矛頭瞄準重要數據、APT 攻擊更隱蔽更具破壞力

APT 一直是最有效、最精確的網絡攻擊模式，亦因為這些好處，令 APT 成為最常用來攻擊企業的一種模式。而剛剛安全廠商趨勢科技便公佈一系列針對 2012 年 APT 攻擊事故所進行的分析結果。結果發現 APT 攻擊於去年不斷擴大、隱蔽性亦有所增強。而預計 2013 年，此趨勢將進一步反映在 APT 的攻擊特徵上，包括破壞力越來越大，而要識別攻擊亦將越來越困難。

APT 之所以難以對付，主因是 APT 的攻擊流程上往往能對自己作最佳的隱藏性，而且一旦攻擊開始後將能針對特定對象作長期有組織及有計劃地竊取數據，此類發生在網絡上的資料盜竊及收集情報的行為類似於『網絡間諜』。正由於 APT 的隱蔽性，掌握當中的攻擊規律變得十分重要。根據趨勢科技的觀察，去年的 APT 攻擊非常活躍，而且經常出現黑客利用複雜準確的方式對特定對象發動進階持續性攻擊的事件。在這些事件中， APT 攻擊主要呈現出以下五種特徵：

1. APT 攻擊目標與範圍不斷擴展

2012 年世界各地出現了各式各樣的攻擊，其中針對俄羅斯、韓國、越南、印度和日本等地區的攻擊相當活躍，特別是黑客在中東地區開展的 Shamoon 與 Mahdi 攻擊活動，造成巨大影響。除了地域不斷擴張，我們同時看到了針對技術的擴展。為了更有效破壞目標，APT 攻擊在工具上不斷改良，而且在攻擊範圍也不斷擴展。在 2012 年，安全專家已經監測到多個木馬以 Mac 平台為攻擊目標，而且將智能卡作為攻擊目標的行為也日益增多。

2. APT 攻擊隱蔽性日漸提升

為了躲避保安軟件的封殺，APT 攻擊往往會加強自身的隱蔽性。例如在 2012 年，微軟發現一個舊惡意程式組件會在 NDIS（網絡驅動程序界面規範）層內建立一個隱蔽的後門，讓監測變得更加困難。除了隱身在網絡層中，APT 攻擊程序利用增加數碼簽名、使用劫持 DLL 搜尋路徑等技術，大大增加監測的難度。惡意程式不僅包括 APT 攻擊，亦包含配套的攻擊方式與部署模式。為了確保程式隱藏在用戶系統中，惡意程式會常常存取與使用正常應用程式（例如 VPN），來確保自己不被發現。

3. 新社交工程陷阱出現

網絡釣魚郵件仍然是 APT 攻擊用來散播惡意程式的主要機制，但不再是唯一的攻擊路徑。在 2012 年，一個值得關注的新社交工程陷阱利用保安廠商對惡意程式的分析作為誘餌，以此來傳播惡意程式。除此之外，在 2012 年發現的一種新入侵模式中，攻擊者利用了 Java 和 Flash 的漏洞攻擊碼。而 RSA 此前的保安報告中所提到的 VOHO 攻擊活動，亦使用了相同的技術。

4. 「超限」武器交易走向大眾

「超限」武器交易是指販賣漏洞攻擊碼與搭配的惡意程式，這本來是個隱秘的話題，卻在 2012 年成為公開的祕密。美國公民自由聯盟的 Christopher Soghoian 在 VB2012 大會上以此為題進行了演講，他提到「超限」武器交易出現大眾化的趨勢，不但涉及買賣漏洞與攻擊碼，同時涉及惡意程式的交易。

5. 以破壞資料為目的攻擊增多

雖然 APT 攻擊的目的通常是為了竊取資料，但有時也會被用作從事破壞性行為。在 2012 年中，有多起 APT 攻擊侵入目標系統，並銷毀部分資料。而這類型的目標攻擊在今後將可能持續增多。

具體來說，安全專家預測 2013 年 APT 攻擊可能表現出以下三個趨勢：

1. 攻擊將會更具針對性：越來越多 APT 攻擊將會針對特定地區及特定用戶群體進行攻擊。在此類攻擊中，除非目標在語言設定、網段等條件上符合一定的標準，否則惡意程式不會運行。因此，在 2013 年我們將會發現越來越多本地化的攻擊。

2. APT 攻擊將更具破壞性：在 2013 年，APT 攻擊將帶有更多破壞性，無論它的主要目的是破壞，或作為清理攻擊痕跡的手段，都很有可能成為時間性攻擊的一部分，被運用在明確的目標上。

3. 越來越難識別攻擊：在 APT 攻擊防範中，我們通常用簡單的技術指標來判斷攻擊的動機和地理位置。但到了 2013 年，我們將需要綜合社會、政治、經濟、技術等多重指標進行判斷，以充分評估與分析目標攻擊。但多重指標很容易導致判斷失誤，而且，攻擊者還可能利用偽造技術指標來將懷疑對象轉嫁，大大提升判斷的難度。