APT攻擊-進階持續性滲透攻擊 (Advanced Persistent Threat, APT) 最為人所知的是會利用零時差攻擊。不過舊漏洞其實也經常被利用。事實上,根據2013年下半年所進行的分析結果顯示,這段時間內最常被攻擊的漏洞是CVE-2012 0158,這是微軟Office在2012年4月就已經被修補的漏洞,這顯示更新修補程式和安全更新在解決這些威脅所帶來的風險上是多麼的重要。
圖一、APT攻擊中最常被攻擊的漏洞
台灣、日本和美國最常被APT攻擊鎖定目標;攻擊產業前三名:政府、 IT產業、金融服務業
趨勢科技的研究結果(根據我們所分析過的案子)顯示,有八成的APT攻擊和政府機構有關。其次是IT產業(不管是硬體或軟體)以及金融服務業(銀行)。此外,我們還監控了存取針對性攻擊相關C&C伺服器的各個IP地址位置。我們的數據顯示出台灣、日本和美國是APT 攻擊鎖定三大區域。
圖二、台灣、日本和美國最被常APT 攻擊鎖定目標
所用的工具:近六成用在APT攻擊的惡意軟體是木馬程式或木馬間諜軟體
近六成用在APT攻擊的惡意軟體是木馬程式或木馬間諜軟體。這類型的惡意軟體會竊取使用者憑證來讓惡意份子能夠用來侵入受駭網路內的其他區域。其次是用來建立C&C連線,並進入針對性攻擊下一階段的後門程式(22%)。有意思的是,APT攻擊攻擊相關的惡意軟體有近10%只在64位元的系統上運行。
圖三、非64位元和64位元的惡意軟體分佈
魚叉式網路釣魚(Phishing)仍是APT攻擊最常見的切入點。這些電子郵件利用吸引人的郵件主旨來誘騙使用者開啟,而裡面的附加檔案往往帶來了惡意軟體,到行動設備也會被惡意份子利用來進入網路。請參考:
< APT 攻擊>看起來是 .PPT 附件,竟是 .SCR !!針對台灣政府單位的 RTLO技術目標攻擊(含社交工程信件樣本)
< APT 攻擊 > 利用微軟Word零時差漏洞,鎖定台灣政府機構發動攻擊(含社交工程信件樣本)
客製化防禦對抗針對性攻擊
雖然APT攻擊很難察覺,還是可以利用進階的威脅偵測技術來讓此任務變得容易些。它可以對攻擊加以偵測、分析和回應,這是傳統基於特徵碼和黑名單技術的防毒軟體所無法做到的。
APT攻擊通常會留下被入侵過的痕跡。因此,趨勢科技建議企業和大型機構可以建立自己的威脅情報能力,並將其和自己現有的安全解決方案協同運作。
@原文出處:Targeted Attack Trends: A Look At 2H 2013 作者:Bernadette Irinco(技術交流)