你有否錯信別人 ? 最新「無間道」駭客難防範

看《無間道》這類卧底戲,卧底隨時從想像不到的方式潛入,然後不斷博取信任,伺機接觸目標人物刺探機密。但其實今時今日的黑客攻擊也一樣難防,不僅會從難以想像的途徑入侵,而且植入惡意程式後會自動隱藏並把所有入侵痕跡抹除,讓機構更加難以追蹤防範。Trend Micro 早前在日本發表了新的 APT 攻擊研究報告,就揭露了今天惡意程式的危險一面。

黑客攻擊愈來愈難防,會從難以想像的途徑入侵並自動隱藏,讓機構更加難以追蹤防範。

 

APT 攻擊儼如無間道

持續性滲透攻擊(APT)是近年黑客攻擊商業和政府機構的新興常見手法。但正確而言它不是一種技術,而是指黑客透過各種不同方式,入侵目標對象的全新攻擊手法。以前惡意軟件很少會有特定的攻擊對象,病毒不論是誰中招了都一樣會發作,發作的狀況也是一樣。

而 APT 攻擊則往往針對特定行業、工種,甚至會為單一攻擊對象而設計惡意程式,由於惡意程式往往是特制的,因此傳統防毒和保安軟件都很難防止這種攻擊,甚至連發作了都不知道。用《無間道》做例子,就是劉健明、陳永仁一潛入就卧底了十年,無論黑幫定警方都發現不到問題,劉 Sir 仲要拍到第三集先穿煲,而 APT 攻擊的隱密性就隨時更高。

Trend Micro 早前在日本發表了新的《APT 攻擊研究報告 2013》,抽取了 2013 年 100 宗有關 APT 攻擊的個案研究。報告除了揭示今天黑客的 APT 常見手法,更發現超過一半 APT 攻擊會自動隱藏整個入侵痕跡,使機構和保安廠商愈來愈難發現和追蹤惡意程式的散播。

面對 APT 攻擊,企業愈來愈防不勝防,不能靠現有的傳統保安工具來阻止。

 

利用受害人的社交信任

APT 攻擊都以向目標電腦安裝惡意程式為起點,但手法卻有很多種。第一種守株待兔型(Watering Hole),會入侵目標人物常去的網站再植入惡意程式,當目標人物瀏覽網站時就會不自覺被入侵。例如會計人員會上財經網站,IT 人會上科技網站,只要在這些網站守株待兔就會有人中招。另一種手法就是借助社交工程。小心的人會防範陌生人的郵件,也不會主動打開郵件夾帶的附件,但如果寄件人是熟識的,而信件內容也不可疑的話,卻會很放心開啟。

黑客就借助這種心理來設計攻擊方式,舉個例子,企業財務人員小心不會到訪危險網站,那黑客就改為攻擊他信任的客戶、同事或親友,再透過向他們發送夾有惡意程式的郵件來成功入侵目標電腦。夾帶的附件未必是露骨的病毒執行檔案,黑客會使用 Office、PDF 檔案的系統漏洞來隱藏。報告中發現 Word 和 Excel 檔案最常被黑客利用,PDF 則排第三。這些都是辦公室最常用到的格式,令人防不勝防。

Office、PDF 和 JAVA 是最常被黑客利用的平台。

 

自動刪除入侵痕跡

如果發生了爆竊案,警方會搜查賊人入侵的痕跡,包括指紋、腳印,有否撬開門窗,再追查入侵的路線。但新式的惡意程式卻已懂得隱藏入侵痕跡,令保安防範變得更加難以提防和阻止。在是次調查的 100 宗個案中,只有 49 宗能追查到入侵痕跡,餘下 51 宗無法追蹤,Trend Micro 分析是惡意程式已具備隱藏入侵痕跡的功能。

Trend Micro 在報告中解釋,不管把入侵對象視為目標或跳板,黑客入侵可歸納為三個階段:入侵→發作→消除痕跡。首先黑客會以網頁、電郵或 FTP 等渠道入侵目標電腦,然後暗中奪取電腦的管理人權限,在電腦實行計劃,如入侵公司系統或是發送電郵給其他對象。當完成上述工作後,黑客就會把所有入侵的痕跡消除,包括電腦和伺服器上的網頁和電郵紀錄,登入系統的系統紀錄等,彷彿從來未存在過。

Trend Micro 報告發現,黑客會把入侵紀錄刪除,阻止有回溯追蹤。

 

香港專家:暫未影響本地機構

Trend Micro 香港區技術經理陳貴強接受本站查詢時表示,該公司暫時未有發現香港有類似的案例,但他仍然提醒香港機構不能掉以輕心:「由於 APT 攻擊沒有固定的攻擊方式,因此只能按個別案例討論。但單就香港的個案而言,未見到有這種會消除入侵痕跡的案例。」

他表示香港並非 APT 攻擊的重災區,也未見到有嚴重增加的趨勢,機構暫時毋須太擔心,但大型國際機構的話風險就會較高。被問到哪些機構最要留意提防 APT 攻擊,他認為黑客都是以實利為目標,因此金融機構仍是最大風險的機構。

機構要提防 APT 攻擊,除了採用資訊保安公司提供的有關方案外,只要勤於更新系統漏洞的修正補丁,便能有效中斷很多攻擊渠道。「因為很多 APT 攻擊都透過 Office、Adobe Flash、JAVA 等工具的系統漏洞來入侵,因此只要做好漏洞修補,已能大大減低風險。」他說。

 

Trend Micro 香港區技術經理陳貴強表示,未發現香港有類似案例,但仍提醒機構不能掉以輕心。