感染APT威胁无人能倖免,现在资安厂商也体认到,真正要紧的是,如何为客户缩短发现遭受攻击的时间,进而争取时效并做出回应
进阶持续性渗透攻击(APT)是一种近年来相当常见的网络攻击型态,攻击者往往是相当有组织的骇客集团,针对特定对象设计专属的攻击策略,在2016年iThome资安大会中,2天总共有53个议程里,就有11个探讨APT攻击的问题,换言之,每5个议题就至少有1个针对APT,其中像是趋势科技分析骇客运作模式的议程,更是爆满,许多人站在走道上与会,足以显示这个问题对于企业的严重性。
但进一步来看,其实所有的议题多少都与APT有所关连,像是企业的资料防护、电子邮件、高权限帐号管控、网络安全等等,想要防范骇客渗透到企业内部,这些面向也都要兼顾,我们甚至可以说是大多资安的议题,都算是APT相关的范围。
而这类的问题不容易察觉,受害的企业往往都是直到发现异常,才惊觉事态严重,那么APT攻击这颗不定时炸弹,大多会埋藏多久之后,才被发现呢?
趋势科技全球核心技术部资深协理张裕敏在大会主题演讲中指出,企业遭受APT攻击时的潜伏时间平均为559天,部分较为极端的案例则超过2,000天以上,换言之,这段从骇客最早入侵,直到企业发现受到攻击的时间,就长达1年半以上。
而专注网络威胁的Damballa公司,与针对特权帐号管理的CyberArk公司,两者提出APT攻击潜伏的时间数据,分别为170天与416天。
这些报告结果的差异,我们可以归于研究机构的样本取样的不同,但是都突显这种恶意攻击潜藏在企业的时间,普遍来说都相当长,甚至可说是短时间内难以查觉。
APT攻击手法与时俱进,需全面戒备
APT攻击手法令企业闻之色变,潜藏在内部网络的时间又长,但到底骇客们怎么入侵得手,在企业内来去自如,又不被发现呢?
趋势科技资安核心技术部门资深工程师黄浩伦指出,骇客实行这种攻击,首先要渗透到目标网络中,再来,提升控制权,以便留在这个网络中活动。直到最后,骇客将能与管理者平起平坐,取得任何有关想要得知的企业内部资料。
黄浩伦说,一般而言,想要渗透到企业或是政府组织内,骇客组织会利用鱼叉式网络钓鱼(Spear-phishing attacks)攻击,藉此进入目标单位的内部网络。这个方法,大致可分为3个任务,首先,就是要取得攻击对象的联络管道,通常对网络钓鱼来说就是具有高权限身分用户的电子邮件信箱。
再者,就是要利用社交工程攻击,让攻击目标的高权限使用者上钩,包含使用看起来像是会议出席提醒、求职者的履历表、重大的新闻,或是实用资讯(例如某个景点旅游美食一览表)的电子邮件,吸引用户开启其中的附件。
而这个附件档案也会夹带恶意程式,藉此取得使用者的权限。黄浩伦也提到骇客具有组织与管理的一面,他以Bifrost后门管理程式为例,说明骇客如何产生恶意程式、连结C&C中继站,以及查看受害者状况,而这个软体近年来也开始能够控制Windows 64位元版本,与Linux作业系统电脑,因此,使用者不能再有改用某些作业系统,就能免受APT恶意攻击的观念。
