APT / APT攻擊 / APT 進階持續性威脅/ Advanced Persistent Threat - 資安趨勢部落格

防禦APT 攻擊不只需要防火牆,IPS和防毒軟體

2013 年 05 月 06 日2013 年 04 月 29 日 Trend Labs 趨勢科技全球技術支援與研發中心

攻擊者利用合法使用者的身分認證和信任關係，持續待在你最敏感網路內很長一段時間，可以自由自在地去通過鬆散的安全技術。防火牆告訴我一切正常，IPS告訴我一切正常，防毒軟體告訴我一切乾淨；所以一切就都正常，對吧？錯了，這種短視的安全作法就是讓APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)/目標攻擊在世界各地如此成功的原因之一。

作者：趨勢科技資深安全分析師Rik Ferguson

曾經，安全技術所必須避免的重點就是產生一連串的事件通知。將系統調整到只會去通報已經確定的惡意攻擊事件是首要任務。你的防火牆必須非常肯定這些流入封包不屬於已建立的網路連線，或是入侵防禦系統（IPS）需要能夠明確指出這些封包是在嘗試做漏洞攻擊才能提出警報。

在廿世紀，甚至是廿一世紀初，我們習慣防禦就是將一切弄得清清楚楚；防火牆告訴我一切正常，IPS告訴我一切正常，防毒軟體告訴我一切乾淨；所以一切就都正常，對吧？錯了，這種短視的安全作法就是讓針對性攻擊在世界各地如此成功的原因之一。

在現實裡，那句見樹不見林的古諺說得再生動不過了。我們太過於注重「已知的惡意」，因為想要更加精簡和集中分析而對「正常」的處理，讓我們忽略脈絡而陷於危險中。

想像一下，在你伺服器機房外的走廊上一個安全監視器照到一個人，讓我們叫他戴夫。利用步態辨識和臉部識別都可以確認戴夫的身分，系統甚至可以指出他穿著清潔工的制服，這很不錯，因為戴夫是名清潔工。戴夫接近伺服器機房大門，使用他的NFC卡去開門，因為安全監視器和門禁系統已經進行連線，所以可以打開。在伺服器機房內的第二個監視器也確認的確是戴夫走進門來，一切都很好。

根據短視模型，這些事件都將被棄用，放進即將被清除的日誌資料夾內，因為「這裡沒什麼可看的」，但是這些事件所呈現出的脈絡對我們想監視的事情非常珍貴……

分隔線

如果戴夫在伺服器機房內不是在做清潔地板這類已知良好的行為，而是坐在一台伺服器前開始敲鍵盤呢。這顯然不是件好事，應該在某處敲響警鐘。但如果我們去掉我們聰明的大腦所記得和關連出的所有脈絡，那還剩下什麼？一個人在伺服器機房使用電腦？警備隊退下，這事件當然也屬於「這裡沒什麼可看的」資料夾。繼續閱讀

< APT 攻擊> 駭客跟你一樣關心「二代健保補充保險費扣繳辦法說明」–假冒健保局名義信件夾毒發送中!!(含信件樣本)

2013 年 05 月 02 日2015 年 06 月 08 日趨勢科技 TrendMicro

<更新>根據報導41 歲高中學歷嫌犯因為不爽被罰錢冒健保局散播電腦病毒,該嫌透過網路自學成為駭客，因不滿被健保局罰錢，冒用健保局名義，寄發內含竊取個資木馬的惡意郵件，至少已經竊取一萬多筆個資。該報導中還指出警另查出，潘嫌替友人組裝電腦，還暗中安裝木馬程式，用來監視友人上網情況

有心人士發動社交工程攻擊,冒用健保局散佈木馬與後門程式 ,意圖竊取個資

有心人士冒用健保局北區業務組名義，散發內含名為「二代健保補充保險費扣繳辦法說明」RAR壓縮檔的郵件。郵件主旨則為收件民眾姓名、公司電話，以及公司名稱。

有心人士發動社交工程攻擊　假冒健保局散佈木馬與後門程式意圖竊取個資

圖說：趨勢科技獨家取得有心人士冒用健保局名義發出的原始信件，

內容詳細提供各項連絡電話與方式，以取信收件者。

繼續閱讀

91％的APT 目標攻擊用魚叉式網路釣魚攻擊手法

2013 年 04 月 23 日2013 年 04 月 16 日 Trend Labs 趨勢科技全球技術支援與研發中心

一封假冒銀行交易的網路釣魚信件,導致南韓爆發史上最大駭客攻擊,這就是APT 目標攻擊最愛採用魚叉式網路釣魚攻擊手法。魚叉式網路釣魚針對的是公司內部的個人或團體。電子郵件會包含目標對象的相關資訊，想辦法盡可能看起來真實。在大多數情況下，這些郵件不包含惡意軟體。因此它們通常可以通過大多數垃圾郵件和網路釣魚過濾軟體。

作者：Vic Hargrave

網路釣魚在網際網路的威脅環境裡是種始終存在的危險。在我的部落格文章 – 對抗釣魚郵件中，我提到了你可以如何做來對抗傳統的網路釣魚（Phishing）。傳統指的是，這些郵件利用社交工程技術來讓你點入郵件裡通往惡意網站的連結，你可能會被要求輸入有價值的個人資料 – 信用卡號碼、帳號登錄資料等等。

正如我之前所指出的，這些攻擊很容易偵測。大多數瀏覽器和電子郵件客戶端都提供某種程度的保護。當然，像PC-cillin 2013雲端版這樣的安全解決方案也在封鎖已知惡意網站，打擊網路釣魚（Phishing）方面做了很好的工作。

但在過去一年裡，趨勢科技威脅研究人員觀察到，魚叉式網路釣魚（Phishing）的趨勢正在上升。根據趨勢科技安全報告 – 「魚叉式網路釣魚郵件：APT攻擊最愛用的誘餌」，它在二〇一二年二月到九月間所收集的資料顯示，有91％的目標攻擊用到魚叉式網路釣魚攻擊手法，誘騙受害者打開惡意檔案或網站。

魚叉式網路釣魚看起來像什麼

和傳統撒下大網，希望達到受害者數量最大化的網路釣魚（Phishing）不同，魚叉式網路釣魚針對的是公司內部的個人或團體。電子郵件會包含目標對象的相關資訊，想辦法盡可能看起來真實。在大多數情況下，這些郵件不包含惡意軟體或我之前提過的網路釣魚郵件品質。因此它們通常可以通過大多數垃圾郵件和網路釣魚過濾軟體。

如果你在安全或業務相關部落格上讀過魚叉式網路釣魚（Phishing），可能會讓你認為這種攻擊只限於公司內部的人。但趨趨勢科技的垃圾郵件(SPAM)威脅研究員 – Jon Oliver跟我分享了一些魚叉式網路釣魚（Phishing）的有趣案例，將會讓你有新的想法。第一個是來自Verizon的通知郵件，第二個似乎是來自美國國稅局的通知。

這些郵件看起來很像真的，不是嗎？國稅局那封簡直讓人嚇壞了。很多人會被騙去點入這些偽造郵件內的連結，但這樣做的後果比以前更可怕。隨著越來越多惡意攻擊套件在網路犯罪地下世界內流通和使用（像是黑洞漏洞攻擊包），只需要一指點入魚叉式網路釣魚郵件內的一個連結，你的瀏覽器就會載入惡意軟體，進而危害到你的電腦。

繼續閱讀

企業APT 攻擊事件頻傳趨勢科技客製化防禦策略奏效

2013 年 04 月 22 日2013 年 04 月 19 日 Trend Labs 趨勢科技全球技術支援與研發中心

趨勢科技首創APT事件處理小組 透過專業顧問剖析內幕 強化企業黑魔法防禦力

【台北訊】繼美國紐約時報 (New York Times)、華爾街日報 (Wall Street Journal) 與美國聯邦準備銀行 (US Federal Reserve)遭到大規模網絡攻擊之後，Facebook、Apple、Twitter也接連遭駭，南韓多家銀行及媒體遭駭客入侵導致網路癱瘓的事件更引起全球注目，多起攻擊案例顯示在不斷演變的資安威脅環境下，傳統企業防禦措施已不足以抵擋 APT 與針對式攻擊。

趨勢科技宣布新年度的《客製化防禦策略》 (Custom Defense Strategy，CDS)將提供創新的技術，專門偵測並攔截APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)與鎖定目標攻擊的幕後操縱通訊 (C&C)。趨勢科技《客製化防禦策略》(CDS)是業界第一套能夠防範進階威脅的解決方案，不僅讓企業偵測及分析針對性目標攻擊，還能迅速調整其安全防護來回應駭客的攻擊。

根據最近一份針對ISACA會員的調查(註1)，有 21% 的受訪者表示其企業曾經遭受 APT 攻擊，另有 63% 的受訪者消極的認為其企業遭受攻擊是遲早的事。而 APT 攻擊或鎖定目標攻擊會不斷滲透並躲過傳統的資訊安全機制，包括：防毒、新一代防火牆以及入侵防護系統，最近南韓各大銀行及媒體所遭受的攻擊正是如此。此類攻擊通常是由駭客透過幕後操縱通訊伺服器（Command-and-control (C&C) server (註2)）從遠端對已滲透的電腦下達指令。趨勢科技 TrendLabs℠ 研究人員在追蹤這類幕後操縱通訊時發現了 1500 多個有效的幕後操縱通訊伺服器，每一網站所操縱的受害者從 1 到 25,000 個不等。

繼續閱讀