交通部資安教育訓練 趨勢科技 資安顧問 邱豊翔.

Presentation on theme: "交通部資安教育訓練 趨勢科技 資安顧問 邱豊翔."— Presentation transcript:

1 交通部資安教育訓練 趨勢科技 資安顧問 邱豊翔

2 報告大綱 APT案例 APT特性與迷思 APT防禦策略 Q & A

3 社交工程電子郵件攻擊流程 攻擊階段 控制階段 活動與擴散階段 3 4 2 1 5 安裝後門程式 建立 C&C 通道 觸發軟體弱點
夾帶惡意附件的社交工程信件 5 內部網路攻擊與擴散

4 Copyright 2012 Trend Micro Inc.
南韓事件 爆發時間：2013/3/02下午2點 範圍 6家企業約32000台主機中斷服務，無法啟動 金融業 新韓銀行(Shinhan Bank) 農協銀行(NongHyup Bank) 濟州銀行(Jeju Bank) 媒體業 韓國放送公社(KBS) 文化廣播(MBC) 南韓新聞頻道(YTN) 衝擊 營運中斷 金融業: ATM、臨櫃交易、 線上交易全面停擺 媒體業：節目無法播出，對外網站無法運站 由於植入自我毀滅性惡意程式，系統檔案被損毀，電腦主機及伺服器無法開機，導致儲存資料無法還原 Copyright 2012 Trend Micro Inc.

5 攻擊階段 控制階段 活動與擴散階段 3 2 4 1 5 安裝後門程式 觸發軟體弱點 建立 C&C 通道 夾帶惡意附件的社交工程信件
內部網路攻擊與擴散 夾帶惡意附件的社交工程信件 翻譯：這是您的3月份ShinCard帳單，請參考附件

6 澄清一下：我們早就預見這狀況，做好準備了
檔案指紋判斷與數位簽章判斷 只允跟信任的更新伺服器溝通 網路通訊加密 詳細的記錄檔，以利異常狀況標定與判斷 APT影片

7 南韓事件帶來的啟發 別被騙了，不可能一瞬間同時打掛32000台主機 又是社交工程! 駭客比資訊人員還清楚內部環境
早就在裡面埋樁很久了 又是社交工程! 駭客比資訊人員還清楚內部環境 新聞錯了，不是安博士被攻破，而是被利用 重點應該想想：還有多少類似安博士的系統，可能被駭客利用？ APT威脅問題≠惡意程式處理 APT影片

8 南韓事件不是第一個，也不會最後一個 APT影片

9 台灣另類的世界第一

10 數十年來始終不變

11 數十年來始終不變

12 數十年來始終不變

13 總算有人打開潘朵拉盒子了！

14 承認吧，在座各位是目標

15 別再用傳統角度看APT威脅了- APT的4大特性

16 如果你沒聽過APT… Advanced Persistent Threat 深入、熟悉目標特性的  針對性的 持續性 進階 威脅

17 特性1:利用人性弱點 為什麼防不勝防？ 資安水桶理論，「人」造成 的問題往往是資安防鏈中的 最弱點 駭客也講投資報酬率 利用人性弱點，社交工程攻 擊是成功率最高的方式

18 APT入侵最有效也最簡單的方式-社交工程電子郵件

19 你看得出來那裡有問題？

20 你看得出來那裡有問題？

21 你看得出來那裡有問題？

22 Trend Micro Confidential
你看得出來那裡有問題？ Trend Micro Confidential

23 特性2:傳統防禦機制失靈 防毒軟體無法辨識 APT APT的惡意程式幾乎都是客製化的 利用系統或文件軟體漏洞，甚至是零時差弱點 防火牆完全無效 黑名單平均存活時間短，隨時變換，擋不完 利用正常的通信埠及通信協定 入侵偵測無效 網路流量正常，小量批次傳送資料

24 特性3:刻意躲避偵測的客製化攻擊 你喜歡用，駭客更愛用！

25 特性4:低調而迂迴 南韓事件是特例 偷資料才是王道 看看最近很紅Mandiant怎麼說？ 近半數受害單位/組織不知道自已被入侵了

26 APT受害者平均被入侵近一年後才發現異常
Reference by Mandiant M-Trend 2013 Report

27 APT攻擊具有「誅九族」的特性 Reference by Mandiant M-Trend 2013 Report

28 傳說獅子的鬃毛可以治禿頭了- APT的3大迷思與欠缺

29 將APT與病毒，入侵與DD oS(阻絕服務)混為一談 認為強化與依靠現有防禦措施即可 自認自己不值得被攻擊 欠缺 缺乏正確認知 缺乏決解方案
迷思 將APT與病毒，入侵與DD oS(阻絕服務)混為一談 APT是威脅，不是攻擊！ 認為強化與依靠現有防禦措施即可 萬里長城在現代擋得了誰？ 自認自己不值得被攻擊 你的資料與重要性不是你決定，是駭客決定！ 欠缺 缺乏正確認知 缺乏決解方案 缺乏處理流程

30 誰做的好事？

31 別再相信獅子的鬃毛可以治禿頭了- APT的3大迷思與欠缺

32 APT 駭客攻擊劇本 情報蒐集 1 社交攻擊 2 操縱通訊 3 橫向感染 4 資料發掘 5 資料外傳 6

33 目前常用的防禦方式-各各擊破，易如反掌 攻擊階段 控制階段 活動與擴散階段 無法分辨! 一堆零時差弱點！ 擋不完，時效性差！
宣導員工不開起可疑電子郵件 定期修補文件軟體弱點 利用黑名單阻擋C&C連線 建置防垃圾郵件產品 防毒軟體進行掃描及清除 利用入侵偵測系統發現可疑流量 客製化與針對性，不是大量垃圾郵件 客製化與針對性！ 用什麼，打什麼！ 正常且低頻連線，看不出來 Stage: 強調 in-line block 攻擊階段 控制階段 活動與擴散階段

34 由電影「魔戒」看APT防禦策略-蹤深防禦+區域聯防

35 APT情報 APT蹤深防禦策略架構 偵測/阻擋 分析 偵測/阻擋 清除 專家服務平台 針對惡意社交郵件進行偵測及攔阻
即時分析惡意程式並找出可利用資訊 偵測/阻擋 偵測網路可疑行為，找出受害電腦處理並阻斷C&C連線行為 清除 清除利用其他方式進入或早已存在的惡意程式 專家服務平台

36 可以針對各種 APT 社交工程信件中夾帶的惡意文件與檔案
惡意社交郵件進行偵測及攔阻設計 可以針對各種 APT 社交工程信件中夾帶的惡意文件與檔案 針對各種文件格式中弱點分析 針對APT社交工程信件常用攻擊手法附件分析 可以分析加密惡意附件 可以偵測零時差攻擊且不需更新特徵碼 因為不需更新特徵碼，所以不會有防毒軟體無法辨識新惡意程式問題 快速與準確 在1秒內完成判斷，不對使用者造成困擾 除了準確偵測與攔阻夾帶惡意附件的社交工程信件之外，也不能誤攔正常信件

37 APT社交工程電子郵件靜態掃瞄引擎 將惡意程式植入到惡意文檔的手法設計分析規則
社交郵件閘道過濾IMSVA APT社交工程電子郵件靜態掃瞄引擎 將惡意程式植入到惡意文檔的手法設計分析規則 使用文檔開啟程式的弱點 檔案架構／格式遭到竄改 被增加了特殊的編碼 嵌入Binary code 遭植入有害的 Shell Code 文檔並非觸發單一變數就會遭通報為APT攻擊，必須符合特定組合規則 趨勢科技有專人在研究這個方面的行為，並將研究成果應用在靜態引擎上，使用於社交工程郵件閘道過濾(IMSVA)

38 自動化分析 利用動態分析技術 (沙盒分析/Sandbox) 分析 APT社交工程攻擊˙信件中所夾藏的惡意攻擊行為。 擷取攻擊行為重要情報
DTAS分析平台 利用動態分析技術 (沙盒分析/Sandbox) 分析 APT社交工程攻擊˙信件中所夾藏的惡意攻擊行為。 擷取攻擊行為重要情報 惡意程式樣本 中繼站 攻擊來源 立即將所以情報回饋至防禦機制中 樣本製作病毒碼 中繼站、攻擊來源加入防護設備中阻擋

39 為什麼沙盒分析(Sandbox)不適合放在第一線？
靜態引擎 偵測方式 動態執行郵件中惡意附檔 常搭配防毒軟體 靜態掃描惡意附檔 非pattern與行為偵測 速度 慢 (在虛擬機器中逐一執行) 快 (程式掃描惡意附檔中攻擊程式) 觸發率 較不準確 時間不對就無法觸發 遇到Anti-VM 無法觸發 程式版本或元件不符則無法觸發 部分樣本需特定網路環境設定才能執行 無法偵測加密附檔 準確(90%以上) 各種格式惡意附檔均可偵測 可偵測加密附件 因不動態執行，故可掃描所有惡意附檔 誤判率 高 (無法有效分析) 低 用途 部署第二道防線，擷取惡意附檔中惡意程式的行為 部署第一道防線，快速且準確攔載夾帶惡意附件之電子郵件，再由sandbox擷取惡意程式行為

40 偵測與阻擋 偵測連線已知中繼站連線 偵測未知異常的可疑APT網路活動 偵測APT內網散佈擴散網路活動
網頁閘道過濾IWSVA Deep Discovery (DD) 網路內容威脅分析器 偵測連線已知中繼站連線 IP Domain Name HTTP流量! 偵測未知異常的可疑APT網路活動 偵測APT內網散佈擴散網路活動 偵測透過Web Mail為途徑的社交工程電子郵件惡意附件 套用專家服務分析得來的專屬規則，針對惡意程式的網路行為進行進行比對偵測 APT惡意程式也有身份證號碼！

41 防禦方式-檢查網頁流量與請求 10個入侵案例，9個都是進入內部散佈擴散
利用系統管理不當或舊版作業系統功能設計議題，入侵重要伺服器，取得全部控制權或竊取重要資料、帳密 更慘案例是入侵伺服器，當作內部中繼站，所有內網電腦跟伺服器連線報到後，再由伺服器向外部中繼站報到，傳送資料 APT有效防禦要建立蹤深防禦的層層防線，要監控駭客有興趣的重要伺服器上檔案異動、異常登入與系統事件

42 重要主機防護 從南韓事件知道重要伺服器是駭客的目標
統計實際APT資安事件調查案例，10案件中有9個進入內部散佈擴散階段，其中100%重要伺服器都被駭客「已控」 公文交換系統 AD伺服器 Mail伺服器 資產管理系統 內部網頁Portal!! 監控重要伺服器的作業系統與應用程式檔案、目錄與系統登錄是否遭到變更，並在異常狀況發生時立即示警 10個入侵案例，9個都是進入內部散佈擴散 利用系統管理不當或舊版作業系統功能設計議題，入侵重要伺服器，取得全部控制權或竊取重要資料、帳密 更慘案例是入侵伺服器，當作內部中繼站，所有內網電腦跟伺服器連線報到後，再由伺服器向外部中繼站報到，傳送資料 APT有效防禦要建立蹤深防禦的層層防線，要監控駭客有興趣的重要伺服器上檔案異動、異常登入與系統事件

43 主機稽核 駭客手法-批次背景執行 駭客利用修改集中管控伺服器上的批次檔，使用者登入時下載並執行惡意程式 Deep Security
主機稽核安全防護 駭客利用修改集中管控伺服器上的批次檔，使用者登入時下載並執行惡意程式

44 主機稽核 駭客手法-批次背景執行 駭客利用竊取的帳密登入伺服器，執行惡意行為後，清除登入記錄，避免被追蹤到潛藏暗樁
Deep Security 主機稽核安全防護 駭客利用竊取的帳密登入伺服器，執行惡意行為後，清除登入記錄，避免被追蹤到潛藏暗樁

45 清除攔阻 將回饋的惡意程式樣本在第一時間內製作特徵碼，防堵與清除來自其它管道的惡意程式 分辨一般惡意程式與APT惡意程式，協助應變與處理
從南韓事件發現最後還是得由防毒軟體執行最後一道防線，阻擋與清除惡意程式 雖然偵測攔截到攻擊，但因使用不同廠商，所以從樣本提供到製作特徵碼時間差，造成嚴重損失 將回饋的惡意程式樣本在第一時間內製作特徵碼，防堵與清除來自其它管道的惡意程式 分辨一般惡意程式與APT惡意程式，協助應變與處理

46 專家服務平台與情報中心 面對APT威脅，必需假設滲透不可免 沒有100%安全的解決方案
需具備自我資安事故應變或調查的能力，或由專業第三方提供「即時」服務 第三方的服務能量、能力、經歷很重要，千萬別找鬼拿藥！ 針對被通報的連線處理 針對重大資安事件，進行詳細的調查，提供「綜觀」的改善建議 定期執行資安健診，抽樣或全面檢測使用者電腦與重要伺服器安全水位，提早發現異常狀況，提升防護成效，降低風險 由專業第三方提供APT情報。針對回饋的資訊，進行分析，將分析結果提供客戶參考，並於新攻擊發現時預警客戶

47 事前/事中/事後的資安應變與處理

48 這樣就結束了嗎？駭客字典裡沒有放棄- 行動裝置安全
這樣就結束了嗎？駭客字典裡沒有放棄 行動裝置安全

49 國外利用手機攻擊特定人士的APT攻擊案例

50 台灣當然不會倖免於外

51 智慧型行動裝置防護策略 裝置安全性防護 儲存資料防護 設備管理 惡意程式防護 網路通訊防護 應用程式管理 資料加密 遠端銷毀 資料存取
資產清點 硬體使用

52 on Android, iOS, BlackBerry, Windows Mobile & Symbian
趨勢科技智慧型行動裝置防護策略 Device Security Data Protection - 惡意APP防護 - 手機病毒掃描 - 垃圾訊息過濾 (來電 & 簡訊) - 網路威脅防護 - 手機防火牆 - 遠端定位 - 特定位置App控管 - 連線惡意網頁分析 - 設備與檔案加密 - 強制密碼政策 - 遠端鎖定 - 遠端清除 - 特定位置功能封鎖 - 連線特定IP自動啟動VPN - 管制特定寄件者帳號 Policy and Management Framework Device Management on Android, iOS, BlackBerry, Windows Mobile & Symbian - 設備功能管制 (相機、藍芽裝置) - 設備應用功能管制 (APP安裝、畫面擷取、WIFI功能) - 資產清查與稽核 - 設備資訊紀錄 - 全域設定預載 (VPN、Exchange Server、WIFI)

53 在APT時代，沒有旁觀者，沒有終點 Q & A