駭客如何反將組織一軍?

伺機而動:駭客如何反制防護策略並用於攻擊

在運動電影、戰爭故事和犯罪情節當中,總會出現下列主軸:知己知彼,百戰百勝。

人們在層層設定 (包括網路安全領域) 中,採用了這種戰術,且通常成功率很高。安全研究人員不斷努力徹查並瞭解駭客使用的技術,以便打造可防禦特定威脅的目標式防護。不過,大多數人都沒有發現到,在防護端另一側的敵人,也正發展出相同的策略趨勢。

惡意的駭客與白帽駭客一樣,都持續精進自己的技術。再者,現在有些攻擊者並不會採用已知的系統漏洞,反而想利用組織部署的惡意行動封鎖防護措施,來反將組織一軍。

這些安全措施本應讓消費者與企業用來保護最重要的資料與內容,為何反被網路罪犯作為攻擊武器?接下來,讓我們來看看目前駭客會使用的幾個狡猾技術。

員工平日訓練有素? 駭客總有辦法突破心防

許多企業的安全防禦基礎之一,是對員工進行專業的特殊培訓。這有助員工瞭解如何找出具有攻擊徵兆的惡意活動,並掌握自己在公司整體資料防護中所扮演的個別角色。許多的培訓課程都教導員工,除非獲得授權人或團體的許可,否則都不要提供個人或公司的敏感詳細資料。

對此,駭客可偽造冒牌電子郵件,引誘受害者點選會干擾內部系統的惡意連結。

擬定這個策略後,駭客即開始利用網路釣魚(Phishing),該技術會依靠仿真的訊息,說服受害者提供敏感資訊。在這類攻擊當中,攻擊者可能會偽造來自權威機構 (例如銀行或執法部門) 且看似合法的訊息。

在某些案例中,當攻擊者鎖定特定企業的成員時,駭客會竭盡所能地瞭解這些對象,並偽造出一封與他們高度相關的訊息。其中可能包括該對象的姓名、公司職稱和其他詳細資料,以吸引閱信者的目光,並誘使他們點選惡意連結或足以干擾系統的附件。

社交工程(social engineering )技術則會吸引受害者以騙取信任,藉此來反制組織的標準培訓內容。社交工程攻擊和許多攻擊一樣,通常是為了詐財;攻擊者想要取得有利可圖的詳細資料,透過後續詐欺活動或販售竊取的資料等方式騙取金錢。

如趨勢科技所述,現在,社交工程攻擊的伎倆已更加精進,並會透過最新事件、明星八卦和其他新聞來吸引受害者的目光,引誘他們前往惡意網站,進而竊取其資料。

根據 Digital Guardian 投稿人 Nate Lord 指出,駭客會使用心理操控技巧來誘導使用者。因此,即便使用者都在企業環境當中受過培訓,懂得防範這類活動,駭客仍可藉由社交工程和網路釣魚攻擊得逞,透過以假亂真的形式來竊取資料。

規避安全解決方案

網路釣魚和社交工程都已經發展了好一陣子,但仍有受害者上鉤,讓企業蒙受這類攻擊的損失。事實上,網路釣魚防治工作小組就將 2016 年報告為網路釣魚創記錄的一年,因為在這一年中,攻擊件數突破了一百萬件。此外,SC Magazine 於去年底的報導中更指出有 60% 的企業在 2016 年時遭受過社交工程攻擊,比例已超過半數。

雖然這些威脅數據已經夠驚人了,但比起趨勢科技的最新預測,則是小巫見大巫。趨勢科技的研究人員在 2017 年資安預測報告中,預測採用特殊逃逸技術的攻擊數量會急速攀升。這些新策略會讓駭客在嘗試散播病毒的惡意活動中保持隱匿,甚至在侵入受害者的系統時仍可神不知鬼不覺。

「有_ 60% 的企業在 2016 _年時遭受過社交工程攻擊,比例已超過半數。」

_ _

趨勢科技的 Jon Clay 表示:「駭客一旦入侵,藏匿在網路中的方法也越來越高明。駭客的首要任務就是保障惡意程式不受到偵測,因此會按時設計出完全無法偵測的新惡意程式,以將其取代。」

事實上,現在許多駭客都在進行檯面下的測試,以確保惡意程式無法受到偵測。Clay 進一步說明,駭客已開始提供測試服務,以查看惡意程式對特定安全廠商產品的堆疊效果。

此外,他們也將這個方法拓展為鎖定最進階與新興的技術功能,其中包括鎖定並建立特別針對機器學習的逃逸技術,以讓攻擊者入侵系統並洩漏資料,而受害者卻仍渾然不覺。

駭客會運用日益進階的感染措施,滲透受害者的系統並竊取資訊,以逐日累積高超的技巧。雖然這些攻擊很難抵擋,但防範的第一步仍是保持警覺。

為了抵擋這類進階攻擊,需採取分層的安全策略,以協助偵測整個威脅生命週期當中的風險。如此一來,即使駭客規避了一層安全關卡,後續的分層仍能防堵整體的威脅。

若要瞭解這些新興策略以及如何保護組織安全的詳細資訊,請立即聯絡趨勢科技的專家。

⊙原文來源: Flying Under the Radar: How Hackers Use Protection Strategies for Attack

原文來自 資安趨勢