作/艾里卡
今日有許多事都是透過Web且在多種裝置上進行,這可是網路罪犯的大好機會。如今企業員工比以往更常分享資訊,並且更常與外部網路連結,這也使他們更容易陷入隨機攻擊的風險當中。
每天,網路罪犯都會設計新的惡意程式和社交工程攻擊,來瞄準企業組織裡最弱的環節「終端使用者及其連網裝置」。筆者將介紹目前最常見的攻擊手法與社交工程技倆,以及它們在染指終端使用者裝置前,如何對公司資料加以防禦。
掛馬下載攻擊
掛馬下載是一種高明的網路攻擊,是罪犯滲透線上使用者的關鍵。這種手法非常危險,因為它並不需要使用者下載惡意內容到終端裝置。更可怕的是,它們通常是在合法網站裡進行攻擊。
掛馬下載一般是駭客利用網頁弱點,像是SQL隱碼攻擊,讓攻擊者變更網頁內容,應用安全測試公司Veracode技術長Chris Wysopal說。惡意程式一旦植入網站,就可利用瀏覽器弱點自動下載,從完整的病毒到更難偵測的木馬程式下載器(downloader)應用都沒問題,後者會誘騙使用者按個按鍵或點一下滑鼠,把惡意程式下載到裝置上。
「你在哪都可能碰上它們,使用者也可能遭受社交工程攻擊而誤入圈套,」行動與雲端安全公司Neohapsis安全顧問Patrick Thomas說。掛馬攻擊在商業化的攻擊套件中已經很普遍,即使沒有技術背景的罪犯也能發動攻擊。這些套件包含可自動回報瀏覽器版本的程式碼,並且選擇最有機會的攻擊方式。
掛馬攻擊通常利用瀏覽器業者「已發現並待修補」的弱點,因此必須儘快修補才能遏止。但是修補程式產製通常需要2到3個月,完全不足以趕上最新威脅的速度。此外,IT必須「把瀏覽器包含在修補報告中,並確保其它瀏覽器也都有含括在公司修補程式管理的範疇之中,」Thomas說。
點擊綁架
如果攻擊者需要使用者更多的互動才能讓他們下載惡意程式,這時就需要名為「點擊綁架」的攻擊手法。
「這類攻擊的目的是要使用者在看不見的陷阱中打開目標網站,並要他們在不知道自己正在點擊時,點選網站的某個地方,」應用安全顧問暨安全顧問公司Defensium訓練講師Ari Elias-Bachrach說,「藉此你就可以誘騙使用者點擊滑鼠,在網站上從事某些惡意勾當。」
一個常見的例子是提供看似合法外掛更新或防毒提示(例如Microsoft Security Essentials)的惡意對話窗跳出,騙使用者說電腦有一些病毒,按下按鍵可加以清除。「這些跳出視窗本身是無害的,但一旦點擊就開了大門讓惡意程式得以長趨直入,」企業行動方案業者DMI資安長Rick Doten說。
IT人員應該教育使用者,公司防毒作業會怎麼幫助他們免於落入攻擊陰謀。他們也應該要知道另一種點擊綁架手法,叫做「按讚綁架」(likejacking),它們騙使用者點擊網頁上某個可預測、但看不見連結的地方。
它的命名來由是因為它很像Facebook的按「讚」,使用者不但會上?,還會在他們的Facebook塗鴉牆上散佈攻擊網頁。按讚綁架另一種形式是攻擊者張貼假的影片,誘騙使用者點入播放的按鍵。
「更進階的按讚綁架手法甚至利用JavaScript寫出動態連結,會追蹤使用者滑鼠行為,以確定任何點擊都能命中它預設的目標,不論目標位置何在,」雲端安全廠商Zscaler安全研究部門副總裁Michael Sutton說。
外掛與Script攻擊
攻擊者不只尋找瀏覽器內的弱點,也常搜尋瀏覽器外掛與Script的瑕疵,以便進行掛馬攻擊及點擊綁架攻擊。由於這些攻擊需要有已知弱點,「確保使用者瀏覽器及瀏覽器外掛都能自動更新到最新版很重要,」弱點管理方案公司Qualys技術長Kandek指出。
有些時候,關閉瀏覽器及其它高風險程式,像是Adobe Reader內的Script功能是必要的。同樣的,移除有問題的外掛程式也有助於降低高風險用戶的攻擊面。但還是必須要能控管,並訓練使用者不要讓防禦破功。「一旦網站無法正確載入,使用者經常會允許網頁執行所有Script,」DMI的Doten說。
企業尤其要當心Java。它是最常被入侵的語言,而Java也是攻擊者用以發動網頁攻擊以入侵企業網路最愛用的工具。網路安全顧問公司Solera威脅研究部門總監Andrew Brandt表示,除非企業應用必須使用Java,否則IT人員應完全移除該外掛。
許多攻擊都是利用Java散佈跳出式訊息,要求允許執行惡意Java檔案,但使用者往往很難辨別是哪個瀏覽器跳出對話框。
「只要不小心按下『允許』執行,就會啟動整個攻擊過程。一旦惡意Java applet開始執行,只要幾秒,惡意程式的內容(一個Windows應用),就會抵達、執行,然後展開所有齷齪行徑。」
在最新的Java攻擊中,使用者應該會在工具列看見一個小的視窗,稱為JNLP,這就表示電腦已被入侵,因此可以教育使用者留心是否有此情況發生。
讀者迴響