Advanced Persistent Threat FireEye as a Service APT Premium Service Cisco Umbrella Trend Micro kill chain Fortinet FireEye iSight Cisco 趨勢科技 FaaS APT

分階段不同偵蒐機制 複合防禦阻斷狙殺鏈

2018-04-02
全球駭客組織不斷利用現代數位科技獲取非法利益。以往僅見於竊取國家機密的進階持續性滲透攻擊(APT)手法,曾幾何時已成為企業開展新興商業模式的最大隱憂。典型的案例即為金融業用以跨國匯款轉帳的SWIFT(環球銀行金融電信協會)系統,近年來接連傳出遭到入侵盜轉款項事件,即便是規模較大、IT預算無虞的大型銀行,也難免成為受害者。
APT攻擊之所以難解,趨勢科技資深技術總監戴燊觀察,主要在於其手法極具針對性與持續性,不達目的不罷休,儘管防範措施不斷發展進化,攻擊者所採用的策略、技術、程序同樣也會調整改變。例如在閘道與端點增添沙箱技術模擬分析可疑檔案,確實可提升偵測率,卻不代表毫無被滲透成功的可能性,畢竟APT攻擊模式本身就是多種手法所組成。以趨勢科技旗下資安事件回應(IR)團隊在2017年承接的專案來看,較多偏重於傳統製造業,至於所遭遇到APT攻擊,則不僅為低頻率的擴散活動,同時還夾帶惡意加密程式,直接綁架檔案勒索換取贖金。

這類混合攻擊模式較以往認知的APT手法已有所不同。過去的攻擊目的性明確,以低頻率的擴散活動直到成功竊取機敏資料。整起攻擊活動不外乎狙殺鏈(Kill Chain)的七個階段,包含研究偵查、設計發動攻擊的武器(惡意程式)、社交工程遞送惡意程式到目標企業內部、誘使用戶觸發執行漏洞攻擊滲透、安裝後門或下載惡意檔案、回呼中繼站接受遠端控制、竊取機敏資料。

為了達到最後的目的,惡意程式會全力躲避企業內部的偵測機制,更何況如今已被設計採取混合式手法,來取得最大的利益,由此不難發現,企業只靠單一技術或解決方案已很難與之抗衡。因此,除了在閘道端與終端增添沙箱模擬分析檢查未知檔案的風險性,透過分析網路東西向流量掌握行為模式,亦是近來資安領域發展的走向。

破壞狙殺鏈活動降低攻擊得逞機率

因應APT攻擊的作法,普遍的觀念是在狙殺鏈的不同階段中,建立可偵測的措施,發現後立即阻斷來降低資安風險。問題是,既然已被攔截,又該如何判定是APT攻擊?FireEye台灣區大中華區首席技術顧問蕭松瀛指出,在偵測過程中以沙箱模擬分析發現的惡意特徵,可能稱之為未知型漏洞攻擊(Exploit),確實尚無充足資訊判定為APT。

他進一步說明,多數人的觀念是如果沙箱模擬分析執行時間過長則終止運行,但實務上這個做法相當不利於追蹤攻擊活動,主要是因為當下攻擊者可能正在遠端操控,待惡意程式滲透成功後回呼中繼站,可能不會立即觸發下一步攻擊,而是由攻擊者依據運行狀態判斷後續行動,往往長達半小時後才會派送新的命令,或下載其他功能的惡意程式。因此FireEye所設計的沙箱模擬環境中可透過Live-mode機制延長檔案停留時間,藉此取得更多攻擊活動資訊,來還原事實真相。


▲思科最新發布的2018年度網路安全報告中指出,機器學習與人工智慧建置的自動化工具,可協助防禦方追上落後於攻擊方的技能及資源差距,藉由識別已知與新興威脅,提升技術人員偵查效率以快速因應。

FireEye iSight專屬研究狙殺鏈執行方法,目前大約追蹤九百多個駭客組織,發布的報告會以APT-XX或FIN-XX命名來區分,前者通常代表背後有國家支持,後者則主要針對金融業。例如FireEye近期命名的伊朗駭客組織APT34,即是在長期追蹤下,取得政府資助的證據才定義命名。只要掌握攻擊樣本(Payload),即可大致判定屬於哪一個組織所為,包含散播惡意程式的手法、竊取機敏資料種類、經常出沒的國家等資訊。

對於如何因應APT攻擊,當前資安市場的主流是破壞狙殺鏈活動以阻止攻擊成功,相關的解決方案也更廣泛地納入未知型惡意程式、漏洞攻擊等防禦能力,例如原本單純的釣魚郵件防護機制,只要有能力提出證據,或許也可納入成為APT解決方案的一環。

思科台灣技術長馮志良指出,Cisco Umbrella(思科資安防護傘)即可藉由分析DNS解析請求,來防範惡意網站的連線行為。畢竟外部攻擊發動的第一步,不外乎透過郵件發送惡意檔案,或是在內文中嵌入惡意網址,若以現代防禦機制來看,惡意檔案被偵測攔阻的機率較高,反而誘騙使用者點選惡意網址較容易成功,一旦透過DNS服務解析,Umbrella即可先行過濾惡意網站。

機器學習分析大數據輔助偵查異常行為

滲透攻擊初期階段的行為模式較為固定,透過沙箱機制模擬分析從網站下載或郵件中夾帶的未知型檔案,將有機會偵測到惡意並予以攔阻。但是戴燊不諱言,APT攻擊採用的惡意程式,大多為高度客製化,第一時間要能夠即時偵測發現難度確實不低;不過若能採取全面性監控,在閘道端與終端建立主動分析機制,還是會有顯著功效。只是此階段一旦有所遺漏,讓攻擊者順利滲透進入,開始內部橫向擴散,沙箱、防毒軟體、IPS網路偵測等措施就難以發揮效果。

對此近年來APT防禦方案的供應商,紛紛加強蒐集取得內網行為資料並且監看與分析,以提升威脅能見度。例如導入建置FireEye解決方案可訂閱FaaS(FireEye as a Service),趨勢科技則是提供駭客內網行為分析服務(APT Premium Service),蒐集用戶端產生的資料,基於威脅情資進行大數據分析,並採用機器學習與人工智慧提升處理效率,供資安專家判讀,在發現APT行徑時及早通知用戶,並建議處理流程。

蕭松瀛強調,在狙殺鏈的攻擊過程中,其中一個階段即是內部擴散,必須藉由檢查東西向流量才得以發現。例如本土企業較熟悉的WannaCry手法,是透過SMB通訊協定橫向感染,利用系統預設的工作排程執行惡意指令。戴燊亦指出,攻擊者通常會利用IT維運常見的Windows作業系統工作排程呼叫啟動惡意程式,欲從正常行為中發現異常,判斷依據往往並非為單一規則,必須仰仗大數據平台統整與分析資料,運用機器學習演算法實作,以提升資料分析的速度,從中抽絲剝繭查找異常,進而基於威脅情資,釐清發動攻擊的駭客組織與其目標,以調整防護政策及早因應。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!