We couldn't find a match for given <KEYWORD>, please try again.

什麼是進階的持續性威脅 (APT)?

進階的持續性威脅 (APT) 是一種攻擊模式,旨在透過未經授權的方式,長時間執行廣泛且持續的攻擊。儘管數量不及其他類型的惡意攻擊,進階的持續性威脅仍應視為嚴重且代價高昂的威脅。事實上,《第 13 屆 NETSCOUT Arbor 年度全球基礎架構安全性報告》(NETSCOUT Arbor 13th Annual Worldwide Infrastructure Security Report) 表示,在 2017 年,僅 16% 的企業、政府或教育機構曾遭受這類型的攻擊,但 2018 年,57% 的上述對象皆將此視為頭號大敵。

多數惡意軟體會快速執行具傷害力的攻擊,但進階的持續性威脅則採取不同攻擊手法,更具策略性且難以察覺。攻擊者的入侵方式與傳統惡意軟體 (例如木馬程式或網路釣魚) 相似,一旦得逞,就會隱藏自身行蹤,在網路內偷偷摸摸地四處移動,並植入其攻擊軟體。隨著攻擊者逐漸站穩腳步,他們將著手實現其目標,也就是在數個月甚或數年內,不間斷地擷取資料。

使用專門建置的內部防火牆,保護您的資料中心

使用企業端點偵測與回應進行進階搜尋威脅和安全事件應變

進階的持續性威脅一律具備攻擊序列

凡是執行進階的持續性威脅攻擊者,都會透過一系列的標準攻擊手法來達成目標。下方將摘要說明攻擊者採用的典型步驟:

  • 開發具體策略:展開攻擊時,進階的持續性威脅攻擊者一律會將目標 (通常為竊取資料) 謹記在心。
  • 取得存取權限:攻擊者經常透過社交工程技巧找出弱點攻擊目標,藉此發動攻擊。隨後,則會假借常用網站的魚叉式網路釣魚電子郵件或惡意軟體,以取得憑證和網路的存取權限。攻擊者入侵網路後,通常會試圖建立指令,並取得控制權。
  • 建立立足點和著手刺探:一旦在網路中取得一席之地,攻擊者就會在環境中自由橫向移動,以探索和規劃最理想的攻擊策略,繼而取得想要的資料。
  • 逐步展開攻擊:下一個步驟,就是透過集中、加密和壓縮等方式,準備滲透目標資料。
  • 取得資料:此時,資料已可輕鬆滲透,並在神不知鬼不覺的情況下四處搬運。
  • 在遭到識破前持續行動:攻擊者會在隱身處長時間重複進行上述流程,直到遭到識破為止。

判斷企業環境是否存在進階的持續性威脅之線索

由於進階的持續性威脅幾乎總是以外洩資料為目標,攻擊者確實會在惡意活動期間留下證據。許多資安長認為最常見的幾個跡象包括:

  • 在不尋常的時間 (例如深夜) 登入的次數有所增加
  • 發現木馬程式後門
  • 無法解釋的大規模資料流量
  • 非預期的彙總資料套件
  • 偵測到雜湊傳遞駭客工具
  • 專門使用 Adobe Acrobat PDF 檔案進行的魚叉式網路釣魚活動

在近期的搜尋威脅線上研討會系列中,安全性專家提供了多項洞悉,以協助公司判斷哪些惡意行為可視為進階的持續性威脅之攻擊跡象。

這些專家建議找出建立網路連線的指令殼層 (WMI、CMD 和 PowerShell)、非管理員系統上的遠端伺服器或網路管理員工具,以及觸發新流程或助長指令殼層的 Microsoft Office 檔案、Flash 或 Java 事件。

另一個判斷依據,就是管理員帳戶是否有任何偏離正常行為的舉動。在本機、公司網域或 Window 流程 (例如 lsass、svchost 或 csrss) 中建立具有奇怪父級的新帳戶,也可視為環境中存在進階的持續性威脅證據。

「57% 的企業、政府和教育機構都將進階的持續性威脅視為安全性方面的頭號大敵。」

產業脈動:進階的持續性威脅攻擊的專家洞悉

為了提供縝密執行之進階的持續性威脅範例,下方將快速說明 APT10 的概觀,這項攻擊活動最早可回溯至 2009 年。APT10 為史上最長壽的網路安全性威脅之一,近期曾透過世界各地、各行各業的代管服務供應商發動攻擊,藉由竊取大量的資料造成難以估計的龐大損害,許多公司 (包括部分日本公司在內) 皆深受其害。

PwC UK 公司和 BAE Systems 公司成功揭發了這些自 2016 年下半年開始盛行的攻擊。聚焦於此一惡行雲端跳躍行動 (Operation Cloud Hopper) 的聯合報告指出,受害企業皆同意 APT10 所造成的整體損害程度,或許永遠無從得知。

該報告列出了受害企業自 APT10 汲取的心得,當中的幾項關鍵焦點包括:

  • 攻擊活動的幕後黑手,極有可能是位於中國的威脅者。
  • 這項威脅始於 2009 年或更早,且長期使用各種惡意軟體來取得史無前例的存取權限。
  • APT10 攻擊者持續提升攻擊手法,透過最新開發的進階工具擴大其攻擊規模和攻擊能力。
  • 如同多數進階的持續性威脅攻擊一樣,APT10 也以智慧財產和敏感資料為目標。
  • PwC UK 公司和 BAE 公司深信,威脅者正大舉擴充人手和資源,可能設有多個技術高明的攻擊者團隊,以持續進行作業。

* 顯示您正遭受進階的持續性威脅 (APT) 攻擊的五大跡象

如何偵測進階的持續性威脅:透過搜尋威脅揪出種種蛛絲馬跡

隨著越來越多的進階的持續性威脅遭到揭發,資安企業也越來越擅於揪出這些難以察覺的威脅。搜尋威脅便是其中一項與時俱進的防堵手法,旨在結合創新技術和人為智慧,以打造主動的疊代方法,藉此識別無法透過標準的端點安全性找出的攻擊。

探索漏洞平均需花費 150 天的時間。然而,只要使用搜尋威脅,企業就能透過觀察過往的未篩選端點資料,找出不尋常的行為,及其與異常活動之間的關係,以利及早揪出進階的持續性威脅等攻擊。

首先,威脅搜尋人員會使用一系列的創新工具、威脅情報和人為洞悉,藉此展開搜尋。隨後,則會透過可探索根本原因的疊代搜尋,著手縮小搜尋流程的範圍。接著,他們將做出回應,出手阻斷威脅,並運用從中汲取的洞悉和情報來保護後續的環境。

  • 一開始,威脅搜尋人員可使用特定威脅的已知特徵,並搭配與潛在攻擊序列相關的人為洞悉。搜尋人員可在環境中使用多項工具,以展開一系列的疊代搜尋,同時監控、記錄和儲存所有端點活動。
  • 舉例來說,PwC UK 公司和 BAE Systems 公司便觀察到,攻擊者會利用以 Outlook 電子郵件網路釣魚活動交付的惡意 Excel 檔案。研究人員也發現,只要開啟這些檔案,就會將多個新的檔案放入一個暫存資料夾中,以做為 C2 監聽工具,並透過連接埠 8080 與外界聯繫。
  • 初步搜尋可能會傳回大量的資料,因此,威脅搜尋人員通常需要縮小搜尋範圍。以 APT10 威脅為例,人力資源部門的電腦可能會視為搜尋條件之一,畢竟,當中往往存放著關鍵的敏感資料。接著,威脅搜尋人員可使用已知的情報進一步縮小搜尋範圍,僅查看透過 Outlook 電子郵件附件傳送的 Excel 檔案。下一個合乎邏輯的搜尋條件,則是指令和控制連線,只要搜尋連線次數超過一次的網路連線,即可找出這項資訊。
  • 這將縮小資料集的涵蓋範圍,以利透過流程分析樹狀圖來加以檢視,從而揪出惡意的暫存檔案。一旦找出該檔案,就能進一步追蹤,以瞭解該檔案是否嘗試以連接埠 8080 建立網路連線。
  • 上述活動序列可用來確認此環境是否存在著作用中的 APT10 攻擊。使用搜尋威脅和先進的新一代防毒軟體,即可將攻擊隔離在主機電腦內,並切斷其網路連線。另一個選項,則是進用該雜湊值,好讓其無法執行。
  • 威脅搜尋人員的最後一個步驟,就是防止環境遭受後續的攻擊。只要歸納並擴大先前提及的查詢序列,以建立監視清單,即可達到此一目的。安全性工具可找出這類型的任何活動,並自動傳送電子郵件警示,以利即刻採取修復行動。

相關解決方案與產品

NSX Sandbox

NSX Sandbox

完整的惡意軟體分析

NSX Network Detection & Response

採用人工智慧技術的網路偵測與回應 (NDR)

NSX Distributed Firewall

NSX Distributed Firewall

使用完整堆疊的防火牆保護您的資料中心