謝至恩位於美國加州的 Palo Alto Networks 總部裡,有個神秘的單位,號稱「知道宇宙的終極答案」,如果你有看過《銀河便車指南》,自然知道這個終極答案就是「42」,而這個部門名稱就叫做「Unit 42」。
「這當然是宅宅才知道的梗,」Palo Alto Networks Unit 42 事業群總裁 Ryan Olson 受訪時表示:「命名為 Unit 42,很明顯這是個情報研究單位,希望能夠讓 Palo Alto Networks 成為企業資訊安全的終極答案(笑)。」
首度來到台灣的 Ryan Olson,是應 2016 年 HITCON 台灣駭客年會,代表 Unit 42 而來。該團隊焦點不放在產品,而是專門了解並研究全球各地駭客們的行為與手法、動機、工具與資源,建立起一個情報共享平台,避免客戶遭受攻擊;同時也將情報回饋給 Palo Alto Networks 產品部門強化安全性,使得攻擊者的攻擊難度增加,攻擊成本也墊高。
本文目錄
首度來台 揭露誘餌文件攻擊手法
Ryan Olson 說明在 HITCON 台灣駭客年會所提到的報告,主要是敘述駭客/攻擊者會發一個釣魚信件,裡面夾帶著使用者所感興趣的內容文件,也夾帶惡意軟體/木馬軟體的文件,讓駭客可以遠端控制被害者的電腦。這種 APT 攻擊鎖定微軟 Word 的 CVE-2012-0158 漏洞,使用者第一次點選這份文件時,Word 會當掉無法開啟,此時木馬程式已經成功入侵使用者並安裝完畢,接下來使用者第二次點選後,木馬程式會產生一份乾淨、無害的 decoy 誘餌文件,給使用者開啟並放在檔案伺服器上,這讓管理員或使用者都掃描不到惡意程式碼,誤以為無害。
那麼,Unit 42 又是如何發現與防治這種帶有誘餌文件的惡意軟體呢?
首先是所有網路封包、流量會透過 Palo Alto Networks 的防火牆產品,經過 WildFire 的惡意軟體分析/判決系統 (Malware Analysis, Verdict Determination),針對各種惡意文件做蒐集、分析,並將掃描結果傳回防火牆即時調整防堵政策。即便不知道這些惡意文件,攻擊目標與呈現手法為何,Palo Alto Networks 也會將這些惡意文件的情資與夥伴分享,未來再遇到類似類型的惡意文件,也可以幫助其他人把它給阻擋下來。
從誘餌文件深究分析攻擊者身份、地點與目的
Ryan Olson 指出,從這種釣魚文件內嵌的誘餌文件分析,可給予我們不少有用訊息,像是受害者身份,誰是攻擊者,與駭客/攻擊者需從這釣魚文件獲得什麼的存取權限,甚至預測下一波的攻擊對象等。他舉幾個誘餌文件為例,第一個是一份用印尼文撰寫的吃蕃薯能夠更健康的誘餌文件,藉此推論將攻擊範圍縮小到印尼。
第二個誘餌文件示意圖則是文件主旨 (Subject) 上的分析。右半邊是一個以越南文寫的 LogFusion Pro-系統管理員才使用的日誌監控工具軟體安裝指南,受害者範圍可再縮小到在越南的組織、機構系統管理者。
第三個誘餌文件案例是分析攻擊時間。像某個在越南河內的挪威大使館,邀請大家去看電影的邀請函,從文件上電影的播放時間 2014 年 12 月 13 日,可推論出駭客的攻擊時間一定在這個時間之前;左半邊則是利用一封 Palo Alto Networks 在 2016 年 11 月初於印尼雅加達舉辦活動的邀請函,這些攻擊者利用 Palo Alto Networks 的邀請函夾帶惡意軟體並寄給 Palo Alto Networks 的合作夥伴、客戶,所幸 Palo Alto Networks 及早發現立即警示合作夥伴、客戶等不要開啟這類型的文件。
在這個夾雜 Palo Alto Networks 活動邀請函的誘餌文件中,駭客/攻擊者犯了一個錯誤,那就是在 Word 檔案中所嵌入的圖形,還原後發現其實是整個電腦桌面的全螢幕截圖,連底下工作列圖像、時間等訊息都截進來;經 Unit42 成員進一步分析,並藉此分析出該攻擊者使用的語言、使用的軟體及文件建立的日期/時間等資訊。
由於誘餌文件只會用到特定對象上,因此 Palo Alto Networks 的 Unit 42 會將觀察案例、分析報告放到專屬部落格上,提供給合作夥伴或客戶去訂閱此威脅情資並下載閱讀。
Unit 42 是否真能成為資訊安全的終極答案?
既然誘餌文件能夠提供那麼多線索,是否有可能具體找出攻擊者?Ryan Olson 指出大部分誘餌文件是幫助找到受害者,例如某個誘餌文件是寄給菲律賓海軍的採購單,其內容僅敘述採購的喇叭樣品太大聲,但 Palo Alto Networks 之前已在長期觀察某個駭客組織,預定一年後發動一個 APT 行動;藉此誘餌文件交叉分析,發現到該組織一個針對東南亞的政府與軍隊佈署為期三年的 APT 攻擊。要找出攻擊者,得需要 Unit 42 的其他情報蒐集。
而 Unit 42 作為威脅情報中心,是否能夠與同業合作,建立一個業界等級的威脅情資交換?Ryan Olson 坦承目前還難以做大規模交換,因為沒有一個標準的文件格式。美國有家公司-Mitre 建立一個稱為資安威脅資訊交換 (Structured Threat Information Expression, STIX) 的文件,現在由 OASIS CTI 協會掌握並轉型成開放標準在推廣,希望讓個人、電腦之間不必靠電子郵件分享資安情資也更安全。
情資挑戰在於廠商還要把花時間資安情資再消化、加入自己的產品。 2014 年由 Palo Alto Networks 、 Intel 、 Symantec 、 Fortinet 四家資安公司,共同成立一個資安威脅聯盟 (Cyber Threat Alliance, CTA),彼此交換資安威脅情資,2017 年初 CTA 會轉型為非營利組織,鼓勵更多廠商與個人加入,目標則希望能更快分享資安情報,甚至 CTA 可以直接將情資放入聯盟廠商的產品中。
惡意軟體經過各資安廠商(如 Palo Alto Networks)掃描及判定之後,產生惡意軟體的特徵碼,只要幾分鐘內就會發布到客戶的防火牆,在客戶還沒看到惡意軟體在網路上開始流竄之前,防火牆就已經先擋下來了。若是惡意網址,Palo Alto Networks 會檢查完之後才發佈。
然而,不只是資安公司才懂得運用雲端與 AI 技術,駭客們更是善用這些科技的箇中高手,甚至 Akamai Technologies 的年度報告中指出網際網路上約有 6 成流量來自於各種機器人 (BOT) 。那麼,從 Unit 42 來看,這些新興科技會對資安公司與駭客們之間的攻防戰產生什麼影響?
Ryan Olson 認為駭客使用雲端技術的好處是可隱身幕後,誤導調查單位的偵查方向,而所謂的雲端也包括其他人的電腦或其他雲端服務供應商,不限定是 AWS 或 Azure 。「雖然我不清楚網路上的 BOT 流量現況,但 Unit 42 的確有看到隨機性質以及特定式的攻擊。」
Ryan Olson 也認為駭客/攻擊者使用 AI 確實是潛在威脅,但是 Palo Alto Networks 也積極使用機器學習技術,來分析既有的數十億個惡意樣本,強化防火牆產品的資安防護能力。 Palo Alto Networks 的 Unit 42 也很希望找出駭客組織-起碼是幾個最重要最大的駭客,去研究其攻擊手法並推敲出教戰守則。