交通部資安教育訓練 趨勢科技 資安顧問 邱豊翔
報告大綱 APT案例 APT特性與迷思 APT防禦策略 Q & A
社交工程電子郵件攻擊流程 攻擊階段 控制階段 活動與擴散階段 3 4 2 1 5 安裝後門程式 建立 C&C 通道 觸發軟體弱點 夾帶惡意附件的社交工程信件 5 內部網路攻擊與擴散
Copyright 2012 Trend Micro Inc. 南韓事件 爆發時間:2013/3/02下午2點 範圍 6家企業約32000台主機中斷服務,無法啟動 金融業 新韓銀行(Shinhan Bank) 農協銀行(NongHyup Bank) 濟州銀行(Jeju Bank) 媒體業 韓國放送公社(KBS) 文化廣播(MBC) 南韓新聞頻道(YTN) 衝擊 營運中斷 金融業: ATM、臨櫃交易、 線上交易全面停擺 媒體業:節目無法播出,對外網站無法運站 由於植入自我毀滅性惡意程式,系統檔案被損毀,電腦主機及伺服器無法開機,導致儲存資料無法還原 Copyright 2012 Trend Micro Inc.
攻擊階段 控制階段 活動與擴散階段 3 2 4 1 5 安裝後門程式 觸發軟體弱點 建立 C&C 通道 夾帶惡意附件的社交工程信件 內部網路攻擊與擴散 夾帶惡意附件的社交工程信件 翻譯:這是您的3月份ShinCard帳單,請參考附件
澄清一下:我們早就預見這狀況,做好準備了 檔案指紋判斷與數位簽章判斷 只允跟信任的更新伺服器溝通 網路通訊加密 詳細的記錄檔,以利異常狀況標定與判斷 APT影片
南韓事件帶來的啟發 別被騙了,不可能一瞬間同時打掛32000台主機 又是社交工程! 駭客比資訊人員還清楚內部環境 早就在裡面埋樁很久了 又是社交工程! 駭客比資訊人員還清楚內部環境 新聞錯了,不是安博士被攻破,而是被利用 重點應該想想:還有多少類似安博士的系統,可能被駭客利用? APT威脅問題≠惡意程式處理 APT影片
南韓事件不是第一個,也不會最後一個 APT影片
台灣另類的世界第一
數十年來始終不變
數十年來始終不變
數十年來始終不變
總算有人打開潘朵拉盒子了!
承認吧,在座各位是目標
別再用傳統角度看APT威脅了- APT的4大特性
如果你沒聽過APT… Advanced Persistent Threat 深入、熟悉目標特性的 針對性的 持續性 進階 威脅
特性1:利用人性弱點 為什麼防不勝防? 資安水桶理論,「人」造成 的問題往往是資安防鏈中的 最弱點 駭客也講投資報酬率 利用人性弱點,社交工程攻 擊是成功率最高的方式
APT入侵最有效也最簡單的方式-社交工程電子郵件
你看得出來那裡有問題?
你看得出來那裡有問題?
你看得出來那裡有問題?
Trend Micro Confidential 你看得出來那裡有問題? Trend Micro Confidential
特性2:傳統防禦機制失靈 防毒軟體無法辨識 APT APT的惡意程式幾乎都是客製化的 利用系統或文件軟體漏洞,甚至是零時差弱點 防火牆完全無效 黑名單平均存活時間短,隨時變換,擋不完 利用正常的通信埠及通信協定 入侵偵測無效 網路流量正常,小量批次傳送資料
特性3:刻意躲避偵測的客製化攻擊 你喜歡用,駭客更愛用!
特性4:低調而迂迴 南韓事件是特例 偷資料才是王道 看看最近很紅Mandiant怎麼說? 近半數受害單位/組織不知道自已被入侵了
APT受害者平均被入侵近一年後才發現異常 Reference by Mandiant M-Trend 2013 Report
APT攻擊具有「誅九族」的特性 Reference by Mandiant M-Trend 2013 Report
傳說獅子的鬃毛可以治禿頭了- APT的3大迷思與欠缺
將APT與病毒,入侵與DD oS(阻絕服務)混為一談 認為強化與依靠現有防禦措施即可 自認自己不值得被攻擊 欠缺 缺乏正確認知 缺乏決解方案 迷思 將APT與病毒,入侵與DD oS(阻絕服務)混為一談 APT是威脅,不是攻擊! 認為強化與依靠現有防禦措施即可 萬里長城在現代擋得了誰? 自認自己不值得被攻擊 你的資料與重要性不是你決定,是駭客決定! 欠缺 缺乏正確認知 缺乏決解方案 缺乏處理流程
誰做的好事?
別再相信獅子的鬃毛可以治禿頭了- APT的3大迷思與欠缺
APT 駭客攻擊劇本 情報蒐集 1 社交攻擊 2 操縱通訊 3 橫向感染 4 資料發掘 5 資料外傳 6
目前常用的防禦方式-各各擊破,易如反掌 攻擊階段 控制階段 活動與擴散階段 無法分辨! 一堆零時差弱點! 擋不完,時效性差! 宣導員工不開起可疑電子郵件 定期修補文件軟體弱點 利用黑名單阻擋C&C連線 建置防垃圾郵件產品 防毒軟體進行掃描及清除 利用入侵偵測系統發現可疑流量 客製化與針對性,不是大量垃圾郵件 客製化與針對性! 用什麼,打什麼! 正常且低頻連線,看不出來 Stage: 強調 in-line block 攻擊階段 控制階段 活動與擴散階段
由電影「魔戒」看APT防禦策略-蹤深防禦+區域聯防
APT情報 APT蹤深防禦策略架構 偵測/阻擋 分析 偵測/阻擋 清除 專家服務平台 針對惡意社交郵件進行偵測及攔阻 即時分析惡意程式並找出可利用資訊 偵測/阻擋 偵測網路可疑行為,找出受害電腦處理並阻斷C&C連線行為 清除 清除利用其他方式進入或早已存在的惡意程式 專家服務平台
可以針對各種 APT 社交工程信件中夾帶的惡意文件與檔案 惡意社交郵件進行偵測及攔阻設計 可以針對各種 APT 社交工程信件中夾帶的惡意文件與檔案 針對各種文件格式中弱點分析 針對APT社交工程信件常用攻擊手法附件分析 可以分析加密惡意附件 可以偵測零時差攻擊且不需更新特徵碼 因為不需更新特徵碼,所以不會有防毒軟體無法辨識新惡意程式問題 快速與準確 在1秒內完成判斷,不對使用者造成困擾 除了準確偵測與攔阻夾帶惡意附件的社交工程信件之外,也不能誤攔正常信件
APT社交工程電子郵件靜態掃瞄引擎 將惡意程式植入到惡意文檔的手法設計分析規則 社交郵件閘道過濾IMSVA APT社交工程電子郵件靜態掃瞄引擎 將惡意程式植入到惡意文檔的手法設計分析規則 使用文檔開啟程式的弱點 檔案架構/格式遭到竄改 被增加了特殊的編碼 嵌入Binary code 遭植入有害的 Shell Code 文檔並非觸發單一變數就會遭通報為APT攻擊,必須符合特定組合規則 趨勢科技有專人在研究這個方面的行為,並將研究成果應用在靜態引擎上,使用於社交工程郵件閘道過濾(IMSVA)
自動化分析 利用動態分析技術 (沙盒分析/Sandbox) 分析 APT社交工程攻擊˙信件中所夾藏的惡意攻擊行為。 擷取攻擊行為重要情報 DTAS分析平台 利用動態分析技術 (沙盒分析/Sandbox) 分析 APT社交工程攻擊˙信件中所夾藏的惡意攻擊行為。 擷取攻擊行為重要情報 惡意程式樣本 中繼站 攻擊來源 立即將所以情報回饋至防禦機制中 樣本製作病毒碼 中繼站、攻擊來源加入防護設備中阻擋
為什麼沙盒分析(Sandbox)不適合放在第一線? 靜態引擎 偵測方式 動態執行郵件中惡意附檔 常搭配防毒軟體 靜態掃描惡意附檔 非pattern與行為偵測 速度 慢 (在虛擬機器中逐一執行) 快 (程式掃描惡意附檔中攻擊程式) 觸發率 較不準確 時間不對就無法觸發 遇到Anti-VM 無法觸發 程式版本或元件不符則無法觸發 部分樣本需特定網路環境設定才能執行 無法偵測加密附檔 準確(90%以上) 各種格式惡意附檔均可偵測 可偵測加密附件 因不動態執行,故可掃描所有惡意附檔 誤判率 高 (無法有效分析) 低 用途 部署第二道防線,擷取惡意附檔中惡意程式的行為 部署第一道防線,快速且準確攔載夾帶惡意附件之電子郵件,再由sandbox擷取惡意程式行為
偵測與阻擋 偵測連線已知中繼站連線 偵測未知異常的可疑APT網路活動 偵測APT內網散佈擴散網路活動 網頁閘道過濾IWSVA Deep Discovery (DD) 網路內容威脅分析器 偵測連線已知中繼站連線 IP Domain Name HTTP流量! 偵測未知異常的可疑APT網路活動 偵測APT內網散佈擴散網路活動 偵測透過Web Mail為途徑的社交工程電子郵件惡意附件 套用專家服務分析得來的專屬規則,針對惡意程式的網路行為進行進行比對偵測 APT惡意程式也有身份證號碼!
防禦方式-檢查網頁流量與請求 10個入侵案例,9個都是進入內部散佈擴散 利用系統管理不當或舊版作業系統功能設計議題,入侵重要伺服器,取得全部控制權或竊取重要資料、帳密 更慘案例是入侵伺服器,當作內部中繼站,所有內網電腦跟伺服器連線報到後,再由伺服器向外部中繼站報到,傳送資料 APT有效防禦要建立蹤深防禦的層層防線,要監控駭客有興趣的重要伺服器上檔案異動、異常登入與系統事件
重要主機防護 從南韓事件知道重要伺服器是駭客的目標 統計實際APT資安事件調查案例,10案件中有9個進入內部散佈擴散階段,其中100%重要伺服器都被駭客「已控」 公文交換系統 AD伺服器 Mail伺服器 資產管理系統 內部網頁Portal!! 監控重要伺服器的作業系統與應用程式檔案、目錄與系統登錄是否遭到變更,並在異常狀況發生時立即示警 10個入侵案例,9個都是進入內部散佈擴散 利用系統管理不當或舊版作業系統功能設計議題,入侵重要伺服器,取得全部控制權或竊取重要資料、帳密 更慘案例是入侵伺服器,當作內部中繼站,所有內網電腦跟伺服器連線報到後,再由伺服器向外部中繼站報到,傳送資料 APT有效防禦要建立蹤深防禦的層層防線,要監控駭客有興趣的重要伺服器上檔案異動、異常登入與系統事件
主機稽核 駭客手法-批次背景執行 駭客利用修改集中管控伺服器上的批次檔,使用者登入時下載並執行惡意程式 Deep Security 主機稽核安全防護 駭客利用修改集中管控伺服器上的批次檔,使用者登入時下載並執行惡意程式
主機稽核 駭客手法-批次背景執行 駭客利用竊取的帳密登入伺服器,執行惡意行為後,清除登入記錄,避免被追蹤到潛藏暗樁 Deep Security 主機稽核安全防護 駭客利用竊取的帳密登入伺服器,執行惡意行為後,清除登入記錄,避免被追蹤到潛藏暗樁
清除攔阻 將回饋的惡意程式樣本在第一時間內製作特徵碼,防堵與清除來自其它管道的惡意程式 分辨一般惡意程式與APT惡意程式,協助應變與處理 從南韓事件發現最後還是得由防毒軟體執行最後一道防線,阻擋與清除惡意程式 雖然偵測攔截到攻擊,但因使用不同廠商,所以從樣本提供到製作特徵碼時間差,造成嚴重損失 將回饋的惡意程式樣本在第一時間內製作特徵碼,防堵與清除來自其它管道的惡意程式 分辨一般惡意程式與APT惡意程式,協助應變與處理
專家服務平台與情報中心 面對APT威脅,必需假設滲透不可免 沒有100%安全的解決方案 需具備自我資安事故應變或調查的能力,或由專業第三方提供「即時」服務 第三方的服務能量、能力、經歷很重要,千萬別找鬼拿藥! 針對被通報的連線處理 針對重大資安事件,進行詳細的調查,提供「綜觀」的改善建議 定期執行資安健診,抽樣或全面檢測使用者電腦與重要伺服器安全水位,提早發現異常狀況,提升防護成效,降低風險 由專業第三方提供APT情報。針對回饋的資訊,進行分析,將分析結果提供客戶參考,並於新攻擊發現時預警客戶
事前/事中/事後的資安應變與處理
這樣就結束了嗎?駭客字典裡沒有放棄- 行動裝置安全 這樣就結束了嗎?駭客字典裡沒有放棄- 行動裝置安全
國外利用手機攻擊特定人士的APT攻擊案例
台灣當然不會倖免於外
智慧型行動裝置防護策略 裝置安全性防護 儲存資料防護 設備管理 惡意程式防護 網路通訊防護 應用程式管理 資料加密 遠端銷毀 資料存取 資產清點 硬體使用
on Android, iOS, BlackBerry, Windows Mobile & Symbian 趨勢科技智慧型行動裝置防護策略 Device Security Data Protection - 惡意APP防護 - 手機病毒掃描 - 垃圾訊息過濾 (來電 & 簡訊) - 網路威脅防護 - 手機防火牆 - 遠端定位 - 特定位置App控管 - 連線惡意網頁分析 - 設備與檔案加密 - 強制密碼政策 - 遠端鎖定 - 遠端清除 - 特定位置功能封鎖 - 連線特定IP自動啟動VPN - 管制特定寄件者帳號 Policy and Management Framework Device Management on Android, iOS, BlackBerry, Windows Mobile & Symbian - 設備功能管制 (相機、藍芽裝置) - 設備應用功能管制 (APP安裝、畫面擷取、WIFI功能) - 資產清查與稽核 - 設備資訊紀錄 - 全域設定預載 (VPN、Exchange Server、WIFI)
在APT時代,沒有旁觀者,沒有終點 Q & A