逐步拆解 MITRE ATT&CK 測試

請閱讀今年的 MITRE Engenuity ATT&CK Evaluations 報告,該測試模擬當今兩大駭客集團 Carbanak 和 FIN7 的攻擊技巧來測試資安解決方案偵測及攔截進階持續性滲透攻擊 (APT) 與目標式攻擊的能力。

MITRE ATT&CK® 知識庫是一項極端珍貴的資源,可促進網路資安產業的整體進步與標準化。它為駭客攻擊方法提供了一種標準化的分析框架以及一套描述駭客攻擊行為的共通語言。

雖然 MITRE Engenuity 的測試結果並不提供任何分數、排名或評等,卻能讓企業清楚看見廠商如何協助客戶偵測駭客的攻擊,若再對照 ATT&CK 框架就能了解攻擊的完整過程。

資安團隊可利用 MITRE ATT&CK 框架來描述事件,有助於跨部會溝通資安問題。此外,MITRE ATT&CK 框架還可讓資安團隊更清楚掌握資安可視性,檢查企業的資安是否存在漏洞,了解自己有哪些地方可能遭到攻擊。然後再看各家廠商的測試結果,找出最能解決這些漏洞的產品。可視性的提升也能讓企業查看自己的防護是否有重疊的地方,進而做出適當調整讓成本最佳化。

儘管 MITRE ATT&CK 有這麼多好處,但它提供的是相當濃縮的資訊,而且不易理解和閱讀,所以我們才想要逐一拆解一下這份報告給大家看。

在我們深入討論每一階段的分析和重點之前,讀者首先需要了解今年模擬的攻擊情境。MITRE Engenuity ATT&CK Evaluations 測試基本上是模擬特定駭客團體的真實進階持續性滲透攻擊 (APT) 技巧與流程。今年的測試特別仿照當今擁有類似手法的兩大駭客集團:Carbanak (第一天) 和 FIN7 (第二天),全程共包含 174 項攻擊步驟。

MITRE Engenuity ATT&CK Evaluations 測試的是資安解決方案能否偵測到進行中的目標式攻擊。換句話說,有別於傳統測試,MITRE Engenuity 的重點在於資安產品能否偵測到駭客已經進到企業裡面。不過今年又多了一項選擇性測試,是針對產品能否攔截/防止攻擊,藉此驗證產品在偵測持續性威脅並從中攔截以防止損害進一步擴大的能力。

突破防線:誘騙目標上當

繼續閱讀

開放原始碼軟體如何變成木馬程式?如何成目標式攻擊武器?

開放原始碼軟體如何變成木馬程式?我們又該如何偵測這類程式?要回答這些問題,讓我們來看一下最近我們針對這類檔案所做的一份研究。

木馬化的開放原始碼軟體很不容易被發掘,因為它們看起來就跟正常的軟體一樣,所以這類程式毫不起眼,因此特別適合用於目標式攻擊。但其實若深入追查,還是可以看到一些可疑的行為,並揭發它的不肖意圖。

研究過程


趨勢科技在分析一起資安事件時發現了一個名為「notepad.exe」的檔案相當可疑。因為,大家都知道 notepad.exe 是 Windows 系統內建的「筆記本」程式,而有些惡意程式作者就是喜歡偽裝成這類程式來躲避偵測。

Fig-1-Telemetry-Data
圖 1:監測資料顯示某個名為「notepad.exe」的檔案相當可疑。

這個 notepad.exe 檔案是經由 ntoskrnl.exe (Windows NT 作業系統核心執行檔) 進入系統。它很可能是經由 ntoskrnl.exe 的漏洞或是網路共用資料夾進入系統,不過根據我們得到的監測資料顯示比較可能是後者。接著,我們又利用根源分析 (Root Cause Analysis,簡稱 RCA) 發現,這個不肖的 notepad.exe 檔案會呼叫以下幾個工具來執行一些可疑動作:

繼續閱讀

最新 Sunburst 目標式攻擊分析

目前已有多個情報來源披露,有一項精密的駭客攻擊正利用一個已遭篡改的網路監控軟體入侵供應鏈上下游企業。本文討論這個名為 Sunburst 的後門程式以及您該如何防範這項威脅。

目前已有多個情報來源披露,有一項精密的駭客攻擊正經由供應鏈入侵上下游企業。這項攻擊利用了一個已遭駭客篡改的「SolarWinds Orion」網路監控軟體。駭客利用此軟體來存取系統,在系統植入一個名為「Sunburst」的後門程式。此後門程式能讓駭客取得目標企業網路的完整存取權限。

Sunburst 是什麼?


Sunburst 是一個精密的後門程式,幾乎能讓駭客完全掌控被感染的系統,不過其行為相當獨特。

在它執行之前,它會先檢查系統上的處理程序以及某些系統登錄機碼。它只會在已感染 12 天以上的電腦上執行,而且電腦必須連上網域。也因為這些限制條件,使得研究人員在分析時更加困難,不過卻也某種程度限制了受害者的擴散範圍。

繼續閱讀

攻擊台灣能源產業、全球逾百家機構受駭的APT41 組織,五名中國駭客遭美起訴

9 月 16 日美國司法部宣布將起訴五名中國人民 ,他們涉嫌駭入美國境內及海外超過 100 家機構。其攻擊目標遍布各種產業,從電玩遊戲公司、電信業者,到大學與非營利機構。這五名嫌犯據稱與 APT41 駭客集團有所關聯。今年五月,趨勢科技才發現專門以資料庫和郵件伺服器為加密目標的 APT41集團涉及某些針對台灣企業的勒索病毒攻擊, 也使用勒索病毒攻擊某個專門對抗貧窮的全球非營利組織的網路。截稿前為止,他們仍在逃亡,但已有兩名馬來西亞人民因協助這批駭客而遭到逮捕。 

從美國司法部所公布的三份起訴書可看出該集團的惡意活動類型相當廣泛,例如虛擬加密貨幣挖礦( coinmining )勒索病毒Ransomware (勒索軟體/綁架病毒)攻擊。大部分的活動大多是為了牟利,但也有少部分是間諜活動。 

司法部官員表示,該集團在成功入侵之後,會竊取原始程式碼、客戶帳戶資料,以及個人身分識別資訊 (PII)。其他重要犯罪行為還有:修改遊戲內物品數量來詐騙遊戲公司、使用勒索病毒攻擊某個專門對抗貧窮的全球非營利組織的網路。

駭客所使用的多是公開的漏洞攻擊手法與常見的漏洞,詳細資訊可參考官方報告。此外,也運用精密的駭客手法來駭入並常駐於受害者的電腦網路內。官方報告描述了該集團如何運用「供應鏈攻擊」手法,他們會先駭入軟體供應商,然後再修改他們提供給客戶的程式碼。這樣歹徒就能駭入廠商的客戶,進一步拓展勢力範圍。 

這已經不是第一次 APT41 駭客集團受到嚴密的關注,該集團早已活躍好一陣子。今年五月,趨勢科技才發現該集團涉及了某些針對台灣企業的勒索病毒攻擊。這個我們命名為「ColdLock」的新勒索病毒家族,專門以資料庫和郵件伺服器為加密目標,所以破壞力不容小覷。

繼續閱讀

目標式勒索病毒攻擊台灣企業

一波新的針對性攻擊利用新勒索病毒感染了數家台灣企業,我們將這隻勒索病毒稱為 ColdLock。這波攻擊帶有破壞性,因為勒索病毒似乎會針對資料庫和郵件伺服器進行加密。

我們所收集的資料顯示這波攻擊在5月初開始攻擊企業。分析惡意軟體顯示ColdLock與之前的勒索病毒家族Lockergoga,Freezing以及EDA2“教學用”勒索病毒套件間有相似之處。沒有跡象顯示這波勒索病毒攻擊了目標之外的組織。我們不認為這支病毒家族現在有被廣泛的使用。

趨勢科技使用者已經能夠抵禦此威脅,我們將其偵測為Ransom.MSIL.COLDLOCK.YPAE-A和Ransom.PS1.COLDLOCK.YPAE-A。底下的文章會描述此威脅的行為,並描述它與其他勒索病毒威脅的關聯。

繼續閱讀