新闻链接：
http://www.ithome.com.tw/news/95149
新闻时间：
2015-04-16
新闻正文：
虽然APT攻击是目前政府和许多大型企业最在意的资安威胁，目前最主要的APT威胁仍以网路犯罪类型为主，针对国家型的APT攻击仍占少数，受骇者大多仍是企业。趋势科技全球核心事业部资深协理张裕敏以美国Target零售业以及南韩核电厂资料外泄事件为例，来剖析常见APT攻击的6大步骤。他建议，掌握攻击步骤，企业更能提高事先预防的效果。

常见APT攻击的6步骤

张裕敏表示，APT攻击最常见的攻击方式就是社交工程和电子邮件，许多人的资料都可以在网路上找到，有心的犯罪者很容易利用电子邮件甚至是电话锁定特定目标，来进行社交工程攻击。举例而言，目前发现的案例中，除了利用电子邮件的主旨诱使与主旨相关的当事人点击并阅读电子邮件外，「以电话为主的社交工程成功率，更是百分之百。」他说，因此，常见APT攻击的第一步就是：先搜集足够的资料，第二步才是发动攻击。

再者，除了社交工程电子邮件或网页的资料搜集外，取得企业组织内部资讯的方式不见得要透过网路。常见的手法还包括，广布恶意程式，利用散布免费的USB随身碟植入恶意程式，或者是利用已经有蓝光光碟的韧体，可以被植入恶意程式等。

发动APT攻击时，不会全部都是自动化攻击，张裕敏表示，这过程中一定需要人为介入，所以骇客一定会设计第三步「打造控制及命令伺服器」，以便直接掌握入侵组织的攻击状况。

骇客攻击手法的第四步骤则是尽可能地暗中搜集资料，甚至在APT攻击程式进入内网后，会模拟高阶使用者的行为，来提高怪异搜集资料行为的合理性，让攻击行动更不容易被察觉。因为目前所有APT攻击最主要的目的是偷资料，所以第五步骤则是等候时机传资料。当骇客已经取得所需要的资料时，不会马上打包资料、更不会马上外传资料，会伺机而动，等到最合适的时机点。张裕敏以美国第二大零售业者Target外泄的资料为例，前后超过700GB，如果一口气把资料外传很容易被发现，而且，打包的资料如何储存不会塞爆硬碟而被发现也是骇客会避免的问题。最后一步则是，当资料打包并外传后，骇客必须隐匿踪迹，就会暗中少量多次地慢慢删除相关资料才，避免被企业IT人员发现异常。

了解APT常见攻击步骤后，张裕敏认为，企业想要有效防御APT，首先，要将骇客阻挡在组织外面，最好的方式是，尽可能地减少骇客能在外部取得的资料。再者，APT不是只有单纯的人为，也有自动化的手法，因此在规画防御策略时，最好要做到电脑和人联手的区域联防，效果才会更显著。第三，若是军事等级的单位，一定要搭配实体隔离才行。

美国Target零售业资料外泄事件大剖析

张裕敏表示，如美国Target和南韩核电厂都是骇客从外面切入攻击的案例，从这样的攻击案例中，也可以学习到正确的预防之道。

在2013年12月发生美国Target个资外泄事件，最后总计外泄1.1亿笔个资，外泄包括姓名、地址、电话、电子邮件以及信用卡卡号资料，因为信用卡资料外泄导致盗刷事件，更引发140多起诉讼案件。

分析Target入侵手法，张裕敏表示，骇客往往会利用Google以及各种的媒体报导，找到锁定单位的内部系统、网路架构图，甚至连POS如何部署，有多少台POS机、系统版本等资讯都一清二楚。

不过，骇客原先曾多次利用社交工程以及植入后门方式，试图攻击Target公司的系统，而没有攻击成功，所以骇客改利用供应商的管道入侵，取得往来的空调业者与电冰箱业者资讯后改先对这批供应商下手下手。

攻击骇客发现，冷冻空调业者网站的防御机制很弱，所以，骇客先发送社交工程邮件成功后，再植入木马程式窃取银行帐号密码，等到供应商帐密全部到手后，再利用这批帐号密码资料，登入Target供应商平台网站，找出Target系统上的多重漏洞，利用上传功能植入木马程式后，来窃取Target系统的最高权限。

取得Target最高管理权限后，木马程式先从内部网路扩散，首先是入侵AD（目录服务），例如透过一些不需要AD密码就可以登入的功能来窃取加密过的资料，接着就可以进一步入侵其他伺服器了。张裕敏表示：「IT人员务必时刻关注AD伺服器的动态。」 骇客成功入侵后，开始搜集与打包资料，从POS系统的记忆体中找到Target客户资料和信用卡资料，为了避免窃取的资料被发现，骇客先将这些资料打包成.dll档案，并且透过网路芳邻将资料除存在Target内部的一台网路分享电脑中。

除入侵AD伺服器外，骇客也入侵微软SCCM伺服器，并利用SCCM派送锁定POS机的恶意程式BlackPOS到所有的POS系统，并先占领其中一台伺服器当做内部攻击的中继站。张裕敏说，因为Target内部暗藏了中继站电脑，所以即便POS机电脑硬碟都格式化来删除资料也完全没用，恶意程式仍可以在内部扩散蔓延。

目前已经确认，骇客透过一套BMC软体来存取偷取Target的资料。因为该套软体会透过FTP外传资料，骇客就用同样手法外传资料。这些骇客窃取的资料已经可以在俄罗斯的黑市发现，有一批外泄的信用卡资料到期日到2025年，已经将这批资讯送交VISA调查；而卡片背面后3码资讯更被卖到越南黑市制作伪卡。 Target个资外泄事件发生9个月后，所有高阶主管都换过一轮，连执行长也因此下台。张裕敏表示，这类网路犯罪型的APT攻击，会攻击整个供应链最脆弱的环节，只有公司组织安全还不够，必须连其他合作的供应商都安全，才是真的安全。

南韩核电厂资料外泄关键是文书软体漏洞

另外一个因为APT攻击导致资料外泄，就是才刚发生在今年3月12日的南韩核电厂外泄事件。张裕敏表示，这是一场持续性的资安事件。为什么会持续发生的关键点在于，厂内所有电脑硬碟进行格式化作业不够彻底。张裕敏认为，除非所有机器同时一起执行格式化且重灌系统，否则，只要采取分区或分部门来进行电脑重灌，就容易让骇客有可趁之机。像这起南韩核电厂事件中，出现了一个看得到但找不到电脑的IP，实体电脑有8台，但从网管软体上看到的却是9台，「消失的幽灵机器可能是骇客掌控的机器」；另外，有些虚拟机器若没有良好的控管，也可能出现幽灵虚拟机器而成为新的管理风险。

若追查南韩核电厂资料外泄事件，可从2014年11月28日发现的南韩常用HWP格式的恶意文件开始，到后来该恶意文件变成5,980封恶意邮件寄给3,571人，直到去年12月10日，恶意程式被触发执行后，核电厂内部网路侦测到大量恶意程式的连线。张裕敏表示，HWP是韩国常用文书处理系统，和微软相容但漏洞很多，甚至没有CVE漏洞编号，这表示大多数HWP文书处理应用程式都不知道应该要修补漏洞，这也证明，要透过HWP应用程式的弱点攻击韩国，其实很容易。

这起南韩核电厂资料外泄事件，骇客原本的目的是要钱，先透过部落格公布内部员工资料，像是一些员工身心调查资料都遭外泄来勒索金钱，宣称发动攻击的骇客集团为「Who Am I」，甚至还开设脸书帐号发讯息，最后则是利用推特（Twitter）公布南韩核电厂资料的下载连结，而引发各界重视。

韩国政府介入调查后发现，攻击来源是从三个VPN端点入侵，也要求中国协助调查。南韩核电厂外泄资料总共发现，有12种类型、共计117件资料外泄。目前所知，南韩外泄的资料不只是水冷式装置地图被公布，连核能铀棒也被骇客控制，只要骇客下命令，随时可以让核能铀棒超标数倍。

买遍APT产品，不如自己打造一个IR团队

张裕敏表示，每一个APT产品都有自己的特色及专长，不是宣称可以预防APT攻击，就是适合每一个组织单位。关键点在于，所有的组织单位都必须清楚掌握内部系统哪个环节最重要，不过，骇客也很容易得知每个系统的重要性资讯。因此，他建议：「现在的资安防御策略是，企业要预设已经被入侵，而不是防范被入侵。」因为防御的视角不一样，有能力做现场资安事件处理（IR）团队，会比买遍各家APT产品更有用。

[课程]Android-CTF解题方法汇总！