APT / APT攻擊 / APT 進階持續性威脅/ Advanced Persistent Threat - 資安趨勢部落格

是什麼讓貴公司成為 APT 目標攻擊覬覦的對象？

2014 年 03 月 12 日2016 年 01 月 25 日趨勢科技 TrendMicro

在2014年，嚴重的資料外洩事件成為新聞版面的常態。不幸的是，這跟趨勢科技在2013年第四季所做出的主要威脅預測是一致的。政府、零售業、金融業、醫療保健甚至是醫療器材廠商都一直在APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)目標攻擊的標靶上。

企業被網路犯罪份子和其同夥所入侵的次數，跟這些駭客被繩之以法的機率比起來是完全不成比例的。這到底是為什麼呢？這世界對於網路犯罪分子和國家來說的確是平的。

如同我們頂尖的威脅研究員最愛說的一句話，「封包不用護照」。這讓防禦和最終將網路犯罪份子繩之於法都變得更加困難。在網路上找線索就像是終極版的CSI犯罪現場。

身為IT和安全專家，趨勢科技竭盡所能地對抗些企圖打爆基礎設施的惡意軟體，和精心設計來竊取敏感資料的攻擊行為，盡力地想打場好仗。不過到最後，真正重要的還是資料，並且確保我們有依照業務需求將資料作適當的分類。

接著，我們必須在強制性法規，像支付卡產業（PCI）之外部署具成本效益的基礎設施和安全協定，以合乎我們對自己所要求的資料安全標準。如果沒有適當的資料分類，組織要麼必須將一切都當成最高機密來防護，而這並不切實際。不然就是得對一切都做一般性的防護，這當然也並不可取，因為會讓你的組織增加危險。

不幸的是，許多組織都選擇後者。在趨勢科技最新的威脅綜合報告裡，我們分析網路犯罪份子是如何利用數位資料賺錢，還有他們利用什麼方式來攻陷他們的目標。最終，關鍵是替你的組織設計出有意義的風險模型。當討論到風險管理時，我常常會用「風險平衡」這名詞。因為說到資料安全，我們就必須在如何平衡投資和資料資產受損風險間作出決定。繼續閱讀

< 執行長的雲端隨筆 > 綜觀全局退一步見全貌

2014 年 03 月 08 日2014 年 04 月 08 日趨勢科技 TrendMicro

【作者:趨勢科技執行長 陳怡樺】 

自上次提筆撰寫專欄，一晃眼竟已相隔數十載的時光，身分也從「體育專欄作家」變成趨勢科技執行長，心境與生活體驗上可說是大不相同。然而，能透過筆下文字和大家分享個人見聞與想法，一樣令人興奮與期待！這一系列專文，除了我周遊各國的經驗、個人最感興趣的網路安全議題外，也將與大家分享個人興趣在經營管理上的啟發。 

我有許多嗜好，其中以繪畫為最，這個機緣該從10年前，移居美國加州帕薩迪納的那時說起。帕薩迪納是著名的藝術和設計學校的城市，與藝術相關的工作室也不在少數。

在一個陽光明媚的午後，我漫無目的散步著，忽然，一個別致的藝術工作室映入眼簾，我就這樣被裡面的一幅畫作，以及環繞著莫札特音樂的藝術氛圍深深吸引，立刻加入了繪畫班。當時，正好是公司產品開發與矽谷繁忙生活中的一個稍長的假期，好不容易偷得一些清閒時日，得此機緣與繪畫結下不解之緣。

拉高視野 繪畫帶來啟發
一周兩次在藝術工作室的課程，沒有繪畫天賦的我從基本功開始苦學，從圓形、橢圓的描繪到蘋果、杯子的素描，算是相當認真！習畫期間，經常被老師指出的問題點，也帶給我人生中重要的啟發，那就是「綜觀全局」。

學畫初期可能因為太專注於作畫了，所有的心思都放在特定的細部上，而忘記應該要以整幅畫為考量。
 繼續閱讀

趨勢科技拍電影 ?! 趨勢科技與國際同步發表《2020》白皮書,並推出系列自製影片預測未來網路危機

2014 年 02 月 07 日2014 年 09 月 25 日趨勢科技 TrendMicro

你能想像再過十年，我們所處的社會會變成什麼樣子嗎？我們將如何購物、社交和使用服務？企業會如何認證客戶，管理我們的服務，對抗越來越多成熟且堅定的攻擊來保護關鍵資料？當然，趨勢科技並沒有所有的答案，但我們已經往正確的方向邁出一大步，透過我們的2020網路系列。

趨勢科技與兩大國際資安組織「歐洲刑警組織」(Europol) 及「國際網路安全防護聯盟」(簡稱ICSPA)共同合作的重量級資安關鍵報告：《2020》白皮書，及斥資獨立製作《2020》網路危機系列影片，影片中呈現未來科技發展將如何影響全民的生活，更由於網路新應用蓬勃發展而引發跨越實體與虛擬界線的資訊安全防禦戰，身為世界網路公民的一員，《2020》網路危機系列影片將是不可不看的首部年度最佳資安鉅作。

趨勢科技《2020》網路危機系列影片獲得 USA Today(上圖) , PCMag(下圖) 專文報導

趨勢科技台灣及香港區總經理洪偉淦表示：「趨勢科技與 Europol 及ICSPA合作，共同製作了《2020》白皮書，透過預測未來網路犯罪形態，讓政府、企業及一般人民都能針對未來10年即將面臨的挑戰及機會預做準備。當中趨勢科技所扮演的角色，就是我們累積25年來、對全球網路威脅的各種觀察與分析經驗，所聚焦出來的未來資安預測。」

放眼未來，趨勢科技更改編《2020》白皮書，斥資獨立製作系列影片，透過未來網路生活型態的精采故事，以深入淺出的電影情節，清楚呈現出在未來的真實世界中，網路科技發展將如何影響人們的生活；並且因為網路犯罪的數位虛擬化，不僅對一般網際網路使用者，對於企業及政府皆會造成不可輕忽的衝擊與挑戰。

繼續閱讀

針對日本和中國,可客製化攻擊的 EvilGrab 產生器

2013 年 12 月 16 日2013 年 12 月 12 日趨勢科技 TrendMicro

趨勢科技最近發表對一起新攻擊活動的調查結果，這起攻擊活動稱為EvilGrab，一般針對日本和中國的受害者。這起攻擊活動仍在攻擊使用者，我們現在已經取得用來製造此次攻擊活動所用惡意程式的產生器。

在現在現實世界的EvilGrab產生器

帶我們找到EvilGrab產生器的是個偽裝成Word文件檔的惡意檔案 – 最新版本的请愿书-让我们一同为书记呐喊（请修改指正).doc.exe。檔名是用簡體中文（它的MD5值是b48c06ff59987c8a6c7bda3e1150bea1，趨勢科技將其偵測為BKDR_EVILOGE.SM）。它會連到命令和控制伺服器（203.186.75.184和182.54.177.4），分別位在香港和日本。它還會將自己複製到啟動資料夾，並且對Windows註冊表做編輯。這些都是這類型惡意軟體的典型舉動。

然而，有些被加入的註冊碼有著特殊意義：

HKEY_LOCAL_MACHINE\SOFTWARE\{AV vendor}\settings

HKEY_LOCAL_MACHINE\SOFTWARE\{AV vendor}\environment

這些註冊碼似乎試圖將自己注入到防毒產品的程序內。和我們之前所討論的EvilGrab樣本類似，這惡意軟件會對騰訊QQ（一個流行的中國即時通系統）進行相同檢查。

雖然惡意軟體本身並沒有特別不尋常的地方，但是分析它讓我們找到用來產生這些惡意軟體的產生器。這個產生器被確認確實存在，而且命名為Property4.exe。

我們可以看到攻擊者可以輸入好幾個欄位。其中包括了：

指定命令和控制（C&C）伺服器（IP地址或網域名稱），端口和連接時間間隔。
選擇檔案圖示（安裝檔案圖示，檔案夾圖示和文件圖示）
刪除自己
鍵盤記錄
按鍵記錄

另外，在這產生器的第二選項頁內，攻擊者可以選擇試圖繞過的防毒產品：

圖二、繞過防毒軟體

測試EvilGrab產生器

這時候，我們決定要測試這產生器的功能，並且將其所生成的檔案和之前所看到的EvilGrab版本加以比較。

首先，我們打開產生器，輸入一些基本設定來產生測試版的EvilGrab。

圖三、EvilGrab產生器

我們的輸出選擇使用微軟Word檔案圖示，檔名為New.doc.exe，如下圖所示。請注意，這微軟Word檔案圖示描繪得很精確。

圖四、EvilGrab測試樣本

除了製造惡意檔案外，還會產生一個包含連線詳細資料的設定檔。

圖五、EvilGrab設定檔繼續閱讀

APT目標攻擊使用JPEG檔案

2013 年 12 月 13 日2013 年 12 月 13 日趨勢科技 TrendMicro

趨勢科技最近看到一些來自SOGOMOT和MIRYAGO家族的惡意軟體會用不尋常的方式來更新自己：它們會下載包含加密過設定檔案/二進位程式的JPEG檔案。不僅如此，我們認為這手法至少從2010年中就開始了。我們所看到的這惡意軟體最值得注意的地方是它會隱藏自己的設定檔。這些JPEG檔案放在亞太地區的網站上，並且被用在針對這地區的APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)目標攻擊上。