Multi-Vector Virtual Execution Dynamic Threat Intelligence Advanced Persistent Threat Reverse Engineering Email Discovery Spear phishing TRITON APX ShareTech Websense FireEye 其達科技 眾至資訊 郵件安全 APT 魚叉式 MVX DTI

進階分析搭配DLP機制 降低收送郵件資安風險

2015-02-11
今日最常被駭客或有心人士利用來發動滲透攻擊、盜取機密文件的管道,當屬電子郵件莫屬。尤其是近年來盛行的進階持續性滲透攻擊(Advanced Persistent Threat,APT),常見以郵件為首要進入點,由於APT攻擊目的在於具金錢利益的數位資料,駭客不再招搖破壞,滲透行為的隱匿性更高,往往縱使系統環境已被成功植入惡意程式,使用者或IT管理者也無從發現。
去年(2014年)FireEye曾發布從全球1,216個企業POV(Proof of Value)的統計數據,有高達97%的公司發現駭客滲入足跡,其中有超過25%的滲透行為,被FireEye認定為有目的性的APT攻擊,電子郵件則是最主要的入侵管道之一。日前Websense安全實驗室(Websense Security Labs)公布的2015年安全預測中亦提到,郵件防禦的規避手法將持續被推陳出新,駭客組織運用例如DGA(Domain Generation Algorithms)等技術,以試探郵件安全設備的偵測限制,設計出可成功繞過防線的攻擊模式。既然新型態攻擊經常利用郵件管道發動,企業環境無法避免,更需設法因應並建立相對應的安全措施。

雙因素認證登入 防範郵件詐騙

其實利用郵件發送滲透攻擊手法,不外乎在內文中包含魚叉式網路釣魚(Spear Phishing)網址,或附加檔案中內嵌惡意代碼,當使用者點選連結或開啟附檔,同時會觸發偷渡式下載(Drive-by Download)漏洞攻擊程式於系統背景執行,在使用者日常的操作行為中滲入系統潛伏。

其中,魚叉式網路釣魚較偏向技術詐騙,FireEye技術經理林秉忠觀察,受害者多半是中小企業,常見的案例即是在郵件內文中說明礙於資安控管政策,報價單無法直接採以郵件傳遞,而是提供下載網址,登入用戶帳號與密碼方可取得。警覺心不足的收件者往往不察,使得詐騙者順利得逞,藉此取得收件者的帳號與密碼,掌握更多受害者經由郵件傳遞的商務溝通訊息,進而設計發動詐騙的模式,例如通知合作廠商匯款帳戶變更,騙取貨款等犯罪行為。

針對性詐騙郵件通常是利用人性弱點設計陷阱來取得利益,已非透過IT偵測技術得以解決。林秉忠指出,除非其背後是另一種魚叉式攻擊型態,在使用者點選連結後導向(Redirect)至惡意網站,藉此滲透至端點系統開始潛伏,才有機會經由特徵碼、黑名單等比對方式發現予以攔阻。但目前最頭痛的仍然是詐騙,畢竟「運用IT技術來管制人的操作行為」仍有極限,只能借助教育訓練之力,提升使用者的資安意識加以防範。

「我認為最治本的作法其實是雙因素認證,在郵件詐騙、APT攻擊盛行下,運用Token、手機認證App等方式進行雙因素認證,將成為主流因應之道,讓有心人士即使取得郵件系統的帳號與密碼也無法順利登入,較具立竿見影之效。」林秉忠說。

搭配虛擬引擎 剖析可疑連結檔案

至於APT攻擊,手法變化則相當多元,像是魚叉式攻擊手法若採以惡意網頁發動感染,亦可能是APT攻擊模式中的一環。市場上常見防治的作法,多半是採用黑白名單機制,藉由蒐集大量惡意網址成為比對基礎,在郵件系統收取時執行過濾。但問題是APT往往具有特別設計的針對性,相同的惡意網址多數不會出現第二次,因此若偵測為未知型的網址,現今資安領域的作法較傾向運用代理技術實際點選開啟,或者是實際下載檔案模擬分析。

就FireEye作法而言,當偵測到郵件內文中包含檔案下載連結或附加檔案時,會實際下載至MVX(Multi-Vector Virtual Execution)虛擬執行引擎,讓檔案在虛擬環境中實際執行,觀察該檔案的行為模式,確認是否具威脅性。至於惡意網址,由於網頁型式通常內嵌許多來自不同網站的連結程式,此狀況較複雜,則難以僅交由虛擬環境實際點選發現。

林秉忠說明其主要原因,是郵件中內含許多個網址連結,例如內文中附上參考資料的網頁文章或圖片、簽名檔中的公司官網等,由於連結數量相當多,逐一分析下勢必有所耽誤。當然僅採用惡意網址資料庫比對方式最快速,但若是遇到針對性攻擊,客製化的惡意網址以繞過偵測機制,即無法辨識。

對此,現代化閘道端偵測系統可在發現郵件內含未知型連結網址時,放行的同時給予戳記,並建立反向表列,日後在網路流量中比對發現後,會先經由閘道端實際在虛擬環境中模擬瀏覽行為,觀察載入的檔案是否存在惡意。萬一判斷為惡意,隨即循戳記通知使用者該郵件切勿開啟。「其實目前對抗APT攻擊普遍採用的沙箱(Sandbox)技術,大多著重於檔案分析,但駭客的滲透手法相當多元,亦有可能是網頁內容全數載入至本機後重組才成為漏洞攻擊程式,而多數沙箱技術在尚未成熟下,僅有能力分析單一檔案,無法處理更多元的滲透模式。而FireEye特別之處是網頁開啟後產生眾多的物件(Object),會全數導向到同一台MVX,所以若是經由眾多Object載入後才觸發攻擊行為,即可藉此發現。」

宏觀檢視風險點 發揮整合防禦機制

現階段防堵循郵件管道發動APT滲透攻擊的解決方案,多數是既有郵件安全廠商增添偵測機制、或由專屬針對APT攻擊而設計的閘道端設備來協助,皆是試圖以進階解析技術(沙箱)及時攔阻。

事實上,APT攻擊的目的是為了竊取機敏資料,最終仍需將盜取的檔案傳回中繼站,為避免被資安機制發現而攔阻,常見手法是經由擴散滲透以取得擁有高權限管理者的郵件帳號與密碼,再透過郵件發送將機敏資料帶走。「因此不僅是把關接收郵件,外送郵件亦必須檢測與分析,即可運用資料外洩防護(Data Loss Prevention,DLP)機制來協助。」Websense北亞區技術總監莊添發指出。

但如此一來,郵件安全防線除了傳統防毒、防垃圾郵件等過濾機制,為因應APT攻擊增添進階分析設備,再加上資料保護的DLP,對於建置成本、管理維運而言,皆帶來不小壓力。儘管整合建置可說是最佳解,但實務上卻不易達成。莊添發觀察,困難之處在於傳統上IT基礎架構維運、資安管控、法規遵循,皆分屬不同團隊職權掌管,彼此之間為平行單位,欲協同合作,勢必要由高層管理者從建置與維運成本、資安控管的角度規劃整合,才可能達成。

他提醒,發展新型態郵件攻擊防禦機制,要從宏觀的角度檢視各種可能性,切勿再受限於跨部門、協調不易,而無法以整合性思維架構安全防線,導致資料失守外流,可說是現代企業管理者應具備的核心思維。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!