【內部使用】

網際網路駭客攻擊

國家資通安全會報技術服務中心

2013/10/8

【內部使用】

1

大綱

● 前言&APT攻擊模式介紹

● APT處理案例與趨勢

– 無止盡的電子郵件情蒐

– 電信公司成為情蒐對象

– 透過正常的更新機制散播惡意程式

【內部使用】

2

前言&APT攻擊模式介紹

網際網路駭客攻擊

【內部使用】

3

組織型駭客攻擊手法-APT APT- Advanced Persistent Threats

● 進階持續性威脅

– Advanced：採用進階而高深的攻擊手法

– Persistent：持續有計畫地攻擊特定目標

● 特徵

– 針對特定目標

– 低調、隱匿

– 手法多變、客製化

● 目的

– 竊取資訊

– 政治因素

– 金錢利益

● 偵測與防治的困難性增加

【內部使用】

4

APT life cycle process

● 鎖定特定組織的特定目標

● 企圖在環境內取得據點,通常的使用的手法會是

魚叉式電子郵件攻擊與水坑式惡意網站攻擊.

● 使用已受駭的系統來存取整個目標網路

● 佈署各式工具來完成攻擊目的

● 隱藏足跡確保能持續的存取

【內部使用】

5

APT life cycle

決定目標

尋找與組織犯行夥伴

撰寫或獲取工具

研究目標的架構/員工

探測是否會被偵測

進行佈署 發起入侵

發起往外連線

擴張權限與獲取認證

強化據點

竊取資料

隱藏足跡與保持不被偵測

【內部使用】

6

APT攻擊特色

● 鎖定特定目標

– 針對特定政府或企業，長期間進行有計劃性、組織性竊取情資行為,可能持續幾天，幾週，幾個月，甚至更長的時間。

● 社交工程電子郵件

– 針對被鎖定對象寄送幾可亂真的社交工程惡意郵件，如冒充長官的來信,取得在電腦植入惡意程式的第一個機會。

● 低調且緩慢

– 為了進行長期潛伏,惡意程式入侵後,具有自我隱藏能力避免被偵測,伺機竊取管理者帳號、密碼。

● 客製化惡意元件

– 攻擊者除了使用現成的惡意程式外亦使用客制化的惡意元件。

● 安裝遠端控制工具

– 攻擊者建立一個類似殭屍網路/傀儡網路 Botnet 的遠端控制架構攻擊者會定期傳送有潛在價值文件的副本給命令和控制伺服器（C&C Server）審查。

● 傳送情資

– 將過濾後的敏感機密資料，利用加密方式外傳

【內部使用】

7

「社交工程」電子郵件攻擊手法

● 利用人性弱點、人際交往或互動特性所發展出來的一種攻擊

方法

● 早期社交工程是使用電話或其他非網路方式來詢問個人資料，

而目前社交工程大都是利用電子郵件或網頁來進行攻擊

● 透過電子郵件進行攻擊之常見手法

– 假冒寄件者

– 使用與業務、時事相關或令人感興趣的郵件內容

– 含有惡意程式的附件

– 利用應用程式之弱點(包括所謂零時差攻擊)

【內部使用】

8

● 觀察攻擊目標習慣瀏覽哪些網站，再去入侵那

些網站並植入惡意程式，等待攻擊目標造訪該

網站時再趁機感染進而竊取資料，這也就是所

謂的水坑式攻擊(watering hole)。

● 很多水坑式攻擊會結合零時差漏洞，或是在網

頁程式插一段JavaScript或HTML碼，當攻擊目

標瀏覽被感染的網頁時，電腦會自動下載一個

惡意檔案，這份檔案會導引攻擊目標至C&C

Server下載真正的惡意程式。

「水坑式」惡意網站攻擊手法

【內部使用】

9

APT處理案例與趨勢

網際網路駭客攻擊

【內部使用】

10

趨勢1:無止盡的電子郵件情蒐

● 駭客藉由控制C&C，進行跳板式信件竊取動作。

● 駭客竊取大量電子郵件帳號與密碼，進而使用

POP3服務收取範圍廣大信件，竊取帳號除政府

機關及學術單位外，包含許多民用帳號。

● 駭客竊取信件不侷限在台灣帳號部份，海外亦

有受害帳號。

● 駭客長時間蒐集所需資訊，並已累積相當程度

數量的受害帳號。

10

【內部使用】

11

趨勢2:電信公司成為情蒐對象

● 駭客滲透電信公司在重要系統中潛伏。

● 駭客掌握跨區域機房架構，由於各網段彼此串

接，且防火牆設定不嚴謹，導致駭客可跨網段

進行擴散。

● 機房中的Linux主機亦是駭客掌握的目標。

11

【內部使用】

12

趨勢3:透過正常的更新機制散播惡意程式

● 水坑式攻擊(watering hole)，觀察攻擊目標習慣

瀏覽哪些網站，再去入侵那些網站並植入惡意

程式，等待攻擊目標造訪該網站時再趁機感染

進而竊取資料

● 在網頁漏洞統計上，53%的合法網站有未修補的

漏洞，61%的惡意網站為合法網站，換句話說，

有很多合法網站已經被駭客入侵，但經營者本

身卻不自知，還以為是正常網站。

● 受入侵的網站可能提供正常軟體的更新檔案。

【內部使用】

總結

【內部使用】

14

結語

● 資訊安全工作除了健全的基礎設施外，最重要

的是先做好個人的資訊安全，只要機關同仁養

成良好的使用習慣，人人隨時做好資訊安全第

一線防護，機關內部資訊安全就能得到保障，

進而提升我國整體資訊安全防護

● 資通安全不完全是「技術」問題，更重要的是

「管理」議題，如何建立資安政策、規範及相

關規定，以及如何落實執行，並建立資安認知

與意識

14

【內部使用】

報告完畢 敬請指導