兵在精不在多 攻擊也一樣

留下回應

分享

    

不像過去的惡意行為只是為了出風頭，2005 年，絕大多數的安全威脅都是以金錢利益為目標。受金錢利益驅使，最新型態惡意程式通常會鎖定特定企業，或是彼此具有共通之處的特定使用者族群，這就是所謂「目標攻擊 ( target attack)」。駭客往往透過郵件把精心設計的木馬程式散播給這些目標，然後誘使警覺性不高的使用者落入圈套。目標攻擊 ( target attack)的特點之一是具有長時間不被偵測到，以便在木馬程式被偵測、移除前收集到駭客覬覦的大量機密資訊。

財報試算表多了好幾個零

目標式攻擊目前仍未有明確的業界標準定義，不過普遍均認為目標式攻擊不同於區域性攻擊。後者指的是針對位於同一地理區域的一群使用者所進行的數位攻擊，而一般目標式攻擊範圍則僅限於同一公司或組織 (最多不超過三個)，且最初鎖定寄送惡意程式碼的收件者人數也不多 (最多 5-10 個)。

目標攻擊常見攻擊3步驟是：

步驟 1：不法分子或犯罪組織發出網路釣魚郵件，邀請收件人前往瀏覽某個網站。

步驟 2：收件人進入這個網站之後，其電腦便會被自動被植入下載程式。

步驟 3：一旦安裝這些下載程式之後，有心人士便擁有方便的管道，可在受害電腦連線的網路上監聽傳輸資料。

位於東南亞的某企業就是屬於第三個攻擊模式：今年夏天，東南亞一家總員工人數30,000 人的國營企業在發布當季財務報表的前一晚，發現試算表的尾數被多加了幾個零。整個事件起於一封內含特定網站連結的電子郵件，一名員工造訪了這類網站，按下其中連結，啟動一個惡意程式下載工具，並下載了檔案到不知情員工的電腦中。攻擊者於是開始搜尋試算表並加以竄改。我們在這家企業系統中共發現30幾隻未曾在外流傳的木馬程式，前後共花了7天才清除乾淨，當然該企業的股價也因為發不出財報而大受影響。

如果該員工的電腦已安裝最新的防毒軟體，或許就能偵測到下載程式。但該公司其實只使用某特定功能的產品，而非安全防護套件或硬體防護設備。閘道上也沒有任何防護措施。該公司由於未建立多層式的防護機制，終而完全落入惡意網站擁有者手中。

安全專家眼中的新麻煩製造者：目標攻擊

在此次Virus Bulletin 2006 會議中，許多安全專家都提到目標攻擊。有安全廠商發表針對目標式木馬程式攻擊與產業間諜活動的簡報，當中提到： 「典型的目標式攻擊包含一到十封類似的電子郵件，設定的對象為一到三個企業組織。平均每天約有 7 個屬於目標式木馬程式攻擊。目標式攻擊在所有透過電子郵件散播的惡意程式當中，所佔比例還不及 0.001%，但是攻擊者企圖將資料竊取軟體植入企業組織，是最令人擔憂的事。」

另一家安全廠商在以傀儡電腦網路( Botnet)為題的簡報中指出，目標攻擊總不乏可以利用的技術。比如近年來，由於 IRC 指令碼語言能提供強大的功能，而且利用聊天室型態的結構十分容易控制受感染的機器，因此愈來愈多病毒作者社群對於IRC型態的惡意軟體產生興趣。另外，目前透過Web作為指揮控制 (Command and Control，C&C) 管道的傀儡電腦 (Bot) 數量也有增加趨勢。安全專家們都同意Botnet可能被用於阻斷服務 (DDoS) 攻擊，以達到癱瘓特定網域或公司的目的。

我們公司的Jamz Yaneza 也說明一種新的目標式攻擊。名為間諜程式網路釣魚的手法乃結合網釣詐騙與網站嫁接攻擊技巧，專以網路銀行、金融機構以及其他使用密碼的網站為攻擊對象。這種攻擊方法可進行更精準的目標式網路釣魚攻擊。我們相信，網路釣魚是網路騙徒與間諜程式作者騙取使用者金錢與個人資訊的下一個手法。

進行間諜程式網路釣魚攻擊時，作者會利用電子郵件中夾帶一個木馬程式，或是一個可下載木馬程式的連結。使用者不慎下載並執行惡意程式之後，無論是透過手動攻擊或利用安全弱點，惡意程式會監視網路傳輸的資訊，偵測使用者是否透過網路存取特定網頁。一旦偵測到這種情況，它就會將所有登入資訊或機密資料傳回給駭客。比傳統網路釣魚更危險的是，它並不需引誘使用者主動造訪偽造網站，而且從技術面來看，它比網站嫁接攻擊更容易執行，因此就算是所謂Script Kiddie（依樣畫葫蘆的新手駭客）也可能得逞。

不論是後門程式或是鍵盤側錄木馬程式，任何惡意程式碼都能用於目標式攻擊。防毒廠商面對目標式攻擊時所面臨的主要問題之一，就是如何取得惡意程式第一次攻擊事件中所使用的樣本。由於遭鎖定的目標愈來愈少，或變得愈來愈精確，使得目標式攻擊中所使用樣本的取得難度愈來愈高，也難以和其他廠商進行交流。 在此我附上了一份兩者之間的反向關係圖：

目標式攻擊另一個問題是中毒系統的清除方式。目標式攻擊的清除工作並不只是還原某一種惡意程式的某一種損害行為，因為單一攻擊所包含的惡意程式碼往往不只一種，而且攻擊的時程可能持續一週，或甚至數個月。此外，清除工作也不僅是終止所有處理程序、刪除惡意程式建立的檔案/登錄設定等等而已，還必須確定哪些資訊可能已遭入侵，調查哪些惡意程式碼可能殘留下來，或在近期內可能再植入系統中，以及防止這些程式碼攻擊或進一步對系統構成損害。當務之急得先解決許多使用者目前面臨的反覆感染的問題。