APT 駭客如何在你周圍四處遊走而不被發現

 

曾經遭遇資料外洩駭客事件的企業，通常都有一個同樣的疑惑：「駭客是如何在我的環境當中長期躲藏而不被發現？」根據 Mandiant 的一份報告，在所有資料外洩事件當中，駭客平均躲藏的天數是 205 天。每一起資料外洩駭客事件背後都有一位或多位主謀，而且現在越來越難逮到這位幕後的主謀。

APT攻擊駭客團體特別擅長隱匿行蹤

在所有駭客攻擊當中，最有能力在企業網路內部四處躲藏及遊走的，應該是「進階持續性滲透攻擊」（Advanced Persistent Threat，以下簡稱APT攻擊）。這些攻擊之所以被稱為「進階」，是因為駭客運用了零時差漏洞；之所以能夠「持續滲透」，是因為駭客有著強烈的動機。其高超的技巧，對全球的企業來說都是一項嚴重威脅。這些APT攻擊駭客團體就如同一般的犯罪集團一樣，有著組織性犯罪的特質，而且特別擅長隱匿行蹤。

他們有統一的指揮管道，而且要擒拿這些行動背後的首腦相當困難，尤其是當他們躲藏在國外的時候。事實上，許多政治取向的APT攻擊團體通常都有政府在背後支援，而這些政府當然不可能配合執行違反其意志的政策。即使我們可以從攻擊行動所使用的網址來追溯到某個地區，但該網址註冊的 DNS 和 IP 服務廠商通常也不願配合國外的執法機關，因為他們向來聽命於當地政府。正因如此，那些由政府在背後撐腰的駭客，就能一再發動惡意攻擊而不會遭到任何懲罰。在低風險、高報酬的條件下，他們會不斷從過去的失敗當中記取教訓，因此每一次都比上一次的行動更加小心謹慎。

APT攻擊共有六個階段，每一階段由一組專門的駭客負責

有一點很重要是我們必須知道的，企業網路內的橫向移動只是APT攻擊的其中一個階段而已。事實上，典型的APT攻擊共有六個階段：(1) 情報蒐集、(2) 突破防線、(3) 幕後操縱 (C&C)、(4) 橫向移動、(5) 搜尋資產、(6) 資料外傳。有組織的APT攻擊團體通常會將工作依照行動階段來分工合作，每一階段由一組專門的駭客負責，並有其獨特的工具和技巧。這樣的作法在大型犯罪集團已行之有年，目前也開始運用到網路犯罪領域。

人們通常會過於執著在技術上的細節，而忘了其實 APT攻擊團體跟傳統非電腦犯罪的專業集團有許多相似之處。就以持槍搶劫銀行的例子來說，不同的搶匪會依據個人的專長而分別擔任不同的工作，藉此提高行動的速度和效率。同樣的策略應用到 APT攻擊，其效果甚至更好，因為這樣可以讓不同階段之間彼此不互相重疊，如此一來，系統管理員在事後分析網路時就無法察覺其不同階段之間的關聯。雖然APT攻擊行動的每一個階段都是達成最後目標的關鍵，但仍有些階段所占的比重較高。

駭客會在整個網路上設置多個不同的後門，以便能夠輕易進出目標網路

第四階段的橫向移動需要隱密和觀察的技巧。這階段需要同時具備社交工程（social engineering ）技巧與駭客能力，才能在目標環境當中迅速移動而不被察覺。橫向移動對於安排最後資料外傳階段的布局至關重要。不斷地在不同端點裝置之間移動，可以讓駭客完整掃瞄整個網路，並且找到最珍貴的資料。此外，這個階段通常需要一直不斷重覆，因此，駭客會在整個網路上設置多個不同的後門，以便能夠輕易進出目標網路，必要時進一步竊取更多資料。

企業通常會有系統管理員和資安軟體來持續監控內送及外送網路流量，因此，歹徒的 C&C 機制必須融入目標網路才行。想要暗藏在網路流量當中偷偷進出企業，歹徒必須結合惡意程式、駭客技能以及進階社交工程技巧。歹徒不只要知道如何駭入，還要知道何時駭入。大型的犯罪集團會在發動攻擊之前，先對目標進行長期的觀察和研究。為了使 C&C 伺服器不讓人起疑，駭客通常會使用一般常見的 IT 工具，如「PSExec」(一個用來取代 telnet 的遠端執行工具) 來執行其檔案，並在企業的營業時間連上 C&C 伺服器，如此，其網路連線才不會讓人起疑。除此之外，駭客還會利用惡意程式來將其連線偽裝成 HTTP 或 HTTPS 通訊以隱藏其行動，因為系統管理員不可能有時間檢查每一個觀察到流量，而資安軟體通常也無法偵測零時差攻擊。 繼續閱讀