iT邦幫忙

2022 iThome 鐵人賽

DAY 4
1
Security

做IT必備的資安觀念!手把手帶你攻防實戰系列 第 4

Day 4 : 觀念篇 - 常見的資安攻擊類型有哪些?

  • 分享至 

  • xImage
  •  

大家好,這篇要來和大家聊聊資安的攻擊類型有哪些

(本篇目前有兩個地方需要再細查資料,所以目前有缺,待查清理論後會再補上(我不想誤人子弟R),最晚會在2022/10/10(一)前完成,此聲明刪除代表內容已補齊,造成不便請見諒QQ)

在知道怎麼應對前,總是要先知道敵人怎麼攻擊的
就像神奇寶貝裡的小智,每次遇到沒打過的神奇寶貝,都會先用圖鑑機看他的技能、屬性等,這樣才知道怎麼打贏他

目前的攻擊手法千奇百怪,所有東西都有可能是被攻擊的目標

常見的攻擊類型可分成以下幾種:

  • 惡意軟體
  • 網路釣魚(Phishing)
  • 中間人攻擊(Man-in-the-middle attack,簡稱MitM)
  • 分散式阻斷服務攻擊(DDoS)
  • SQL注入攻擊(SQL injection)
  • APT攻擊(Advanced Persistent Threat,進階持續性威脅,簡稱APT)
  • 零時差攻擊(Zero-Day Vulnerability)
  • 跨網站指令碼攻擊(Cross-site-scripting,簡稱XSS)

1. 惡意軟體

這裡指的是病毒、蠕蟲、木馬程式、勒索軟體、廣告軟體等具有惡意的有害軟體

像「鍵盤側錄」就是一種常見的惡意程式,他最初是為了合法的目的而設計,但後來被 hacker 拿來做非法用途,竊取密碼或銀行帳戶等
它通常會偷偷的和合法的程式一起被安裝,受害者幾乎不會發現自己的鍵盤已經被監控了,所以在下載程式時要格外的小心


2. 網路釣魚(Phishing)

他是一種網路詐騙手法,利用假訊息、偽裝網站、社交工程等,藉機騙取受害者的帳號密碼,或植入惡意程式到受害者的電腦裡

網路釣魚有很多攻擊手法,常見的有以下幾種:

  • 社交工程
  • 網頁偷換行為(Bait & Switch)
  • 點擊劫持(Clickjacking)
  • 水坑攻擊(Watering hole)
  • 瀏覽器中的瀏覽器(browser-in-the-browser)

(1) 社交工程

假設 hacker 今天假冒成海綿寶寶,寄了一封mail給派大星,並在mail放了惡意程式在附件裡,這時派大星以為是海綿寶寶寄的,就不以為意地打開了附件(然後派大星的電腦就中毒了)

社交工程通常是透過mail進行,不過近幾年也有在FB、IG等通訊軟體上出現

之前FB很流行被盜帳號,連我朋友也有受害,hacker 使用他的帳號,向他所有的朋友發了一則社交工程的訊息,誘拐你點那個連結
你如果真的點了那個連結,hacker 就會取得你的密碼(然後你就跟我朋友一樣被盜了)

附上我和我朋友的對話
https://ithelp.ithome.com.tw/upload/images/20220927/20141088nc8wy3NEIb.jpg

(2) 網頁偷換行為(Bait & Switch)

它是使用「廣告」吸引人點擊,藉此讓受害者進入惡意網站,再使用其他攻擊手法(ex:點擊劫持、瀏覽器綁架)進行攻擊,所以也稱誘餌行為

(3) 點擊劫持(Clickjacking)

在使用者瀏覽網頁時,誘騙使用者點擊或誤觸按鈕、框架等,進而去追蹤使用者的鼠標或鍵盤的操作狀況

(4) 水坑攻擊(Watering hole)

是指hacker預先判斷受害者會使用哪些網站,再利用惡意程式嘗試入侵該網站,這樣受害者下次點進這些遭入侵的網站時,就會成功被感染到惡意程式

(5) 瀏覽器中的瀏覽器(browser-in-the-browser)

是指hacker做一個假的帳號登入彈跳視窗,進而騙取受害者的帳號密碼
這些視窗看起來就和真的沒兩樣,就連一開始騙你點擊登入的偽造網站也是,它可以偽造SSL憑證,讓受害者誤以為這是合法的網站
https://ithelp.ithome.com.tw/upload/images/20220920/20141088fqYcuka12q.png
(圖片來源:https://www.4gamers.com.tw/news/detail/55066/a-new-browser-in-the-browser-attack-threatens-steam-users)


3. 中間人攻擊(Man-in-the-middle attack,簡稱MitM)

是指利用攔截的方式,監視受害者在網路上的一舉一動,就像在偷窺、偷聽一樣,必要時也可以對傳遞的資料進行竄改,所以又稱竊聽攻擊

舉個例子,假設海綿寶寶和蟹老闆在手機上討論美味蟹堡的祖傳秘方,結果因為皮老闆也想知道,就使用中間人攻擊介入他們的對話,此時他們互相傳遞的資訊都會被皮老闆看到
https://ithelp.ithome.com.tw/upload/images/20220920/20141088Niuf8WLAYt.png

而中間人攻擊有很多種攻擊手法,常見的有以下幾種:

  • DNS欺騙(DNS spoofing)
  • 假冒無線熱點(Fake WAP)
  • Cookie竊取/連線劫持(Sidejacking/Session Hijacking)

(1) DNS欺騙(DNS spoofing)

這裡我們拿 iThome 的網址當例子,每當我們要連ithome.com.tw時,都會先發一個請求給DNS server,而DNS server會將ithome.com.tw轉換為 IP 位址並回傳,這樣我們在連ithome.com.tw時,就會連到這個 IP 位址的網頁伺服器

所以,DNS 就是「將數字組成的 IP 位址轉換成我們人類好記住的名稱」
(ex:35.72.101.72 > ithome.com.tw)

DNS 欺騙,則是指 hacker 在此傳遞過程中介入,並在DNS server回傳 IP 位址時,假冒成DNS server回傳一段假的 IP 位址,讓使用者在連接ithome.com.tw時,被導去 hacker 的惡意網站

以下方例子來看,此時代表 ithome.com.tw 的 IP 位址是 192.168.2.129,而不是原本的 35.72.101.72

(2) 假冒/窺探無線熱點

現在走到哪都有免費網路能使用,譬如.1.Free.WiFiiTaiwan等,在便利商店、機場、飯店等都會看到
但使用這些這些公共網路其實非常的不安全,因為 hacker 可能會入侵、偽造這些 WiFi

當你連上後,hacker 就能看你在網路上的一舉一動,包括你瀏覽過的網頁、輸入過的內容,趁機竊取你的機密資料,甚至是強迫在你的設備上注入病毒、惡意軟體

所以在外應盡量避免使用免費網路,如果真的需要使用,要避免訪問機密的資訊(如購物、繳費、網路銀行等),並看清楚網路名稱是否有錯,如iTaiwanITaiwan(小寫i變大寫I


4. 分散式阻斷服務攻擊(distributed denial-of-service attack,簡稱DDoS)

它是阻斷服務攻擊(denial-of-service attack,簡稱DoS)的強化版,因為舊版的DoS只能「一對一」的進行攻擊,而DDoS則可以「多對一」

舉個例子,大家有沒有搶演唱會門票,結果搶到官網當機的經驗呢?
其實這就是DDoS的一種,因為有很多台電腦「同時間」對同一個伺服器進行連線,造成伺服器變慢或無法負荷

DDoS大多是發送大量的無效請求,使得系統的功能癱瘓或資源耗盡,導致伺服器中斷服務,其攻擊可分為以下兩種:

  • 寬頻消耗型攻擊
  • 資源消耗型攻擊

5. SQL注入攻擊(SQL injection)

指的是透過修改SQL指令,改變他的語意,藉機取得/竄改資料

舉個 IThome 的登入例子,假設你現在想要登入你的帳號,那你勢必要先輸入你的帳號密碼
https://ithelp.ithome.com.tw/upload/images/20220919/20141088hqmV5lmW0L.png

這時要先到資料庫裡看你是不是有註冊過,才會讓你成功登入
那SQL語法就會是:SELECT * FROM UserTable WHERE account = '{ UserTest }' AND passwd = '{ test20220919 }'

那我們要如何成功登入呢?就是要讓這段 SQL 語法為 true
為 true 的關鍵在於 WHERE 的判斷式,此時把帳號密碼皆改成' OR '1'='1
(這邊只是舉例,請勿跟著實作,因為你也不會登入成功)
https://ithelp.ithome.com.tw/upload/images/20220919/20141088AX65rKzsQr.png

此時SQL語句會變成:SELECT * FROM UserTable WHERE account = '' OR '1'='1' AND passwd = '' OR '1'='1'

:咦?這樣就能成功登入了嗎
那當然,你看 WHERE 判斷式的地方都成立了,怎麼可能不讓你登入
但這僅限於沒有做好資安防護的登入網站,像 IThome 怎麼可能讓你這麼輕易就登入成功


6. APT攻擊(Advanced Persistent Threat,進階持續性威脅,簡稱APT)

是指針對特定組織所作的持續、複雜、且採取多種手段的網路攻擊,像是使用惡意軟體、弱點掃描、針對性入侵等,或是使用傳統手法來達到竊取資料的目的(ex:電話竊聽),是最近的攻擊趨勢

它持續的時間小至一天,大至幾個月、幾年都有可能,是長期且多階段的攻擊方式,通常不會是單一駭客所為,而是規模相當龐大的駭客集團

你可以把 APT 想像成長期在進行攻擊的網路活動,而且它很難防,因為它可能包含多種類型的攻擊
hacker 會先鎖定好目標,再透過長期的觀察分析,進行專門的客製化攻擊,不像蠕蟲或後門程式只會做一兩次攻擊


7. 零時差攻擊(Zero-Day Vulnerability)

指在開發方還沒發現或尚未修補這個漏洞時,針對這個漏洞去進行攻擊

舉個例子,海綿寶寶有一集是章魚哥玩夾娃娃機夾到一隻娃娃,結果有個小男孩沒夾到,章魚哥就立刻上前問他:你沒有夾到娃娃嗎
https://ithelp.ithome.com.tw/upload/images/20220920/20141088yuosYftSfN.png

結果小男孩很難過的說沒有
https://ithelp.ithome.com.tw/upload/images/20220920/20141088uBEj8nbjAu.png

然後章魚哥就像吃到慶記一樣,嘲笑小男孩是輸家
https://ithelp.ithome.com.tw/upload/images/20220920/20141088o8fH8Ab0qG.png
https://ithelp.ithome.com.tw/upload/images/20220920/20141088MUElOOZ5Jb.png

這道理其實跟零時差攻擊一樣

小男孩因為沒夾到娃娃所以心情很sad(發現漏洞)> 章魚哥立刻上前詢問,並且嘲笑他是個輸家(對漏洞進行攻擊,企圖使他受到更大的傷害)


8. 跨網站指令碼攻擊(Cross-site-scripting,簡稱XSS)

是指注入html、javascript等惡意代碼在某網站上,再經由網路釣魚去發布此網站,而受害者點擊該網站時就會被這些惡意代碼攻擊

而XSS攻擊可以再區分成三種:

  • 反射型XSS(Reflected Cross-site Scripting)
  • 儲存型XSS(Stored Cross-site Scripting)
  • 基於DOM的XSS攻擊(DOM-based XSS Attacks)

以上就是今天的介紹,希望大家看完能更了解資安有哪些攻擊手法


上一篇
Day 3 : 觀念篇 - 資安入門該知道的資安基本概念
下一篇
Day 5 : 觀念篇 - 資安裡常說的密碼學是什麼東西?
系列文
做IT必備的資安觀念!手把手帶你攻防實戰30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言