資安攻防:一場進行中的不對稱戰爭
以往我們所聽到的多半是一些資安趨勢分析或是威脅攻擊的介紹,本文則是從宏碁位於龍潭eDC的SOC資安監控中心營運7年來的真實案例整理而來,首先來看APT(Advanced Persist Threat)攻擊,相信大家對APT這種針對性的進階持續攻擊手法並不陌生,也知道其攻擊的特性,但也僅只於「知道」而已,以下的實際案例將讓大家對APT的攻擊手法有進一步的認識。
令人防不勝防的APT攻擊
首先是這些惡意程式到底如何入侵?以往的釣魚郵件就是透過夾帶rar或zip的附件檔,以不分對象的方式進行大規模散發。雖然現在大家對Windows系統弱點更新都已有認知,但卻很少注意其他像Winzip或PDF Reader這樣的軟體也要定期更新,其實這些常用軟體也和Windows一樣有很多漏洞需要修補,但大多數的用戶,在看到提醒購買Winzip版權視窗畫面時通常都忽略跳過,因此當收件者打開這些附件檔後,惡意程式就能利用Winzip的漏洞入侵,由於散布對象的不確定性,使這類傳統惡意程式往往也較不受控制。即便是像PDF Reader沒有版權問題,可以免費更新,一般用戶也往往忽略其重要性,更增加APT攻擊的成功機會。
為你「量身打造」的攻擊模式
新型APT攻擊則是以大家更沒戒心的PDF文件檔做為攻擊媒介,這種手法成功的先決條件有二:一是吸引收件者打開附件,另一個是收件者的PDF閱讀軟體也未定期更新而存在可供利用的弱點。
以我們所觀察到的釣魚信件為例,有冒充公司法務、客戶科長的信件,也有偽冒政府機關以全國資安會議為標題的郵件,或是用華碩併購Acer為主旨的信件;發信者亦熟知受害者社交網絡,假藉EMBA同學寄信,甚至還知道受害者的休閒活動如:曾經在2008年騎車環島,而發送以環島計畫為主旨的釣魚郵件,或是以大學一年級導師名義,寄發釣魚郵件。
上述釣魚郵件都清楚顯示出,駭客先透過社交工程方式,針對目標的背景資料做詳盡調查研究,然後「量身訂做」出聳動標題,吸引被害者開啟郵件達到入侵目的,這種攻擊方式從以往的大規模攻擊變成現在的隱蔽低調,再透過精密的客製化元件對入侵對象的裝置進行遠端控制,以竊取重要的機密資料為最終目的。
APT攻擊通常從寄發釣魚郵件開始,而駭客在製作釣魚郵件前,已經先透過社交工程手法,針對目標的背景資料做詳盡調查研究,然後「量身訂做」出聳動標題,吸引被害者開啟郵件達到入侵目的。
SafeNet 資訊安全保護鎖系列 , 歡迎來電借測 !
正新電腦提供 [ 借測活動 ] 並且提供借測使用上的技術指導。
有意借測者,歡迎來電洽詢詳細借測內容或有關資訊安全相關問題。
更多產品資訊來源 : www.pronew.com.tw
正新電腦 TEL : 04-2473-8309
留言列表
