地下平台是成熟的網路犯罪商品和服務交易生態系一環。一個有能力的託管基礎設施是如何讓非法活動蓬勃發展的?
在網路犯罪的地下活動裡,犯罪分子的託管基礎設施是整個商業模式的基礎。它提供了匿名服務來保持活動隱密性,提供命令和控制(C&C)伺服器來利用受害者的電腦,還提供了論壇與其他犯罪份子交流。犯罪賣家提供其他犯罪分子執行攻擊所需的服務和基礎設施。地下託管服務或地下基礎設施讓駭客能夠隱匿網路犯罪組件,在不被干擾或逮捕的情況下進行惡意活動,這些通常需要服務商的幫忙。
地下託管服務可以包括提供託管基礎設施、網域名稱供應、fast-flux基礎設施、流量加速器、虛擬和專用伺服器及虛擬專用網路(VPN)。託管基礎設施還可用來發送網路釣魚郵件,在網路商店買賣非法商品及託管可用來發動攻擊的虛擬專用系統(VPS)。
在地下託管服務研究系列的第一部裡,我們研究了地下市場,看看它們提供給駭客社群哪些商品和服務,以及犯罪賣家如何與犯罪基礎設施的買家進行交易。
繼續閱讀雲端開發人員的資安責任為何?他們該如何維護雲端內的安全?這份指南說明雲端資安的一些重要觀念,以及有哪些領域需要彈性、全方位的資安解決方案來加以保護。
全球企業都在經歷一場所謂的數位轉型革命,他們紛紛開始採用、移轉、並逐漸熟悉當今各種複雜的雲端式技術。
雲端運算環境的資安管理對於資安長 (CSO) 與雲端 IT 團隊或系統管理員來說,可能相當沉重,原因就在於雲端服務的易用性、彈性與組態可輕易調整。雲端系統管理員必須對其企業的雲端使用方式有深入的掌握,才能設定適當的資安政策和標準,並妥善安排政策執行者與責任歸屬。
雖然傳統的網路防護技術和機制,無法輕鬆無縫移轉至雲端,但網路系統管理員所面臨的資安問題卻大致相同:如何防範網路遭到未經授權的存取並避免資料外洩?如何確保運轉率?如何將通訊加密以及認證雲端使用者?如何輕鬆偵測威脅並發掘自家開發的應用程式當中的漏洞?
基本上,「雲端本身的安全」與「雲端內的安全」這兩個是不同的概念,最早提出這個看法的是 Amazon,其目的是要釐清廠商與客戶之間在雲端安全與法規遵循上各自應該分擔的責任。雲端廠商該負責的是雲端服務的底層硬體與網路基礎架構,而客戶則是根據其所採用服務來決定他們須直接承擔多少程度的資安責任。
「當您與硬體越近,您承擔的責任就越大。」— Mark Nunnikhoven
副總裁,雲端研究,趨勢科技
更確切一點,如同趨勢科技在「雲端是什麼與用來做什麼」(The Cloud: What It Is and What It’s For) 一文當中所說,不同的雲端服務型態:基礎架構服務 (IaaS)、平台服務 (PaaS) 或軟體服務 (SaaS),決定了哪些元素 (從雲端底層硬體基礎架構一路到雲端上產生、處理及儲存的資料) 該由廠商或客戶來負起保護的責任。
譬如,在一個 PaaS 環境中 (如 Google App Engine、Microsoft Azure PaaS 或 Amazon Web Services Lambda),開發人員可採購一些資源然後在上面開發、測試、執行各種軟體。在這樣的環境下,使用者該負責的大致上就是應用程式和資料,而雲端廠商該負責的是確保容器基礎架構與作業系統的安全。不過,如前面所講的,視客戶採用的服務而定,其責任也會有不同程度的差別,且差異更為細膩。
雲端本身的安全是雲端廠商的責任,並且透過合約規範和義務來確保,例如廠商與客戶之間的服務等級協議 (SLA) 就是一例。此外,還有一些效能指標,如:運轉率與延遲、問題解決速度、內建的資安功能,甚至是效能不彰的罰款,通常都有一套雙方都接受的標準。
所以,對於廣大的雲端使用者來說,這份指南所要探討的其實是「雲端內的安全」,包括:挑戰、威脅等等。
企業或許正在將某些需求移轉至雲端,或者正在開始全面雲端化 (也就是「雲端原生」),也或許已逐漸掌握雲端資安策略的精隨。但不論企業正處在雲端轉型的哪個階段,雲端系統管理員所需執行的資安作業大同小異,例如:漏洞管理、偵測網路重要事件、回應事件、蒐集威脅情報並採取行動,以及讓各個環節遵從相關的產業標準。
雲端部署所要面對的基礎架構有別於企業內網路。在雲端裡,服務的多元化使得企業很難找到一套連貫的資安解決方案。不論任何時候,雲端系統管理員所面對的都是一個混合式環境。但讓事情複雜的是,雲端運算的風險取決於每個雲端部署策略本身。而這又取決於雲端用戶的個別需求以及其可接受或願意承擔的風險。這正是為何風險評估是一項重要練習,不能只是一味照抄現成的最佳實務原則或法規。但法規還是可以當成一項基準或架構,讓您在評估風險時能考慮到一些真正的問題。
雲端訂閱的方便性讓企業的腳步加快,使得採購單位的決策突然不受 IT 部門管轄。然而,IT 部門卻仍必須負責保護雲端上開發的應用程式。因此 IT 的挑戰變成如何在不影響企業腳步與程式開發效率的情況下,確實掌握並保護雲端內的所有活動。
根據趨勢科技一份針對雲端建置最常見的資安陷阱所做的研究「解構錯綜複雜的雲端資安威脅」(Untangling the Web of Cloud Security Threats) 指出,組態設定錯誤依然是雲端客戶最常出現的資安弱點。這意味著,當雲端客戶在設定自己的雲端運算實體或服務時,經常忽略了一些重要設定,或者因修改設定而帶來了風險。
「您雲端內的資料與應用程式安全完全掌握在您自己手中,今日已有足夠的工具來讓您花費大量 IT 經費建置的雲端環境至少與您舊式的非雲端系統一樣安全。」— Greg Young
網路資安副總裁,趨勢科技
駭客會試圖搜尋這些組態設定錯誤,然後利用這些錯誤來發動各式各樣的惡意攻擊,包括一些高度針對性、鎖定特定機構的網路攻擊 (不論該機構是他們的最後目標或者只是他們入侵其他網路的跳板) 以及一些純粹亂槍打鳥的攻擊。除了組態設定錯誤之外,駭客還可能利用偷來的登入憑證、不肖的容器,以及任何一個軟體層的潛在漏洞來駭入雲端部署環境。
實際的攻擊案例已經為企業帶來了財務或其他損失,以下是一些可能對企業造成影響的雲端網路攻擊:
當雲端開發人員在規劃其雲端需求時,應同時趁這機會將防護一開始就內建至雲端部署當中,如此才能避免前面所提的各種威脅和風險。藉由確保每個相關環節的安全,IT 團隊就能從容地應付當前及與未來的雲端環境。而這也是 Gartner 2020 年雲端工作負載防護平台市場指南 (Market Guide for Cloud Workload Protection Platforms) 報告中的建議。
網路流量檢查是資安很重要的一道防線,這道防線不僅能防範零時差攻擊與已知漏洞攻擊,還能提供虛擬修補防護。雲端上的防火牆有別於傳統的防火牆,因為實務上的挑戰主要還是要在不干擾網路連線或現有應用程式的情況下部署防火牆,不論部署在虛擬私有雲內,或部署在雲端網路上。
資安的詞彙與典範會隨著人們認為需要保護的元件而改變,所謂的雲端「工作負載」,是指一個雲端運算實體所負責的功能或工作。對雲端系統管理員來說,妥善保護工作負載以防範漏洞攻擊、惡意程式以及未經授權的變更,是一項艱難挑戰,因為這些工作負載可能位於伺服器、雲端或容器環境當中。工作負載可以隨時視需求而動態啟動,但每一個運算實體都必須能被雲端系統管理員所掌握,並符合資安政策的要求。
近年來最夯的雲端運算服務軟體單元,就是所謂的「容器」。使用容器可確保軟體不論實際所處的運算環境為何都能可靠的執行,因為當程式的某些程式碼、工具、系統程式庫,甚至所需的軟體版本都有自己的要求時,就很難複製出相同的環境。
在軟體開發階段就將資安融入,對開發人員與營運團隊來說尤其重要,因為雲端優先的應用程式開發正逐漸崛起。這意味著,容器必須先經過掃瞄來確定容器內沒有惡意程式、漏洞 (連同相依的軟體在內)、機密資料或金鑰,甚至是法規遵循問題。而且能越早在軟體建構流程當中執行這些資安檢查越好,最好是融入持續整合/持續交付 (CI/CD) 的工作流程當中。
傳統的資安防護無法部署在某些無伺服器 (Serverless) 或容器平台內,但應用程式本身就像其他環節一樣必須受到嚴密防護,不論應用程式簡單或複雜。對許多企業來說,能夠快速而有效率地開發與部署新的應用程式,是他們邁向雲端主要動力。然而這些應用程式卻是威脅入侵網站的重要入口,駭客可能的手法包括:程式碼注入、自動化攻擊、遠端指令執行等等。因此一旦發生攻擊事件,雲端系統管理員必須要能深入掌握攻擊的詳細狀況。
企業邁向雲端的主要 (或部分) 原因,是希望能減輕企業內儲存的壓力。但雲端檔案或物件儲存很可能成為感染來源,如果有任何已知的惡意檔案被上傳至雲端的話。因此,企業必須要能掃瞄所有類型的檔案,不論檔案大小。而且最理想的方式是在檔案儲存之前就預先掃瞄,以降低其他使用者存取和執行到惡意檔案的風險 (如果事後才掃瞄的話)。
一些像一般資料保護規則 General Data Protection Regulation (GDPR) 的資料隱私法規與支付卡產業資料安全標準 (PCI-DSS) 等產業標準,還有健康保險可攜性與責任法案 (HIPAA) 等立法,對於必須蒐集、處理、儲存資料 (尤其在雲端內) 的企業來說,有著攸關企業生存的影響。雲端系統管理員必須在法規遵循要求與雲端靈活性效益之間求取平衡。企業應借助一些防護技術來確保其部署環境符合資安最佳實務原則,若不這麼做,企業很可能在不知情的狀況下違反了法規而遭致罰鍰,而這些罰鍰很容易就讓好不容易省下的成本徹底被抹煞。
由於牽涉前述這麼多的環節,因此企業在思考自己的雲端策略時,務必設法讓一些必要的防護技術盡可能簡化。從惡意程式防護與入侵防護、到漏洞管理與端點偵測及回應,整套資安防護解決方案必須盡量減少平常 IT 人員在執行分析時所必須用到的工具、儀表板、介面等等。同時,還必須要能以視覺化方式忠實呈現企業整體雲端營運環境的抽象網路邊界,不論某項活動是否由 IT 所批准 (例如某名開發人員一時興起所撰寫的工具)。
趨勢科技可協助 DevOps 團隊利用Hybrid Cloud Security(混合雲防護) 混合雲防護解決方案建構安全、快速交付、隨處執行的應用程式。這套解決方案提供了強大、簡化、自動化的防護來讓企業將防護融入 DevOps 流程當中,藉由多重的 XGen 威脅防禦技巧來保障實體、虛擬及雲端工作負載的安全。透過 Cloud OneTM SaaS 服務平台讓企業從單一介面保護整個混合雲環境,擁有即時的資安防護,包含以下服務:Network Security、Workload Security、Container Security、Application Security、File Storage Security 以及 Conformity。
對於正在尋找執行時期工作負載、容器映像以及檔案與物件儲存防護軟體的企業,Deep Security與 Deep Security Smart Check 的搭配,可讓您在開發流程當中隨時掃瞄工作負載與容器映像是否含有惡意程式及漏洞,在工作負載與容器映像部署之前預先防範威脅。
自2020年3月以來,一連串針對Office 365帳戶發動的魚叉式釣魚攻擊,它的目標是全球超過1,000家企業的高階主管,最近這類的BEC 變臉詐騙活動,則是針對了美國和加拿大的高階人員。
我們將幕後的詐騙份子稱為”Water Nue”,它們會針對財務主管騙取財務詐騙用的帳號密碼。釣魚郵件會將使用者導向偽造的Office 365登入網頁。一旦取得帳密並成功入侵了帳號,就會向下屬發送包含篡改過銀行資訊發票檔案的電子郵件,試圖透過轉帳來騙取金錢。
這波攻擊活動背後的攻擊者很有意思,原因有幾個。儘管他們成功地在全球範圍內攻擊高層員工,不過他們的技術能力似乎很有限。他們的網路釣魚工具很基本(沒有後門、木馬程式和其他惡意軟體),不過會利用公共雲服務來進行操作。使用雲端服務讓他們可以託管基礎設施並混淆自己的運作,讓他們的活動更難被鑑識人員發現。這種策略在網路犯罪分子中變得越來越普遍。
趨勢科技一開始是從網路釣魚攻擊所用的大批電子郵件網域注意到此次活動。我們發現大多數收件者都是企業的高階主管,特別是財務部門。我們所遇到的第一波案例中就有一起是非洲銀行高階財務主管寄送PDF檔發票給同事並指定香港的銀行帳號。這封郵件來自攻擊者測試功能時所用釣魚網站的IP地址。
這波攻擊活動仍在進行中,當用過的網域被舉報或列入黑名單,駭客就會切換到新的基礎設施。
攻擊者使用雲端郵件寄送服務(如SendGrid)來寄送帶有連結的電子郵件,將目標導向假的Office 365網頁。(我們已經聯繫SendGrid並分享了我們的發現。)一旦目標進行登入,帳密就會被一個PHP腳本所記錄。
儘管這並不是什麼新技術,不過攻擊是成功的,直到本文撰寫時,已經從各公司的高階主管收集了800多個帳密。
從七月寄給高階主管的電子郵件裡,我們發現基礎網域是U10450540[.]ct[.]sendgrid[.]net,,加上名稱*getting-panes[.]sfo2*。
“Swiftme”出現在釣魚郵件標頭,並且加上偽造公司郵件網域的帳號名稱。顯示的郵件標頭”From”和主旨也偽裝成語音信箱服務。”Swiftme”可能是暗示跟電子轉帳或電匯有關,並在取得帳密後揭示了攻擊活動目的。
要注意的是SendGrid平台原本似乎沒有加上X-Mailer。帶有不同X-Mailer和標頭的電子郵件可能是透過會混淆掃描引擎的工具所加上。底下是我們所看到的一些X-Mailer:
| X-Mailer: Mozilla/5.0 (Windows; U; Win98; de-AT; rv X-Mailer: Claws Mail 3.7.6 (GTK+ 2.22.0; x86_64-pc-linux-gnu) X-Mailer: Mozilla 4.7 [en]C-CCK-MCD NSCPCD47 (Win98; I) X-Mailer: iPhone Mail (8A293) X-Mailer: Opera7.22/Win32 M2 build 3221 X-Mailer: ZuckMail [version 1.00] X-Mailer: CommuniGate Pro WebUser v5.3.2 |
Water Nue測試/部署機器的原始IP保留在收集帳密用釣魚網站伺服器內的文字檔裡。
我們發現一封來自同一IP的BEC詐騙郵件。這封惡意郵件是具備合法郵件標頭的發票請求,這是BEC詐騙裡常見的伎倆。
跟其他網路犯罪技術不同,網路釣魚(Phishing)和變臉詐騙攻擊或稱為商務電子郵件入侵 BEC)因為是針對特定收件者而可能很難偵測。攻擊者試圖入侵電子郵件帳號來取得業務運作相關的財務資訊和其他敏感資訊。
以下是一些關於防範電子郵件詐騙的建議:
在這裡討論的案例中,攻擊者的郵件本身沒有夾帶典型的惡意軟體。這也導致傳統安全解決方案無法保護帳號和系統來抵禦此類攻擊。使用者也可以在電子郵件閘道來檢查寄件者”sendgrid[.]net”。
趨勢科技可以保護各規模的企業來抵禦網路釣魚和BEC詐騙等惡意郵件攻擊。趨勢科技Hosted Email Security解決方案結合了增強的機器學習功能和專家規則,能夠分析電子郵件標頭和內容來阻止BEC詐騙和其他類型的郵件威脅。對於來源驗證和身份驗證,它使用了寄件者策略框架(SPF)、網域金鑰標識郵件(DKIM)和以網域為基礎的進行郵件驗證、報告和一致性(DMARC)。
趨勢科技Cloud App Security解決方案增強了微軟Office 365和其他雲端服務的安全防護,透過沙箱惡意軟體分析來偵測BEC詐騙和其他進階威脅。它使用寫作風格DNA來偵測BEC詐騙的假冒行為並用電腦視覺來找出會竊取帳密的釣魚網站。它還會透過控制敏感資料使用狀況來保護雲端檔案分享抵禦惡意威脅和資料遺失等風險。
惡意份子所管理的C&C網址:
MITER ATT&CK矩陣對應
@原文出處:Water Nue Phishing Campaign Targets C-Suite’s Office 365 Accounts 作者:Marshall Chen、Loseway Lu、Yorkbing Yap和Fyodor Yarochkin(趨勢科技研究團隊)
雲端原生運算是一種在雲端內建構及執行可擴充式應用程式的一種軟體開發方法,不論在公有雲、私有雲、企業內或混合雲等環境,其結合了開放原始碼與非開放原始碼兩種軟體來部署應用程式,如包裝在個別容器中的微服務 (microservice) 即是一例。容器 (如 Docker 容器) 會將所有必要的軟體和應用程式包裝到隔離獨立的處理程序內部。由於企業經常跨多台主機執行多個容器,因此還需要使用 Kubernetes 這類的容器協調系統,並透過持續整合/持續交付 (CI/CD) 工具,遵循 DevOps 方法來管理和部署。最終,雲端原生技術將使企業能徹底發揮雲端資源的效益,不僅能減輕負擔、加快反應速度,而且管理起來也更輕鬆。
如同任何仰賴各種環環相扣的工具與平台的技術一樣,雲端原生運算環境的資安扮演著相當重要的角色。如果有什麼是資安專家們一致認同的看法,那就是:今日沒有任何現代化的複雜軟體系統是「完全無法駭入」的,沒有 100% 無法被滲透的系統、裝置或環境。也因此,才會衍生出一種所謂「縱深防禦」的資安防禦方法,這是一個從軍事領域借用到網路資安領域的概念。
縱深防禦的方法採用多層式控管,在企業內各個不同環節設置資安屏障來提供多重保障,以防萬一某個環節失效或遭駭,還有其他環節可提供保護。雲端原生防護就是採用這樣的方式,將雲端原生系統的防護策略劃分成如下圖「雲端原生防護 4C」所示的四個不同層次。
