最新消息與洞察
NEITHNET 資安實驗室
小隱隱於野,大隱隱於市
身處在鬧區中心,還能獨善其身,是隱士的最高境界。
而於資安領域,能夠潛藏在目標系統內不被發現並執行攻擊,不也能稱得上是隱士?在無數攻防戰役下,防禦力量日漸茁壯,打造出固若金湯的資安堡壘;看似無隙可趁的堡壘,除了是防護面的守衛將士,也是攻擊面的催化劑,日積月累下,攻擊也透過新手法「隱匿」一躍成防禦面最新也最難纏的對手。
明槍易躲,暗箭難防
2022年10月份賽門鐵克觀察到Operation CuckooBees活動的進行,中國駭客APT41利用Spyder Loader在香港政府底下潛藏超過一年的時間。另外還有研究人員發現一支幾乎不可能偵測的 PowerShell程式,會自我註冊成Windows Update,偽裝成Windows合法排定任務而避過安全工具的檢查。它同時建立2支PowerShell script,一支向外部C&C伺服器下載指令並指派受害者編號,另一支則執行指令。
上網容易,安全非易事
身處在資訊爆炸時代,各種資訊的交換與取得,相當簡單容易,各式各樣免費軟體充斥在網路上,在搜尋欄上敲幾個字,輕輕鬆鬆地就能自由下載安裝與使用。雖然藉由這些便利的軟體或小工具,得以解決使用上的問題或讓使用更具便利性,但可能在安裝過程中悄悄被植入後門,使用者往往不知情,也無法察覺後續被竊取機密文件或成為駭客跳板等攻擊行為。
官方管道,偷天換日
從官網下載,就一定安全嗎?是否有想過官方網站被駭,程式已被惡意置換的可能?大受用戶歡迎的系統清理工具CCleaner,官方的下載伺服器,遭駭客入侵並更改了本來提供給使用者下載的檔案,使用者從官方下載下來的程式,變成「加料版」CCleaner,裡面夾雜了惡意的程式,會偷偷傳送使用者資料。此外從源頭下手的事件還有入侵WordPress網站散布攻擊工具,利用瀏覽相關網站的用戶電腦向烏克蘭發動DDoS攻擊。
外患易找,內憂難尋
向來內憂都比外患更難以對付,更何況還加上了「隱匿」。近期的隱藏手法明顯更上一層樓,隱藏埋伏在核心的攻擊,就像是隱士一般悄無聲息,靜靜蟄伏在目標內部,默默暗中收集資訊;或是從源頭下手,看似安全的來源,早已移花接木,隱蔽在官方面具下,光明正大的招搖撞騙。
這些「隱匿」攻擊打的不是速度戰,而是長遠戰。可能是長期靜悄悄的透過收集目標的情報、受害者電腦的機敏資料,掌握目標的軟肋,或是在使用者不知情之下變成駭客攻擊的工具之一。也因為不易發現,才能慢慢佈署,讓攻擊成效最大化,所以隱士類型的攻擊,雖然是所有攻擊類型中最不顯眼的,卻是攻擊行動中最危險而銳利的。
鋒芒乍現,決勝瞬間
然而不管再如何收斂鋒芒,不管蟄伏多久,終究會出現攻擊或是偵查行為,此時便是防禦方察覺異常行為的最佳時機!
任何一個企業,發生如駭客攻擊、入侵、電腦中毒、勒索病毒、網路異常等,皆可能導致作業停擺、資料損壞、甚至資料外洩等事件,皆會讓企業蒙受輕重不一的損失,不管是資產或聲譽。而目前企業環境中,對於資安防禦仍著重於南北向的網路傳輸行為,抵禦所有外來的攻擊為主,缺乏內部環境東西向活動的分析。即便佈下天羅地網抵禦外侮,也總有力有未逮之處,倘若不慎遭受入侵,又恰巧遇到蟄伏特性的攻擊,便難以察覺異常行為,此時若有一個能同時掌握南北向與監控東西橫向的工具,該有多好!
縱橫齊行,精準追蹤
「NEITHViewer網路惡意威脅鑑識軟體」其特性是同步監控橫向擴散與縱向流量,同時採用Netflow與Traffic Mirroring,有效補足了企業欠缺的內網環境監控能力。一旦發現入侵,可立即協助企業IT人員檢視端點環境,包含釐清第一個被滲透的端點、遭入侵的漏洞、攻擊採用的程式與行為模式、橫向擴散手法。精準追蹤攻擊足跡,提高企業內部可疑行為橫向流動的辨識度。
NEITHNET深深明白,若使用複雜的方式建置防禦系統,會使企業在建置過程中加重IT人員的負荷。因此,在開發過程中,同步將企業部署方式納入考量,採用較為單純的Netflow方式,只需要把網路設備設置日誌拋送的位址指向NEITHViewer即可彙整所有資料。
NEITHViewer簡潔、快速、精確,與豐富、即時、在地化的NEITHInsight威脅情資,作分析比對,達到及早預警、搶先發現異常行為與流量,確保重要主機資料安全與網路安全,降低企業風險與免於重大損失。
想了解更多產品資訊,請連至官網https://www.neithnet.com/zh/,或直接與NEITHNET資安專家聯繫:info@neithnet.com