2013年 台灣進階持續性威脅 APT 白皮書

進階持續性威脅(APT)是指一種威脅類型,可以長時間潛伏在網路或系統內來達到它們的目的(通 常是竊取資料)而不被偵測到。我們在今年連續看到了幾起嚴重的APT 事件,從南韓爆發大規模的 網路攻擊,到國內政府公文系統被駭事件。再次讓人認識到此種威脅的嚴重程度。趨勢科技的資安 事件處理團隊長期以來協助國內政府機關與民間企業調查處理APT 事件,這份白皮書就根據台灣 的事件處理數據加上趨勢科技的全球威脅情報進行統計分析,呈現出台灣目前APT 攻擊的現況。

從這份白皮書裡,我們可以看到有超過了80% 的受駭組織不知道自已遭受到APT 攻擊。而且受駭 目標並不僅限於政府單位,還包括了高科技產業、金融業和中小企業等。受駭組織也往往要等到駭客 入侵很長一段時間才會發覺,例如高科技產業,平均要經過346 天才會發現自己遭受到APT 攻擊。 最長的甚至要到1019 天才會察覺。更有77% 的受駭組織在發現時已經被駭客取得完全的掌控。不 過經過調查,只有僅僅50% 的受害電腦內會被找出惡意程式。這也告訴了我們並無法依靠一般的資 安解決方案來解決APT 問題。今天IT 團隊所面臨的挑戰是如何保護他們的網路來對抗APT 攻擊– 由人所發起的電腦入侵攻擊,會積極的找尋並攻陷目標。

為了幫助企業制訂對抗APT 攻擊的策略,趨勢科技的資安事件處理團隊透過這份白皮書來分享台灣 APT 攻擊的現況。讓IT 團隊可以對APT 攻擊有更深一層的認識,了解駭客所會用到的戰術和運作。 有助於建立本地威脅智慧和回應方式。 這份白皮書分析了趨勢科技在全台灣近500 家ESO( 中大型企業防毒委外服務,Exper t Service Offering) 客戶在2012 年所回饋的社交工程電子郵件攻擊、APT 惡意程式資料,加上對受駭單位進 行資安事件調查的結果來綜觀剖析APT 的現實狀況。

下載白皮書 >

APT系列之一:大敵當前,借鏡前車之鑑

Google、Sony、RSA、西門子、三菱重工、洛克西德馬丁,這些全球知名企業的共同點是什麼?

答案是,它們都曾經遭受進階持續性滲透威脅(Advanced Persistent Threat;簡稱APT)的攻擊。

根據趨勢科技在2012年進行的調查顯示,多達66%的受訪企業擔心APT造成的危害;更令人憂心的是,高達71%的受訪企業表示不了解APT。資安威脅百百款,進化速度日新月異,但對企業而言,APT顯然已經成為有史以來最棘手的網路威脅,同時也是最陌生的敵人。

百密一疏引發連鎖效應

APT採取的攻擊手法雖然不是前所未見,但也並非單一而固定的形式,無法以阻止或破壞單次攻擊行動的作法來根絕問題。事實上,APT更像是一套精心規劃的網路攻擊活動,按部就班地接續推進,直搗企業的核心。

2010年1月,在一起名為「極光行動」的事件中,Google成為遭受APT攻擊的對象之一。當時Google某位員工因為點按即時通訊裡的訊息連結而被導向惡意網站,毫無所覺地下載了惡意程式並啟動了一連串的APT 事件,包括駭客成功滲透Google伺服器,竊取部分智慧財產及重要人士帳戶資料。

以2011年的Sony事件為例,先是Sony PSN資料庫在4月被入侵,部分用戶資料如信用卡、購買明細、帳單地址等未經加密遭竊,官方說法是尚未修補的已知系統漏洞遭攻擊。但同年10月,又有駭客以冒名登入的方式取得9萬多筆用戶資料,並在地下網站拍賣遭竊的信用卡資料。

同在2011年發生的RSA與洛克希德馬丁事件則有連帶關係。駭客寄出兩封標題為「2011 Recruitment Plan(2011年度徵才計畫)」的網路釣魚信件給特定的RSA員工,導致在3月發生的SecureID技術文件外洩事件。緊接著在4月,駭客利用從RSA竊得的SecureID通過身分認證,入侵武器製造商洛克希德馬丁。

同樣身為國防產業供應商的三菱重工,則在2011年9月遭到APT攻擊,包括總公司、長崎長崎造船所、神戶造船所、名古屋誘導推進系統製造所在內,共有9個製造及研究據點,超過80部伺服器被入侵。

以三項特點解讀APT的多變性

綜合上述實例,可發現APT具備下列三項特點:
1. 出於經濟利益或競爭優勢
2. 持續地以各種手法及管道入侵企業的攻擊活動
3. 針對一個特定的公司、組織或平台

深究APT這個名詞,最早是出現在美國官方的解密報告裡,意指某些特定國家所造成的網路安全威脅和能力;知名研究機構Gartner則在報告裡強調,正名為進階鎖定目標攻擊(Advanced Targeted Threats)更貼近實際狀況,駭客的意圖很明確,不外乎是獲取利益、竊取服務、阻斷服務、資訊外洩。

換言之,APT並不像一般認知的網路威脅,僅是單一或突發的破壞事件,它會持久且隱蔽地潛伏於目標網路,以便在需要時能隨時下手行動。被盯上的企業或組織幾乎難以擺脫,制式的資安機制或僵化的資安策略,已經無法提供安心的保證與防護,當然也沒有單一方案或萬靈丹可以一勞永逸。

據統計,APT主要活動的前三大地區為台灣、美國與香港,受害比例最高的是台灣,整體而言,亞洲則是遭受APT攻擊最主要的地區。以台灣來看,最早遭受APT攻擊的對象在政府機關,甚至早從十年前就有相關事件,眾所週知大陸網軍是發動攻擊的主要來源。但企業也不能因此掉以輕心,原因在於企業擁有高度價值的金融資產和知識產權,只要是個「咖」,被APT攻擊者盯上是遲早的問題。

APT系列之二:鎖定目標,精準出擊

台灣是全球最易受天災襲擊的地區之一,因而具備一定程度的防災意識和機制,但不可否認地,多數人仍不免心存僥倖,認為災禍不會降臨到自己身上。其實,大部分的企業組織面臨網路威脅時,也是類似的情境與心態。

天災地變有其或然率,但新型態的網路威脅卻非如此,例如:進階持續性滲透威脅(Advanced Persistent Threat;簡稱APT)。它的一大特色是「鎖定對象」,第一步是先鎖定特定團體、政府機關、企業,第二步是鎖定這些組織裡的特定對象,利用社交工程技巧來誘騙其感染惡意程式,就此展開一連串的入侵步驟。

逆向連結、動態變化的非傳統攻擊

面對層出不窮,甚至是隱而未現的APT事件,當前最大的挑戰就是多數人並不清楚APT的攻擊手法,也難以分辨與其他傳統攻擊形式的不同。更棘手的是,APT攻擊在表面上不會有明顯而立即的損害,甚至是幾近於無感,即使造成損害,亦常會誤導企業組織錯認是內部洩露或外部遺失。

簡單地說,病毒感染、網頁置換等傳統攻擊形式是從正面突破,植入後門程式,再設法建立對內連結,以進行下一步攻擊。APT攻擊則是逆向手法,使用者在毫無察覺下開啟的惡意程式會自動回報駭客,由內而外地建立連結,因此能躲過傳統安全護機制的偵測。

另一個不同點則在於攻擊目標,傳統攻擊形式的目標通常是系統,但APT的目標則是組織裡的人,因為人比系統更容易攻擊。駭客通常會結合社交工程手段和社交網路,鎖定企業內掌握關鍵資料或擁有存取權限的重要角色,量身打造社交工程惡意郵件,導引受駭目標去點選駭客所設定的連結。

值得注意的是,當前主要的安全機制多是特徵導向,必須仰賴特徵檔的持續更新才能發揮防護作用。但APT的一大特色,就是利用變種和動態產生的惡意程式,結合快速部署技巧,不僅能躲避特徵導向的安全機制,也讓安全人員愈來愈難掌握最新威脅及相關清除技術與實務。

APT行動三階段:攻擊、控制、擴散

正如同恐怖組織帶來無所不在的威脅,但攻擊方式多元且持續進化,例如:汽車炸彈、自殺炸彈客、劫機,APT也會以各種手段達到攻擊及入侵的目的,包括惡意軟體、弱點掃描、針對性入侵、利用惡意內部人員、社交工程郵件等,就算某個戰術行不通,也會持續地修正手法或嘗試另一種作法,直至成功入侵。

根據入侵階段的進程及影響範圍的大小,APT事件過程可區分為「攻擊、控制、擴散」這三個階段:
1. 在攻擊階段,駭客發動社交工程電子郵件、魚叉式網路釣魚攻擊,意圖滲透進入企業。
2. 一旦成功突圍就進入控制階段,包括攻擊應用程式弱點、植入後門及木馬程式,建立與駭客的通訊
 管道。
3. 接下來則是影響範圍最大的擴散階段,駭客在內網進行密碼、資料的竊取,甚至採取攻擊行動。

由此可知,沒有任何單一技術可以完全制止APT行動,再加上它不停變動、組合多項技術、混合式攻擊的特性,也讓單點防禦變得更加困難。APT是長期的過程導向攻擊,亦是駭客動機和攻擊手段改變下的產物,在可預見的未來,勢必將繼續存在。

單一對策已不足以因應APT多變的攻擊手法,企業必須針對其階段週期和特質,統整既有個別獨立的資安解決方案,結合所有偵測、攔截和遏制的方法,打造多層式縱深防禦的策略和技術,才有可能抵擋APT的進逼,達成既定的安全目標。

據統計,APT主要活動的前三大地區為台灣、美國與香港,受害比例最高的是台灣,整體而言,亞洲則是遭受APT攻擊最主要的地區。以台灣來看,最早遭受APT攻擊的對象在政府機關,甚至早從十年前就有相關事件,眾所週知大陸網軍是發動攻擊的主要來源。但企業也不能因此掉以輕心,原因在於企業擁有高度價值的金融資產和知識產權,只要是個「咖」,被APT攻擊者盯上是遲早的問題。

APT系列之三:阻斷攻擊,堅守第一道防線

「這篇文章讓你多活十年」、「中華民國102年政府行政機關辦公日曆表」、「中華電信102年1月電信費用通知單」,當我們收到這些郵件時,通常會毫不猶豫地開啟附檔一探究竟。

但上述這些附檔,都曾經出現在進階持續性滲透威脅(Advanced Persistent Threat;簡稱APT)的社交工程惡意郵件裡。更驚人的還有專為收件者量身打造的惡意附檔,例如:「獎品獎項及獲獎人員列單」、「行政院各部會政務副首長人員核派情形」,以及成功入侵RSA公司的「2011 Recruitment Plan(2011年度徵才計畫)」。

據統計,高達九成的APT入侵管道皆是採行社交工程惡意郵件,其餘則為即時通、社群網路和應用程式弱點。試圖入侵的這個階段稱為「攻擊」,也是駭客滲透企業內部系統的第一道防線,如果能在此成功攔截及遏制,防患於未然,就能免於後續在控制及擴散階段的亡羊補牢。

結合社交工程,量身打造惡意附檔或連結

電子郵件早已是用來交換重要商業資訊的主要媒介,PhoneFactor在2012年進行的調查顯示,73%的受訪企業透過公司電子郵件來傳送高度機器的資料,以項目細分,分別有63%傳送過產品規劃藍圖、76%傳送過預算計畫、47%傳送過敏感的賠償問題。

由此可見,在電子郵件內附加檔案早已是日常商務通訊的一環。駭客之所以能夠針對目標對象量身打造惡意附檔,憑藉的就是對社交工程的熟稔,例如:透過Facebook、Twitter等社交網路及其他公開資料來源搜尋鎖定對象,並利用個人感興趣的內容來提高感染機率,透過精心製作內容或偽造附件檔名的作法讓它們與現實相符。

因此,收件者開啟的附檔看似是企業廣泛採用的Office和PDF檔案格式,實則是以障眼法矇騙。舉例來說,以RTLO手法來控制檔案名稱由右至左顯示,真正的檔名是「XXX企劃cod.scr」,但顯示給收件者看的檔名卻是「XXX企劃rcs.doc」。

此外,駭客還會結合其他社交工程陷阱在發件者一方動手腳,包括利用常用網頁郵件服務如Gmail帳號、利用之前入侵獲得的電子郵件帳號來發送,甚至是偽裝成特定部門或高階主管的電子郵件地址。一旦收件者開啟電子郵件附檔,就會觸發駭客設計的陷阱並被植入後門程式,後門程式會逆向連出外部向駭客報到,駭客開始潛伏及刺探內網其他電腦,進入控制及擴散階段。

結合動靜態分析技術,惡意郵件無所遁形

如前所述,APT主要的攻擊手法都是認定人比系統更容易攻陷而設計,合法使用者反而成為企業資安機制裡最脆弱的環節,除了教育訓練,更必須發展因應策略及解決方案來彌補這個弱點,以減輕風險。

在APT攻擊階段的防護目標,就是偵測及阻擋社交工程電子郵件。必要的資安方案包括動態威脅分析(Dynamic Threat Analysis System;DTAS)平台和加強型郵件閘道過濾系統。

DTAS平台運用動態分析技術如沙盒(Sandbox),解析電子郵件中夾藏的惡意攻擊行為,並擷取其中的惡意程式樣本,以及用來建立控制權與通訊管道的位址/網域資訊。

加強型郵件閘道過濾系統則特別針對AP使用的攻擊手法,利用新型靜態分析技術,在一秒內偵測及攔截各種APT社交工程郵件。由於免除病毒碼的使用,因而能偵測零時差攻擊。相較於傳統作法,可將AP社交工程郵件的過濾門檻從低於 10%大幅提升到 90% 以上。

必須認清的是,事前預防的措施再嚴密也難以防堵所有攻擊,偵測到威脅後的應變及解決能力同樣重要。針對控制及擴散階段的防護措施,接下來將有更進一步的說明。

APT系列之四:化零為整,控管受駭範圍

網路威脅持續演變,早期的駭客多是為了獲得注目而去攻擊知名網站或阻斷網站服務,但現在有愈來愈多的駭客是因為經濟利益而出擊,願意花費更多時間與心力去突破防禦,像是針對目標對象量身打造社交工程郵件,以手工方式一封封地寄出,精心安排釣餌,而非如同垃圾信大量投遞的撒網作法。

動機的改變牽動了攻擊手段的改變,這正是企業絕不能對進階持續性滲透威脅(Advanced Persistent Threat;簡稱APT)掉以輕心的原因。而且,我們必須認清事實,有決心且堅持的駭客終究會找到一條擺脫現有防堵措施的管道

快速入侵,長期潛伏

想方設法地將惡意軟體植入受害者的設備是APT攻擊行動的第一步,若能及早偵測及防守,就愈能避免造成後續損害。但根據Verison的資料外洩研究報告顯示,有顯著比例的攻擊行動在短短幾分鐘內就入侵系統,而且它們成功潛伏的時間可能長達數週或數個月之久。

也就是說,單憑人工介入來反制入侵,根本無法跟上APT攻擊的速度,即時管理方案的協助是必要的,例如:主動持續不間斷的監測與分析。以APT行動的「攻擊、控制、擴散」三階段來看,一旦從攻擊進入控制階段,駭客的目標將包括攻擊應用程式弱點、植入後門或木馬程式,以及建立通訊管道。

對此,可以採取的對應方案,就是阻擋軟體弱點被觸發及惡意程式的安裝。端點防毒系統就能用來進行底層惡意程式的偵測與清掃,防堵惡意程式在內網落地生根,並降低弱點被觸發的成功率。

至於APT擴散階段,則是獲得控制權的駭客在內網進行活動、擴散與攻擊,以及竊取密碼、資料等。舉例來說,駭客可將自己的權限提升到管理者層級,以便去存取關鍵目標如郵件伺服器、存有敏感資訊的重要電腦,或是為日後的行動預先鋪路,發掘並確認有價值的資料。

企業必須強化的是偵測能力,包括偵測企業內網裡的駭客活動,還有偵測及阻擋駭客的通訊與控制連線。利用網路內容威脅分析器,除了監控內外網路的流量,還能偵測是否有惡意連線與惡意內容,以及企業內網是否存在惡意活動。

以新思維及整體方案應戰

一旦發現已滲透至內網的APT活動,企業必須採取的對應作法包括:
1. 確認攻擊載體,並斷絕其與駭客伺服器的通訊。
2. 確認受影響範圍。分析資料和受感染系統的跡證來評估損害程度。
3. 儘快進行修復步驟,不僅要強化受影響伺服器、設備的安全狀態,還要找出受感染機器如何被
 入侵。

知名巿調及研究公司Gartner特別強調,像防毒軟體這種以特徵為導向的技術,過去雖可抵擋大部分的威脅,但現今,新興的攻擊和惡意程式散佈技巧都能躲過傳統特徵導向的機制,因此,不僅必須借助新的安全技術,還要改變我們受限於傳統安全技術的老舊思維。

也就是說,企業既有的防毒軟體、網路層過濾、身分管理和其他安全控管方案仍是不可或缺的環節,但光有這些對策並不足以減輕APT帶來的威脅,因為APT的設計就是用來規避被普遍使用的資安方案,進階攻擊偵測及預防技術就能提供第二道防線,強化現有防護機制的不足。

必須注意的是,沒有任何單一技術可以單獨防止APT攻擊,就算有完備的資安方案,還要結合縱深防禦的策略,讓不同安全機制之間的常態性安全情報可以整合共用,一改過去各自獨立運作的狀況,才能即時發現、迅速阻擋、有效化解一波波的APT攻擊行動。

APT系列之五:打造多層式縱深防禦的安全架構

回顧2012年,展望2013年,兩者間的共同點之一就是進階持續性滲透威脅(Advanced Persistent Threat;簡稱APT)繼續擴散及壯大,儘可能地針對人的因素來發揮種種伎倆,雪上加霜的是不斷變化的企業運作,使得APT問題更形複雜。

舉例來說,為了讓行動工作者更容易存取商務應用程式,企業在設計系統時必須搭配更靈活的網路連線服務,值此同時,智慧型手機和其他無法被管理的個人設備的使用持續攀升,提供給外部人士使用的Web應用程式也可能成為另一種被攻擊的弱點。

行動工作者、自攜設備(Bring your own device)、Web服務,這種種的應用潮流已勢不可擋,無法再走限縮控管的回頭路,企業必須思考的是如何降低APT風險,而不犠牲既有及新興應用為企業帶來的效益與競爭力。

APT攻擊愈趨複雜及針對性

趨勢科技技術長Raimund Genes預測,伴隨著APT而來的惡意軟體攻擊會變得愈來愈複雜,複雜之處不在技術本身,而是部署攻擊的方式,不但擁有更多樣化的破壞能力,連帶地,也會更難進行屬性分析。

過去多是以簡單的技術指標來判斷APT攻擊者的動機和地理位置,但在2013年,必須同時運用社會、政治、經濟和技術指標,才能充分評估及分析APT攻擊,不可諱言的,要達到這個目標並不容易。

此外,針對性或地區性的目標攻擊會愈來愈多,例如:語言設定、只影響部分地區或特定網段。值得注意的是,以往APT行動的動機多半是間諜活動,這個情況可能會在2013年改觀,帶有破壞性的攻擊活動將會攀升,無論是以破壞做為主要企圖、或為清除攻擊者的蹤跡、或帶有政治或軍事目的,皆不能掉以輕心。

改造思維、改變戰術

為了迎戰APT,Gartner建議採用多層式縱深防禦的作法,不但要針對「攻擊、控制、擴散」這三個階段分別採取因應之道,同時還要讓不同安全機制之間的常態性安全情報整合、共用與回饋,因為沒有任何技術可以單獨防止APT行動。

例如:在「攻擊」階段,必須偵測與阻擋社交工程電子郵件;在「控制」階段,要阻擋惡意程式的安裝及軟體弱點被觸發;在「擴散」階段,則得偵測與阻擋駭客的通訊連線,以及偵測駭客在企業內網中的活動。

另外,在評估新一代安全防護平台時,無論是用於網路、端點或邊界,都必須將背景感知安全技術納入必備條件之一,也就是說,安全平台要對身分、內容、位置、應用程式等背景具備感知能力,以便針對APT做出更好的資安決策。

同時,企業也要以全新思維應戰。首先,被盯上甚至入侵並不可恥,只要是個「咖」,就不可能擺脫APT的潛在威脅;相反地,企業必須預設自己是個重要的「咖」,必然會面臨APT來襲,進而提早預作準備。

其次,發動APT攻擊的對手極其專業,無論是在組織、資源與技術,絕對都超過一般企業的IT團隊及防護能力。防護措施就好像基本的免疫系統,雖然無法保證人體健康不生病,但少了它則必定陷入險境,若要因應像APT這類針對性的生化武器,就必須有針對性的策略,改變防護方案各自為政的現況,建立聯防機制是關鍵且必要的一步。

APT行動就像是拍打海岸的海浪,一波接一波地持續不歇,我們固然可以加高堤防來阻擋海浪侵襲,但卻無法就此高枕無憂,畢竟海浪終有一天會高過堤防的可能性仍然存在,因而更需要以全面的戰略和完整的建置來因應。