惡意程式到底如何入侵,令人防不勝防的APT攻擊

台灣台中市
Visit Website Contact Author
fallback-no-image-1207

* 你在乎網路的隱私權嗎?

* 你的資料還在裸奔嗎?

* 你擔心程式被竊取嗎?

* 你擔心機密文件被駭客入侵嗎?

* 資訊安全專家正新電腦將提供給您資訊保安的產品和服務。

資安攻防:一場進行中的不對稱戰爭

以往我們所聽到的多半是一些資安趨勢分析或是威脅攻擊的介紹,本文則是從宏碁位於龍潭eDCSOC資安監控中心營運7年來的真實案例整理而來,首先來看APT(Advanced Persist Threat)攻擊,相信大家對APT這種針對性的進階持續攻擊手法並不陌生,也知道其攻擊的特性,但也僅只於「知道」而已,以下的實際案例將讓大家對APT的攻擊手法有進一步的認識。

 

令人防不勝防的APT攻擊

首先是這些惡意程式到底如何入侵?以往的釣魚郵件就是透過夾帶rarzip的附件檔,以不分對象的方式進行大規模散發。雖然現在大家對Windows系統弱點更新都已有認知,但卻很少注意其他像WinzipPDF Reader這樣的軟體也要定期更新,其實這些常用軟體也和Windows一樣有很多漏洞需要修補,但大多數的用戶,在看到提醒購買Winzip版權視窗畫面時通常都忽略跳過,因此當收件者打開這些附件檔後,惡意程式就能利用Winzip的漏洞入侵,由於散布對象的不確定性,使這類傳統惡意程式往往也較不受控制。即便是像PDF Reader沒有版權問題,可以免費更新,一般用戶也往往忽略其重要性,更增加APT攻擊的成功機會。

 

為你「量身打造」的攻擊模式

新型APT攻擊則是以大家更沒戒心的PDF文件檔做為攻擊媒介,這種手法成功的先決條件有二:一是吸引收件者打開附件,另一個是收件者的PDF閱讀軟體也未定期更新而存在可供利用的弱點。

以我們所觀察到的釣魚信件為例,有冒充公司法務、客戶科長的信件,也有偽冒政府機關以全國資安會議為標題的郵件,或是用華碩併購Acer為主旨的信件;發信者亦熟知受害者社交網絡,假藉EMBA同學寄信,甚至還知道受害者的休閒活動如:曾經在2008年騎車環島,而發送以環島計畫為主旨的釣魚郵件,或是以大學一年級導師名義,寄發釣魚郵件。

 

上 述釣魚郵件都清楚顯示出,駭客先透過社交工程方式,針對目標的背景資料做詳盡調查研究,然後「量身訂做」出聳動標題,吸引被害者開啟郵件達到入侵目的,這 種攻擊方式從以往的大規模攻擊變成現在的隱蔽低調,再透過精密的客製化元件對入侵對象的裝置進行遠端控制,以竊取重要的機密資料為最終目的。

APT攻擊通常從寄發釣魚郵件開始,而駭客在製作釣魚郵件前,已經先透過社交工程手法,針對目標的背景資料做詳盡調查研究,然後「量身訂做」出聳動標題,吸引被害者開啟郵件達到入侵目的。

SafeNet資訊安全保護鎖系列  , 歡迎來電借測 !

正新電腦提供 [ 借測活動 ] 並且提供借測使用上的技術指導。

有意借測者,歡迎來電洽詢詳細借測內容或有關資訊安全相關問題。

更多產品資訊來源 : http://www.pronew.com.tw

正新電腦  TEL : 04-2473-8309