從零售業與核電廠遭駭實例，透視APT攻擊

雖然APT攻擊是目前政府和許多大型企業最在意的資安威脅，目前最主要的APT威脅仍以網路犯罪類型為主，針對國家型的APT攻擊仍占少數，受駭者大多仍是企業。趨勢科技全球核心事業部資深協理張裕敏以美國Target零售業以及南韓核電廠資料外洩事件為例，來剖析常見APT攻擊的6大步驟。他建議，掌握攻擊步驟，企業更能提高事先預防的效果。

常見APT攻擊的6步驟

張裕敏表示，APT攻擊最常見的攻擊方式就是社交工程和電子郵件，許多人的資料都可以在網路上找到，有心的犯罪者很容易利用電子郵件甚至是電話鎖定特定目標，來進行社交工程攻擊。舉例而言，目前發現的案例中，除了利用電子郵件的主旨誘使與主旨相關的當事人點擊並閱讀電子郵件外，「以電話為主的社交工程成功率，更是百分之百。」他說，因此，常見APT攻擊的第一步就是：先蒐集足夠的資料，第二步才是發動攻擊。

再者，除了社交工程電子郵件或網頁的資料蒐集外，取得企業組織內部資訊的方式不見得要透過網路。常見的手法還包括，廣布惡意程式，利用散布免費的USB隨身碟植入惡意程式，或者是利用已經有藍光光碟的韌體，可以被植入惡意程式等。

發動APT攻擊時，不會全部都是自動化攻擊，張裕敏表示，這過程中一定需要人為介入，所以駭客一定會設計第三步「打造控制及命令伺服器」，以便直接掌握入侵組織的攻擊狀況。

駭客攻擊手法的第四步驟則是盡可能地暗中蒐集資料，甚至在APT攻擊程式進入內網後，會模擬高階使用者的行為，來提高怪異蒐集資料行為的合理性，讓攻擊行動更不容易被察覺。因為目前所有APT攻擊最主要的目的是偷資料，所以第五步驟則是等候時機傳資料。當駭客已經取得所需要的資料時，不會馬上打包資料、更不會馬上外傳資料，會伺機而動，等到最合適的時機點。張裕敏以美國第二大零售業者Target外洩的資料為例，前後超過700GB，如果一口氣把資料外傳很容易被發現，而且，打包的資料如何儲存不會塞爆硬碟而被發現也是駭客會避免的問題。最後一步則是，當資料打包並外傳後，駭客必須隱匿蹤跡，就會暗中少量多次地慢慢刪除相關資料才，避免被企業IT人員發現異常。

了解APT常見攻擊步驟後，張裕敏認為，企業想要有效防禦APT，首先，要將駭客阻擋在組織外面，最好的方式是，盡可能地減少駭客能在外部取得的資料。再者，APT不是只有單純的人為，也有自動化的手法，因此在規畫防禦策略時，最好要做到電腦和人聯手的區域聯防，效果才會更顯著。第三，若是軍事等級的單位，一定要搭配實體隔離才行。

美國Target零售業資料外洩事件大剖析

張裕敏表示，如美國Target和南韓核電廠都是駭客從外面切入攻擊的案例，從這樣的攻擊案例中，也可以學習到正確的預防之道。

在2013年12月發生美國Target個資外洩事件，最後總計外洩1.1億筆個資，外洩包括姓名、地址、電話、電子郵件以及信用卡卡號資料，因為信用卡資料外洩導致盜刷事件，更引發140多起訴訟案件。

分析Target入侵手法，張裕敏表示，駭客往往會利用Google以及各種的媒體報導，找到鎖定單位的內部系統、網路架構圖，甚至連POS如何部署，有多少臺POS機、系統版本等資訊都一清二楚。

不過，駭客原先曾多次利用社交工程以及植入後門方式，試圖攻擊Target公司的系統，而沒有攻擊成功，所以駭客改利用供應商的管道入侵，取得往來的空調業者與電冰箱業者資訊後改先對這批供應商下手下手。

攻擊駭客發現，冷凍空調業者網站的防禦機制很弱，所以，駭客先發送社交工程郵件成功後，再植入木馬程式竊取銀行帳號密碼，等到供應商帳密全部到手後，再利用這批帳號密碼資料，登入Target供應商平臺網站，找出Target系統上的多重漏洞，利用上傳功能植入木馬程式後，來竊取Target系統的最高權限。

取得Target最高管理權限後，木馬程式先從內部網路擴散，首先是入侵AD（目錄服務），例如透過一些不需要AD密碼就可以登入的功能來竊取加密過的資料，接著就可以進一步入侵其他伺服器了。張裕敏表示：「IT人員務必時刻關注AD伺服器的動態。」                                                                                                                                              駭客成功入侵後，開始蒐集與打包資料，從POS系統的記憶體中找到Target客戶資料和信用卡資料，為了避免竊取的資料被發現，駭客先將這些資料打包成.dll檔案，並且透過網路芳鄰將資料除存在Target內部的一臺網路分享電腦中。

除入侵AD伺服器外，駭客也入侵微軟SCCM伺服器，並利用SCCM派送鎖定POS機的惡意程式BlackPOS到所有的POS系統，並先占領其中一臺伺服器當做內部攻擊的中繼站。張裕敏說，因為Target內部暗藏了中繼站電腦，所以即便POS機電腦硬碟都格式化來刪除資料也完全沒用，惡意程式仍可以在內部擴散蔓延。

目前已經確認，駭客透過一套BMC軟體來存取偷取Target的資料。因為該套軟體會透過FTP外傳資料，駭客就用同樣手法外傳資料。這些駭客竊取的資料已經可以在俄羅斯的黑市發現，有一批外洩的信用卡資料到期日到2025年，已經將這批資訊送交VISA調查；而卡片背面後3碼資訊更被賣到越南黑市製作偽卡。Target個資外洩事件發生9個月後，所有高階主管都換過一輪，連執行長也因此下臺。張裕敏表示，這類網路犯罪型的APT攻擊，會攻擊整個供應鏈最脆弱的環節，只有公司組織安全還不夠，必須連其他合作的供應商都安全，才是真的安全。

南韓核電廠資料外洩關鍵是文書軟體漏洞

另外一個因為APT攻擊導致資料外洩，就是才剛發生在今年3月12日的南韓核電廠外洩事件。張裕敏表示，這是一場持續性的資安事件。為什麼會持續發生的關鍵點在於，廠內所有電腦硬碟進行格式化作業不夠徹底。張裕敏認為，除非所有機器同時一起執行格式化且重灌系統，否則，只要採取分區或分部門來進行電腦重灌，就容易讓駭客有可趁之機。像這起南韓核電廠事件中，出現了一個看得到但找不到電腦的IP，實體電腦有8臺，但從網管軟體上看到的卻是9臺，「消失的幽靈機器可能是駭客掌控的機器」；另外，有些虛擬機器若沒有良好的控管，也可能出現幽靈虛擬機器而成為新的管理風險。

若追查南韓核電廠資料外洩事件，可從2014年11月28日發現的南韓常用HWP格式的惡意文件開始，到後來該惡意文件變成5,980封惡意郵件寄給3,571人，直到去年12月10日，惡意程式被觸發執行後，核電廠內部網路偵測到大量惡意程式的連線。張裕敏表示，HWP是韓國常用文書處理系統，和微軟相容但漏洞很多，甚至沒有CVE漏洞編號，這表示大多數HWP文書處理應用程式都不知道應該要修補漏洞，這也證明，要透過HWP應用程式的弱點攻擊韓國，其實很容易。

這起南韓核電廠資料外洩事件，駭客原本的目的是要錢，先透過部落格公布內部員工資料，像是一些員工身心調查資料都遭外洩來勒索金錢，宣稱發動攻擊的駭客集團為「Who Am I」，甚至還開設臉書帳號發訊息，最後則是利用推特（Twitter）公布南韓核電廠資料的下載連結，而引發各界重視。

韓國政府介入調查後發現，攻擊來源是從三個VPN端點入侵，也要求中國協助調查。南韓核電廠外洩資料總共發現，有12種類型、共計117件資料外洩。目前所知，南韓外洩的資料不只是水冷式裝置地圖被公布，連核能鈾棒也被駭客控制，只要駭客下命令，隨時可以讓核能鈾棒超標數倍。

買遍APT產品，不如自己打造一個IR團隊

張裕敏表示，每一個APT產品都有自己的特色及專長，不是宣稱可以預防APT攻擊，就是適合每一個組織單位。關鍵點在於，所有的組織單位都必須清楚掌握內部系統哪個環節最重要，不過，駭客也很容易得知每個系統的重要性資訊。因此，他建議：「現在的資安防禦策略是，企業要預設已經被入侵，而不是防範被入侵。」因為防禦的視角不一樣，有能力做現場資安事件處理（IR）團隊，會比買遍各家APT產品更有用。

相關報導請參考：「臺灣資安大會現場直擊」