APT详解

最近《资安人》比较关注APT攻击,而我正好也关注这个,于是在转载一篇文章。

文章依然是援引了Xecure Lab的Birdman等人的研究博文。

自2010年1月的Google极光行动(Operation Aurora)资安事件,以及至今依旧持续放炮的维基解密(WikiLeaks),都凸显一个大家最不想面对的现实,不论是外部威胁或内部威胁都几乎难以预防。我们都知道资安就是风险管理,用「有效资安投资」去「降低风险」至「可承担接受的程度」,而绝非无限上纲。


举个简单例子,根据笔者的经验,经常上网的人多半拥有10几个线上帐号(电子邮件、部落格、噗浪、网路银行、网拍等等),而很高的机会他们不会有10几组完全不一样的帐密!如果您有一套便利的密码管理方式,那就是一个有效的资安投资,因为它的便利让您的所有帐密遭轻而易举破解的风险大幅降低,而即使有一天真的某单一帐户被暴力破解成功,也不至于产生连锁效应,故风险在可承担接受的程度。但科技日新月异,可能有一天这套便利的密码管理方式被骇客恶意拦截,以至于所有帐密即使再复杂都被侧录窃取,这时它就不再是"有效"的资安投资,自然无法降低风险至我们可承担接受的程度。

 

网路里的鬼-APT(Advanced Persistent Threat,进阶持续性威胁)

 

类似地无奈也正悄然发生,过去大家普遍难以对资讯安全真正放心,但随着网路无国界、大军立马到,真正的担心才开始。细数过去造成各地哀鸿遍野,全球高达数亿至百亿美金惨重损失的病毒文件或蠕虫攻击包括CIH病毒(1998年)、Melissa病毒(1999年)、iloveyou病毒(2000年)、Code Red蠕虫(2001年)、Blaster蠕虫(2003年)、Sasser蠕虫(2004年)等等,以当今的资安防护技术,大部分的企业与个人都至少有建置防火墙与防毒软体,我们都可相当程度地免于这些以病毒或蠕虫为主的旧时代资安威胁。

 

不过「道高一尺、魔高一丈」,好人在资安意识上逐步地提升、对周遭资安建置加强部署,躲在暗处的坏人也没有闲着!他们更积极大量地利用现成工具套件来生产恶​​意程式,这几年恶意程式数量大幅激增,年年突破过去历年总数。这叫防毒厂商情何以堪?几年前X势执行长说「防毒产业骗了客户20年」,确实,传统的防毒方法太过自我膨胀,若没有病毒样本,根本不可能侦测得到。

 

整个防毒产业趋势朝云端发展,许多厂商转战云端服务,其中一个原因就是因为不可能将肥大的病毒资料库档放在使用者端,过度依赖使用者端去执行扫毒作业已是缓不济急!在「防毒产业赚了客户20年」之后,继病毒、蠕虫、木马之后,资安攻防出现新的攻击势力,网路里的鬼-APT(Advanced Persistent Threat,进阶持续性威胁),一股常驻在单位网路中阴魂不散的攻击力量!
是的,这「P(Persistent)」是APT精随,没有了这股阴魂不散,APT就跟一般网路攻击以快进快闪见长,没有两样。

APT自Google极光行动声名大噪:来自XXX的「精心策划且目标明确」的攻击

在Google极光行动资安事件中,首遭入侵的不是外部主机,而是内网桌机。当时Google员工访问某含有恶意网站,该页面载入含有shellcode的JavaScript程式码造成IE浏览器溢位,进而执行FTP下载程式,并从远端进一步抓了更多新的程式来执行(其中部分程式的编译环境路径名称带有Aurora字样,攻击方以此命名专案),随后以SSL加密通道与远端攻击方进行互动,监听窃取该机器登入Google伺服器的帐号密码等资讯,自此成功渗透窃取部分智财与重要人士帐户。回顾此入侵事件有几个环节值得大家省思:

1.为什么是这些受骇对象(该Google员工与外泄资料的关联性?)

2.为什么会进行危险动作(收到钓鱼信件导致访问恶意网站?)

3.为什么是这些资安漏洞(某老旧IE版本竟仍存在于内网且外鬼精准知悉?)

4.为什么是这些外泄资料(那些东西遭窃取?与近期有哪些商业活动或利益冲突相关联?)

夜龙(Night Dragon)行动认定APT来自中国

 
2011年2月10日,McAfee资安公司发表一份标题为「全球能源虚拟网络攻击:"夜龙(Night Dragon)"」的19页研究报告,之所以命名夜龙是隐喻这些攻击主要是来自中国。

相较于Google极光行动是内网直接遭遇突破入侵成功,夜龙行动所描述的是APT的标准攻击流程,由外往内打,层层突破:

1. 外网主机如Web伺服器遭突破成功,多半是被SQL注入攻击;

2. 受骇Web伺服器被作为跳板,对内网的其他伺服器或桌机进行侦搜;

3. 内网机器如AD伺服器或开发人员电脑遭突破成功,多半是被密码暴力破解;

4. 受骇机器遭植入恶意程式,多半被安装远端控制工具(RAT),传回大量机敏文件(WORD、PPT、PDF等等),包括所有会议记录与组织人事架构图;

5. 更多内网机器被"设计"遭入侵成功,多半为高阶主管点击了看似正常的邮件附档,却不知其中含有恶意程式。

RSA SecurID
与Lockheed Martin连锁效应:电邮夹带突破,最终一个个遭殃

2011年3月EMC的RSA遭到骇客入侵被窃取部份SecurID技术及客户资料,此战果之后在5月被用于入侵Lockheed Martin(国际与美国联邦政府主要军火供应商之一)。类似的手法大家应该不陌生,2010年7月14日针对西门子(Siemens)软体Simatic WinCC与PCS 7而来的Stuxnet木马都利用所窃取的台湾竹科园区瑞X和智X的数位签章呢!而2011年3月Comodo凭证被盗事件,或者也包刮松散不切实的凭证申请与审查机制,都让攻击方能够更容易以"合法掩护非法"来降低收件人的警戒。

在RSA SecurID资安事件中,攻击方没有使用大规模SQL注入,也没有使用网站挂马或钓鱼网站,而是以最原始的网路通讯方式,直接寄送电子邮件给特定人士,并夹带防毒软体保证不会警示的恶意文件。笔者整理RSA SecurID受骇过程如下:

     
1. RSA有两组同仁们在两天之中分别收到标题为"2011 Recruitment Plan"的恶意邮件,夹档是名为"2011 Recruitment plan.xls"的试算表;

     
2. 其中一位同仁对此邮件感到兴趣,将其从垃圾桶取出并点阅,殊不知此试算表其实含有当时最新的Adobe Flash零时差漏洞(CVE-2011-0609);

3. 该主机遭植入恶名昭彰的Poison Ivy远端控制工具,并开始自C&C中继站下载指令进行任务;

4. 首波受害的使用者并非"位高权重"人物,紧接着相关联的人士包括IT与非IT等伺服器管理员相继受骇;

5. RSA发现开发用伺服器(Staging server)遭入侵,攻击方随即进行撤离,加密并压缩所有资料(此案都是.rar格式),并以FTP传送至远端主机,又迅速再次搬离该主机,清除任何踪迹。
 

APT阴魂不散,不应等闲视之
 
资安意识与素养需要不厌其烦地提醒与讨论,相信很快地大家都会对APT朗朗上口,能体会APT攻击与技术的关联较小,它是一种阴魂不散、组织作战的型态,不再像过去乱无章法、随机攻击。近年发生这么多APT层级资安事件后,日前美国抛出将网路攻击纳入第五个作战空间,考虑将「武装冲突法」(Laws of Armed Conflict)同样适用于网路攻击来量化战争行为( Act of War),那么资讯战将不再是一场没有烟硝的战争。


文末,对于APT的侦测与防御,笔者提出个人浅见如下:

1. 正视威胁,谋定而后动。
美国已将APT防护议题拉高至国家层级,而非视为个资外泄等民生议题。

2. 工欲善其事,必先利其器。
资安防护产业也正面临挑战,APT时代的来临可能意味着难以利用蜜罐(honeypot)和蜜网(honeynet)诱捕到恶意样本,因为仅有特定人士会收到这些天上掉下来的礼物。所以关键在于如何提供便利的介面给特定人士即时自动详细检查可疑文件本身,包括文件标头、格式、内容,而非延迟至有其他受骇者或样本实验室有特征码才能有所因应。笔者举个例子,当你在Gmail收到一份PDF档案时,不要急着下载用Acrobat PDF用户端软体来开启,可试着透过线上Google Doc进行自动转档,通常如果是恶意文件,因为其格式错误不符等问题,会造成转档失败,无法正常在Google Doc中开启。

3. 正兵当敌,奇兵致胜。
现有的资安防护设备是必备的,但要赢得资安攻防的胜利是不足的,因为如同APT的阴魂不散,资安防护也要与时并进。防守方必须要体认到,当成功侦测与阻挡下APT攻击时,就意味着下次对方得换一招更狠的再来-攻击方的手法与力道会成长!那防守方呢?如果是以不变应万变,那迟早有被攻破的一天!是以,防守方务必也要持续收集与分析战情,才能知彼知己,百战百胜。

4. 安全基准,最佳实务。
实体隔离,公务公办,严禁USB随身碟任意插拔等基本要求都已推行多年,如今拜云端与虚拟化技术之成熟,这些不便的管理作业都更贴近人性,行政院研考会与技服中心也持续编撰一系列的资安参考指引,提供国人卓参。

【参考】从情报分析的高度来看APT攻击

你可能感兴趣的:(职场,apt,休闲,网络攻击,先进持续性威胁)