如何防禦此類狡詐的目標式攻擊、APT攻擊的解決之道又再度成為熱門話題。
台灣向來是各種惡意程式樣本最新、罕見樣本數最多的蒐集地。Xecure Lab研究團隊指出,過去在台灣所觀察到的各種目標式攻擊當中,駭客製作的惡意文件最常是利用PDF漏洞,但隨著Adobe漏洞修補速度的改善,截至2012年6月底為止,PDF惡意文件已降至6.9%,反而是微軟RTF文件急速上升至51.4%。為了規避各種資安工具的偵測,這些惡意文件通常也會加密,據Xecure lab統計,加密的惡意文件數量比起去年已有3倍之多。
許多被鎖定攻擊的單位往往後知後覺,要到數周甚至數月後才知道已成為標靶。然而會被鎖定攻擊的絕不只是政府機關,大家還記得去年韓國現代資本公司(Hyundai Capital)外洩了170萬筆客戶個資後,沒多久駭客就上門來勒索贖金。而韓國農協銀行也是另一個APT的例子。擁有個資或機密資料的大型企業都是攻擊標的。
面對目標式攻擊,不能只靠單一產品。Fortinet資深安全策略顧問Derek Manky認為企業應該要建立一套事件處理應變機制,建議可以從以下方面思考:1.完善的計畫:有效的解決方案加上政策以及定期的使用者教育訓練。2.與資安廠商緊密合作:暢通的溝通管道,獲得各種威脅的即時更新。3.了解APT事件的細節:包括提供log 檔讓資安顧問深入事件背後做鑑識調查。
Xecure lab也提醒資安人員在處理APT攻擊事件,不是清理掉受感染機器就沒事,應該有追根究柢的精神,追查中繼站,了解這些攻擊途徑是從哪裡連到哪裡,掌握其溝通管道。才能避免一直成為被搶點數的寶地。