變更密碼和移除惡意軟體並不足以化解 APT 目標攻擊

趨勢科技 TrendMicro APT / APT攻擊 / APT 進階持續性威脅/ Advanced Persistent Threat, 中小企業資安, 企業資安

APT

說到APT攻擊-進階持續性滲透攻擊 (Advanced Persistent Threat, APT) /目標攻擊,攻擊者並非無所不知。他們需要在早期階段收集資料來了解目標,他們會從各種情報來源收集資料,像是Google、Whois、Twitter和Facebook。他們可能會收集電子郵件地址、IP位址範圍和連絡人列表等資料。然後將其來製造釣魚郵件的誘餌,最終可以讓他們滲透入目標組織的網路。

一旦進入,攻擊者會開始橫向移動階段。在此階段,攻擊者會進行端口掃描、服務掃描、網路拓撲映射、密碼嗅探、鍵盤記錄和安全政策滲透測試。目標是找到更加機密的資料以及更加隱密的存取方式。

橫向移動讓攻擊者可以取得對自己有利的資料。他們現在知道了有哪些安全弱點、防火牆規則設定缺陷和錯誤的安全設備部署。他們現在也擁有了最新的網路拓撲、密碼設定和安全性政策。

他們可以利用這新發現的資訊,甚至是在他們的企圖被發現之後。在一般情況下,阻止現有和防止新的攻擊會包括移除惡意軟體和監控網路活動。但由於攻擊者已經知道網路拓撲架構,就可以嘗試新方法來輕易地取得存取權限而不被發現。

我們在早些時候發表了一篇文章詳細說明了IT管理員如何透過查看網路弱點來保護企業免受針對性攻擊和入侵外洩事件所害。在本文中,我們想要談論如何利用網路拓撲來幫助防禦企業網路以解決針對性攻擊所帶來的風險。

變更網路拓撲

網路拓撲指的是設備在網路內如何連接,不管是實體上和邏輯上。這名詞是指連到網路的所有設備,無論是電腦、路由器或伺服器。因為它也提到這些設備如何連接,所以網路拓撲還包括了密碼、安全性政策等等。

如果被當作目標的企業變更了網路拓撲,攻擊者所取得的資訊將會在攻擊中變得無用。如果不法份子試圖用舊方式來進入網路,就會被新部署的安全政策給標記。像是移動目標資料的「位置」或移動區段這樣的變化會讓攻擊者需要更長的時間來找到目標資料。這多出來的時間非常寶貴,因為它可以讓管理員有更多時間在造成任何實際損害前先偵測到惡意活動。

讓我們用圖一的網路拓撲作為例子。這個網路依賴於一個防火牆來阻擋外來的攻擊。越過防火牆後,有三台電腦,標記為PC-1、PC-2和PC-3。還有一個後端文件伺服器。

圖一、網路拓撲範例

攻擊者可以利用釣魚郵件來入侵PC-1,也就是針對性攻擊的第一步(這裡記為「步驟一」)。一旦PC-1被入侵成功,攻擊者接著會進行服務掃描。這掃描可以讓攻擊者發現其他連接的設備,包括PC-2、PC-3和伺服器。攻擊者接著可以透過暴力密碼破解來入侵PC-2和PC-3(記為步驟二)。

 

圖二、攻擊者可以(1)透過網路釣魚郵件來侵入一台電腦,然後(2)嘗試存取網路內的其他設備

當IT管理員發現這次攻擊時,他們可能會將注意力放在PC-1,因為它是第一個受影響的設備和被作為進入點。精力會花費在移除PC-1中所找到的惡意軟體。他們卻不知道攻擊者可以之後再回來,這次會用PC-2或PC-3來從文件伺服器竊取資料。 

攻擊者仍然可以「重新入侵PC-1」,只要利用新的密碼組合或暴力攻擊。IT管理員可以再一次地移除惡意軟體,但他們不知道攻擊者會一次又一次地設法進入和入侵系統。

為了解決針對性攻擊問題,IT管理員可以變更網路拓撲。透過加入另一個防火牆和代理伺服器以及改變文件伺服器的存取安全性政策就可以完成對網路拓撲的變動。新的安全政策將只允許透過新的代理伺服器來存取文件伺服器。任何直接形式的存取都會被新防火牆拒絕,而IT管理員也會收到警告。

圖三、變更的網路拓撲架構

因為攻擊者不會知道新的安全性政策和網路拓撲的改變,他將會試著從其他電腦(如PC-2)來存取文件伺服器。IT 管理員會被通知(因為新的政策),並且從PC-2中刪除任何被入侵的跡象。

攻擊者可能會試著再次滲透網路,這一次利用PC-3,他接著會需要花上很多時間來重新掃描網路。所以他有可能發現代理伺服器的作用,透過試誤學習的方式來試著存取文件伺服器。但這段時間已經足以讓IT管理員在網路內偵測到惡意活動並加以解決。

變更網路拓撲的挑戰

變更企業內部的網路拓撲將會是一大挑戰。IT管理員的普遍觀點是,變動網路拓撲是件不可能的任務。誠然,這項任務很艱鉅。變更網路拓撲會需要了解設備之間的確切連線狀況,並且更改各項細節,像是伺服器IP位址、伺服器網域名稱和用戶端網域名稱等等。此外,改變網路拓撲的細部甚至也可能會影響到整個網路的連通性。

然而,像軟體定義網路(SDN)網路功能虛擬化(NFV)等新技術可以減少變更網路拓撲的難度。管理員可以先在網路模擬器上變更網路拓樸,在使用SDN政策規則變更拓撲前先用模擬器確保變動不會帶來問題。

當然,變更網路拓撲並不是IT管理員所要用的唯一安全作法。管理員可以將變更後的網路拓樸搭配一個可以即時偵測、分析和回應針對性攻擊的安全解決方案,以強化他們網路的安全性。

@原文出處:Targeted Attack Protection via Network Topology Alteration作者:Ziv Chang(趨勢科技網路安全解決方案協理)

相關文章:

《看漫畫談資安》在家遠端工作應注意的資安重點
BlackSquid 利用八種知名漏洞潛入伺服器與磁碟,並植入 XMRig 挖礦程式
躲在系統四個月沒被發現?駭客竊取資料的五個隱身術
【2019 年資安預測 】不只是企業高層主管,變臉詐騙也將開始鎖定一般員工 (6-5)