自殺式襲擊摧毀企業數據　變種惡意程式 2016 年更難防

專題特寫資訊保安 by Catabell Lee on 16 十二月, 2015

法國發生自殺式恐怖襲擊，至今仍是夢魘，但其實這種攻擊在網路上一樣存在。有保安廠商發現有惡意程式，一旦就檢測就會啟動自爆程序，摧毀企業數據。此外物聯網威脅更是如影隨形，2016 年防範惡意程式的挑戰將更艱鉅。

物聯網威脅首度打入十大排名

資訊保安問題近年愈來愈嚴峻，單在 2015 年就發生多宗規模龐大、針對知名企業的攻擊事件，例如 Sony Entertainment、Ashley Madison 與 Hacking Team 資料外洩事件等。網絡勒索事件也愈來愈頻繁，希臘 3 間銀行、瑞士電郵服務商都曾遭黑客以 DDoS 攻擊勒索 Bitcoin 贖款，資訊保安廠商預期類似的新聞在 2016 年只會愈來愈多。

「資訊保安是一個要跟黑客鬥快的比賽。」Fortinet 香港及澳門網絡安全顧問吳維穎向 Unwire.pro 表示：「之前黑客利用 APT 攻擊入侵商業機構，而保安廠商則用『沙盒』技術來應付。發展到 2015 年黑客已懂得方法騙過沙盒，保安廠商自然亦需要新技術去應對。」

吳維穎引述 FortiGuard Labs 報告，指過去一年物聯網及雲計算均是安全的重災區：「過往物聯網安全威脅只是理論，沒太多真正案例，但在今年卻真正成為威脅，也首度打入我們的十大安全威脅排名，反映物聯網發展成熟的同時，黑客攻擊的時機也已成熟。」

FortiGuard Labs安全防護中心是 Fortinet 屬下資訊保安實驗室，其 2016 年網絡安全威脅預測就列出五大網絡安全新威脅，包括針對物聯網設備的 Machine to Machine（M2M）攻擊、針對「無頭」設備的感染、針對雲端和虛擬機器（VM）的入侵、會「自爆」隱匿攻擊證據的惡意程式，還有懂得繞過沙盒檢測的惡意軟件等。

威脅一：M2M 攻擊增加、設備間互相感染

前面提到，物聯網安全威脅成為近年熱議的保安問題，尤其在 2015 年開始已見到有實際案例出現，吳維穎表示 IoT 的安全威脅亦首次打入十大安全威脅排名榜：「去年還比較是理論，但在 2015 年已有一些概念驗證的攻擊出現，雖然現時未有實際威脅，但可預期在 2016 年將成為現實。」

由於企業大多有資訊保安系統，黑客入侵並不容易，但隨著愈來愈多物聯網裝置出現在辦公室，導致保安漏洞難以掌握，預計黑客將透過攻擊漏洞物聯網裝置成為入侵的中轉站，繼而向辦公室內其他裝置入侵。黑客通過利用這些設備的漏洞，可以在企業網絡和硬件等設備中找到更隱蔽的落腳點，從而擴大對該漏洞的攻擊。

隨著智能工廠、智能辦公室日益普及，機器對機器（Machine to Machine, M2M）的通訊將更頻繁。由於這些數據全部都自動化執行，人類根本難以發現一台機器已成為入侵的跳板，透過 Wi-Fi 和內聯網散佈惡意軟件。Unwire.pro 甚至報導過，黑客可用無線電和溫度計來入侵沒有連網的「氣隔電腦」，未來企業資訊保安將更艱困。

威脅二：感染「無頭」設備帶來更大殺傷力

除了智能家居和智能辦公室設備，物聯網裝置還包括各種穿戴式裝置。穿戴式裝置往往只有少量代碼，本身沒有自己的作業系統和運算能力，而需要跟智能手機等裝置配合才能運作。這類「無頭」設備（Headless Device）以前很少聽到會有蠕蟲和病毒攻擊，但 FortiGuard Labs 預測在 2016 年將變得普遍。

「在 2015 年已發現有黑客嘗試向智能腕帶 Fitbit 入侵，這些『無頭』設備很少有人提防，但又能隨意戴著進入辦公場所，無形中成為企業防範黑客的漏洞所在。」吳維穎解釋在企業防毒產品流行下，蠕蟲和病毒已很難像以前般大規模感染電腦設備，但在上億計的智能硬件設備卻可以生存及感染，病毒和蠕蟲在物聯網設備間傳遞已是近在咫尺。

由於物聯網設備並非通用電腦，自然也不可能有防毒軟件，而且大多數廠商都沒有充夠的技術和資源，為已出廠的物聯網設備修補漏洞，導致它們成為可能永遠沒法封上的漏洞。別說普通用戶無法判斷 Fitbit 是否遭到入侵，就連 CSIO 也難以肯定，這勢必帶來更大的保安挑戰。

威脅三：攻擊虛擬機器繼而入侵 IaaS 雲端架構

現在愈來愈多機構採用雲端技術來部署公司的系統，以往利用公眾雲平台，原則上每一個使用者之間都是間隔開來的，即使一家公司受到感染，理論上也不會影響公眾雲平台上其他的系統。但現在卻發現有黑客可在感染虛擬機器後，可突破虛擬化環境再往上感染宿主機的操作系統，直接攻擊真實的基礎設施，令攻擊維度擴大。

「2015 年發現的 Venom 漏洞，證明了攻擊者和惡意軟件能夠從管理程序（Hypervisor）中逃之夭夭，並且在虛擬化環境中訪問宿主機操作系統。機構愈益依賴虛擬化、私有雲和混合雲技術，將給網絡攻擊帶來更便利條件。由於大量流動應用程式與雲系統連接，也為攻擊者開啟另一個攻擊維度，讓企業網絡、公有雲和私有雲都遭受安全威脅。」他說。

但比起物聯網威脅，也許這較能提防。吳維穎表示雲端服務使用者現在有不少坊間的終端保安方案，只要做好自己，即使旁邊其他使用者受到攻擊也能有一定的保障。而在雲端基礎架構服務商層次，他建議採用嶄新的軟件定義數據中心（SDDC）技術，進一步隔離不同的小網段，能避免惡意程式在數據中心內部散播。

威脅四：惡意程式「自爆」隱匿攻擊證據

近年恐怖襲擊成為不少人的夢魘，但「自殺式襲擊」原來也在網絡上存在。現代惡意程式往往是為了盜取資料，而非破壞，但正如間諜落網會被拷問以找出源頭，惡意程式若被發現，也會被「逆向工程」檢查通訊紀錄和入侵痕跡，從而找出黑客源頭。

正如恐怖份子會在被發現後自殺，甚至自爆來保密，新型的惡意程式現在也有類似的功能。吳維穎表示 2015 年發現的 Rombertik 病毒就能繞過常規的防毒檢測，甚至還具備「反沙盒」檢測的能力，而且一旦被檢測到就會啟動「自爆」機制來毀掉宿主機，從而阻止追查。

FortiGuard Labs指攻擊者的閃躲技巧，讓企業在檢測和攻擊後取證調查方面面臨沉重的壓力。「未來的惡意軟件可能不再被動的逃避檢測，而是主動的向檢測反擊。企業在遭受了『自爆』攻擊後，在數據丟失的情況下調查取證變得十分困難。」他說。

威脅五：惡意軟件「雙臉人」降低目標戒心

如果在惡意軟件入侵後才檢測得到，就有機會成為「自殺式襲擊」的受害者，因此如何盡早在入侵前就發現，便是當務之急。現在企業防範 APT 攻擊主要靠「沙盒」技術，即透過讓不少檔案在一個受監控的環境下運行，再檢查有沒有做危險動作，從而分辨檔案是否安全，能否進入企業內部。

但原來不只入侵的間諜和恐怖份子會「扮好人」，為了繞過沙盒，惡意程式在知道自己被檢測時行為十分規矩，待成功入侵後才開始下載、訪問或安裝惡意的程式。吳維穎表示新一代「沙盒」技術亦不得不加強檢測，以維持沙盒評分系統的安全情報機制的準確度，但就難免因此犧牲效能。

「傳統的防毒引擎為了不犧牲效能，只會掃描檔案第一個執行工序（Process），無問題就放行。而惡意軟件就針對這一點，先執行一些正常的工作，騙過沙盒、進入系統後才會做危險動作，而沙盒只需要監視每一個 Process、記錄每一個動作的 Log，就能揪出它們。」他指目前沙盒技術掃描一個檔案約需三分鐘，但未來將難免需時更多，但就未有具體數據做比較。