< CTO 觀點 >針對性攻擊/鎖定目標攻擊(Targeted attack )與進階持續性滲透攻擊 (ATP) 有何差異?

作者:Raimund Genes (趨勢科技技術長,CTO)

前不久我上了由 Bill Murphy 主持的 RedZone Podcast 節目,談論到有關「 針對性攻擊/鎖定目標攻擊(Targeted attack )」和「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱APT攻擊)」之間有何差異 (當然還有其他主題)。這是一個過去我經常談到的一個話題,也是一個我經常在各種會議上被問到的問題。讓我來解釋一下我的意思。

APT攻擊一詞,大約是十年前從美國軍方流傳出來的一個用語。它有相當明確的定義,意指那些由國家所發動的攻擊。這些攻擊當然不會明確張揚其幕後的主使者。其程式碼也不會告訴你是哪個情報單位或國家所為。要追溯某項攻擊確切的幕後主使國家有其困難:畢竟,駭客很可能會透過重重的跳板來隱藏其真正的源頭。

攻擊,APT,目標攻擊

不過,在大多數情況下,當我們在檢視某個 APT攻擊所用的程式碼時可以發現,這些程式都擁有相當完整的設計。它們不像是由一小群個人所開發,反倒像背後有一整個開發團隊。此外,我們也無法在地下犯罪網路上找到這些程式的藍本,意思是:不論是誰所開發,這些都是他們自己的創作。

這一切所需的代價不斐。想想看您需要多少資源才能養得起這些開發人員。看看 Hacking Team 資料外洩 的例子,他們的產品在全球各國販售的價格在數十萬美元之譜。想像一下,若是一個國家要培養自己的「駭客團隊」要付出比這價格高出多少的代價。

然而,大多數人「並不」需要擔心 APT攻擊 的問題。除非您是某個政府機構或國防承包商的 IT 系統管理員,否則您大概不會需要擔心APT攻擊 威脅。您「真正」需要擔心的是資料外洩和 針對性目標攻擊(Target attack )。

針對性攻擊/鎖定目標攻擊(Targeted attack )」與 APT攻擊截然不同,它們不是由國家所發動,而是由全世界各個角落的駭客所為。他們的動機五花八門,包括:竊取資訊、從事信用卡詐騙、或者單純只是在您的企業內搞破壞。他們所用的工具基本上都能在地下市集上以合理的價格買到。其真正「精密」之處在於這些攻擊所用的社交工程技巧繼續閱讀

趨勢科技併購 HP TippingPoint:新一代入侵防護 (NGIPS) 和入侵偵測對你的意義

網路犯罪集團並不是靠著突破網路封鎖就能賺錢,他們的真正目標是「企業內的寶藏」,因此他們會搜尋並竊取你網路內部的資料、智慧財產和敏感通聯記錄,然後想辦法加以變現。為了達到這個目的,他們會研究、設計、執行一些特殊的攻擊來突破傳統的安全控管,然後在受害企業內部網路當中橫向移動、四處搜尋。

打個比方,傳統的防禦就像將大門深鎖,然後找個警衛在門口管制誰可以進出,這樣的方法已經不再管用。為了確保企業的資料通訊和智慧財產不會外流,企業的資安策略必須與時俱進,並且強化邊境防禦,同時還要認知到就算是著名的「馬其諾防線」(Maginot Line) 也無法滴水不漏。

例如,在資料和智慧財產的誘惑下,駭客很可能會藉由竊取員工、客戶和其他第三方人士的帳號密碼來潛入企業網路。在今日「無疆界」的企業環境下,員工從家中、旅館或全球各地分行據點遠端連線作業的情況比比皆是。員工可能會使用一些企業內和/或雲端的應用程式和服務,並且透過各種不同大小的裝置來連上網路。在這麼多樣化企業外部地點及裝置組合的情況下,仰賴有如大門警衛的傳統資安方法,再也不切實際。

我們的客戶已經開始對他們所面臨的新式威脅及伴隨而來的資安挑戰感到憂心。在此我們看到了一項契機,可以將單一防線的邊境防禦變成可監控、偵測、防止針對性攻擊在企業和資料中心內部活動的利器。

趨勢科技併購 HP TippingPoint 且即將邁入一個新的世紀。在完成併購之後,我們將成為企業安全防護的領導廠商,從網路、資料中心、雲端、到端點裝置,全面防範針對性攻擊/鎖定目標攻擊(Targeted attack )「進階持續性滲透攻擊」(Advanced Persistent Threat,APT攻擊)。在最新威脅情報方面,TippingPoint 的 Digital Vaccine (數位疫苗) 和 Zero Day Initiative (零時差計畫) 將進一步強化我們的 TrendLabs 研究中心和 Smart Protection Network 全球威脅情報網路,提供無可匹敵的專業技術和回應能力。

不僅如此,趨勢科技和 HP 早已達成一項策略性 OEM 協議,將某些新一代入侵防護系統 (NGIPS) 的元件納入 HP 的網路產品當中。

這項消息再次證明趨勢科技長期致力建構一個安全的資訊交換世界。隨著科技不斷演進,資安防護的技術也必須與時俱進。但請放心,我們將持續推動創新並開拓新知,確保我們的客戶及合作夥伴都能隨時擁有最佳防護。

進一步相關資訊:

 

 

540x90 line 《現在加入趨勢科技LINE@,留言即刻輸入 888 看本月好友禮 》

 

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。


▼ 歡迎加入趨勢科技社群網站▼

好友人數

 

【Pawn Storm網路間諜行動】Adobe Flash 爆零時差漏洞,各國外交部恐遭駭

趨勢科技研究人員發現Pawn Storm正利用新的 Adobe Flash 零時差漏洞來發動新一波攻擊。Pawn Storm 是一個存在已久的網路間諜攻擊行動,以攻擊知名目標聞名,而且近兩年來更使用了 Java 有史以來第一個零時差漏洞

在最近一波攻擊行動當中,Pawn Storm攻擊了全球多個外交部。受害目標皆收到了含有漏洞攻擊連結的魚叉式網路釣魚郵件。其電子郵件和網址都經過精心設計,看起來都指向一些正常的時事新聞網頁,其使用過的電子郵件主旨包括:

「自殺汽車炸彈攻擊北約在喀布爾的護送車隊」
“Suicide car bomb targets NATO troop convoy Kabul”

「敘利亞軍隊在普丁的空襲掩護下推進」
“Syrian troops make gains as Putin defends air strikes”

「以色列空襲迦薩走廊上的目標」
“Israel launches airstrikes on targets in Gaza”

「俄羅斯警告將對美國在土耳其和歐洲提高核武的行為做出回應」
“Russia warns of response to reported US nuke buildup in Turkey, Europe”

「美軍表示有 75 位美國訓練的反抗軍將回到敘利亞」
“US military reports 75 US-trained rebels return Syria”

 

值得注意的是,其散布這項新零時差漏洞攻擊的網址與今年四月針對北大西洋公約組織和美國白宮的攻擊所用的網址類似。alert 病毒警訊

近來,各國外交部門已成為 Pawn Storm 特別關注的對象。除了惡意程式攻擊之外,歹徒也架設了各種假冒的 Outlook Web Access (OWA) 伺服器來攻擊各國外交部門,從事一些簡單卻極為有效的網路釣魚攻擊credential phishing attacks)。某個外交部甚至被竄改了內送郵件的 DNS 設定。這表示,Pawn Storm在 2015 年當中有好長一段時間一直在攔截該機構所收到的電子郵件。

根據我們的分析顯示,這個 Flash 零時差漏洞至少影響了 Adobe Flash Player 19.0.0.185 和 19.0.0.207 兩個版本。

圖 1:受影響的 Adobe Flash Player 版本。
圖 1:受影響的 Adobe Flash Player 版本。

繼續閱讀

什麼是針對性目標攻擊?與「APT攻擊」有何差別?

 

針對性攻擊/鎖定目標攻擊(Targeted attack ) 為何有本事能輕易將民間業者搞得天翻地覆,也能將政府搞得人仰馬翻?它跟 APT 攻擊有何差別?
如果以槍枝作比較,「針對性目標攻擊」是一般手槍;而「APT攻擊」是最高科技軍規步槍。

networks網路 通用 ioe

什麼是針對性攻擊/鎖定目標攻擊 ( Targeted attack )?

針對性攻擊/鎖定目標攻擊 ( Targeted attack,以下簡稱針對性目標攻擊 ) 的三個特性:
📌1.非亂槍打鳥,有具體攻擊目標,花長時間布局
📌2.主要目的是滲透目標網路和竊取資訊
📌3.非短暫攻擊,而是持久戰,攻擊者花費相當大的努力確保攻擊在一開始滲透網路並取出資料後能夠繼續下去。

針對性目標攻擊並非自動化、機會主義或無差別式的攻擊,該攻擊是深思熟慮、有目的性且持久性的攻擊。而且往往過了數年才被發現,且事件爆發時已經有數千甚至數百萬的客戶紀錄或資料被竊。雖然針對性目標攻擊在某種程度上也帶有金錢動機,但其攻擊的主要目標總是在竊取資訊。比如常見的資料外洩事件新聞: Sony被駭Target資料外洩Ashley Madison偷情網站入侵事件

就如它們在新聞中所聽起來的那樣驚人跟破壞性,資料外洩本身並不足以描繪整個故事。 針對性目標攻擊所做的比扳倒大公司還要多,它們也用在對付國家及其政府機構的網路間諜活動。

針對性目標攻擊跟 APT 攻擊是同一件事嗎?


針對性目標攻擊常跟「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱APT攻擊)聯想在一起,事實上兩者是有差異的。如果以槍枝作比較,「針對性目標攻擊」是一般手槍;而「APT攻擊」是最高科技軍規步槍-在複雜度、工程性和使用者上有所不同。

APT攻擊是使用自製程式碼與工具的攻擊 — 不只是像針對性目標攻擊是由駭客所製造的那樣,而是來自一群有才華、有領薪水的工程師。APT 攻擊也可能是國家贊助的攻擊 — 這代表它們背後實際上是政府,而不像是針對性目標攻擊的背後是一小群駭客。

APT攻擊的規模和火力跟針對性攻擊/鎖定目標攻擊(Targeted attack )比起來都更為嚴重,並且只針對真正的大目標,像是國防承包商和其他政府機構。跟 針對性目標攻擊Targeted attack )比起來,企業可能比較不需要加以擔心,但最好還是兩者都加以防範,以防萬一。

趨勢科技Deep Discovery威脅保護平臺這樣的解決方案可以讓企業偵測、分析和回應複雜的惡意軟體、 針對性目標攻擊(Targeted attack )和APT攻擊等現代威脅。

針對性攻擊/鎖定目標攻擊(Targeted attack )跟激進駭客主義(hacktivism)有何不同?


激進駭客主義(hacktivism)或激進主義相關的駭客攻擊跟針對性目標攻擊不同,因為前者有著一次性與破壞性質。他們往往更像是非法騷擾 — 不那麼有害而比較容易處理,就像是在牆壁塗鴉一樣。激進駭客攻擊往往不會出現網路滲透,很少或沒有出現資訊竊取。

他們也會以誇張的做法來追求最大的能見度 — 目的是被看見,而非針對性目標攻擊那樣設計成不被注意到。

針對性目標攻擊跟網路犯罪活動有何不同?


針對性攻擊/鎖定目標攻擊(Targeted attack )跟網路犯罪活動的最大區別是範圍。網路犯罪活動的目的是在最短時間(在資安公司反應前)內盡可能找到最多受害者。

而另一方面, 針對性目標攻擊行動的範圍十分限縮 — 通常將目標限制在一家公司或組織。有時範圍甚至會進一步縮小到組織中的特定員工或一小撮員工。所有的工作、努力跟研究都是為了確保目標上鉤落入他們的圈套 — 然後讓他們得以進入目標網路。

繼續閱讀

< CTO 觀點 > 針對性目標攻擊:不是所有的攻擊都需要很複雜

通常我們都會說這一起攻擊有多麼先進和複雜,用了什麼新方法來隱藏伺服器或讓分析更加困難等等。卻很容易忘記並非所有的攻擊都是在技術上顯得很複雜;相對地,可能指的是其所用的社交工程(social engineering )或是其攻擊進行的方式。

比方說,我們在幾個月前談到Arid Viper攻擊活動,這是一起針對以色列使用者的複雜攻擊。然而,這起組織良好的攻擊和沒那麼複雜的Advtravel活動共享部分它的攻擊基礎設施。Arid Viper很先進;Advtravel則沒那麼先進。怎麼會這樣呢?針對性目標攻擊不是應該是受過良好訓練而精良的攻擊者所進行的嗎?這些攻擊者不是應該跟「一般」網路犯罪分子沒有任何共同點嗎?

攻擊,APT,目標攻擊

讓我們來想想這問題。進行針對性目標攻擊所需要的技能跟一般網路犯罪攻擊有那麼不同嗎?從根本來看並非如此。雖然網路犯罪分子通常從像信用卡詐騙等活動中獲利,但他們也不會吝於將自己的技能用來有計畫的攻擊特定目標。如果是這樣,他們何不重複使用現有的工具呢?他們何不重複使用現有的基礎設施呢?

即使是能夠影響現實世界的「大規模」攻擊有時也會用非常簡單的工具。想想看 TV5 Monde 的攻擊事件:是用一個 VBScript 工具包所製造的惡意軟體來進行。可以在YouTube上找到如何使用的說明。要讓這工具正常運作並非難事。

這些攻擊的複雜性在於如何使用工具。利用什麼樣的社交工程(social engineering )來說服目標打開惡意附件/連結?如果一個普通的遠端存取工具(RAT)可以運作正常,就不需要用複雜的「持續性威脅」。

這些攻擊是持續性的,對企業來說想要全部加以阻止是很困難的(即使不是不可能)。攻擊者也很少僅僅是因為被阻止了一次、兩次甚至更多次就打退堂鼓。沒有一個簡單而完美的防禦解決方案能停止所有攻擊。那企業可以做些什麼呢?

企業需要認識到自己無法阻止所有的攻擊。所能做的是發現正在進行的攻擊,讓來自任何攻擊的損害被大大降低。入侵偵測系統已經不再是奢侈品而是必需品。這不儘可以防禦一般的威脅像是RAT,還可以防禦複雜的針對性目標攻擊。今日的威脅並沒有特效藥可以解決;我們必須不斷地跟上當前及未來的技術 –  無論是為了進攻或防守的目的,了解不斷變化的威脅環境以及可用的防禦措施。

@原文出處:Targeted Attacks: Not All Attacks Need To Be Sophisticated |作者:Raimund Genes(技術長)

 

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。


▼ 歡迎加入趨勢科技社群網站▼

好友人數