通常我們都會說這一起攻擊有多麼先進和複雜,用了什麼新方法來隱藏伺服器或讓分析更加困難等等。卻很容易忘記並非所有的攻擊都是在技術上顯得很複雜;相對地,可能指的是其所用的社交工程(social engineering )或是其攻擊進行的方式。
比方說,我們在幾個月前談到Arid Viper攻擊活動,這是一起針對以色列使用者的複雜攻擊。然而,這起組織良好的攻擊和沒那麼複雜的Advtravel活動共享部分它的攻擊基礎設施。Arid Viper很先進;Advtravel則沒那麼先進。怎麼會這樣呢?針對性目標攻擊不是應該是受過良好訓練而精良的攻擊者所進行的嗎?這些攻擊者不是應該跟「一般」網路犯罪分子沒有任何共同點嗎?
讓我們來想想這問題。進行針對性目標攻擊所需要的技能跟一般網路犯罪攻擊有那麼不同嗎?從根本來看並非如此。雖然網路犯罪分子通常從像信用卡詐騙等活動中獲利,但他們也不會吝於將自己的技能用來有計畫的攻擊特定目標。如果是這樣,他們何不重複使用現有的工具呢?他們何不重複使用現有的基礎設施呢?
即使是能夠影響現實世界的「大規模」攻擊有時也會用非常簡單的工具。想想看 TV5 Monde 的攻擊事件:是用一個 VBScript 工具包所製造的惡意軟體來進行。可以在YouTube上找到如何使用的說明。要讓這工具正常運作並非難事。
這些攻擊的複雜性在於如何使用工具。利用什麼樣的社交工程(social engineering )來說服目標打開惡意附件/連結?如果一個普通的遠端存取工具(RAT)可以運作正常,就不需要用複雜的「持續性威脅」。
這些攻擊是持續性的,對企業來說想要全部加以阻止是很困難的(即使不是不可能)。攻擊者也很少僅僅是因為被阻止了一次、兩次甚至更多次就打退堂鼓。沒有一個簡單而完美的防禦解決方案能停止所有攻擊。那企業可以做些什麼呢?
企業需要認識到自己無法阻止所有的攻擊。所能做的是發現正在進行的攻擊,讓來自任何攻擊的損害被大大降低。入侵偵測系統已經不再是奢侈品而是必需品。這不儘可以防禦一般的威脅像是RAT,還可以防禦複雜的針對性目標攻擊。今日的威脅並沒有特效藥可以解決;我們必須不斷地跟上當前及未來的技術 – 無論是為了進攻或防守的目的,了解不斷變化的威脅環境以及可用的防禦措施。
@原文出處:Targeted Attacks: Not All Attacks Need To Be Sophisticated |作者:Raimund Genes(技術長)
《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》
《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。