馬來西亞航空MH17失事報告10月13日出爐,證實班機遭俄製飛彈擊落,隔天(10月14日)俄國駭客嘗試入侵荷蘭安全委員會電腦系統,嘗試取得敏感的最終失事報告。趨勢科技的研究發現應該是由 Pawn Storm 幕後集團針對DSB (Dutch Safety Board,亦稱 Onderzoeksraad) 所發動的攻擊。
根據趨勢科技前瞻威脅研究 (FTR) 團隊所提供的報告,Pawn Storm 背後的駭客已攻擊了負責調查馬來西亞航空 MH 17 班機墜毀事件的荷蘭安全委員會 (Dutch Safety Board,簡稱 DSB,亦稱 Onderzoeksraad) 。
MH 17 班機於 2014 年 7 月 14 日墜毀在烏克蘭東部,機上 283 名乘客和 15 名機組人員全部罹難。
由於該班機是從荷蘭阿姆斯特丹起飛,因此由 DSB 負責調查這起事件。2015 年 10 月 13 日,DSB 發表了他們的最終調查報告。 繼續閱讀
網路犯罪集團並不是靠著突破網路封鎖就能賺錢,他們的真正目標是「企業內的寶藏」,因此他們會搜尋並竊取你網路內部的資料、智慧財產和敏感通聯記錄,然後想辦法加以變現。為了達到這個目的,他們會研究、設計、執行一些特殊的攻擊來突破傳統的安全控管,然後在受害企業內部網路當中橫向移動、四處搜尋。
打個比方,傳統的防禦就像將大門深鎖,然後找個警衛在門口管制誰可以進出,這樣的方法已經不再管用。為了確保企業的資料通訊和智慧財產不會外流,企業的資安策略必須與時俱進,並且強化邊境防禦,同時還要認知到就算是著名的「馬其諾防線」(Maginot Line) 也無法滴水不漏。
例如,在資料和智慧財產的誘惑下,駭客很可能會藉由竊取員工、客戶和其他第三方人士的帳號密碼來潛入企業網路。在今日「無疆界」的企業環境下,員工從家中、旅館或全球各地分行據點遠端連線作業的情況比比皆是。員工可能會使用一些企業內和/或雲端的應用程式和服務,並且透過各種不同大小的裝置來連上網路。在這麼多樣化企業外部地點及裝置組合的情況下,仰賴有如大門警衛的傳統資安方法,再也不切實際。
我們的客戶已經開始對他們所面臨的新式威脅及伴隨而來的資安挑戰感到憂心。在此我們看到了一項契機,可以將單一防線的邊境防禦變成可監控、偵測、防止針對性攻擊在企業和資料中心內部活動的利器。
趨勢科技併購 HP TippingPoint 且即將邁入一個新的世紀。在完成併購之後,我們將成為企業安全防護的領導廠商,從網路、資料中心、雲端、到端點裝置,全面防範針對性攻擊/鎖定目標攻擊(Targeted attack )與「進階持續性滲透攻擊」(Advanced Persistent Threat,APT攻擊)。在最新威脅情報方面,TippingPoint 的 Digital Vaccine (數位疫苗) 和 Zero Day Initiative (零時差計畫) 將進一步強化我們的 TrendLabs 研究中心和 Smart Protection Network 全球威脅情報網路,提供無可匹敵的專業技術和回應能力。
不僅如此,趨勢科技和 HP 早已達成一項策略性 OEM 協議,將某些新一代入侵防護系統 (NGIPS) 的元件納入 HP 的網路產品當中。
這項消息再次證明趨勢科技長期致力建構一個安全的資訊交換世界。隨著科技不斷演進,資安防護的技術也必須與時俱進。但請放心,我們將持續推動創新並開拓新知,確保我們的客戶及合作夥伴都能隨時擁有最佳防護。
進一步相關資訊:
《現在加入趨勢科技LINE@,留言即刻輸入 888 看本月好友禮 》
《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》
《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
▼ 歡迎加入趨勢科技社群網站▼
一般我們在分析一項威脅時,都會將其惡意程式當成元凶或主要對象來分析。然而,研究其他相關的元件卻可以看到威脅的全貌,反而能比單獨研究二進位程式碼掌握更多的細節。
唯有將目光放遠,超越惡意檔案,才能看出一群原本不相干的網路釣魚(Phishing)郵件,其實都是同一起肆虐全球銀行和金融機構的攻擊行動。駭客利用其他銀行的電子郵件帳號來發送網路釣魚(Phishing)郵件到他們鎖定的銀行,企圖進入該銀行的電腦,進而加以遠端遙控。我們將這起攻擊行動稱為「Cuckoo Miner」(杜鵑鳥礦工)。因為駭客侵占合法電子郵件信箱的手法,很像杜鵑鳥欺騙別的鳥來養大它們的雛鳥、進而鳩佔鵲巢的方式很像。
除了攻擊行動本身的資料之外,我們也發現這起行動和其他攻擊有所關聯: HawkEye、CARBANAK 以及 GamaPOS。
Cuckoo Miner 攻擊行動的第一步
想像一下以下情境:某家大型金融機構的出納櫃台人員 Bob 收到了一封電子郵件。這封電子郵件乍看之下一切正常,內文只有一行,接著就是另一家銀行的簽名資料,並且附上一個 Microsoft Word 文件附件檔案,叫做「ammendment.doc」。
圖 1:「垃圾」電子郵件。
Bob 開啟了這份 Word 文件,裡面寫道:「Hey….」 Bob 看了一頭霧水,索性關掉 Microsoft Word 文件並刪除這封郵件,接著繼續查看其他郵件。但他卻不曉得,光是開啟這份 Microsoft Word 文件,他就已經讓他的電腦 (以及整個分行) 的門戶洞開。
Bob 的情況並非特殊案例,這其實是一起大型的針對性攻擊/鎖定目標攻擊(Targeted attack )。
趨勢科技主動式雲端截毒服務 Smart Protection Network全球情報威脅網路在今年 8 月 4 日偵測到至少有 17 個國家 (包括印度、瑞士、美國等等) 境內的電子郵件伺服器 (不論在企業內或在雲端) 所屬的銀行和金融機構員工都收到了同樣的電子郵件。這些受害的機構皆位於歐洲、中東、非洲 (EMEA) 以及亞太地區 (APAC)。這些電子郵件只針對一群特定的收件人,而且只在該日發送以避免被察覺。
圖 2:受害伺服器分布地理位置。
使用多重 RAT 遠端存取工具
該行動使用的 Microsoft Word 文件會攻擊 CVE-2015-1770 漏洞,進而在系統內植入另一個檔案,該檔案會另外啟動一個「svchost.exe」執行程序。 但這個「svchost.exe」事實上是一個遠端存取工具 (RAT) 叫做「Utility Warrior」。
圖 3:svchost.exe。
不過,駭客還不光使用 Utility Warrior 這個 RAT 工具,他們在為期數個月的攻擊行動當中接連使用了多個 RAT 工具,最早可追溯至 2015 年 1 月,而且各工具的使用期間大多彼此重疊。
圖 4:不同期間所使用的 RAT 工具。
一旦 RAT 工具成功和幕後操縱伺服器取得聯繫,駭客就能自由操縱受感染的電腦,他們可透過 RAT 工具查看系統上有哪些資源、安裝了哪些程式、過濾端點裝置上的資料,此外,還可以從端點裝置直接下載資訊。
從駭客所使用的 RAT 工具非常廣泛就能看出,惡意程式作者在駭客圈內非常活躍,而駭客們彼此之間的關係也非常密切。此外我們也觀察到,駭客很樂意嘗試新的 RAT 版本,並且很快就能將新版 RAT 工具融入他們的攻擊行動當中。
重複使用的憑證以及與 CARBANAK 的淵源
此攻擊行動絕大多數的 RAT 工具使用的電子憑證都是簽發給一個名為「ELVIK OOO」的機構,而且有多個憑證是不斷重複使用。理論上,憑證中的序號是由憑證簽發機構所核發,而且 每個憑證都有自己的序號。
圖 5:憑證範例。
還有一件值得注意的是,我們也曾見過一個 Anunak (也就是 CARBANAK) 攻擊行動的樣本也是使用這個憑證來簽署。然而更重要的是其中含有「arablab」字樣:
圖 6:Arablab 字樣。
從我們擷取到的封包內容可看到「 ArabLab0 」字樣緊跟著一串16 進位碼:「 e4fd2f290fde5395 」,這其實就是一台殭屍電腦識別碼 (BOT ID),也就是:「 ArabLab0e4fd2f290fde5395」。
這個「Botnet傀儡殭屍網路」識別碼讓我們想起我們在 2014 年 6 月的一項研究發現。我們發現「arablab」是一位使用 Citadel 和 Zeus 來攻擊銀行的駭客。此外,值得一提的是,「arablab」也會利用 Microsoft Office 文件漏洞 CVE-2010-3333 來攻擊某些特定人士,並且從事奈及利亞 (419) 詐騙。儘管攻擊不同,但目標是一樣的,那就是:盜取錢財。 繼續閱讀
針對性攻擊/鎖定目標攻擊(Targeted attack ) 為何有本事能輕易將民間業者搞得天翻地覆,也能將政府搞得人仰馬翻?它跟 APT 攻擊有何差別?
如果以槍枝作比較,「針對性目標攻擊」是一般手槍;而「APT攻擊」是最高科技軍規步槍。
針對性攻擊/鎖定目標攻擊 ( Targeted attack,以下簡稱針對性目標攻擊 ) 的三個特性:
1.非亂槍打鳥,有具體攻擊目標,花長時間布局2.主要目的是滲透目標網路和竊取資訊3.非短暫攻擊,而是持久戰,攻擊者花費相當大的努力確保攻擊在一開始滲透網路並取出資料後能夠繼續下去。
針對性目標攻擊並非自動化、機會主義或無差別式的攻擊,該攻擊是深思熟慮、有目的性且持久性的攻擊。而且往往過了數年才被發現,且事件爆發時已經有數千甚至數百萬的客戶紀錄或資料被竊。雖然針對性目標攻擊在某種程度上也帶有金錢動機,但其攻擊的主要目標總是在竊取資訊。比如常見的資料外洩事件新聞: Sony被駭、Target資料外洩和Ashley Madison偷情網站入侵事件。
就如它們在新聞中所聽起來的那樣驚人跟破壞性,資料外洩本身並不足以描繪整個故事。 針對性目標攻擊所做的比扳倒大公司還要多,它們也用在對付國家及其政府機構的網路間諜活動。
針對性目標攻擊常跟「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱APT攻擊)聯想在一起,事實上兩者是有差異的。如果以槍枝作比較,「針對性目標攻擊」是一般手槍;而「APT攻擊」是最高科技軍規步槍-在複雜度、工程性和使用者上有所不同。
APT攻擊是使用自製程式碼與工具的攻擊 — 不只是像針對性目標攻擊是由駭客所製造的那樣,而是來自一群有才華、有領薪水的工程師。APT 攻擊也可能是國家贊助的攻擊 — 這代表它們背後實際上是政府,而不像是針對性目標攻擊的背後是一小群駭客。
APT攻擊的規模和火力跟針對性攻擊/鎖定目標攻擊(Targeted attack )比起來都更為嚴重,並且只針對真正的大目標,像是國防承包商和其他政府機構。跟 針對性目標攻擊Targeted attack )比起來,企業可能比較不需要加以擔心,但最好還是兩者都加以防範,以防萬一。
像趨勢科技Deep Discovery威脅保護平臺這樣的解決方案可以讓企業偵測、分析和回應複雜的惡意軟體、 針對性目標攻擊(Targeted attack )和APT攻擊等現代威脅。
激進駭客主義(hacktivism)或激進主義相關的駭客攻擊跟針對性目標攻擊不同,因為前者有著一次性與破壞性質。他們往往更像是非法騷擾 — 不那麼有害而比較容易處理,就像是在牆壁塗鴉一樣。激進駭客攻擊往往不會出現網路滲透,很少或沒有出現資訊竊取。
他們也會以誇張的做法來追求最大的能見度 — 目的是被看見,而非針對性目標攻擊那樣設計成不被注意到。
針對性攻擊/鎖定目標攻擊(Targeted attack )跟網路犯罪活動的最大區別是範圍。網路犯罪活動的目的是在最短時間(在資安公司反應前)內盡可能找到最多受害者。
而另一方面, 針對性目標攻擊行動的範圍十分限縮 — 通常將目標限制在一家公司或組織。有時範圍甚至會進一步縮小到組織中的特定員工或一小撮員工。所有的工作、努力跟研究都是為了確保目標上鉤落入他們的圈套 — 然後讓他們得以進入目標網路。
繼續閱讀生意人怎麼會對新聞媒體會有興趣?這是我們最近在調查一樁南韓媒體遭到針對性目標攻擊(Targeted attack )攻擊的案例時心中的疑惑。
Shadow Force 是一個新的後門程式,它會取代某個 Windows 系統服務所呼叫的 DLL 程式庫。此後門程式一旦進入系統,駭客就能利用其他工具進一步製造更多安全漏洞或是造成損害。趨勢科技在今年五月份的一篇部落格文章當中已討論過這類後門程式攻擊。
攻擊開始時機
這項攻擊展開的時機是在 Windows 作業系統啟動 Microsoft Distributed Transaction Coordinator (Microsoft 分散式交易協調器,簡稱 MSDTC) 服務的時候,此服務在作業系統中負責協調橫跨多個資源管理程式 (如:資料庫、訊息佇列、檔案系統) 之間的作業。若目標電腦已加入網域,當 MSDTC 服務啟動時就會檢查系統登錄中是否有設定其相關程式庫 (DLL)。
圖 1:MSDTC 服務的外掛 DLL 程式庫。
更確切一點,MSDTC 服務當中的 MTxOCI 元件會透過系統登錄來找尋三個 DLL 程式庫:oci.dll、SQLLib80.dll 和 xa80.dll。一般來說,電腦上通常不會有 oci.dll,但此處駭客故意製作了一個後門程式並將它取名為「oci.dll」,然後放在系統資料夾「%SystemRoot%\system32\」當中。一旦將 oci.dll 放到適當位置之後,駭客就會利用一道遠端指令來終止 MSDTC 服務 (taskkill /im msdtc.exe /f),讓 MSDTC 自行重新啟動。但這一次,當該服務啟動時,就會找到駭客所放置的 oci.dll。而當服務呼叫這個 DLL 時,就會啟動 Shadow Force。
圖 2:用來終止 MSDTC 服務的指令,可造成該服務重新啟動。
這項簡單的技巧可輕易躲過一些鑑識分析工具的掃描,如:autorun.exe,因此變得更難即時偵測及矯正。 繼續閱讀