目錄
- 社交工程 Social Engineering
- 網路釣魚 Phishing
- 勒索軟體 Ransomware
- 身份驗證資訊濫用 Credential Abuse
- 驗證繞過 Authentication Bypass
在網路威脅角色分類中我們提及了有哪些攻擊者存在於網路上,而此篇我們就針對近期所發生過的攻擊事件提現代常用的手法,對於企業、個人及受害者會造成哪些損害,再想想有哪些方法可以避免這些攻擊
社交工程 Social Engineering
想必讀者在各大新聞或者網路文章中常常會看到這個名詞,這類手法的使用範圍非常廣泛,透過說服或操控受害者提供個人隱私資訊或去存取他們不應該存取的服務
2020年七月就有事件使用魚叉式網路釣魚(spearphishing)這種社交工程的方法利用twitter(現在叫X)的內部工具允許攻擊者可以更改高價值帳號的密碼,取得帳號後發一些Bitcoin的詐騙文章,其帶來的影響有這些帳號財務上的損失,資料的損失以及twitter自身名譽的受損
通常要避免這類事件發生,我們需要了解事件是如何發生的,這起事件透過電話簡訊進行魚叉式網路釣魚搭配社交工程,最終讓攻擊者取得了twitter員工的權限並且存取進twitter內部網路,作為公司方應該要嚴格控管BYOD設備,限制員工自己的資通訊設備存取平時工作上的權限以及內部工具,施行最小權限原則並且增強員工的異常行為操作等等
網路釣魚 Phishing
網路釣魚比起上述魚叉式網路釣魚是更一般化的做法,魚叉式網路釣魚攻擊會針對特定的受害者,但網路釣魚手法更為廣泛的利用,通常會寄送大量的惡意通訊管道(e.g. 簡訊、email、私人telegram etc.),盡可能地增加受害者的基數讓成功率提高,受害者點擊惡意連結或做了其他什麼事(恭喜您抽中一隻iPhone😉)讓設備淪陷
2021年九月Toyota子公司落入商業信件詐欺(Business Email Compromise, BEC)釣魚事件中,他們被騙了40億日圓,差不多是7億多台幣進了詐騙集團的戶頭裡,原因是相關員工在操作戶頭時被修改了帳戶資訊,美國聯邦調查局針對BEC案件只能給一些建議:
- 驗證任何交易、購買、變更帳戶資訊以及個人交易原則等等流程的合理性
- 如果第1點的任一流程中無法進行驗證,至少需要透過電話進行確認
- 如果交易端有進行任何催促的動作,請注意並保持警戒
- 於Email通信中仔細檢查所有email位址以及網址拼法是否正確
- 請不要從不認識的送件者內開啟任何的檔案
- 在回應信件之前請仔細檢查寄送者email位址
勒索軟體 Ransomware
勒索軟體屬於一種惡意軟體能夠用來感染電腦系統並且將合法使用者的檔案進行加密上鎖,攻擊者通常利用這種手法像受害者進行勒索來取得私鑰解開加密的系統或檔案
2021年五月Colonial Pipeline這家美國石油公司就中過勒索軟體的事件,這起事件讓該公司終止了好幾天的燃料派送,而後果就是損失了公司資料、暫停石油派送、數百萬美元的勒索費用、石油漲價以及石油短缺的恐慌等等
這起事件的起源在於攻擊者透過一組洩漏出去的密碼存取到Colonial Pipeline公司的網路,而要避免這種情況再次發生或減少損害需要確保所有網路資源都透過MFA才能存取,以及禁止密碼重複利用等方法
身份驗證資訊濫用 Credential Abuse
這類事件發生於攻擊者取得合法使用者的身份驗證資訊被用來登入進去內部機器或服務,通常會發生在員工帳號密碼太過脆弱被攻擊者猜測出來,2020年十二月在SolarWinds的基礎建設監控系統以及管理工具上(Orion平台)發現一系列的惡意更新檔,當SolarWinds的使用者們下載了這份新的惡意更新檔後,就會允許將攻擊者寫的惡意軟體植入進大學、美國政府機構以及其他大型公司內部的系統裡
通常我們會稱這種手法為供應鏈攻擊(supply-chain attack),當時影響了大約18,000個SolarWinds的客戶及旗下的單位或公司,根據當時SolarWinds CEO Kevin Thompson描述這攻擊是因為有一組弱密碼洩漏在Github的公開專案上
而要避免這類攻擊手法需要增加密碼強度以及監控網路上是否有公司的洩漏資訊,而美國網路安全暨基礎設施安全局(CISA)給的建議是封鎖SolarWinds Orion服務向外的流量,又或者讀者可以開始考慮無密碼機制FIDO標準了,讓使用者身份還需多加生物特徵進行驗證
驗證繞過 Authentication Bypass
上述身份驗證資訊濫用是讓攻擊者透過合法使用者身份進行登入,而驗證繞過旨在允許攻擊者直接跳過開發者預期的驗證協定來取得存取權限,在2021年七月SolarWinds裡的軟體廠商Kaseya’s Virtual System Administrator(VSA)遠端管理工具中發現這類的漏洞,攻擊者可以利用這個遠端工具來繞過驗證系統,最終透過惡意更新植入進去REvil勒索軟體到那些受害的VSA客戶裡
這次攻擊針對數個服務管理供應商(Managed Service Providers, MSPs)其淺在影響不只是單純的Kaseya MSP客戶而已,其他的MSP工具也可能是被盯上的目標,調查來看攻擊組織至少在三個月之前就已經在進行了,要避免這類的攻擊只能針對系統或軟體進行緊急的漏洞修復,因為我們無法得知攻擊者何時就在進行佈局了
