2010年2月12日 星期五

「高度精密與目標性」的攻擊事件

自從一月十三日起,各新聞媒體傳出 google 宣布要退出中國市場開始,這事件就像連續劇一樣,每天上演著不同的情節。一開始爆出是利用 Adobe 未修補的漏洞,後來又說是利用 IE 0 Day

極巧的是,消息一曝光開始,不到一天 Adobe 也推出更新版本到 V9.3.0 版,因為首波新聞內容提及 Adobe 漏洞問題,相關新聞在這還有這裡


後來攻擊漏洞也與微軟 IE 有關聯,IE 也在這兩天推出修補更新程式,相關新聞在這還有這裡。所有被爆出的漏洞紛紛修補完畢。

期間也傳出不只一家企業遭受攻擊,可以參考這新聞。攻擊來源據傳在這新聞,且還利用了台灣的中繼跳板,新聞在這還有這裡。整個新聞過程也充滿政治操作與行銷手法在裡面,因為,最後 google 又不打算退出中國市場了,新聞在這;況且,中國「上網人數」比「美國人口」還要多耶,要放棄...打死我也不相信,即便今天放棄,明天也能宣示重返。這整個過程也可以看出是「高度精密與目標性」的反擊,相關一系列文章可以參考雅虎專題新聞:「谷歌遭駭 槓上中國」。不過,這部分不是我要討論的重點。

這裡我比較關心的是:
1. 整個攻擊手法的運作方式。
2. 攻擊的目標、目的。
3. 思考可能造成的衝擊。

一、到底攻擊手法是啥呢?
從漏洞來看,是攻擊 adobe reader 以及 IE 瀏覽器漏洞;前者為檔案形式,後者為網站、網址(URL),但...還需要更主動的方式配合,才能攻擊到「特定」的目標,很顯然的應該是利用「電子郵件」,這樣就能精準的將 exploit 送到特定目標手中,靜待魚兒上鉤。
話說回來,如果只要是騙取特定人士的帳密,大可不用如此麻煩,先前這篇手法即可。詐騙郵件+釣魚網站就足夠了,且這好用太多了,也相對低調...XD。所以,攻擊一定會依據目標、目的不同,來配合不同手法的,這系列新聞中,也錯綜複雜著好幾件事的。
從手法來看相當接近「魚叉式網路釣魚」。這類攻擊手法,我們早已司空見慣了...XD。透過電子郵件將惡意的 pdf 檔案附件,或惡意的 URL 精準的送到攻擊目標信箱中,誘騙目標開啟附件或點選連結,透過 0 Day 漏洞,達成植入惡意程式的目的。
一旦惡意程式滲透內部網路,就可以進行下一階段的行動,搜尋特定資料、跳板再滲透...等,取得重要機密,或達成預設的攻擊目的。

二、攻擊的目標、目的?
由系列新聞來看,大概是兩個:特定人士的郵件帳密,以及特定公司的商業機密。

三、帶來哪些衝擊呢?
是否遭受相同手法攻擊?如何避免遭受類似手法攻擊?如何防禦類似攻擊手法?
這沒有標準答案的,每個資安事件都是可以成為防禦的強化作業,解法留給您思考吧!但往往想的人沒有決策權,有決策權的從來沒思考這些問題。

魚叉式網路釣魚」攻擊手法:
可以 google 看看這個查詢結果。其實,前幾年台灣發現不少 0 Day 漏洞,除了 Adobe, IE 外,包含 .rar, .doc, .xls, .ppt ...等,每次的 0 Day 發現,也代表著一波波的攻擊發生,實現攻擊的目的。

說到這...你會不會想起了甚麼呢?是的,可能很多公司被打了還不知道痛的。

我相信台灣的資安技術能量絕對不輸國外的,但,缺的是甚麼呢?

補充資料:
1. WIKI:極光行動 (Operation Aurora) [2010/05/14新增]

沒有留言: