APT(Advanced Persistent Threat)讓人聞之色變,然而因其包含範圍可廣可窄,有時難免出現名詞使用不當的狀況,在混餚問題的同時也造成問題的嚴重性得不到理解。在〈日本間諜攻擊事件簿 尋求國際戰爭合作〉一文中,我定義了APT是『針對特定的組織或個人,組合各種手法對其實施持續的攻擊,以獲得所要資訊/文件的間諜行為』,又簡稱目標間諜攻擊。目標間諜攻擊(APT)的對象,除了針對國家層級安全單位,也包括牽涉到經濟利益的企業組織或是政治關係個人。
目標間諜攻擊(APT)有很大一部分利用了IT技術,對於現代企業來說,IT使用已經成為不可或缺的一部分,而在不斷追求業務改善的壓力下,不管是硬體的IT元件或是軟體的IT系統皆以飛快的速度被各個內部部門不斷更新,然而企業的IT部門負責人,對自家企業所擁有的IT資產,例如:電腦、伺服器、筆電、路由器、防火牆與行動裝置…等各種硬體元件,到底處於何種運作狀況下,能夠有把握回答出來的可說少之又少。
由於駭客發動APT攻擊的最終目的,絕大部分是想要竊取企業組織所擁有的資訊資產,多數企業雖然都體認其所擁有資訊資產的重要性,但是對於這些資訊資產到底是保存在公司哪些IT設備裡卻不夠清楚,也沒有一覽清單。
再加上企業內部資訊系統連結了各種人為及系統活動,且日趨複雜化,這些系統經常被要求具有開源性以及提高跟其他系統的相互連接性,使不同系統間更容易連結運作,但同時也導致人為失誤更容易發生,系統複雜性加上人為失誤發生機率高,無疑也給了攻擊者更多有機可乘的機會。
由此看來,企業資安負責人正面臨前所未有的艱難問題,為了防堵APT攻擊,其至少要先檢討分析以下各個項目:
- 企業內部網路
++檢視網路各個層次(layer)所有可能的漏洞,並實施因應對策;
++強化網路邊界安全,例如VPN接入、以及登入時認證技術的安全;
++定期檢視防火牆、入侵偵測系統有無規律運作;
- 把握最新威脅資訊,包括最新發布的漏洞訊息、最近發生的網路攻擊事件…等;
- 定期實施員工教育訓練,將遭受社交工程攻擊可能性降到最低;
- 有效記錄log,進行自動監視與定期分析。
分段檢測防禦社交郵件的能力
APT攻擊分成很多個階段,第一個階段通常是由社交工程電子郵件開始,針對此類目標式電子郵件的防護,可分成以下4個部份:網路入口、惡意程式檢測、收信員工社交演練及網路出口。
1. 網路入口段:也就是防火牆、入侵偵測系統…等,這對目標式電子郵件攻擊所能發揮的阻擋能力有限。
2. 惡意程式檢測段:APT攻擊在一開始,通常會先寄送目標式電子郵件,並夾帶具有零日漏洞攻擊的文件檔,收信者一旦開啟文件檔,惡意程式就會穿過防毒軟體檢測而感染郵件收信人的電腦。惡意程式檢測專門產品是針對防毒軟體偵測不出來的惡意程式做檢測,通常會利用沙盒分析或檔案比對等技術,可確認郵件附檔究竟是正常或惡意文件,不同廠家的產品擅長檢測對象不同,因此在採用前應收集充分樣本進行測試。
3. 接收人社交演練段:針對可能收到目標式郵件的收件人進行攻擊模擬演練。
4. 網路出口段:若上述3段防線皆被突破而使收信者電腦受到感染,在感染源開始與外界控制端(即C&C中繼站)通信時,即時阻斷連外通信,此部分若能配合下述的指標情報(特別是網路指標情報),成效更大。
值得一提的是,企業在規劃網路防禦機制時多著重入口檢測,比較沒有考量到偵測內網的惡意行為,使得入口端一旦沒有擋住攻擊,內部便等同於開了個大洞,完全曝露在攻擊者控制下,尤其是從網路內部發起的對外通信,以往多被認為是安全可信賴的,也就不會想去作防禦檢查。因此,企業資安人員必須對內部系統進行宏觀檢視,將目前偏重於網路入口防護的策略,擴大至網路出口防護,如此萬一第一階段被突破入侵,第二階段還能夠檢測、阻擋攻擊。
聯合受害者 找出APT攻擊指標
企業在模擬網路攻擊對策、分析可能威脅的同時,需要有實際攻擊案例來做參考,防禦對策才會更有效,而APT往往潛伏在水面下默默進行攻擊,要檢測已非常困難,加上受到攻擊的組織少有機會將攻擊內容分享到自身以外的組織,也就更難把握攻擊受害現況。因此必須在不同企業間建立資訊共享機制,共享APT攻擊中非常重要的指標情報(Indicator),以評估攻擊事件發生時對企業造成的影響。
目標間諜攻擊事件並非一般病毒感染,而是靜靜滲透至企業內部以竊取重要或機密資訊,所以相同攻擊手法對於不同組織帶來的威脅也就不同,然而,在背後操縱APT的駭客集團有其攻擊藍圖,往往選定複數以上的企業成為攻擊對象,使用相同手法發動攻擊,既然手法相同,便有一連串攻擊參數資訊是一樣的,對於受到同樣攻擊的企業來說,若能及早獲得這些攻擊參數,就可有效達到「提早發現沉在水面下攻擊」的目標。
此類參數資訊又稱作指標情報(Indicator),共分成網路、檔案文件、系統以及電子郵件4種,說明如表1。這些資訊在經過整理評估以及資訊所有者的許可後,經由共享機制,分享給可能成APT攻擊對象的組織企業,只不過建立共享機制非一蹴能及,需要謹慎規劃,以下介紹日本在這方面的做法。
表1、APT攻擊指標情報
|
種類
|
說明
|
|
網路
|
A.網頁請求中包含的參數名以及路徑名
B.感染惡意軟體後進行通信的域名或IP
|
|
檔案文件
|
A.檔名與路徑
B.檔案文件MD5 Hash值
|
|
系統
|
A.登錄檔(Registry)
B.服務(Service)名稱
|
|
電子郵件
|
A.郵件標題名稱
B.郵件附檔名稱
|
資料來源:本文作者整理,2013/5。
日本由政府/團體出面 共享APT攻擊資訊
日本經濟產業省在2010年12月,發起由業界專家學者組成之「網路安全與經濟研究會」,再次強調組織間資訊共享的必要性,並針對可能阻礙資訊共享的二個問題提出討論:
1.檢討如何進行資訊提供者以及機密資訊的匿名處理;
2.組成有效的資訊共享社群,使機密資訊得以在不公開前提下,在成員間安全共享;目標攻擊往往針對特定行業,因此在同行成員間進行資訊共享應當可達到最大效果,但同時這些成員在一個市場裡同時也處於互相競爭的關係,因此,成員組織必須建立共識,在保證不損害成員企業利益的大前提下,進行攻擊資訊共享。
在經產省協助下,日本情報處理推進機構(J-CSIP)開始推動APT攻擊資訊共享機制,設置了以下幾個產業SIG,分別是:重要基礎設施元件製造商SIG、電力產業SIG、瓦斯產業SIG、化工業SIG以及石油業SIG,在各個SIG內部共享資訊的同時,也在不同SIG之間進行共享。
而日本警察廳也在2011年8月組成Cyber Intelligence Information Sharing Network,約有4,900個企業參加,主要任務是蒐集目標式郵件攻擊事件,在2012年間就已確認了1,009件攻擊事件,而且從近期攻擊事件可看出攻擊者下了更多功夫,以下列出幾個近期發現的社交郵件手法:
1. 循序漸進,騙取收件人的信任
為了取信收件人,改變以往直接寄送附有惡意程式郵件的作法,而是先發送數次普通的業務聯絡信,使收信人放鬆警戒心後,再寄出附有惡意程式的郵件,提高收件人打開附檔的機率。
2. 利用官方網站上的公開信箱
(1)偽裝成求職者,寄送攻擊郵件給HR
首先,攻擊者在目標企業的官方網站上找出人事聯絡用E-mail,並寄發一封主旨為「有興趣應徵XX職缺」的電子郵件,並針對回信者佯裝寄送履歷表,其實是一封附上惡意程式的攻擊郵件,惡意程式設有壓縮密碼保護,且不會直接告訴收信負責人密碼,而是在和收信人反覆用郵件溝通數次後才告知。
在日本警方蒐集到的APT攻擊案例中,有好幾起是將具有攻擊代碼的惡意程式埋設在履歷表中,而攻擊者也下了一番苦心,在惡意程式履歷表裡附上真的履歷表,使打開附件的收件人對於受到攻擊毫不知覺。此次案例中惡意程式有壓縮密碼保護,惡意程式本身為一個圖畫檔,利用RLO(Right-to-Left Override)偽裝成WORD文件檔,而且寄件者以日文名字申請免費電子郵件信箱服,再用這個信箱發出一連串的電子郵件,由於在其他重要基礎設施企業中,也發現了來自同一個寄信人地址的郵件,故對相關企業發出了預警。
(2)偽裝成告發者
攻擊者同樣先找出目標企業網頁上公開之郵件聯絡地址,偽裝成要「舉發內部事件告發」,針對回覆郵件的人寄送惡意程式攻擊郵件,其手法如同上述,只是郵件主旨不同。
3. 利用新聞話題
攻擊者利用日本政權替換的時機,針對數個不同產業的企業發出一封「偽稱總理就任記者會」的目標攻擊郵件,郵件發信人偽裝成政府機關,郵件本文為記者會發表內容,附件的惡意程式依然有實施壓縮密碼,壓縮形式為RAR,而隱藏在裡面惡意程式文件檔的文字碼顯示為中文。
另外還有一個攻擊案例是利用了島嶼主權紛爭的話題,攻擊者同樣偽裝成政府機關人員,以「島嶼所有權之基本見解」為主題發出攻擊郵件。此次攻擊在其他的民間企業亦有發現,尤其是有承包政府機關業務的企業更是主要目標。
目標間諜攻擊是「具有明確目的,鎖定同一目標持續進行一連串間諜攻擊活動」,在分析此類攻擊時需要跳脫傳統分析惡意程式/病毒的想法,在分析入侵路徑、攻擊手法、洩漏哪些資訊…等的同時,應當站在『針對特定目標進行持續駭客行為』的觀點。
這類駭客行為導致的是人員、系統、業務流程的崩盤,最壞情況下導致的是組織的崩潰,尤其是敵暗我明,攻擊者在明確的目標任務下,常常選定數個攻擊目標進行攻擊,因此,受害組織應該進行橫向的聯合合作,例如上述日本組織進行攻擊指標資訊分析交換的做法,才有辦法畫出攻擊藍圖,針對「到底什麽樣的資訊會被偷?」與「到底攻擊者是誰?」進行明確的驗證與探究,弄清楚在背後實施攻擊的組織集團,其真正意圖、利益點與在何處得到攻擊所需要的資源,這樣才能夠採取正確有效的防衛/防範措施,而非現今破了一個洞就姑且先把洞補起來,表面上平靜下來了就認為問題已經解決的不得已做法。
參考資料:
1. Comment Crew: Indicators of Compromise
2. サイバー情報共有イニシアティブ(J-CSIP)2012年度 活動レポート
3. 「メールをやり取りして信用させる」――巧妙化する標的型攻擊
4. 平成24 年中のサイバー攻撃情勢について