知己知彼:最新網絡威脅如何影響企業
上文提到,不同年代針對企業的各種攻擊模式,相信大家都已經閱讀過有關文章,接下來我們將會與大家分享最新的攻擊趨勢以及這些攻擊趨勢下所帶來的種種影響。
Malware 上升 144%
惡意軟件(Malware)是指那些能通過活用系統漏洞的工具,通過這類形工具令用戶的防禦系統失去了應有之效;而上述提及的漏洞很多時都是一些未被發現的新式漏洞,這些漏洞由於欠缺官方的修正檔,因此亦被稱之為零日漏洞;根據 Check Point Security Rrpoert 2014 的調查結構顯示。這些惡意軟件於 2012 年至 2013 年期間便上升了足足 144%;在 2012 年,全年有關 Malware 的報告次數為 3400 萬次,而 2013 年則有多於 8300 萬次,情況明顯愈來愈嚴重。
每小時 2.2 個不知名惡意軟件攻擊企業
既然有著這麼多的惡意軟件,那針對企業的攻擊情況應該十分頻繁吧!沒錯。根據報告之中顯示,現時平均每小時便有至少 2.2 個惡意軟件針對企業發動攻擊,由此可見假如企業沒有合適的防禦方案的話,企業的網絡將面對著不可估計的危險性。
實際例子:惡意軟件如何入侵用戶系統?
以下列舉一個實際例子。早前有研究人員便收到了一封來自 [email protected] 的電郵,電郵的主題為 Reception Invitation。當收件者開啟了有關電郵後,惡意軟件便開始對系統做成影響了。在 Sandbox 的環境下,郵件之中附帶的惡意軟件已即時被偵測到,是一個已知的漏洞(CVE-2012-0158)。
而漏洞的主要目的在於將一個虛假的防毒軟件程式(kav.exe)自動安裝到目標電腦之中,並將之存放在 Settings\Temp。由於檔案的名稱與 Kaspersky 防毒軟件一樣,明顯的感覺到黑客希望將惡意軟件的注意力降低;而此檔案之中附帶的威脅其實早前已曾經被研究人員偵測到,該漏洞的始作俑者應來自中國 APT 組織。
假如用戶的系統已被自動的植入了有關程式,而且更不幸地執行了有關程式的話,會是怎麼樣呢?首先 kav.exe 會先即時自我更改名稱,然後再於系統之中自行安裝,接著便會附著 Windows 系統的 explorer.exe,並且針對此程序載入有害的檔案。有關漏洞在發現之初,並未有防毒軟件能針對有關漏洞提供相對應的防禦措施,可見要為企業的網絡安全把關,單靠防毒軟件並非萬全之策。
如何避開防毒軟件?
上述的惡意軟件入侵方式在剛剛被發現時,仍未有防毒軟件能針對該漏洞提供相對應的防禦方案,主要原因是惡意軟件本身會通過入侵 mswins64.dll,加上配合 Windows 本身提供的各種程序 function(如:calls 或 mutual exclusion checking 等),從而直接的載入或同時執行多重安裝工作,這種設計本身能避開部份防毒軟件的偵測,最終將更容易命中目標。
惡意軟件運作原理
當成功安裝後,惡意軟件的下一步工作就是加減系統之中的 registry(組態編碼)。而此惡意軟件主要會在系統的 Registry 之中加入一行全新的內容,而加入的方式將採取 registry path 而非傳統惡意軟件所使用的方法,由於通過 registry path 方式加入新的內容,因而令普遍的防毒軟件較難偵測,令成功入侵的機會大大增加。
一旦惡意軟件 100% 完成部署,此時惡意軟件便已有能力偷取用戶資料。首先當 100% 完成部署時,黑客會通過已完成部署的惡意軟件執行指定的程序,一般情況下這些程序大多數涉及收集用戶的個人資料、所傳送的數據、管理員帳戶的權限、網絡設定等,同時更會藉由已中招的電腦之中,尋找存在於相同 subnet 的電腦,並通過內聯網之間電腦的彼此信任,藉以進一步感染企業內的其他電腦。
可以得知,這種傳染性十分恐怖,因為當黑客取得首部以及第二、三部電腦的管理員權限的話,便可進一步尋找整個企業網絡的 network map,假如黑客對企業網絡的 network map 有充分的了解後,企業便幾乎已受到黑客嚴密監視及控制,繼而日後再進行 APT 等攻擊時便會變得非常簡單。
如何應對?
雖然只有少於 10% 的防毒軟件能偵測到未知的威脅,不過儘管如此,這些防毒軟件仍然對病毒有著很高的偵測及防禦能力,因此防毒軟件對於 Client Side 的電腦來說,絕對是不能或缺;至於 Server Side,現時坊間亦有很多能針對 APT、DDoS 等攻擊進行防禦工作的新一代防火牆方案,企業只需通過有關方案便可很大程度地降低企業網絡安全風險。接下來我們將會為大家介紹一套能有效針對零日攻擊進行防禦的方案,請大家多多留意接下來的介紹了。
第一篇:網絡危機威脅全球企業:複雜 IT 環境令管理更麻煩
第二篇:從 1997 到 2014:探究網絡攻擊的發展史
第三篇:知己知彼:最新網絡威脅如何影響企業
第四篇:企業應如何應對零日攻擊及複雜威脅?
