辨識APT攻擊來源的7大線索

文/由FireEye提供

 

 

在現今網路威脅的情勢下,找出敵人是任何防禦計畫的關鍵要點。保護資料與智慧財產的關鍵步驟,在於找出誰是 攻擊者、他們的運作方式,以及他們的目的。

 

所幸如同任何犯罪現場一樣,遭到入侵的電腦系統都會留下線索。若是先進的網路攻擊,惡意軟體程式碼、網路 釣魚電子郵件、使用的命令與控制(C&C)伺服器,甚至行為,都可能會留下攻擊者犯罪的蛛絲馬跡。正如指紋科學、DNA 和纖維分析已經成為犯罪鑑識時的無價之寶,在研究人員已經知道找尋目標是什麼的情況下,連結先進網路攻擊事件的歷程便有利於找出功力強大的威脅發動者。

 

這份報告根據FireEye 追蹤將近 1,500 件攻擊活動所組成的範本,描述下列惡意軟體攻擊情況,以及可從中獲知禍首的相關資訊:

 

鍵盤配置——隱藏在網路釣魚活動背後的是攻擊者鍵盤的相關資訊,而這些資訊會根據語言和地區而有差異。

 

惡意軟體中繼資料——惡意軟體原始碼包含的技術詳細資料,可能會透露出攻擊者的語言、位置和他與其他犯罪活動的關聯性。

 

內嵌字型——網路釣魚電子郵件的字型會指出攻擊的源頭。即使該字型通常並不常用於攻擊者的母語中,也是有跡可循。

 

DNS 註冊——攻擊事件中所使用的網域會指出攻擊者的位置。重複登錄的資訊可能會將多個網域連結到同一個犯罪源頭。

 

語言——通常從惡意軟體最後顯示的內嵌語言,可以看出攻擊者來自哪個國家/地區。而且,有時用逆向工程來追查出現在網路釣魚電子郵件中的常見語言錯誤,就能判斷出撰寫人員的母語。

 

遠端管理工具設定——熱門的惡意軟體工具內含一組設定選項。這些選項通常是攻擊者在使用該工具時的特定選擇,而正是這點讓研究人員可將不同的攻擊事件連結至同一個威脅發動者。

 

行為——從方法與攻擊目標等行為模式,可以看出攻擊者的一些手法和動機。 看過這些線索之後,安全專家們即可更輕易找出威脅發動者,使組織日後防禦網路攻擊的能力更為強大。儘管近幾年來網路攻擊越見高明且更趨頑強,但是仍然不見所謂的完美犯罪。攻擊鏈的各階段:探勘、研製、交 付、漏洞攻擊、安裝、命令與控制,以及對目標展開行動 (通常是滲漏),都可能留下數位足跡。

 

因為在每個階段中,攻擊者和攻擊目標之間一定會有所接觸。有時這種接觸是直接進行,如網路釣魚電子郵件。有 時則是間接接觸,比方當目標電腦回應攻擊者系統時就會發生接觸。這兩種接觸都是可挖掘更多關於攻擊者資訊 的好機會。若分析正確,這類資訊能協助安全專家們更清楚損害詳情,進而修復遭入侵的系統,以及預測日後的攻擊。

創泓科技股份有限公司  台北總公司

Uniforce Technology Corporation

台北市內湖區洲子街77號10樓

電話 +886-2-2658-3077 

傳真 +886-2-2658-3097

服務專線 0809-085-580

技 術 客 服    0809-085-580

業 務 部 門    台北 - 222 / 221 / 205 / 226 / 288

技 術 部 門    台北 - 301 / 302 / 303 / 308 / 309

Copyrights © 2019 uniforce Technology Co., Ltd.