垃圾郵件 垃圾信 APT 資安 郵件

三階段防禦各有重點 避免來自郵件APT攻擊

2014-01-22
要如何避免來自電子郵件中的APT攻擊呢?一般APT攻擊,大致上可分為三個主要階段,分別為:惡意郵件散佈階段、惡意程式感染階段、長期對內竊資階段。想避免成為APT攻擊的受害者,可分別從此三個階段進行防範。
所謂APT(Advanced Persistent Threat),泛指的是有計畫且針對性的網路間諜活動。這個名詞源自於美國空軍的資安報告,迄今已經有許多可怕的攻擊案例,諸如2010年7月Stuxnet攻擊伊朗核電廠、2011年5月美國軍火大廠洛克希德馬丁(Lockheed Martin)網路遭到入侵、同年日本總務省發現電腦遭木馬入侵已三個月、2013年3月DarkSeoul事件造成南韓金融機構嚴重癱瘓。可見APT攻擊只要奏效,受攻擊的標的勢必造成嚴重損失。

APT攻擊與以往的駭客入侵、電腦病毒有何不同呢?大致有如下幾個不同點:

  • 多半不是正面針對提供外部服務主機的弱點進行攻擊。
  • 常以電子郵件搭配惡意檔案,搭配社交工程手法進行攻擊。
  • 惡意檔案多透過文件格式的檔案進行包裹,如PDF、XLS、DOC等等。
  • 感染企業內部主機後,不立即進行大規模破壞或擴散、不太佔主機資源,使用網路流量也低,長期潛伏不易發現。
  • 惡意程式的活動、攻擊、擴散皆具目標性。
許多研究認為,APT攻擊的對象以企業或政府中的重要幹部為主。如果我們不是重要角色,是不是意味著不需要擔心此議題?答案當然是否定的!或許攻擊企業或政府中的重要幹部是最後真正目標,但要直接攻擊目標對象通常並不容易。

發動APT攻擊的駭客也明白這一點,因為計畫性的先攻擊目標對象週邊的人,並竊取及電子郵件帳號密碼、研究受攻擊者與攻擊目標的關係後,再一步步以社交工程手法假冒發信,一步步進擊。面對APT攻擊,其實你我都有可能被包含進駭客的攻擊計劃之中。


▲發動APT攻擊的駭客會先攻擊目標對象週邊的人,竊取電子郵件帳號密碼、研究受攻擊者與攻擊目標的關係後,再一步步以社交工程手法假冒發信。

三階段防範APT

駭客發動APT攻擊經常利用電子郵件做為發動管道。因為電子郵件這個溝通管道具備可主動發送的特性,且可輕鬆繞過防火牆,需要的技術與成本都相對低廉。駭客唯一的難題,大概就是要避開一般電腦上的防毒軟體偵測。

部份駭客會在攻擊程式做好後,利用Virustotal(https://www.virustotal.com)等方式驗證攻擊程式,如果沒有防毒軟體可偵測出,那該次的APT攻擊已經先成功了一半;另一種躲避防毒軟體的方式是將真正的惡意程式放置在外部,夾於電子郵件附件檔的程式只是一個下載器。

當夾帶下載器的惡意郵件發送給攻擊目標並被開啟執行後,下載器才開始從外部下載惡意程式,萬一下載回來的惡意程式已經可被防毒軟體偵測並隔離,只要下載器沒有被發現,它還是可以隨時再下載更新的攻擊程式。

要如何避免來自電子郵件中的APT攻擊呢?一般APT攻擊,大致上可分為三個主要階段,分別為:惡意郵件散佈階段、惡意程式感染階段、長期對內竊資階段。想避免成為APT攻擊的受害者,可分別從此三個階段進行防範,防範方法介紹如下:

惡意郵件散佈階段
在這個階段,駭客需設法讓攻擊目標接觸惡意郵件,並誘使其執行其中的惡意連結或是惡意軟體的下載程序。在這個階段的主要防護課題為「避免接觸」。

建置強力的郵件過濾軟體、多層不同品牌的防毒軟體,即可達成一定程度的避免接觸惡意郵件效果。為避免郵件中夾帶的惡意超連結攻擊,使用安全性高的瀏覽器,再搭配安全的上網防護也是不可或缺的。最後,人員本身的資安意識與警覺心,是對未知攻擊的重要防線。

對於不明的寄件者來信、來信者與時間的異常,及郵件中真正超連結連往的位址,都是需要特別留心的地方,一旦覺得有所懷疑,則要避免開信並由其他管道與發信人做確認,才可有效避免成為受害者。

惡意程式感染階段
在這個階段,駭客需藉由被打開的惡意文件或超連結攻擊受害者的電腦,並取得該電腦的使用權或相關帳號密碼。通常進行這樣的攻擊必須利用一些軟體、作業系統的漏洞,或電腦中其他容易被疏忽的不安全設定。在這個階段的主要防護課題為「減少應用程式的漏洞與不安全的存取權限」。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!