說到APT攻擊-進階持續性滲透攻擊 (Advanced Persistent Threat, APT) /目標攻擊,攻擊者並非無所不知。他們需要在早期階段收集資料來了解目標,他們會從各種情報來源收集資料,像是Google、Whois、Twitter和Facebook。他們可能會收集電子郵件地址、IP位址範圍和連絡人列表等資料。然後將其來製造釣魚郵件的誘餌,最終可以讓他們滲透入目標組織的網路。
一旦進入,攻擊者會開始橫向移動階段。在此階段,攻擊者會進行端口掃描、服務掃描、網路拓撲映射、密碼嗅探、鍵盤記錄和安全政策滲透測試。目標是找到更加機密的資料以及更加隱密的存取方式。
橫向移動讓攻擊者可以取得對自己有利的資料。他們現在知道了有哪些安全弱點、防火牆規則設定缺陷和錯誤的安全設備部署。他們現在也擁有了最新的網路拓撲、密碼設定和安全性政策。 繼續閱讀
隨著潛藏在 Microsoft Windows 超過十年的 Secure Channel( SChannel )安全通道漏洞公開披露,趨勢科技建議 Windows使用者立即修補自己的系統以防範攻擊。Windows SChannel是Microsoft 的資料安全傳輸平台,此漏洞將造成一個可能遭蠕蟲入侵的情況,讓駭客不需借助使用者的操作就能取得系統控制權。
這個被戲稱為「 Winshock」( Windows 震撼)的漏洞,其嚴重性被 Common Vulnerability Scoring System ( CVSS) 通用漏洞評分系統評定為 9.3分 (總分10)。如此高的嚴重性,再加上駭客向來喜歡在漏洞披露之後迅速發動一波攻擊,趨勢科技 Deep Security立即提供了解決方案來對抗這個漏洞。此外,Microsoft也在本月的定期安全更新當中釋出了修補程式。
趨勢科技資深技術顧問簡勝財指出:「這又是一個像Heartbleed(心淌血)漏洞那樣潛在已久而且可能影響深遠的漏洞。當爆出這類新聞時,網路犯罪者通常會立刻卯足全力開發出專門利用新漏洞的攻擊。因此,大眾最重要的是迅速採取應變措施以防範系統遭到入侵或破壞。趨勢科技呼籲客戶將解決此漏洞列為第一要務,而我們也提供了Microsoft修補程式之外的補強措施。」
趨勢科技專家建議客戶採取下列行動:
立即安裝Microsoft修補程式。
改用Internet Explorer以外的瀏覽器來降低風險。
使用Microsoft支援中的新版Windows平台。
=========================================================
Schannel 漏洞=Windows 版的 Heartbleed漏洞?在進行永不停歇的漏洞管理上,虛擬修補程式可能不是萬靈丹
有線電視
和衛星電視都製作了許多精彩的內容,但也有很多是垃圾節目,身為消費者的我們會試著去進行篩選。但就如我們都會發現的,要找到對我們來說重要而有意義的內容是件困難的工作。你需要依賴別人的意見,而不是靠自己痛苦的坐在電視前研究哪些會有意義。沒人想要在沒有好處的事情上浪費時間。
如果我們覺得當個沙發馬鈴薯都是件困難的工作,資訊人員和安全專家所面對的就是極其困難的任務,必須去觀看和過濾他們基礎設施內的各個頻道。被迫無時無刻在他們環境裡各種持續不斷出現的噪音中判斷出哪些跡象需要加以注意。微軟在這個禮拜所推出的最新週期性修補程式是安全專家和資訊工程師另一項重擔的例子,必需去處理層出不窮的漏洞。Schannel漏洞攻擊絕對是必看的頻道,必須叫第四台來馬上修復。
橫跨全球的變更管理會議已經舉行以確認最新公布漏洞的營運嚴重性和風險,以及補救程序和時刻表。讓我們面對現實,這對任何人來說都不是簡單的程序。有些組織具備相當成熟的方法和程序來在自己環境內進行關鍵修補程式及週期性修補程式的更新。但絕大多數組織都沒有辦法做到如此成熟的境界,更別說工作人員需要不停的面對持續出爐的關鍵修補程式。這是個以指數成長的問題,沒辦法用傳統方法解決。
社群內有許多關於這項漏洞的出現和嚴重程度。意見從「它是Windows版本的Heartbleed心淌血漏洞」必須立即加以注意,到「還沒有任何漏洞攻擊碼或案例出現」所以讓我們謹慎點,在正常的修補週期進行更新。兩邊的說法都沒有錯,該怎麼做則取決於組織,可以有各種不同的做法。許多系統永遠無法及時得到修補,直到為時已晚。 繼續閱讀
在趨勢科技最近所發表的報告:「Operation Pawn Storm行動」裡,我們提到這個攻擊行動用了三種攻擊手法。在本文中,我們會探討第三種:網路釣魚(Phishing)郵件將受害者導到假的Outlook Web Access登入網頁。
很顯而易見的是,這種做法簡單而有效,並且重複使用。透過一行簡單的 Javascript 程式碼,數百萬的Outlook Web Access(OWA)使用者就可能會成為狡詐但簡單的網路釣魚(Phishing)攻擊受害者。這裡並沒有用到漏洞來進行攻擊。只有使用JavaScript的功能、微軟 OWA 的預覽窗格和兩個錯誤的近似網域。我們已經看到這網路釣魚攻擊被用來針對美國國防產業像 Academi(過去稱為 Blackwater)、SAIC 和 OSCE 等公司。
它如何運作
為了要針對國防產業公司 Academi,攻擊者註冊了兩個近似正常網域的網域名稱:
連到近似網域的連結透過魚叉式網路釣魚郵件寄到Academi – 只寄送給可能會想收到來自tolonews.com電子郵件通知的少數員工。
當目標透過 Microsoft Outlook Web Access 的預覽窗格打開電子郵件並點入這些錯誤的近似網域,就會打開新頁籤來載入正常的新聞網站。從攻擊目標的角度來看,他們的瀏覽器會如下所示:
在雲端時代之前,那個系統、網路和網路周邊仍然界線分明的時代,資訊安全團隊當然還是有其擔心的事情跟需要保護的資料。一個在九十年代中期出現的新興風險被稱為「幽靈系統(Shadow IT)」。而它現在還依然存在著。
幽靈系統在員工桌子底下、櫃子裡和口袋內的黑暗空間成長著,這些員工只是想做好自己的工作。想要快速而有效率地存取、處理或傳遞資料,所以他們會購買、安裝和使用任何可以用的產品。通常還會慶幸於自己可以聰明地結合這些技術來精明地繞過系統。
幽靈系統可以是你口袋裏的隨身碟;桌子底下的數據機或櫃子內的無線基地台。不僅如此,新的消費化或雲端技術趨勢也讓這問題更加惡化。網頁郵件服務成為一個隱蔽的通道、不受管理的檔案同步服務提供了後門,某人雲端服務內的虛擬伺服器可能放有企業的寶貴資料,卻不受程序規範或企業主監督。
早期的幽靈系統所帶來的風險往往只是有限的資料轉移和員工或基礎架構的子系統。但是今日雲端平臺所能提供的功能將這問題放大到前所未有的程度。
八種駭客用來竊取企業資料的後門程式技巧
後門程式可讓駭客從任何網路遙控缺乏防護的電腦,包括公共網路、家用網路或辦公室網路。透過一些所謂的後門程式技巧 (也就是後門程式所做的工作),駭客就能暗中下令電腦竊聽使用者線上聊天內容、連上受感染的網站、複製密碼等等。
當 IT 系統管理員在電腦系統上發現後門程式時,很可能歹徒早已暗中蒐集有關其網路的重要資訊。此外,也代表駭客早已準備進入鎖定目標攻擊流程的第三階段,也就是建立其幕後操縱 (C&C) 通訊。若照這樣繼續發展下去,駭客最後將偷到一些可讓他們販賣或用於其他惡意用途的資訊。
下載完整的研究報告:鎖定目標攻擊所使用的後門程式技巧 (Backdoor Use in Targeted Attacks)
延伸閱讀:幾可亂真的 UPS 快遞電子郵件暗藏後門
為此,趨勢科技研究人員特別觀察駭客使用後門程式來操控目標網路的方式,截至目前為止,我們發現駭客最常使用的後門程式技巧有八項:
若網路上沒有架設防火牆,駭客就能輕易透過電腦的某個通訊埠來進行後門通訊,也就是連接埠綁定。一旦後門程式綁定某個連接埠,駭客就能自由地與該電腦通訊,進而輕易加以掌控。
若網路上架設了防火牆,駭客可利用反向連線的技巧來通訊。駭客會修改後門程式來檢查可用及沒有保護的連接埠以進行通訊。如此,後門程式就能穿越防火牆和防護軟體的封鎖。一旦後門程式找到一個可用的連接埠,就能連回駭客的幕後操縱 (C&C) 伺服器。
通常,駭客還會利用後門程式來搜尋可用的連線,以躲避入侵防護系統 (IDS) 的偵測。駭客一旦找到可用連線,就能經由後門程式暫時連上系統並進行其他惡意活動,例如傳輸檔案。