iT邦幫忙

2017 iT 邦幫忙鐵人賽
DAY 27
8
Security

資事體大 毒擋一面 - 資安防護深入淺出系列 第 27

[Day27] 攻擊行為-進階持續性滲透攻擊 APT

  • 分享至 

  • xImage
  •  

什麼是 APT?

進階持續性滲透攻擊(Advanced Persistent Threat, APT)是一種最近常見的網路攻擊型態,攻擊者往往都是相當龐大且有組織的駭客集團,而並非像一般的駭客事件可由單一駭客所為。駭客集團會針對特定的攻擊對象設計一套專屬的攻擊策略,攻擊的手法除了以電腦入侵方式外,也會透過其他的傳統的手法達到竊取資料的目的(如電話竊聽等)。

所謂的 APT 進階持續性威脅具有三種元素:

  1. 進階
    指精心策畫的進階攻擊手法。
  2. 持續性
    長期、持續性的潛伏、監控。
  3. 威脅
    APT攻擊重點在於低調且緩慢,利用各種複雜的工具與手法,逐步掌握目標的人、事、物,不動聲色地竊取其鎖定的資料。

APT 的歷史

2005 年時,英國及美國的一些計算機應急響應組織(Computer Emergence Response Team)發布報告,提醒人們注意某些針對性的釣魚電子郵件會釋放木馬,外泄敏感信息,但「APT」一詞還未被使用。

APT 攻擊方式

APT

  1. 因一個目標開始盯上特定組織團體
  2. 試圖入侵到其環境中(如發送釣魚郵件)
  3. 利用入侵的系統來訪問目標網絡
  4. 部署實現攻擊目標所用的相關工具探查資料
  5. 蒐集機密資料
  6. 回傳資料給駭客

**要知道,APT 不是一種新的攻擊手法,也不是可以藉由阻止或破壞一次攻擊就讓問題消失。APT 可以被視為更像是一個網路攻擊活動而不是單一類型的威脅;可以想成是進行中的過程。**防毒程式可能會阻止 APT 攻擊所使用的惡意軟體,但並不意味著停止攻擊。就其性質而言,一個 APT 是一段持續的攻擊。如果一個戰術行不通,就會再嘗試另外一個。

APT攻擊常見的方式有三種:

  • 盜版網站:吸引您點進去客製化崁入有惡意程式的盜版網站,標題通常是聳動吸引人的,或者是偽裝成與正牌網站相同的樣式。
  • 惡意社交電子郵件:是 APT 攻擊型態中最常見的手法,駭客會分析您的背景和社交取向,量身訂做看起來就是要寄給您的郵件及附檔,但檔案中暗藏惡意程式,根據統計,91% 的 APT 攻擊是用惡意社交電子郵件作為進入點。
  • 水坑式攻擊:駭客避開網路環境防禦機制,直接埋伏惡意程式在您常去的網站等待您執行進而受控制。

APT 生命週期

2013 年,美國網絡安全公司麥迪安(Mandiant)發布了關於 2004 至 2013 年間疑似來源於中國的 APT 攻擊的研究結果,其中的生命周期

  • 初始入侵-使用社會工程學、釣魚式攻擊、零日攻擊,通過郵件進行。在受害者常去的網站上植入惡意軟體(掛馬)也是一種常用的方法。
  • 站穩腳跟-在受害者的網絡中植入遠程訪問工具,打開網絡後門,實現隱蔽訪問。
  • 提升特權-通過利用漏洞及破解密碼,獲取受害者電腦的管理員特權,並可能試圖獲取 Windows 域管理員特權。
  • 內部勘查-收集周遭設施、安全信任關係、域結構的信息。
  • 橫向發展-將控制權擴展到其他工作站、伺服器及設施,收集數據。
  • 保持現狀-確保繼續掌控之前獲取到的訪問權限和憑據。
  • 任務完成-從受害者的網絡中傳出竊取到的數據。
    http://ithelp.ithome.com.tw/upload/images/20170111/201035592rO7S02TgH.jpg

過去知名案例

台灣最近代表性的 APT 攻擊事件應屬 2013 年 5 月初,行政院資通安全辦公室主動偵測發現公文電子交換網路系統(e-Client)遭駭客以有組織、有計畫的入侵,該系統主要提供我國中央與地方政府機關間公文交換作業,因此負責眾多公務機關間的公文書往來,此次遭駭客入侵引發外界對我國機密公文外洩的疑慮,但是行政院強調機密公文不會透過公文電子交換系統,故沒有機密資料外洩的疑慮,但其攻擊手法複雜與精密程度為過去罕見,推測應為駭客長期埋伏後行事。

HeartBleed

這個漏洞存在 OpenSSL 的 TLS/DTLS 傳輸安全層的 heartbeat(心跳)擴充功能之中,該漏洞受到攻擊時會造成記憶體內容的外洩,可能從伺服器端外洩到客戶端,或者由客戶端外洩到伺服器端,因此研究人員將它命名為 Heartbleed bug,Heartbleed 也就是「心在淌血」的意思。

這個漏洞是 OpenSSL 函式庫的程式錯誤,讓攻擊者從伺服器記憶體中讀取 64 KB 的資料,利用傳送 heartbeat 的封包給伺服器,在封包中控制變數導致 memcpy 函數複製錯誤的記憶體資料,因而擷取記憶體中可能存在的機敏資料。記憶體中最嚴重可能包含 ssl private key、session cookie、使用者密碼等,因此可能因為這樣的漏洞導致伺服器遭到入侵或取得使用者帳號。
http://ithelp.ithome.com.tw/upload/images/20170111/20103559FqGzRtcjo5.png

如何防範

  • 好奇心殺死一隻貓,所以對於不任意接受與自身無相關的資訊,請不要點他。
  • 加強密碼及敏感的資安意識,防止大部分駭客攻擊。
  • 軟體也有安全性漏洞,定期更新有助於安全性提升。
  • 再好的雲端服務並非絕對安全,新穎裝置也不代表是安全的。
  • 確實安裝防毒軟體,擋下大部分惡意軟體。

希望有興趣的讀者也能夠點個追蹤,有任何問題或有想多了解的地方也可以回覆在文章底下唷,謝謝你們XDDDD!

參考來源:
趨勢科技 http://blog.trendmicro.com.tw/?p=123
維基百科 https://en.wikipedia.org/wiki/Advanced_persistent_threat, https://en.wikipedia.org/wiki/Heartbleed
臺灣電腦網路危機處理暨協調中心 http://www.cert.org.tw/assets/pdf/apt.pdf
淺談社交工程與APT攻擊 https://www.cc.ntu.edu.tw/chinese/epaper/0035/20151220_3504.html
OpenSSL 史上最嚴重網路臭蟲 http://www.ithome.com.tw/news/86593


上一篇
[Day26] 攻擊行為-阻斷服務攻擊 Denial of Service attack
下一篇
[Day28] 議題探討-防毒業者的 CAS - 防毒認證
系列文
資事體大 毒擋一面 - 資安防護深入淺出31
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言