https://newera17031.activehosted.com/index.php?action=social&chash=19de10adbaa1b2ee13f77f679fa1483a.2906&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=19de10adbaa1b2ee13f77f679fa1483a.2906&nosocial=1

觀點

網路隔離──面對目標鎖定郵件攻擊的解套

2013 / 11 / 06
林永熙
網路隔離──面對目標鎖定郵件攻擊的解套

社交工程的手法已越來越進步,不同的國家有不同的細微傾向。後面文章將介紹在法國發現的攻擊多輔之以電話,在日本發現的攻擊則在郵件來往溝通過程中特別下工夫。在以電子郵件為主,精煉的社交工程手法為輔的網路攻擊裡,駭客所使用的惡意程式除了具備感染用戶或開啟電腦後門等功能外,特別是能受遠端控制仍然是主流。此外,工業控制系統因其本身對於網路攻擊的脆弱性,持續成為駭客矚目的目標。尤其工控系統網路在連接上辦公室內網時若沒有深思熟慮,等於間接提供了駭客容易攻擊的跳板以及途徑。近來針對具有工控系統公司的駭客攻擊大多數還是針對辦公室內網,如何明確分離辦公內網與工控網路是最大課題。

不管是使用工控系統的產業或一般企業,面臨高度社交工程的目標式攻擊時,除了加強惡意程式的檢測外,做好不同網路的不同層次安全隔離,使被害電腦不至於擴散是有其必要的。

能源公司持續成為駭客攻擊目標
美國ABI調查公司的報告裡指出,能源界以及智能電網並未對資訊安全的問題有充足的應對。電力公司需要做更多的網路安全緊急應變保障。尤其因為智能電網中目前使用的工業控制系統仍然存有許多漏洞,採用的工控通訊協定沒有充足的認證機制、加密功能並且沒有設置入侵偵測系統。

從世界性的觀點來看,智能電網將會越來越容易成為網路攻擊的對象,尤其是在顧及降低成本或提高效率的思考牽引下,危險性會日益增高。在這個情況下,電力公司應當把網路攻擊安全放在電力供需計劃裡的核心部分,而不是視為可有可無的選擇。美國華爾街日報今年曾經報導過疑似為來自伊朗的駭客入侵了美國能源企業的電腦網絡。其攻擊級別已經到達這些電力/石油/瓦斯管線公司所有的工業控制系統,可直接對這些系統裡面的軟體進行某種程度的操作,而這些能源公司多在美國加拿大國界地方設有營業據點。在歐洲,例如荷蘭的Alliander、義大利的Enel SpA、德國的E.ON SE等電力為主的能源企業已經行之有年,將網路安全文化融入到本身企業裡。由美國國會主導所做的調查報告顯示,美國電力公司每個月遭受的網路攻擊最大達1萬件。接受調查的53家企業裡,有10家表示每天遭受不間斷的網路攻擊,試圖入侵公司內部辦公網路系統。

被應用於攻擊能源公司的惡意軟體-遠端控制程式
趨勢科技在其部落格裡,提到一種被廣泛使用於攻擊亞洲地區工業控制系統相關企業的惡意程式,特別是針對越南、新加坡、馬來西亞、和印度的石油瓦斯、通訊、政府機關以及媒體等企業。因為此類攻擊被發現有共同文字列[NOKIAN95/WEB],這個攻擊就被名之為Naikon

這個攻擊是典型的目標鎖定郵件攻擊,向被鎖定的目標人員發送攻擊郵件。攻擊郵件內容大多有關亞洲太平洋外交協議以引起收信人興趣,並附有惡意程式。當收件的目標人員打開附件後,即生成一個名之為[BKDR_RARSTONE]的惡意程式,此程式專門針對一個微軟老漏洞CVE-2012-0158,並在感染後從控制端C&C下載後門,直接讀取到記憶體裡。並以此躲避過掃毒軟體的檔案掃描。[BKDR_RARSTONE]是一種遠端控制程式(RAT, Remote Administration Tool),可以讓攻擊者從遠端外網來控制被感染人員的電腦。與其他遠端控制程式不同的是,它會從關於註冊表裡有關移除程式的部分,取得已經安裝到本機電腦上程式的相關資訊。[BKDR_RARSTONE]會判斷這些已經安裝的程式是否會造成執行上的麻煩,若為是,則會找尋卸載程式的方法。[BKDR_RARSTONE]與控制端通信採用SSL加密,在保證惡意通信內容不洩漏的同時,也使得惡意通信混雜於電腦用戶正常通信流裡,有效的躲避過安全監測機制。而被利用與當作C&C的域名也多採用了動態域名,增加了探索的困難度。

越來越精煉的社交工程配合目標鎖定的混合攻擊手法

法國:電子郵件加真人電話詐騙
賽門鐵克在其部落格介紹了一起使用法文的社交攻擊案例:針對目標以郵件外加電話進行攻擊。在這個攻擊裡,某法國企業的副董事長助理先收到了一封有關支付請求的電子郵件,電子郵件裡說明了發票文檔已經上傳到文件共享下載服務網站,並附上了網站下載的鏈結URL。然後在幾分鐘後,助理接到了來自某位自稱為公司另外一位副社長的電話,催他盡快處理這一件發票支付。這位自稱副社長的人士使用了完美的法語,但實際上是發送了支付請求電子郵件的攻擊實施人物,而發票文檔也是偽造的。發票文檔實際上是一個遠端控制程式(RAT),當助理點擊打開後他的電腦即受感染,開始與位於烏克蘭的控制端 C&C通訊。

如此例中所示,在針對目標人員發送目標攻擊郵件後,緊接著再針對目標人員打電話的手法在過去並不多見。企業與銀行間近來加強了未經許可的匯款安全程序,攻擊者便由社交工程方面開始著手。攻擊者在使用上述手法令公司的員工感染遠端控制程式後,便在公司內部網路找尋有用的資料,例如業務連續性計劃(BCP),從此類重要資料裡可取得與目標對象公司有匯款業務往來的銀行、電信公司的電話等聯絡資訊。

接下來攻擊者便開始一連串攻擊──佯裝為受入侵公司的負責人,打電話給電信公司,稱公司發生災害事故,令電信公司將打來的電話全部轉接到一個攻擊者設定的特定號碼。緊接著攻擊者以受害公司名義,發送一個匯款到國外的請求到銀行。銀行進行確認程序打電話給受害公司,但實際上電話卻被轉接給攻擊者,由攻擊者親自回答承認了匯款程序。由此大筆匯款便被匯到攻擊者在海外的銀行戶頭。據統計,此類以使用法文為主的攻擊行動首先接觸的多為助理人員,再從助理人員探出有匯款權限人員的同時,使助理人員的電腦受到遠端控制程式感染。受到攻擊最多的業界依序為:製造業,食品業,貨運業,家具業,汽車業等。

日本:針對業務窗口多次郵件溝通往返
與上述法文案例相比較,日本近期出現的多層次社交工程則循一個不同的發展:針對非典型目標(指針對特定業務窗口而非特定人) 加上往返數次的郵件溝通對話,以增加攻擊目標對惡意程式的點擊感染率。

許多企業在網頁上都有設置對外聯絡窗口,將電話號碼以及電子郵件地址公開,而這些資訊便成為了攻擊者絕佳的入口。例如某大企業,其對外設有業務窗口,並將連絡資訊公佈在網站上,攻擊者便偽稱是學校單位,要對採買設備進行評估。攻擊者在前面幾封電子郵件裡並不會馬上附上惡意程式的附件,而是在與目標企業承辦人進行了數次郵件來往溝通後,才以「購買清單文件檔」等名義,附在郵件上誘導承辦人點擊開啟,使其電腦進一步感染惡意程式。

據日本警察廳統計,2013年上半年的目標攻擊郵件趨勢從【散播】類型轉向【溝通對話】類型。攻擊郵件的數量也有變化,從2012年上半期的552件,下半期的457件,減少為2013年上半期的201件。過去的散播型,使用的手法是針對一個以上的組織機關重複發送同一個話題內容的目標攻擊郵件,2012年佔了整個目標攻擊的88%。

新出現的溝通對話型攻擊不會對攻擊目標在第一封郵件就馬上附上惡意程式,而是在進行數次業務相關之郵件對話以後,讓目標收信人放鬆警戒心後,再附上惡意程式。就數字上來看,2012年此類溝通對話型攻擊只有兩件,而2013年光是上半年就增加到了33件。郵件的溝通對話內容超過一半是有關與企業員工招募與寄送履歷,約三成是有關於產品的詢問以及產品缺失報告。惡意程式主要佯裝為履歷表、詢問函、缺失報告等文件檔。溝通對話型攻擊中遭受鎖定的郵件地址,有八成以上是在機關組織企業等的網頁上公開的。此類電子郵件的收發信,最好使用專用的電腦進行、安裝好安全軟體,並與公司內部網路進行某種程度的隔離以防受到感染時擴散到其他電腦

對於目標郵件攻擊中被使用的惡意軟體檔案形式,統計中發現約半數為壓縮檔,依序是 ZIP, LZH, RAR。LZH格式比例明顯增加,此格式在日本較多人使用。這些壓縮格式的文檔解壓縮後,約有9% 會生成執行檔exe。除了壓縮檔,微軟的 excel格式為33%,word格式 10%, 執行檔 4%, PDF 2%, 一太郎jtd為1%(編註:一太郎為日語文字處理系統,在日本市佔率僅次於微軟MS-Word),其中excel格式明顯增加,特別是被利用來佯裝是同學名冊或者是住址一覽。

結語
舉凡系統都是輔助人的工具,由人來進行操作,因此「人」的漏洞是最低成本最容易攻擊的部分。從上述例子可知,高度的社交工程攻擊已經加強到人直接對人的接觸,比如電話,比如電子郵件的來往。在企業機關裡最常接觸外部人員的,例如業務助理以及客服人員,應當更加強資訊安全訓練,提高安全意識,以使企業機關資訊安全防範體系達到完整無縫。

本文作者為日本電腦網路危機處理暨協調中心分析員