https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

針對性APT攻擊 已知漏洞成功率仍有9成9

2012 / 11 / 21
吳依恂
針對性APT攻擊  已知漏洞成功率仍有9成9

前言:近來APT攻擊話題被炒得很熱門,不只是媒體關注,也是由於攻擊份子在全球活躍動作的緣故。

這不是什麼瘋狂美國人的言論,這些都是真真實實發生的事情!FireEye北美區技術顧問Alex Lanstein談到近年來的美國威脅趨勢,被APT攻擊的不僅止於政府,亦有許多企業受害,當然,這些都是無法曝光的名字,背後甚至有政府的資助。

 

Lanstein說,目前可約略分成兩個群組,一是非政府組織NGO(Non-Governmental Organization),例如人權團體、協會。其二則是研究公司。前者的動機主要是政治、文化因素,可能是為了搶得先機,例如捍衛某些國家人權團體的NGO組織,針對他們隔天的發言,對方可能會想了解該如何事先因應,以及隨時掌握其動態,例如聲援達賴喇嘛的人權團體。

美國威脅趨勢:能源企業受害嚴重

其實已經有許多美國企業受害,舉凡能源公司、生化科技公司、電力傳輸、IC設計、綠能,甚至一些傳統產業,如製作塑膠、玻璃、種子配方等,Lanstein提到,尤其是能源公司受害情形最嚴重,而這並不是短時間內的事情,攻擊者持續性的竊取資料,兩年、三年直到沒有東西可偷為止,不光是偷取研發技術,甚至是大量的試驗數據,他無奈的說,真的是什麼都偷光。

左起:FireEye台灣暨香港技術經理林秉忠FireEye北美區技術顧問Alex Lanstein、。

 

其實,APT這個名詞最早是由美國空軍創造出來的詞,當時,在美國特別是談到從中國來的攻擊。其他還有很多類似的名詞,例如魚叉式攻擊或是針對性的電子郵件攻擊、連結或網站等,當然,如今也已經發現到許多國家都有類似的攻擊行為。APT攻擊的發生是非常針對性的,所以他的攻擊方式及頻率,也會隨著動機不同而有不一樣的生命週期。如我們先前談到的,有時候是出自於某些政治動機,Lanstein舉例,如西藏相關的組織就會是高風險的對象,每天被攻擊的頻率比美國政府、美國企業、銀行都還高,甚至是比台灣還高,每天都可達到數百次的攻擊,像前陣子也有這樣的新聞,西藏精神領袖達賴喇嘛辦公室的電腦被入侵和其辦公室內的一千多封電子郵件遭竊,在西藏的這個案例,新聞上被提及疑似是四川大學的大學生所為,他說,這與RSA被使用0 Day漏洞攻擊的技術與層級,又是完全不同,採用0 day弱點的攻擊可能又必須要採取更高階的技術。

 

Lanstein認為,APT攻擊是非常針對性的,因此會隨著不同的動機,如經濟、政治、軍事,攻擊也會有不同的生命週期。它可以是多面向的攻擊,不僅駭客技術有高有低,從大學生到PLA(人民解放軍, People''s Liberation Army)駭客,被入侵的對象不同、其資安防禦層級也不同。通常APT的攻擊,在初始的時候,並不一定要用什麼艱深的攻擊手法一次擊破,有可能只是送上一個連結,裡面附上執行檔,Lanstein反問,如果你就這樣打開執行檔,那我還有什麼必要大費周章,去作什麼特別的惡意文件攻擊嗎?」他認為,從比例上來說,絕大多數的APT攻擊僅是使用一些很基本的漏洞便足夠,甚至不需要使用到高成本的0 day漏洞來攻擊,這是一個成本上的議題,不需要每天都使用0 day,以他的經驗來看,採用已知漏洞的攻擊比例約有99%

 

現今對於20092010年的舊漏洞,已經越來越難被駭客拿來利用,大家已經知道該防禦PDF上的漏洞,知道要上修補程式,但現在的問題是-Java。如今企業知道要去定期更新Adobe Flash漏洞、微軟作業系統漏洞,甚至有第三方軟體來協助更新的管理,但是Lanstein說,他看到的是超過一半的惡意程式感染案例,來自於Java漏洞未更新修補,例如警告企業使用的Java版本已是兩年前的舊版本,需更新,對方可能會告訴你,我們有一個千萬美金的應用程式,必須跑在這個版本上」,買台新電腦還是換掉應用程式?有時候,安全更新與商業應用可能是互相衝突的。

 

此外,也有的企業將漏洞修補做得相當好,但仍舊面臨到一些人員資安意識的問題,例如電子郵件附檔可能是一些加密的壓縮檔或加密流量,這些都可能規避掉例行的資安檢查,甚至遇到加密檔案,人們還可能會主動去下載WinRAR7-zip解密軟體來開啟,或是人資部門、主管在工作上,常會收到重要的履歷,結果卻可能是夾帶惡意程式的PDFWord檔。不過,這並非是人們的錯,因為這是他們每天必須做的工作。今天我們面臨到的不是什麼演算法技術,而是來自人類智慧型的攻擊,因此防禦工作越來越加艱辛。

 

就如同過去中國的太監會先用銀製石器替皇帝嚐遍食物,避免中毒,Lanstein說,FireEye運用Sandbox的技術,替企業創造一個比較安全環境,在這個惡意程式進入到企業的網路前就先打開、並檢查,舉例來說,若收到一個PDF檔,FireEye就可以模擬各種環境、修補程式,先替企業將該檔案執行在各種版本的PDF開啟程式中,透過全面的測試來找出惡意程式。

 

今日,網路攻擊已經逐漸變成一種國際、商業性的戰爭,當美國企業都逐步淪陷的時候,我們是否能以此借鏡,別讓競爭力消失於無形。