企業在規劃網路防禦措施時,務必要將全面的威脅現況納入考量,包括持續進行中的威脅以及新興起的資安問題,如此便能建立更為全面的資料防護方針。
雖然近來並沒有躍上太多新聞頭條版面,但針對性攻擊/鎖定目標攻擊(Targeted attack)仍持續對當今的企業造成威脅,負責企業資安的人員務必牢記有這個潛在風險。
鎖定目標攻擊有何特殊之處?
網路威脅犯罪者現在所用的策略,複雜精密程度前所未見。這些駭客並不僅是亂槍打鳥,希望有機會釣上大魚;目標式攻擊是更先進網路犯罪手法的一環。
與其他類型的滲透入侵不同,目標式攻擊是犯罪者鎖定某個特定受害者作為目標,緊追不放,在保持匿名的狀態下入侵目標的基礎架構。這種方式讓駭客可以運用特定的惡意程序組合和順序來侵入目標的底層系統,找出珍貴的資料,並將這類資訊移至駭客控制之下的系統。
根據趨勢科技的研究報告「瞭解目標式攻擊:六大組成」,當出現下列情況時,便在目標式攻擊的範圍內:
- 涉及具體確定的目標,行事高調的個人或企業都包含在內。潛藏在威脅攻擊幕後的犯罪者會花費大量的時間、心力和資源,緊咬特定的目標不放。
- 滲透基礎架構,以竊取資訊資產和智慧財產。若將資料賣給黑市或用於詐騙,即可讓駭客賺上一筆。
- 駭客緊迫盯人持續攻擊目標。趨勢科技發現,發動此類滲透攻擊的網路攻擊者會耗費必要的時間心力來執行資料外洩的階段。
趨勢科技研究人員於報告中寫道:「駭客犯罪集團越來越會特意挑選目標,少量偷竊相當特定的智慧財產、收集交易秘密、挖掘珍貴的客戶資料。為達成目標,攻擊者不但會將心力專注於特定的產業,還會針對特定企業,包括駭客想要欺騙的特定個人,以協助他們入侵目標的網路。」
鎖定目標攻擊的六個階段
除了關係到持續鎖定特定目標的駭客之外,這類攻擊的定義也包含了駭客為確保得手而採用的特定階段流程。目標式攻擊的各個階段如下:
- 收集情報:由於駭客願意投入必要的時間心力來確保能夠成功竊取想要的特定資料,所以他們會從堅持不懈的收集情報開始,盡可能收集目標和目標使用的系統的詳細資料。網路犯罪者會尋找公司基礎架構技術的相關資訊、具有潛在鎖定和詐騙可能性的員工資料,以及該公司儲存的資料類型。駭客甚至還會進一步找出目標和其他公司之間是否有特別的合作關係,藉以規劃駭入的路線,惡名昭彰的 Target 零售商資料外洩即是一例。
- 找出入侵點:情報收集完成後,駭客會找出可以用來入侵受害者系統的入口。這個階段會使用到各種策略,例如發送乍看合法實則網路釣魚詐欺的電子郵件、附帶著惡意程式的附件、監控熱門網站以伺機發動水坑攻擊,也可能在受害者的平台上建立後門,一旦在實體的基礎架構中有被發現的風險,就可以逃之夭夭。
- 建立命令與控制伺服器:發動攻擊之前,駭客必須建立一個可以將竊取自受害者的資料外洩出去的地方,必須使用 C&C 伺服器,其為在駭客控制之下的外部系統。趨勢科技發現,有些攻擊開始利用受害者系統內部的機器當作中介 C&C,也有可能被用來協助將惡意感染散布到公司的整個基礎架構之中。
- 運用橫向移動:這種策略可讓駭客在攻擊時隱藏身分,並靠著使用實際的系統管理員工具來掩飾惡意攻擊的蹤跡,讓公司難以找出 (但並非不可能) 有關目標式攻擊的可疑活動,藉以拖慢反應速度,爭取更多時間竊取敏感資料。幾乎在攻擊的每個階段都會出現橫向移動這個程序,能確保駭客在將竊取的資料外洩出去前不被發現。
- 維持運作:根據趨勢科技的資料顯示,最成功的目標式攻擊案例中,駭客都長期駐守在受害者的基礎架構裡。
趨勢科技研究人員表示:「如同其他工作,駭客也必須對進展中的攻擊進行維護,使其正常運作。維護工作包括使用不同的後門和 C&C 伺服器,或使用修補程式來確保其他攻擊者不會同樣使用到該場攻擊所用的弱點。」 - 資料外洩:任何目標式攻擊都是為了達到最終目的,即讓駭客可以實際竊取到受害者的珍貴資料。雖然這個階段有著駭客追求的實質報酬,但也是目標式攻擊所有階段中最為困難且危險的部分。由於在資料外洩的過程中,會在受害者的網路上產生相當大的流量,駭客會有遭發現的風險,因此他們會利用一系列不同的策略,將竊取資料的行為所產生的「噪音」消除掉。攻擊者可能會利用內部的 C&C 來隱藏流量,以更加受控的方式將資料緩慢外洩。
趨勢科技表示:「目標式攻擊是當今所有公司都會面對的重大問題,未來這種威脅也仍會持續下去。負責防禦措施的人員一定要瞭解,威脅的現況會不斷變化,明白這點後才能建立妥善的必要防禦措施。」
企業如何防範目標式攻擊?
在防護方面,警覺性和教育是第一步。企業和 IT 主管必須牢記,雖然近來其他類型的威脅大搶鋒頭,但目標式攻擊不容小覷。
企業也應使用外洩偵測系統,確保能盡快找出與目標式攻擊相關的可疑活動和網路流量。如此一來,公司便能在駭客偷走資料之前,先行做出回應和遏止攻擊。
趨勢科技的 Deep Discovery 是相當理想的外洩偵測系統,由 NSS Labs 連續三年推薦,為同級中最佳的安全防護,運用專門引擎、自訂沙盒和其他先進技術進行深度分析基礎架構,確保公司能對最大的威脅迅速作出反應。
⊙原文來源:Targeted Attack Landscape: A Continuing Threat