攻擊趨勢與常見攻擊手法 -...
TRANSCRIPT
攻擊趨勢與常見攻擊手法
行政院國家資通安全會報技術服務中心
105年8月16日
1
大綱
●攻擊趨勢
–勒索軟體威脅狀況
–殭屍電腦網路威脅狀況
–DDoS攻擊威脅狀況
–APT攻擊威脅狀況
●常見攻擊手法
–APT社交工程攻擊手法
–網站或系統攻擊手法
–DDoS攻擊手法
●結論與建議
2
網路攻擊威脅狀況
● 勒索軟體(Ransomware)危害範圍擴大
–趨勢科技揭露臺灣勒索軟體之案件情形,不僅有逐季攀升之趨勢,
數量更是有接近倍增之情況,受害企業已經高達252家
● 2.5萬監視器成DDoS殭屍網路大軍
–於104年10月至105年5月期間,技服中心追蹤分析發現40,249臺物
聯網設備與工業控制系統遭駭,成為散布於154個國家之跨國殭屍電
腦網路。網站安全服務供應商Sucuri於2016年6月27日於官方部落
格發表技術文章,調查珠寶商網站遭DDoS攻擊案件時發現,來源端
IP總數高達25513個,其中24%來自臺灣
● 關鍵基礎設施遭受威脅持續擴大
–在金融體系中,臺灣國外分行之電話錄音伺服器主機成為駭客遠端
遙控ATM大吐鈔的跳板,從APT(進階持續性威脅)攻擊的角度分
析,可能是透過釣魚郵件的方式入侵
3
1. 勒索軟體威脅狀況(1/4)
4
1. 勒索軟體威脅狀況(2/4)
●勒索軟體(Ransomware)一直存在,但近兩年來,
加密勒索軟體變種速度已大幅快速攀升,在進入
2016 年後更是猖獗
資料來源:ENDGAME
5
1. 勒索軟體威脅狀況(3/4)
資料來源:趨勢科技
6
1. 勒索軟體威脅狀況(4/4)
●加密勒索軟體之危害逐月創新高,至2016年,在
攻擊手法不斷變種之情況下,勒索軟體危害已變
得更為嚴重,臺灣企業受害已有近一倍之增長
7
2-1. 殭屍電腦網路威脅狀況
● 物聯網設備及工業控制系統已有殭屍電腦網路之蹤跡
–於104年10月至105年5月期間,技服中心追蹤分析發現40,249臺
物聯網設備與工業控制系統遭駭,成為散布於154個國家之跨國殭
屍電腦網路,就此發現與18國家電腦緊急應變團隊進行資訊分享
–可辨識之設備約6千部,估算設備價值約新臺幣1億2千萬元
–物聯網設備包含數位監視器(DVR)、Web Camera、路由器
(Router)、Wi-Fi Disk及機上盒(Set-Top Box)等,全球受害品牌之
廠商共160家,其中臺灣廠牌有10家
電信設備(5G強波器) 工控系統資料採集伺服器 智慧電錶/電源插座
加熱幫浦控制器
8
2-2. 網路設備入侵方式
● 暴力破解密碼 (利用字典檔)
–弱密碼
–預設帳密
● 利用韌體弱點
–設備老舊或韌體未即時更新
–如: CVE-2015-3036
● Web管理介面弱點
–針對HTTP/HTTPS等服務
–利用Web攻擊方式 (如:SQL Injection)
使用預設帳密登入
多數設備提供Web介面
9
2-3. CCTV案件說明
●網站安全服務供應商Sucuri於2016年6月27日在
官方部落格發表技術文章
–調查珠寶商網站遭DDoS攻擊案件時發現,該攻擊手法
係透過物聯網CCTV(閉路電視攝影機)設備作為殭屍網絡
之攻擊來源
–該珠寶商店網站遭DDoS持續性攻擊,於遭駭客掌握之
閉路電視攝影機中,來源端IP總數高達25513個,散佈
於105個國家,其中24%來自臺灣
資料來源:https://blog.sucuri.net/2016/06/large-cctv-botnet-leveraged-ddos-attacks.html
10
3-1. DDoS威脅持續攀升
11
3-2. DDoS攻擊威脅趨勢
● 卡巴斯基於2016年第一季報告指出,DDoS攻擊強度提
高但持續時間大不如前,其中有七成攻擊事件會在4小時
內結束
–2015年Q4持續最久之攻擊為13.9天,而2016年Q1為8.2天。
12
3-3. DDoS攻擊案例
● 近期技服中心透過HORUS系統[註]分析發現有392個政府
機關之網路設備或網域名稱伺服器,遭利用對美國環保
署網路進行分散式阻斷攻擊,單日最大攻擊連線次數達
1.2億次
● 機關應強化資訊設備安全,除防範遭受DDoS攻擊,也應
避免遭利用參與DDoS攻擊
DDoS攻擊流量3D視覺圖 DDoS攻擊規模分佈圖
註:HORUS(Holistic Observatory and Reconnaissance Utility System)為技服中心開發之巨觀多用途威脅資訊分析系統,可針對骨幹級網路流量資料進行巨量資料運算與視覺化分析
13
機關A
機關B
機關C
機關D 機關E 機關F 機關G 機關H 機關I 機關J 機關K 機關L 機關M 機關N 機關O 機關P 機關Q 機關R 機關S
0
200
400
600
800
1000
1200
1400
1600
1800
20
09
-01
20
09
-05
20
09
-09
20
10
-01
20
10
-05
20
10
-09
20
11
-01
20
11
-05
20
11
-09
20
12
-01
20
12
-05
20
12
-09
20
13
-01
20
13
-05
20
13
-09
20
14
-01
20
14
-05
20
14
-09
20
15
-01
20
15
-05
20
15
-09
20
16
-01
20
16
-05
6月南海仲裁案
提出ECFA
簽署ECFA
總統就職週年
大陸10月黃金週
3月服貿議題
4月鼎王食材問題
7月高雄氣爆 9月強冠油品
10月頂新& 選舉議題
2月復興航空墜機
外交部大使移交
7月義大利HackingTeam被駭 11月國際媒體報導馬習會
5月總統就職&所得報稅
12月民間國安會議
1月總統大選
對政府機關之電子郵件社交工程攻擊仍穩定持續發生
4-1. APT郵件趨勢分析圖
4-2. 105年上半年APT郵件主旨與檔名
郵件主旨 檔名
中華民國駐外公務人員任用新規(薪資分級表) 中華民國駐外公務人員任用新規(附薪資分級表).doc
代擬林委員千葉/川崎參訪的致辭稿及Q&A問題 1050629林委員致辭及QA.docx
菲「中」南海仲裁案裁決後之南海情勢 菲「中」南海仲裁案裁決後之南海情勢.docx
Re: IP BGP CHT IP BGP CHT.doc
煩請核對行政院全球資訊網個人簡介及照片 resume_personal_No93427834.pdf.scr
Fwd: 檢送中國大陸情資剖析三則:兩會期間政府工作報告-「十三五」規劃重點觀察;-戰略性新興產業;-綠色發展篇
160321_3月_中國大陸政策觀測平台重大議題剖析nrcs.docx
IMSVA Notificaton scan050316.doc
非常抱歉曾司長上一封郵件中的機密附件由於我個人原因發了一封未解密的,這次已修正
近期大陸向俄採購的軍火清單.exe
本處最新電話分機表 本處最新電話分機表.doc
15
4-3. APT郵件案例-郵件內容
郵件內容
文件開啟內容 為真實內文
檔案圖示
真實文件有被駭客竊取,進而被利
用制成APT郵件附檔,讓受害者不
覺有異樣
16
●攻擊趨勢
–勒索軟體威脅狀況
–殭屍電腦網路威脅狀況
–DDoS攻擊威脅狀況
–APT攻擊威脅狀況
●常見攻擊手法
–APT社交工程攻擊手法
–網站或系統攻擊手法
–DDoS攻擊手法
●結論與建議
17
資安威脅途徑
勒索軟體
殭屍電腦
DDoS攻擊
APT攻擊
威脅狀況
APT 社交工程
網站或系統遭駭客攻擊
DDoS
主要途徑
18
1-1. APT社交工程攻擊手法(1/2)
●比起傳統亂槍打鳥方式,針對性的魚叉式釣
魚郵件更需小心
–魚叉式釣魚郵件是一種高度針對性的攻擊,駭客
在製作這些魚叉式網路釣魚郵件時,是以特定的
收件人為目標,並且從社交網路和公共網站收集
收件人的相關資訊,訂做專屬的釣魚郵件
19
1-1. APT社交工程攻擊手法(2/2)
20
1-2. 105年惡意郵件檢測統計
● 105年上半年共檢測2,640,210封郵件
–1,706封為惡意信件,惡意比例為0.065%
js
57% exe
19%
doc
13%
scr
2%
xls
2%
docx
1%
rtf
1%
vbe
1%
jar
1%
other
3%
惡意檔案類型
檔案類型 數量
js 1,180
exe 386
doc 277
scr 51
xls 37
docx 29
rtf 24
vbe 17
jar 14
other 52
21
2-1. 網站或系統攻擊手法(1/4)
●駭客攻擊流程
蒐集
資訊
弱點
利用 取得
權限
提升
權限
刪除
軌跡
22
2-1. 網站或系統攻擊手法(2/4)
●蒐集資訊
–弱點掃描
–Google Hacking
有漏洞的伺服器版本
錯誤訊息
暫存檔
網站後台
–DNS查詢
DNS Zone Transfer
23
2-1. 網站或系統攻擊手法(3/4)
●Google Hacking
–使用Google搜尋引擎operators搜尋關鍵字
intitle:國家資通 inurl:nccst intext:漏洞公告 intitle
inurl
intext
24
2-1. 網站或系統攻擊手法(4/4)
●DNS查詢
–DNS Zone Transfer
25
2-2. 常見的弱點檢測工具
●系統弱點檢測工具
–Kali 、 Nmap、Metasploit、 Wireshark
●網站弱點檢測工具
–OWASP Mantra、Brupsuite、Sqlmap
●參考弱點網頁
–cve.mitre.org
–nvd.nist.gov
–www.nccst.nat.gov.tw
26
2-2. 104年實兵演練弱點分布
27
2-3. 敏感資訊暴露(1/4)
●弱點描述
–將含有機敏個人資料(身分證、電話等)的文件,放置於
公開的網路環境
●弱點影響
–取得網站或個人敏感訊息,作為後續攻擊可利用的資訊
28
2-3. 敏感資訊暴露-案例1(2/4)
29
2-3. 敏感資訊暴露-案例1(3/4)
30
2-3. 敏感資訊暴露-案例2(4/4)
31
2-4. 跨網站腳本攻擊(1/5)
●弱點描述
–使用者瀏覽器執行攻擊者所設計的惡意JavaScript或
HTML語法
●弱點影響
–利用留言板插入攻擊語法,造成網站被掛碼、置換網站
等
32
2-4. 跨網站腳本攻擊(2/5)
●檢測方式
–於GET或POST欄位輸入字串看能否出現在網頁上
–<script>alert("XSS")</script>
33
2-4. 跨網站腳本攻擊(3/5)
●防護措施
–設定白名單,如[A-z][0-9]
–設定黑名單,如 < 、> 、(、)、"、'或將特殊符號改用
HTML編碼(">" --> "<")等
–過濾HTML語法關鍵字,如script、alert、cookies等
34
2-4. 跨網站腳本攻擊-案例(4/5)
35
2-4. 跨網站腳本攻擊-案例(5/5)
36
2-5. 不當的安全組態設定(1/4)
●預設帳號密碼
–預設帳號密碼未修正
●錯誤訊息未關閉
–網站除錯功能未關閉
●目錄瀏覽功能未關閉
– Index of
●未限制文件格式上傳
– .php、.asp、.jsp
37
2-5. 不當的安全組態設定-案例1(2/4)
38
2-5. 不當的安全組態設定-案例2(3/4)
39
2-5. 不當的安全組態設定-案例2(4/4)
40
3-1. DDoS攻擊手法(1/4)
●消耗網路頻寬
–ICMP flood
透過發送Ping指令或ICMP廣播等大量的封包進而造
成系統或服務的癱瘓
–UDP flood
利用UDP協定不須經過三項交握的特性,進行大量
UDP封包發送
–Teardrop attacks
每個資料要傳送前,封包會進行切割並記錄位移資訊
以便重組。攻擊時捏造位移資訊,造成錯誤
41
3-1. DDoS攻擊手法(2/4)
●資源消耗型攻擊
–SYN flood
利用TCP三項交握的特性進行SYN封包傳送封包傳
送,但不帶ACK確認封包,使伺服器無止盡暫存SYN
封包,達到DoS目的
–Application-level floods
針對應用軟體層,以大量消耗系統資源為目的,提出
無節制的資源申請,阻斷正常的服務
–弱點攻擊型
針對弱點進行攻擊。特性是可以使用小量特製封包或
操作就可以癱瘓服務
42
3-1. DDoS攻擊手法(3/4)
●大量消耗網路頻寬示意
User
…….
43
3-1. DDoS攻擊手法(4/4)
●消耗系統資源示意
User
44
3-2. 常用的DoS工具
● LOIC
– TCP、UDP 及 HTTP協定發送大量封包
– https://sourceforge.net/projects/loic/
● OWASP Switchblade
– SSL renegotiation
–HTTP Post Attack
– Slowloris
– https://www.owasp.org/index.php/OWASP_HTTP_Post_Tool
45
●攻擊趨勢
–勒索軟體威脅狀況
–殭屍電腦網路威脅狀況
–DDoS攻擊威脅狀況
–APT攻擊威脅狀況
●常見攻擊手法
–APT社交工程攻擊手法
–網站或系統攻擊手法
–DDoS攻擊手法
●結論與建議
46
結論與建議
●技服中心所使用常見檢測方法與建議防護措施,
主要提供機關自行針對所屬資訊系統進行檢測,
實際駭客仍會利用各種變形語法進行入侵
●除防範遭受DDoS攻擊,也應避免遭利用參與
DDoS攻擊,機關應盤點所屬業務、資訊及測試
等各項系統,若該系統已停止使用,應辦理下線
程序,防止因疏於維運造成資安威脅
●機關同仁應提高郵件安全警覺,除了不點選與業
務無關的信件外,也應注意信件來源的正確性
報告完畢 敬請指教