智慧應用 影音

補強防禦體質 以抗衡多變的資安威脅

2017/04/25 - DIGITIMES企劃

論及資安事件,近年來不管在國內或國外,皆是洋洋灑灑。先從國外來看,儘管2016年期間,似乎未出現如過去Sony Pictures或Target可被當做教案的大型慘劇,但依舊風波不斷,且驚悚程度有過之而無不及。

首先值得一提的,便是以巨量DDoS攻擊掀起腥風血雨的Mirai。2016年10月DNS服務供應商Dyn慘遭DDoS侵襲,導致Twitter、Reddit、Spotify或SoundCloud等使用其服務的知名網路受到波及,無法正常運作,而在稍早前的9月,包括KrebsOnSecurity資安部落格、法國網站代管服務供應商OVH,也曾遭遇近1Tbps的猛烈DDoS襲擊。

物聯網安全  是未來重大課題

經過資安公司分析,發現上述三起事件雖然都有Mirai殭屍病毒參與其中,但背後的殭屍網路並非同一個,只因隨著原作者公布Mirai原始碼,不同駭客團隊紛紛利用它來建立自己的Mirai殭屍網路。

Mirai是ELF惡意程式,而Linux與UNIX系統共通的檔案格式,換言之Mirai即是一種鎖定物聯網(IoT)裝置的病毒,包括網路攝影機等各種智慧家庭裝置,若習慣以預設的帳號密碼執行登入,即可能淪為駭客禁臠。

在2015、2016年間,也有一起攻擊事件與工業物聯網相關,即是發生在烏克蘭的大型停電事故。據悉,俄羅斯駭客在烏克蘭電廠植入BlackEnergy惡意程式,導致電廠無法正常運作,遂釀成大規模停電事件。

這起事件震撼資安業界,因為一直以來,儘管許多專家都預期各種產業的基礎建設,未來將面臨更大安全威脅,但始終停留在警語層次,如今烏克蘭電廠即算是活脫脫的案子,這也意謂許多產業長期仰賴的「監控與資料擷取」(SCADA)自動化控制系統,正式成為駭客鎖定的目標。

歸納上述事件,可以肯定物聯網安全將是未來值得密切關注的課題。時序進入2017年,在資訊安全、負載平衡等業界頗負盛名的Radware,發現一個類似於Mirai、同樣可入侵物聯網裝置的惡意程式,名為BrickerBot,但它可怕之處,不在於利用這些裝置組織成為僵屍網路大軍,也並非鎖定特定目標發動DDoS攻擊,而是使遭到感染的裝置完全喪失功能,形成「永久性阻斷服務攻擊」(Permanent Denial-of-Service;PDoS)。

深究BrickerBot運作方式,是透過一系列Linux命令的執行,先破壞IoT裝置的儲存,接著再破壞裝置的連網機制、癱瘓裝置效能,最終全數移除裝置上檔案資料,至此該裝置完全失去作用。Radware建議,IoT裝置用戶宜變更裝置的預設憑證,關閉裝置的Telnet功能,並同步安裝行為分析及病毒碼比對等安全工具。

BEC或BPC詐騙  恐層出不窮

此外較值得留意的,還有屬於變臉詐騙(BEC)或商業流程入侵(BPC)等型態的事故,甚至有資安業者,將它們列為繼Botnet傀儡僵屍網路、針對性攻擊(Targeted Attack)、行動威脅、勒索軟體(Ransomware)之後,最具破壞力的數位威脅。

所謂BPC,係由駭客利用各種管道駭入企業的業務流程系統,再透過新增、修改或刪除資料,將款項轉至其帳戶,或將商品轉到指定地點;震驚全球的孟加拉央行慘遭盜領8,100萬美元的事件,即是很典型的BPC案例。

至於BEC,不論國內外都曾有企業因此淪為受害者,最典型的受害過程,不外是企業財務主管受到來自國外商業夥伴的郵件,闡述因為某某看似合理的緣故,所以需要換置匯款帳戶,假使該主管不疑有他,真的將款項匯出,便可能在短時間內釀成高額損失。

說起孟加拉央行慘遭盜領的事件,還衍生出另一焦點,即是作為全球金融機構交易電文的網路-「環球銀行金融電信協會」(SWIFT),其用戶涵蓋眾多金融機構。

而在2016年間,駭客針對SWIFT客戶的攻擊時有所聞,意在入侵受害機構並篡改電文,將大筆款項轉到駭客所掌握的帳戶,因此在當年6月,SWIFT向客戶發表一封信函,提醒客戶應留意此類風險,且不忘更新軟體,以強化網路安全體質。

本文一開頭即指出,2016年似乎並未出現如Sony Pictures或Target等震撼全球的大事,但這並不意謂當年鮮少出現資料外洩,相反的,其災情之慘重,可說是歷年來之最,其中最具知名度的苦主便是Yahoo。

2016年第4季,Yahoo接獲警方提供一批宣稱是該公司的用戶帳號,透過分析後發現,有一個未獲授權的第三方組織,早在2013年間便成功竊取逾10億筆用戶資料;事實上,稍早前Yahoo才坦承在2014年間由於遭駭客攻擊,以致造成5億筆用戶帳號外洩,因此證實在最近4年內,Yahoo被洩露的個資料筆數竟然超過15億筆,相當驚人。

但資安業者提醒,前述事件的可怕之處不僅如此,因為不少使用者都習慣在不同網站,重複使用相同帳號與密碼,所以只要駭客巧妙利用「帳號密碼填充」(Credential Stuffing)手段,便可將竊取而來的帳號密碼運用到極致,接連入侵受害者的多個不同網路帳號;故而Yahoo資料外洩事件的影響範圍,肯定比事件的表象還來得大。

勒索病毒加DDoS  並稱2017兩大威脅

在台灣部份,最讓人印象深刻的資安事故有三,一是震驚社會的第一銀行ATM盜領事件,二是甚難加以根除、其危害在2016年攀上高峰的勒索病毒,再者則發生在2017年初,史上頭一遭證券商集體遭到DDoS攻擊勒索的事件;許多資安專家或業者,也根據這些事件型態,歸納出2017年最值得企業用戶提防的兩大威脅,便是勒索軟體、DDoS攻擊。

美國FBI初估,2016年美國勒索軟體的犯罪規模超過10億美元,反觀2015年卻只有2,400萬美元,前後差距高達40倍以上,顯見勒索軟體堪稱「爆紅」的新一代威脅。

影響所及,現已開始出現勒索軟體即服務(Ransomware-as-a-service),乃至於宣稱拉到下線便享有免費解密的新營運模式,甚至駭客也將勒贖對象從電腦、伺服器,擴散到了手機、甚或智慧連網電視等其他裝置;正因如此,不少資安業界人士將勒索軟體列為2017年重大資安威脅,可謂其來有自。

至於DDoS,雖然並非新鮮攻擊,但近年來翻紅速度相當快,只因攻擊流量愈來愈大,甚至達到Tb等級,攻擊手法愈來愈複雜,除L3/4粗魯暴力型攻擊外、還有L7狀態耗盡型攻擊或應用層攻擊,且攻擊範圍也變大,受害者已不限於早期線上遊戲或賭博網站,開始擴及政府、金融機構、學校等單位。

總而言之,2017年接下來的月份,預料仍將是資安威脅此起彼落、層出不窮的混亂時期,但無論威脅型態如何演變,可以肯定的是,企業單憑傳統防毒軟體、防火牆或IPS等防禦機制,絕對難以有效抵擋,唯今之計,必須儘速擬定事件應變措施,並積極蒐集威脅情資、據以強化資安防護策略,先把底子打好,才有能力與駭客一搏。


圖說:2016年期間,駭客利用Mirai 僵屍病毒控制大量網路攝影機,繼而發動超大規模DDoS攻擊,使得物聯網安全議題就此浮上檯面。(來源:Mashable)