數位證據 APT 犯罪 鑑識

另闢蹊徑對抗APT攻擊 追溯駭客棲息生態圈

在資通訊科技逐漸改變一般人日常生活的同時,以資訊科技為基礎的不法活動則更加氾濫與難以應付。單一個人、企業組織或政府機關,均須認真看待資訊安全問題。過去個別病毒、蠕蟲、木馬等惡意程式雖造成財產損失,卻遠不及近年APT對各國政府、跨國公司所引發的威脅及問題。本文以APT威脅為事件主軸,從大自然裡的生態棲息觀點進行鑑識分析,得以找出證據的蛛絲馬跡。
進行入侵
針對被鎖定對象(如首長機要、董事長秘書等)寄送社交工程惡意郵件,取得植入惡意程式機會後,暗自設定鍵盤側錄或封包側錄工具,伺機竊取帳號、密碼及資料,並透過C&C Server持續控制、保持匿蹤。

竊取資料
攻擊者建立遠端控制架構,定期或不定期將過濾後的敏感、機密資料,利用公開協定(如WWW或DNS)、特定通道(如TCP port 53、TCP port 80),以加密方式外傳。

APT的鑑識與追蹤

APT威脅具特定的手法及特色,在挑選被攻擊對象時,存在一定的脈絡。透過對APT的行為分析,常見的判斷及情資蒐集說明如下。

事件分析

Google提供YouTube、Gmail、Google+等豐富的網路資源服務,使用人數眾多。以Google面臨的Operation Aurora伺服器入侵事件為例,如呈現下列徵兆,將更能確認是否為特定國家或組織的駭客所為:

  • 遭駭的郵件帳戶為特定國家或組織的異議人士所有
  • 反組譯攻擊用的惡意程式出現特定語言文字(如簡 體中文)
  • 異常通訊封包源自特定國家
  • 多筆攻擊來源網址源自特定網段
手法分析

類似APT威脅的手法,簡述如下:

資訊蒐集
駭客經長時間蒐集而得資訊,可建構概略人際網絡,了解相關相對關係,如職場上下或平行的關係、家人或朋友等。

網頁綁架
駭客蒐集被害人經常瀏覽網站,植入惡意的網頁JavaScript、HTML程式。

社交工程
駭客利用被害人周遭熟悉的朋友、上司、下屬或家人的郵件帳戶,寄送含有可疑文件或連結的電子郵件給被害人,誘導瀏覽該網站。被害人未經確認打開連結,將被帶往駭客已攻陷之綁架網站。

感染木馬
被害人的瀏覽器通常含有未經發現的漏洞,惡意程式便利用該漏洞感染被害人的電腦,進而取得控制權。駭客再利用被害跳板電腦的溝通機制,下達指令操作被害人電腦,將電腦中資料傳送至惡意程式指定的處所(伺服器或電子郵件)。

過程分析

過程分析可以分成棲息地聚集、情資蒐集、演化與持續威脅三個面向來加以探討。

棲息地聚集
為汲取新知,駭客會群聚在特定的聊天室、論壇討論區,研究作業系統、商用軟體等漏洞,討論攻擊途徑。過去,駭客攻擊政府機關、民間組織的電腦,以提升自己在駭客間的名望,滿足虛榮心,或希望藉名氣的傳播被企業聘用為資安專家,取得工作。現在,不少投機份子因前述棲息地而結識,為非法的金錢利益形成組織,分工合作,對政府、企業等目標進行攻擊。為躲避查緝,成員間緊密團結。

情資蒐集
調查駭客攻擊時,可如滾雪球般拓展集團性駭客的攻擊情報蒐集網絡。得以特定駭客為中心,接觸其周遭熟悉朋友,再逐一擴展,蒐集、建構人際網絡關係,了解其慣用手法,檢測改善網路防禦組態設定。

演化與持續威脅
APT資安威脅,多從蒐集情報開始,包括目標組織結構、組織內重要人事及其周圍家人、朋友、同事,同時保持低調不被察覺,累積足夠資訊後便擬訂多種可行的攻擊途徑,期間可能花費數週、數月之久,絕非少數駭客即可完成。嘗試可行的攻擊途徑,研究系統漏洞撰寫攻擊程式,再部署所需的工具,一旦以上工作完成,往往只需數分鐘即可達成入侵、偷竊資料等目的。

APT威脅的鑑識調查

越來越多工作、服務諸如購物、轉帳、報稅等等可藉由電腦和網際網路達成;網路行動裝置的普及,創造Instagram、LINE、Flipboard等許多令人驚豔服務,當人們逐步運用網路服務時,也相對吸引非法者目光。

每日網路資訊流通量龐大,全球伺服器儲存各式各樣資訊,例如醫療健康紀錄、報稅帳目、信用卡帳戶等個人資料,皆是駭客或非法者眼中的無限寶藏。


▲圖2 APT威脅的鑑識調查。

關於APT威脅的鑑識調查如圖2所示,以下分別加以說明。

棲息地

人類因共同興趣、目的而聚集在一起,從事特定的行為、分享資訊。駭客會因專精領域不同,形成不同的群組(棲息地),資安攻擊方面可大略分為傳統主機及行動裝置。

傳統主機其系統可能為UNIX、Windows、Macintosh、Embedded System等不同領域。另一方面,行動裝置系統可區分為Windows、iOS、Android、Symbian、Firefox OS等。

如同自然界生物因合宜居住環境而群聚在一起,網路駭客也會為學習知識、分享心得或技術,透過實際見面或虛擬網路的聊天彼此連結。對事物的熱衷與好奇,使人們主動尋找相關資源,形成複雜的網絡。

駭客人數可能從一開始的三五成群,逐步成長為具規模的論壇,成為絕佳之精進技術的資安研習場所。就資安事件的調查而言,論壇的存在即是一個駭客棲息的所在;藉由知己知彼,百戰百勝,深入了解論壇運作,即是釐清事件的重大利器。

滾雪球

滾雪球方法可分成線型滾雪球法、指數型無鑑別度滾雪球法、指數型具鑑別度滾雪球法三種類型,如圖3所示。滾雪球方法適用於被調查對象的條件特殊且不易搜尋情況下,僅能透過人際關係相互引介,從一個人推薦找到下一個人,逐漸累積到足夠的調查樣本為止稱之。一個接一個地尋找新對象,如滾雪球一般,直到沒有其他新的對象且滿足數量要求為止。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!