APT / APT攻擊 / APT 進階持續性威脅/ Advanced Persistent Threat - 資安趨勢部落格

【趨勢科技新聞快訊】微軟CVE-2014-4114 PPTX/PPSX 零時差攻擊已現身台灣

2014 年 10 月 22 日2014 年 10 月 22 日趨勢科技 TrendMicro

微軟才在上週二發布的例行性安全公告，其中新發現的零時差漏洞CVE-2014-4114，之前傳出有駭客透過此漏洞成功竊取北大西洋公約組織與歐盟等企業的重要資料。日前趨勢科技已在台灣接獲首例透過此漏洞的攻擊案例，呼籲企業及個人用戶小心防範。

目前已在台灣發現駭客透過此漏洞攻擊的蹤影

一封名為「檢送簡報資料」的郵件，其中包含了一個名為「雲端資安.ppsx」的附件檔(如下圖)。若不慎開啟，內嵌在文件裡的PE病毒將被自動執行。造成使用者電腦暴於資料被竊的風險中。

若有安裝趨勢科技產品，嘗試開啟時可偵測此病毒程式如下圖:

此漏洞的詳細內容如下：

此漏洞存在於Microsoft Windows系統與伺服器當中的OLE封裝管理程式。
OLE封裝程式 (packager) 可下載並執行 INF 檔案。目前在所觀察到的案例中，尤其是在處理 Microsoft PowerPoint 檔案時，封裝程式可讓封裝的 OLE 物件參照任意外部非信任來源的檔案，如：INF 檔案。
當攻擊得逞時，此漏洞可讓駭客從遠端執行任意程式碼。
趨勢科技產品已經可以偵測利用此漏洞的病毒程式，病毒名稱為”TROJ_MDLOAD.PGTY”。當開啟駭客製作的 Power Point檔案之後，會下載一個INF檔惡意程式(被偵測為”INF_BLACKEN.A”)，並嘗試下載與執行一支被偵測為”BKDR_BLACKEN.A”的後門程式，可讓駭客遠端遙控進行不當行為。

由於此一攻擊方式並不特別複雜，很有可能導致駭客們大量濫用，趨勢科技針對此波零時差攻擊提出建議：

趨勢科技用戶：

趨勢科技 APT 防護解決方案已可針對此漏洞進行防護，透過”惡意文件指紋偵測引擎”(ATSE靜態引擎)成功偵測並攔阻此社交工程之惡意文件。呼籲用戶請盡快更新最新防毒元件，以偵測此病毒程式。

趨勢科技用戶請更新最新防毒元件，以偵測此病毒程式。若有使用 TrendMicro Deep Security與 OfficeScan IDF plug-in的用戶們亦可套用下方DPI規則進行偵測。

1006290 – Microsoft Windows OLE Remote Code Execution Vulnerability (CVE-2014-4114)
1006291 Microsoft Windows OLE Remote Code Execution Vulnerability (CVE-2014-4114) – 1

一般用戶：

建議用戶盡快針對此一Windows作業系統的漏洞進行修補，在完成修補前，不要隨意開啟陌生人寄來的PowerPoint檔案，以降低被攻擊的風險。一般使用者並透過趨勢科技PC-cillin 2015雲端版協助偵測可疑的PowerPoint 檔案，以免落入駭客陷阱。
詳細的攻擊資訊及手法可參考:

Windows 零時差弱點 CVE-2014-4114,被用來從事網路間諜活動 ,別輕易開啟陌生人寄來的PowerPoint檔案

八種駭客用來竊取企業資料的後門程式技巧(內有白皮書)

2014 年 10 月 22 日2015 年 01 月 08 日趨勢科技 TrendMicro

八種駭客用來竊取企業資料的後門程式技巧

後門程式可讓駭客從任何網路遙控缺乏防護的電腦，包括公共網路、家用網路或辦公室網路。透過一些所謂的後門程式技巧 (也就是後門程式所做的工作)，駭客就能暗中下令電腦竊聽使用者線上聊天內容、連上受感染的網站、複製密碼等等。

當 IT 系統管理員在電腦系統上發現後門程式時，很可能歹徒早已暗中蒐集有關其網路的重要資訊。此外，也代表駭客早已準備進入鎖定目標攻擊流程的第三階段，也就是建立其幕後操縱 (C&C) 通訊。若照這樣繼續發展下去，駭客最後將偷到一些可讓他們販賣或用於其他惡意用途的資訊。

下載完整的研究報告：鎖定目標攻擊所使用的後門程式技巧 (Backdoor Use in Targeted Attacks)

延伸閱讀：幾可亂真的 UPS 快遞電子郵件暗藏後門

為此，趨勢科技研究人員特別觀察駭客使用後門程式來操控目標網路的方式，截至目前為止，我們發現駭客最常使用的後門程式技巧有八項：

將後門程式綁定某個通訊埠。

若網路上沒有架設防火牆，駭客就能輕易透過電腦的某個通訊埠來進行後門通訊，也就是連接埠綁定。一旦後門程式綁定某個連接埠，駭客就能自由地與該電腦通訊，進而輕易加以掌控。

透過後門程式穿越防火牆。

若網路上架設了防火牆，駭客可利用反向連線的技巧來通訊。駭客會修改後門程式來檢查可用及沒有保護的連接埠以進行通訊。如此，後門程式就能穿越防火牆和防護軟體的封鎖。一旦後門程式找到一個可用的連接埠，就能連回駭客的幕後操縱 (C&C) 伺服器。

後門程式檢查可用的連線以傳輸檔案。

通常，駭客還會利用後門程式來搜尋可用的連線，以躲避入侵防護系統 (IDS) 的偵測。駭客一旦找到可用連線，就能經由後門程式暫時連上系統並進行其他惡意活動，例如傳輸檔案。

後門程式透過社群網路連上幕後操縱伺服器。

繼續閱讀

台灣為全球最常遭受鎖定攻擊第一名,企業缺乏資安防護意識

2014 年 10 月 21 日2014 年 10 月 21 日趨勢科技 TrendMicro

趨勢科技企業 APT 整合式防護平台 Deep Discovery 全新推出系列產品「電子郵件防護」與「端點裝置防護」

【2014年10月20日台北訊】傳統安全防禦已被證實無法有效偵測、預防APT攻擊-進階持續性滲透攻擊 (Advanced Persistent Threat, APT) /目標攻擊。趨勢科技2014上半年資訊安全總評指出，台灣以超過六成的攻擊事件發生占比成為全球最常遭受鎖定攻擊之國家，大幅領先居次的日本(22%)及美國(5%)，企業資訊安全危機四伏；然而，趨勢科技最新調查顯示近六成台灣企業雖擔心遭受APT及鎖定目標攻擊，卻有六成五企業不夠了解此類攻擊造成的災害，七成三企業也表示未有相關資安防護佈署計畫，顯示台灣企業高度缺乏資安防護意識，面對猖獗的 APT攻擊 /目標攻擊仍然毫無抵抗能力！

全球雲端資安領導廠商趨勢科技打造 Deep Discovery 平台，整合閘道、網路、電子郵件、端點裝置等多元防護，能即時偵測、辨識不易發現的威脅並提出解決方案因應，榮獲 NSS Labs 整體入侵偵測率第一，有效對抗先進 APT 威脅及鎖定目標式攻擊。為強化企業電子郵件與端點裝置防護，全新推出 APT 防禦系列產品： 企業電子郵件防護 Deep Discovery Email Inspector以及企業端點裝置防護 Deep Discovery Endpoint Sensor，可偵測並攔截傳統防護無法發現的鎖定目標攻擊之電子郵件、追蹤記錄端點與伺服器活動，方便企業調查攻擊並搜尋入侵徵兆，讓資安防護增添多一層保障！

趨勢科技資深產品經理吳韶卿表示：「APT與鎖定目標式攻擊已證明可躲過傳統安全防禦，造成企業資料外洩、營收短少、商譽受損等嚴重傷害。企業急需改變原有的安全防護，採用特殊的威脅偵測技術及主動式即時威脅管理來因應。趨勢科技Deep Discovery平台可即時偵測及發掘潛藏威脅，提供企業分析情報來預防並因應攻擊。趨勢科技研究指出，九成APT攻擊始於內含惡意檔案或網址的網路釣魚郵件，因此除了在Deep Discovery平台提供整合式防護，也分別針對電子郵件及端點防護推出Deep Discovery Email Inspector及Deep Discovery Endpoint Sensor兩大解決方案，讓企業最關鍵的位置都能部署更進階的威脅防禦。」

APT 攻擊: 64位元版本的 MIRAS 被用在針對性攻擊

2014 年 10 月 06 日2014 年 09 月 30 日趨勢科技 TrendMicro

MIRAS 惡意軟體家族最近和歐洲 IT 公司的攻擊事件出現關聯性。分析顯示 MIRAS或 BKDR64_MIRAS.B（一個64位元的惡意軟體）被用在APT攻擊-進階持續性滲透攻擊 (Advanced Persistent Threat, APT) /目標攻擊的資料竊出階段。MIRAS可以在32位元（BKDR_MIRAS.B）和64位元（BKDR64_MIRAS.B）的Windows作業系統上運作。

分析BKDR64_MIRAS.B

簡單概述MIRAS，其後門功能主要包含檔案/系統方面的操作，這也代表攻擊者知道受害者的身份資訊。

除了後門程式的資訊竊取行為，它看來特別針對連接到遠端桌面工作階段主機（Remote Desktop Session Host）的系統。它使用遠端桌面服務API – WTSEnumerateProcesses而非一般的程序狀態API – EnumProcesses。攻擊者還可以列出正在執行的程序，我們可以從而推測出他們知道目標使用者如何登錄到工作站（即透過遠端桌面工作階段主機伺服器）。

圖1、BKDR64_MIRAS.B使用遠端桌面服務API – WTSEnumerateProcesses

惡意軟體的檔案和磁碟管理模組在獲取檔案相關資訊方面非常全面。透過指令Enumerate all logical drives（列出所有邏輯磁碟）和Get logical drive’s drive type and disk space（取得邏輯磁碟的磁碟類型和磁碟空間），攻擊者能夠知道受害者系統上什麼時候出現重大的改變。

攻擊者也能夠知道他們的目標檔案是否更新。MIRAS的程序管理模組在針對性攻擊的資料竊出階段扮演另一個重要角色。這模組給了攻擊者關於程序建立日期和時間的詳細資訊。這很重要，因為知道建立日期和時間就可以知道此程序已經建立了多久。舉例來說，程序在系統存在的時間長短可以了解此程序的關鍵程度。

後門功能還讓攻擊者可以知道其他程序正在使用的模組全貌。攻擊者也就能夠加以利用，比方說，DLL劫持攻擊或漏洞攻擊要看目標受害者系統上有哪些模組。

遠端Shell模組讓攻擊者可以做出遠端Shell所能做的一切事情，他們會具備當前登入使用者的權限。

我們可以確認惡意軟體的C&C伺服器 – 96[.]39[.]210[.]49位在美國。此C&C伺服器早在 2013年11月就開始使用。

看到更多攻擊針對64位元平台

攻擊者使用相容64位元系統的惡意軟體攻擊案例也回應著我們在2013年下半年針對性攻擊趨勢報告中的有將近10%針對性攻擊相關惡意軟體完全針對64位元平台。隨著64位元平台的普及率上升，我們會繼續研究攻擊者最近用幾個版本的KIVARS來實作64位元相容的惡意軟體。

防禦可能的針對性攻擊

因為這些攻擊通常會被設計成幾乎不留任何痕跡，所以IT管理員能夠知道哪裡可以找到淪陷的可能指標或「異常現象」就非常的重要。異常現象可能是未知的大檔案，通常是資料外洩的跡象而可能需要檢查是否包含從網路內偷來的資料。攻擊者通常會在資料竊出階段將這些檔案儲存在他們的目標系統內。MIRAS出現在系統內的另一個指標是出現了檔案 – %System%/wbem/raswmi.dll。

為了對抗像MIRAS威脅所帶來的風險，企業應該要部署趨勢科技的客製化防禦，這是一個可以讓IT管理員快速偵測、分析和回應攻擊與進階威脅的安全解決方案。在它們造成更多傷害前先加以處理。

有關各種針對性攻擊及企業最佳實作的詳細資訊，可以參考我們的針對性攻擊威脅情報資源。

＠原文出處：64-bit Version of MIRAS Used in Targeted Attack作者：Abraham Camba（趨勢科技威脅研究員）

2014 年截至目前為止趨勢科技已發現 14 個重大漏洞

2014 年 10 月 03 日2014 年 10 月 02 日趨勢科技 TrendMicro

鎖定APT攻擊/目標攻擊經常利用漏洞來暗中感染電腦系統，這類攻擊不一定會利用新發現或零時差的漏洞，例如 Internet Explorer 的 CVE-2013-2551 漏洞就是一個在 2014 年仍受到攻擊的漏洞。

儘管如此，零時差攻擊依然是一項嚴重威脅，因為它們會讓所有人都措手不及，包括資訊安全廠商在內。零時差漏洞正是利用這段防護空窗期，因此即使是勤勞的使用者和系統管理員也不免會暴露於威脅當中。

防護研究

趨勢科技的產品內含一些可解決這類問題的技術，包括瀏覽器漏洞防護、文件漏洞防護以及虛擬修補。這些技術都已整合到我們的消費端及企業級產品當中。

此外，我們也利用這些產品所回報的漏洞與漏洞攻擊訊息來建立一些經驗法則，進而防範已修補的漏洞和零時差漏洞。這樣的作法已展現優良成效。2010 年，一些利用 IE 漏洞來攻擊 Google (CVE-2010-0249) 的惡意程式樣本早在漏洞被揭露之前數星期前就被我們預先攔截。其他類似的案例還有利用 CVE-2013-5990、CVE-2013-3346、CVE-2014-0496 以及 CVE-2014-1761 等漏洞的攻擊。

發掘漏洞

趨勢科技投入了大量的人力和資源來發掘漏洞以及相關的零時差攻擊，這方面也獲得了不少成果。2014 年我們在各種應用程式當中總共發現了 14 個可能讓駭客從遠端執行程式碼的漏洞。其中十個是 Internet Explorer 漏洞，兩個是 Adobe Flash Player 漏洞，另外 Adobe Reader/Acrobat 和 Java 也各有一個。