服務支援‎ > ‎技術交流‎ > ‎專業知識‎ > ‎

5.攻擊行為-進階持續性滲透攻擊 APT

  • 什麼是 APT?
進階持續性滲透攻擊(Advanced Persistent Threat, APT)是一種最近常見的網路攻擊型態,攻擊者往往都是相當龐大且有組織的駭客集團,而並非像一般的駭客事件可由單一駭客所為。駭客集團會針對特定的攻擊對象設計一套專屬的攻擊策略,攻擊的手法除了以電腦入侵方式外,也會透過其他的傳統的手法達到竊取資料的目的(如電話竊聽等)。

  • 所謂的 APT 進階持續性威脅具有三種元素:

1.進階
   指精心策畫的進階攻擊手法。
2.持續性
   長期、持續性的潛伏、監控。
3.威脅
   APT攻擊重點在於低調且緩慢,利用各種複雜的工具與手法,逐步掌握目標的人、事、物,不動聲色地竊取其鎖定的資料。
  • APT 的歷史
2005 年時,英國及美國的一些計算機應急響應組織(Computer Emergence Response Team)發布報告,提醒人們注意某些針對性的釣魚電子郵件會釋放木馬,外泄敏感信息,但「APT」一詞還未被使用。

APT 攻擊方式
1.因一個目標開始盯上特定組織團體
2.試圖入侵到其環境中(如發送釣魚郵件)
3.利用入侵的系統來訪問目標網絡
4.部署實現攻擊目標所用的相關工具探查資料
5.蒐集機密資料
6.回傳資料給駭客

要知道,APT 不是一種新的攻擊手法,也不是可以藉由阻止或破壞一次攻擊就讓問題消失。APT 可以被視為更像是一個網路攻擊活動而不是單一類型的威脅;可以想成是進行中的過程。防毒程式可能會阻止 APT 攻擊所使用的惡意軟體,但並不意味著停止攻擊。就其性質而言,一個 APT 是一段持續的攻擊。如果一個戰術行不通,就會再嘗試另外一個。

  • APT攻擊常見的方式有三種:
1.盜版網站:吸引您點進去客製化崁入有惡意程式的盜版網站,標題通常是聳動吸引人的,或者是偽裝成與正牌網站相同的樣式。
2.惡意社交電子郵件:是 APT 攻擊型態中最常見的手法,駭客會分析您的背景和社交取向,量身訂做看起來就是要寄給您的郵件及附檔,但檔案中暗藏惡意程式,根據統計,91% 的 APT 攻擊是用惡意社交電子郵件作為進入點。
3.水坑式攻擊:駭客避開網路環境防禦機制,直接埋伏惡意程式在您常去的網站等待您執行進而受控制。

  • APT 生命週期
2013 年,美國網絡安全公司麥迪安(Mandiant)發布了關於 2004 至 2013 年間疑似來源於中國的APT攻擊的研究結果,其中的生命周期

1.初始入侵-使用社會工程學、釣魚式攻擊、零日攻擊,通過郵件進行。在受害者常去的網站上植入惡意軟體(掛馬)也是一種常用的方法。
2.站穩腳跟-在受害者的網絡中植入遠程訪問工具,打開網絡後門,實現隱蔽訪問。
3.提升特權-通過利用漏洞及破解密碼,獲取受害者電腦的管理員特權,並可能試圖獲取Windows域管理員特權。
4.內部勘查-收集周遭設施、安全信任關係、域結構的信息。
5.橫向發展-將控制權擴展到其他工作站、伺服器及設施,收集數據。
6.保持現狀-確保繼續掌控之前獲取到的訪問權限和憑據。
7.任務完成-從受害者的網絡中傳出竊取到的數據。

  • 過去知名案例
台灣最近代表性的APT攻擊事件應屬 2013 年 5 月初,行政院資通安全辦公室主動偵測發現公文電子交換網路系統(e-Client)遭駭客以有組織、有計畫的入侵,該系統主要提供我國中央與地方政府機關間公文交換作業,因此負責眾多公務機關間的公文書往來,此次遭駭客入侵引發外界對我國機密公文外洩的疑慮,但是行政院強調機密公文不會透過公文電子交換系統,故沒有機密資料外洩的疑慮,但其攻擊手法複雜與精密程度為過去罕見,推測應為駭客長期埋伏後行事。

  • HeartBleed

這個漏洞存在 OpenSSL 的 TLS/DTLS 傳輸安全層的heartbeat(心跳)擴充功能之中,該漏洞受到攻擊時會造成記憶體內容的外洩,可能從伺服器端外洩到客戶端,或者由客戶端外洩到伺服器端,因此研究人員將它命名為 Heartbleed bug,Heartbleed 也就是「心在淌血」的意思。

這個漏洞是 OpenSSL 函式庫的程式錯誤,讓攻擊者從伺服器記憶體中讀取 64 KB 的資料,利用傳送 heartbeat 的封包給伺服器,在封包中控制變數導致 memcpy 函數複製錯誤的記憶體資料,因而擷取記憶體中可能存在的機敏資料。記憶體中最嚴重可能包含 ssl private key、session cookie、使用者密碼等,因此可能因為這樣的漏洞導致伺服器遭到入侵或取得使用者帳號。

  • 如何防範
好奇心殺死一隻貓,所以對於不任意接受與自身無相關的資訊,請不要點他。
加強密碼及敏感的資安意識,防止大部分駭客攻擊。
軟體也有安全性漏洞,定期更新有助於安全性提升。
再好的雲端服務並非絕對安全,新穎裝置也不代表是安全的。
確實安裝防毒軟體,擋下大部分惡意軟體。





Comments