在這系列裡,Mark和我已經討論過如何去強化你的AWS資源(涵蓋虛擬機器的內外部)以及進行同步監測。最後兩個秘訣是有關如何評估你的整體安全性,讓你可以了解你的風險等級和衡量進度。
這或許是老生常談,卻再真實也不過…你不能管理無法衡量的事物。你可能設有層層防禦,但除非你進行過弱點評估,你永遠不知道真實狀況如何。
評估你的基礎設施即服務(IaaS)
進行弱點評估,會對你系統內所有區域的弱點進行確認和排定優先順序。你會先透過工具、服務和手動評估等混合方式來對弱點進行分類。接下來要排定弱點的優先順序,以及評估消除方法。
工具和服務往往有兩種形式,網路或基於本機的掃描。而這兩種形式都有主動或被動式的掃瞄器。有些弱點只能在虛擬機器上或特殊權限網路上被偵測到。
如果你正要對你的AWS虛擬機器進行網路掃描,你需要填寫AWS弱點/滲透測試申請表。這樣AWS才知道你將要進行掃描,而不會中斷你的連線。
網路詐騙份子看來找到了個新的關注目標:Apple ID。在最近幾天,趨勢科技看到想要竊取Apple ID的網路釣魚(Phishing)網站大量的增加。
當檢視這些網址時,趨勢科技注意到這些網路釣魚(Phishing)的網址都有著統一的模式。它們都位在資料夾~flight底下。有趣的是,如果嘗試去直接瀏覽該資料夾,就會出現底下網頁:
如前所述,該資料夾包含了偽裝得非常像的Apple ID登錄網頁:
我們已經確認了一百一十個淪陷的網站,都代管在IP地址 – 70.86.13.17,被註冊在休士頓的網路服務供應商。幾乎所有的這些網站都還沒有被清除乾淨。
上圖顯示了針對Apple ID的網路釣魚(Phishing)在增加。我們看到了這些攻擊不僅是針對美國使用者,同時也針對了英國和法國的使用者。某些版本的攻擊不僅會要求使用者提供Apple ID登錄資料,也會要求他們的帳單地址和其他個人資料和信用卡資訊。最終會被導到一個顯示存取已經恢復的網頁,不過資訊也被偷了。可以在下圖看到它是如何要求提供信用卡資訊:
使用者可能是透過垃圾郵件(SPAM)被導到這些釣魚網站,它會顯示使用者的帳戶將到期,除非提供資訊接受審查,這不僅會讓使用者去點入連結,也會讓他們更願意去提供一些資料。
有一種方法可以識別這些網路釣魚(Phishing)網站,就是這些假網站不會出現任何跡象顯示你位在安全的網站(像是出現在工具列的鎖頭和「Apple Inc. [US]」),你可以看看正常網站的截圖:
使用加密通訊像是SSL,加上巧妙地利用新聞事件作為社交工程陷阱( Social Engineering)的誘餌,就是滲透入侵跟持久隱匿在目標網路的完美組合。
目標攻擊沒過多久就開始利用波士頓馬拉松事件作為誘餌,誘騙使用者去開啟惡意附件檔案。我們發現有封電子郵件帶有惡意附件,檔名為「The Prayer.DOC」,敦促收件者為這慘劇的受害者祈禱。
上述附件檔案(MD5:5863fb691dd5b3002c040fc7c535800f,被偵測為TROJ_MDROP.ATP),會攻擊漏洞CVE-2012-0158,將惡意執行檔 – 「IEXPLORER.EXE」(MD5:74a8269dd80d41f7c81e0323719c883c)植入目標電腦內。
這惡意軟體被偵測為TROJ_NAIKON.A,透過SSL(端口443)連到網域 – gnorthpoint.eicp.net,之前解析為IP – 220.165.218.39,現在解析為IP – 50.117.115.89。
它的憑證內填入的是假資訊,包括身份:「donc」,和組織:「abc」。
不想排隊去看鋼鐵人3(Iron Man3)?想在網路上找盜版下載或是免費串流影片?熱門電影鋼鐵人3已成為有心人士騙取個資的利器。趨勢科技發現網路上已經出現至少一百多個號稱提供鋼鐵人3影片串流的網站,要求使用者下載特定影片播放軟體,一旦下載完成,將會主動播放廣告,讓使用者不堪其擾,並且網路犯罪者也利用臉書來大量散播「免費鋼鐵人3串流視訊」的廣告連結,誘導使用者至問卷調查詐騙網站,騙取使用者個資。
鋼鐵人3輔上映即造成全球熱潮,有心人士立刻透過網路散播免費的鋼鐵人3影片串連,根據趨勢科技病毒防治中心 Trend Labs 觀察,短短一周已經發現超過一百個號稱可以提供鋼鐵人3免費影片串連的網站,一旦連上這些網站,使用者會被要求下載視訊安裝程式,此檔案的確是如駭客所言的影片播放程式,但這個影片播放程式在之前曾被偵測為會主動播放廣告,除了讓網友不勝其擾之外,更不排除為駭客植入惡意軟體的跳板,造成網友上網安全的潛在疑慮。
我們簡單地用Google來進行查詢,發現有一百多個網站號稱提供了鋼鐵人3的影片串流。
一旦連上這些網站,就會要求使用者下載一個視訊安裝程式。根據趨勢科技的分析,這檔案的確是如他們所說的影片播放程式。這個影片播放程式在過去已知會侵略性的播放廣告,只是目前我們沒有看到這行為。此外,這播放程式也可以被用來下載和觀看色情影片。
不過這些正常程式還是有可能在之後被更換成惡意軟體。所以如果我們很快就發現有惡意軟體網頁偽裝成鋼鐵人3串流播放或是下載網頁也不會感到訝異。
攻擊者利用合法使用者的身分認證和信任關係,持續待在你最敏感網路內很長一段時間,可以自由自在地去通過鬆散的安全技術。防火牆告訴我一切正常,IPS告訴我一切正常,防毒軟體告訴我一切乾淨;所以一切就都正常,對吧?錯了,這種短視的安全作法就是讓APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)/目標攻擊在世界各地如此成功的原因之一。
作者:趨勢科技資深安全分析師Rik Ferguson
曾經,安全技術所必須避免的重點就是產生一連串的事件通知。將系統調整到只會去通報已經確定的惡意攻擊事件是首要任務。你的防火牆必須非常肯定這些流入封包不屬於已建立的網路連線,或是入侵防禦系統(IPS)需要能夠明確指出這些封包是在嘗試做漏洞攻擊才能提出警報。
在廿世紀,甚至是廿一世紀初,我們習慣防禦就是將一切弄得清清楚楚;防火牆告訴我一切正常,IPS告訴我一切正常,防毒軟體告訴我一切乾淨;所以一切就都正常,對吧?錯了,這種短視的安全作法就是讓針對性攻擊在世界各地如此成功的原因之一。
在現實裡,那句見樹不見林的古諺說得再生動不過了。我們太過於注重「已知的惡意」,因為想要更加精簡和集中分析而對「正常」的處理,讓我們忽略脈絡而陷於危險中。
想像一下,在你伺服器機房外的走廊上一個安全監視器照到一個人,讓我們叫他戴夫。利用步態辨識和臉部識別都可以確認戴夫的身分,系統甚至可以指出他穿著清潔工的制服,這很不錯,因為戴夫是名清潔工。戴夫接近伺服器機房大門,使用他的NFC卡去開門,因為安全監視器和門禁系統已經進行連線,所以可以打開。在伺服器機房內的第二個監視器也確認的確是戴夫走進門來,一切都很好。
根據短視模型,這些事件都將被棄用,放進即將被清除的日誌資料夾內,因為「這裡沒什麼可看的」,但是這些事件所呈現出的脈絡對我們想監視的事情非常珍貴……
分隔線
如果戴夫在伺服器機房內不是在做清潔地板這類已知良好的行為,而是坐在一台伺服器前開始敲鍵盤呢。這顯然不是件好事,應該在某處敲響警鐘。但如果我們去掉我們聰明的大腦所記得和關連出的所有脈絡,那還剩下什麼?一個人在伺服器機房使用電腦?警備隊退下,這事件當然也屬於「這裡沒什麼可看的」資料夾。 繼續閱讀