搶先偵獵破駭客攻勢 揭秘網路威脅情資攻防術

NEITHNET 解決方案

NEITHNET 資安實驗室

圖片來源:Photo AC

  當全球產業渴望借助物聯網(IoT)、人工智慧(AI)等科技建構新世代的數位營運模式之際,惡意駭客也可能悄無聲息地潛伏進入應用場域,伺機橫向移動擴大感染範圍,進而控制關鍵應用系統,抑或是盜取機敏資產,再觸發加密勒索軟體執行,逼迫企業不堪營運遭到中斷而願意支付贖金,讓整起攻擊活動獲得最大化非法利益。

  實際上,企業或組織防禦機制只要擁有可辨識最新威脅的能力,或是在釀成重大事故前先行發現攻擊活動,即可大幅降低損害。面對現代化攻擊手法變換多端,愈早掌握即時威脅情資,將有助於在最短時間內偵測發現攻擊活動並先一步阻斷,以免資安事件擴大到難以收拾。

自選適用性情資 提高整體成本效益

  所謂的威脅情資,NEITHNET騰曜網路科技總經理林岳鋒說明,不外乎蒐集駭客攻擊活動使用的戰術、技術與程序(TTP)軌跡,把艱澀難懂的訊號,轉換成應用系統可理解的入侵指標(IOC),餵入演算模型分析判讀使用者行為風險數據,設計以圖形化介面呈現,讓IT或資安長可一目了然。

  NEITHNET的情資來源,包含自有建置的蜜罐誘捕系統(HoneyPot)、資安事件回應(Incident Response,IR)服務、NEITHCyber實驗室,以及第三方交換取得。林岳鋒說明,透過HoneyPot被動式擷取來自網際網路的攻擊,例如惡意IP等指標,掌握駭客初步試探性攻擊訊號,可定位為前哨站。其次是NEITHNET資安事件回應團隊,協助客戶處理已爆發的資安事件取得惡意樣本,讓每日專注於獵捕(Threat Hunting)最新攻擊的NEITHCyber實驗室研究員進行拆解,獲取中繼站等更多細節資訊用以豐富自家情資。

  「不論是自建蒐集或交換取得的情資,種類勢必相當多元,建議企業以適用性挑選,避免受到非必要的資訊所干擾。」林岳鋒強調。過去部署觀念是情資總數愈多,愈可降低偵測攔阻遺漏的機率。運行後卻發現,隨著情資數量倍數增長,反而增添防禦機制運算效能負擔,使得有限的資源耗費在處理非必要資料。

  企業挑選情資的方向,可基於攻擊手法、危害程度、特定產業或政府機關等選項進行篩選,以確保掌握關鍵情資。例如NEITHNET依駭客入侵手法,將情資分為Attack IP、Botnet、Malicious、Ransomware、Phishing等十大類,並持續增加類別中。其次是以時效性評估,近年來攻擊活動採用的惡意程式,通常會大量密集地活動,企業防禦機制得有能力辨識並即時阻擋。針對無法辨識的異常程式,則須持續地追蹤活動行為才可判定。

  林岳鋒舉例,防火牆部署於第一線執行阻擋,得持續不斷增進辨識攻擊手法的能力,但有限的設備資源終究無法餵入無限的情資,勢必得按照危險程度選用。NEITHNET情資萃取系統含括從深層網域的真實流量中擷取攻擊資料,並且持續地研判惡意指標的可靠度與活躍度,以提高精準度,讓企業挑選最適合的情資,避免非必要資料佔用有限資源,發揮整體成本效益。

多來源掌握新手法 跟進演進提高辨識度

  NEITHNET運用蒐集器、爬蟲、蜜罐,蒐集網際網路環境中活躍的惡意活動相關資料,由NEITHCyber實驗室的研究人員運用沙箱(Sandbox)、反組譯等技術,搭配授權取得的第三方情資,以及IR團隊協助客戶處理資安事故過程中解析樣本累積的威脅指標,不斷地訓練機器學習演算模型,輔助研究人員判讀資訊。

  遠端網路攻擊型態,不外乎透過掃描應用程式、作業系統、網路設備弱點,或是暴力破解遠端桌面(RDP)、VPN、VNC工具等方式竊取連線帳密,可說是相當成熟的手法,IR團隊在協助客戶處理資安事件發現,這些駭客慣用的手法至今仍是攻擊得逞的首要路徑。林岳鋒觀察,實際上並非維運人員不懂得攻擊威脅的危險性,通常是誤以為防護機制已設定完善,殊不知完整度有所欠缺,也未建置監控日誌系統,讓攻擊者憑證填充(CredentialStuffing)攻擊得以成功。

  從近來全球媒體揭露的資安報導可發現,攻擊手法不斷地精進,甚至已發展出利用正常的HTML5和JavaScript功能,發動HTML走私攻擊(HTML Smuggling),以規避資安機制偵測,成功地散佈惡意軟體。林岳鋒進一步指出,日前行政院資安處公布政府單位每日遭受駭客攻擊、掃描次數高達500萬次,實際上,這已可說是現代網路攻擊活動的常態,欲防範於未然,勢必得持續跟進攻擊手法演進的腳步,才有能力即時發現與攔阻。

▲ NEITHInsight情資運作方式(一):防火牆/UTM透過定期線上更新情資,搭配URL Filter、IP/DNS Black List與Hash檔案檢測,直接阻絕惡意行為,即早發現潛藏危機。
▲ NEITHInsight情資運作方式(二):提供SOC/SIEM透過API的方式,搭配豐富且精準的在地化情資內容,進行即時情資比對資訊,完整防護所有資安威脅。

NEITHCyber實驗室追蹤 提升在地情資準確度

  有能力迴避資安偵測可說是現代化攻擊活動重要特徵,NEITHNET為了強化網路環境能見度,透過NEITHViewer以非入侵方式蒐集傳輸流量,運用深度封包解析擷取內容,進而基於NEITHInsight精準的情資運行分析判讀,最終結果回饋到資安設備或SIEM平台,讓惡意行為得以即時被發現,藉此幫助企業增添主動式防禦。

  攻擊者之所以鎖定特定企業或組織發動APT活動,通常是事前經過大規模掃描弱點時發現有機可趁的應用系統、設備等,而企業建立主動防禦的首要任務即是避免成為被鎖定的標的。其次是萬一攻擊者利用釣魚郵件直接滲透員工電腦,NEITHInsight情資輔助亦可偵測發現惡意程式回呼(Callback)連線到中繼站的行為,觸發資安政策逕行阻斷,讓攻擊者無法遠端派送指令進行橫向擴散。

  林岳鋒指出,NEITHCyber實驗室近期統計台灣網路攻擊活動狀態,發現10001、445連接埠遭受掃描頻率最高,其次是6379、2376,追蹤發現6379為REDIS伺服器預設連接埠,2376與2375則為Docker系統。他提醒,掃描頻率增加,意味著攻擊者可能準備發動零時差攻擊,正在趁全新漏洞尚未被修補前,擴大尋找運行相關系統的標的,IT管理者須得多加留意。

  此外,在地化情資更有助於辨識刁鑽的滲透手法,NEITHCyber實驗室從2020年開始追蹤至今的Telegram中文化釣魚網站即為典型案例,累計可變換超過10個不同網域名稱,即便是國際大廠的情資資料庫也難以精準判別中文化真偽。再加上攻擊者為了擴大感染,Telegram釣魚網站甚至訂購Google搜尋引擎廣告,當用戶輸入「Telegram中文化」關鍵字,第一則即為該釣魚網站,如此一來,用戶自然相信為官方網站釋出的中文化套件。攻擊者成功進入內網後,低調隱匿以免被偵測發現,若非NEITHInsight輔助辨識,諸如此類惡意程式活動恐難以及早被發,正是在地化情資關鍵優勢之所在。

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。