後門雖不易發現,但誰走後門它卻看得一清二楚

網路資安人士對於「後門」大多不能認同,當政府或情報單位暗指某款電話、加密工具或產品當中暗藏後門時,不論哪一個陣營都會認為這不應該。

要找出產品的漏洞 (或弱點) 基本上很難,但如果已經知道漏洞在哪裡,那要想出攻擊手法就比較容易。然而蓄意安插的後門,不論是廠商或滲透者所留下的,或許才是最難防的惡意程式。

首先,後門集合了漏洞與漏洞攻擊手法於一身,駭客完全不需再另外安裝惡意程式。而且暗藏後門的系統還是經過合法簽章的正式軟體,能夠通過各種檢查,例如:雜湊碼、檔案大小、程式驗證等等。而且比漏洞更難搞的是,後門還可能內建一些駭客刻意設計的安全與加密機制,增加了第三方威脅研究人員偵測的難度。不僅如此,只要是使用該產品的客戶,他們全都存在著這個可利用的後門,這根本就是駭客的所有願望一次滿足。

這邊稍微釐清一下,此處所指的後門,是正常產品發表時已經存在的後門,而非產品發表後被暗中植入的後門。

在攻擊發動之前不易發覺


雖然程式的後門基本上很難偵測,但它們到底有沒有辦法被發現?答案是有,只不過沒辦法在它蟄伏 (也就是沒有採取任何行動) 的時後發現。

但是一旦有人在利用後門,即使是最隱匿的後門,也有可能被偵測 (儘管也不容易)。傳統的漏洞攻擊特徵比對偵測方法此時並無太大用處,除非後門散布的是先前內部已知的惡意程式,但駭客若這麼做,手法就太粗糙了。那些針對漏洞特徵而製作的入侵防護 (IPS) 規則,無法在早期偵測後門,因為,雖然入侵防護或許能在駭客開始使用後門時,發現到一些行為的變化,但還是要有明確的入侵指標 (IOC) 才比較容易偵測後門。

有了 IOC 之後,就能執行回溯性掃描,例如預先查看一下攻擊的入侵範圍。

一個駭人的事實是,大家都以為許多基礎架構軟體絕對安全無虞,或不會有問題,也正因如此,許多第一線防衛機制都會自動排除或忽略一些可能含有後門的系統而不加以檢查。

後門首次使用至 IOC 發布之間的關鍵期


然而當 IOC 還沒發布時該怎麼辦?沒關係,就算 IOC 還沒發布,我們仍有一些數位線索可以看出攻擊的痕跡,只不過無法靠單一指標來辨別威脅。

其中一個線索就是通訊模式的改變,但這些變化很細微,雖然許多系統管理與備份軟體都會和狠多資源不斷溝通,但這類惡意通訊在頻率和性質上卻有所不同:更大的封包、不尋常的資料交換、更多重複性對外通訊 (例如與幕後操縱 C&C 伺服器通訊) 都是一些可觀察的指標。

XDR 產品在設計上結合了資料倉儲與資料湖泊,將資安及非資安事件記錄檔保存在資料湖泊,然後從中尋找可疑的模式 (此時若您腦海中的畫面是一間位於湖底的倉庫,那也無妨)。

當通訊模式變化非常細微時,資安營運中心 (SOC) 的威脅分析師至少有一些從眾多來源蒐集的資料可以分析。XDR 之所以優於獨立的 EDR,是因為 XDR 會蒐集 EDR 蒐集的所有資料,再加上來自電子郵件、網路裝置、DNS 等等來源的監測數據和資料。

這些監測數據構成的資料湖泊還有另一項用途,那就是進行回溯分析,查看歷史資料當中有哪些可能意味著駭客執行非預期程式碼以及將資料外傳的動作,進而找出攻擊的影響範圍,這些事件能透過監測資料配合XDR 工具來發掘。

放眼未來


另一個駭人的事實是資料保存的期限。現在似乎是所有 SOC 團隊該認真檢討監測資料保存期限的時候,儘管這一點對本週發生的事件來說不是問題,但卻也提醒我們,對大多數的進階攻擊來說,駭客並不會待在原地不動並一直使用同樣的手法。

XDR 一直是個很不錯的新式工具,可以用來追蹤進階攻擊,而且還能判斷並限制攻擊的範圍。至於最進階的攻擊 (也就是合法產品中的後門),XDR事實上也能提供一定幫助。

短期之內,軟體廠商不太可能做出絕對安全的產品,但我們希望這次的攻擊事件能讓軟體廠商更注意自己內部的軟體開發流程。否則,我們就必須仰賴進階的監測數據分析來作為第二道防線,以彌補第一道傳統防線的不足。

如欲進一步了解趨勢科技如何支援及保護客戶以防範 SolarWinds 事件所帶來的衝擊,請參閱:https://success.trendmicro.com/solution/000283368

原文出處:Backdoors Are Hard to Spot, But Not Who Is Using Them 作者:Greg Young