目標式攻擊 - 資安趨勢部落格

貴公司有辦法對抗目標攻擊嗎？

2013 年 10 月 11 日2013 年 10 月 07 日趨勢科技 TrendMicro

有各式各樣的原因讓目標攻擊可能發生在幾乎任何一家公司。其中最大的一個原因就是為了竊取公司的專有資料。許多機密資料可能都非常的有價值。智慧財產權通常是第一個會想到的目標。還有一些比較不明顯的目標也有其價值：例如金融資料，員工和客戶的個人資料，待完成銷售、財務交易和法律行動的相關資料等。不過一家公司被當成目標的原因也可能和他們的產品或資料無關。

目標攻擊是攻擊起點

攻擊者可能會針對一家公司，好利用這新得手的網路基礎設施來發動對其他組織的攻擊。在某些案例中，攻擊者會利用受駭者的電子郵件帳號來增加他們魚叉式網路釣魚（Phishing）攻擊郵件的可信度。

另一個被當成目標的可能原因跟該公司所連接的網路有關。小廠商可能會是大型組織的供應商之一，因此需要連接到大型組織的網路。對攻擊者來說，透過這小供應商的網路會更加容易也更為隱蔽，不會在大型組織的網路內留下痕跡。

此外，一家公司也可能單純的被當成跳板，用來掩蓋攻擊者和目標之間的攻擊路徑。

面對目標攻擊可以做些什麼？

不幸的是，時間和機會都在攻擊者這一邊。不管公司的防禦有多好，只要一個設定錯誤或某個使用者打開惡意檔案或連到有問題的網站，就可能會讓公司受到影響。一旦攻擊者進入公司網路，受駭目標必須要能儘快的加以偵測和控制。在這時間點，可以進行完整的鑑識調查來看看攻擊者去過哪些地方和造成哪些損害。

那有什麼是公司可以做以面對目標攻擊的？答案是肯定的。繼續閱讀

台灣中小企業遭受阻斷服務攻擊案例分析

2013 年 08 月 01 日2017 年 03 月 10 日趨勢科技 TrendMicro

許多台灣的中小企業會在自己的網路內架設網頁伺服器，卻對如何防護伺服器沒有太多了解。他們所關心的是自己的業務，使得他們不安全的伺服器成為攻擊的主要目標。

當有企業被攻擊的新聞出現，內容通常都把目標放在最終使用者或大型企業本身。不過有許多網路犯罪的目標是中小企業。在這篇文章裡，我們要來看看台灣的中小企業是如何遭受到攻擊，以及人們可以從這些事件裡學到什麼樣的教訓。

許多台灣的中小企業會在自己的網路內架設網頁伺服器，卻對如何防護伺服器沒有太多了解。他們所關心的是自己的業務，使得他們不安全的伺服器成為攻擊的主要目標。

讓我們來看看最近的一起案例，可以很好的說明這些攻擊如何進行。在五月卅日，我們收到一家不明公司（我們稱之為A公司）的支援請求，因為他們遭受到阻斷服務攻擊，讓他們的伺服器無法被連上。

但我們所看到的完全是另外一個問題。趨勢科技發現他們的網頁伺服器已經被入侵，利用的是伺服器的漏洞。而且就如前所述，這網頁伺服器也可以存取公司的內部網路，所以攻擊者也拿下了公司Active Directory伺服器的控制權。我們還確認至少有兩批攻擊者存在：一個是在四月廿四日前運作，另外一個出現在這日期之後。

圖一、攻擊時間表

這起威脅的行為並沒有特別不尋常，一旦網路被入侵，這些都是常見的後果。此外，攻擊者會不斷地透過自己的後門來放入新的工具。

許多企業只是重新安裝和重建系統，好可以馬上回復運作，但這樣並沒有解決問題。因為問題的根源是脆弱而不安全的網頁伺服器，而這部分並沒有被解決，攻擊者可以一再重複地入侵，重新佈置後門到目標網路內。

圖二：持續地攻擊

繼續閱讀

APT 攻擊藉由惡意PDF攻擊程式碼大量增加中

2013 年 06 月 25 日2019 年 03 月 13 日 Trend Labs 趨勢科技全球技術支援與研發中心

在2012年裡，我們看到了各式各樣的APT攻擊活動利用Microsoft Word的漏洞 – CVE-2012-0158。這是一種轉變，之前最常被利用的Word漏洞是CVE-2010-3333。雖然我們還是繼續看到CVE-2012-0158被大量的使用，不過我們也注意到惡名昭彰的「MiniDuke」攻擊所製造針對Adobe Reader漏洞 – CVE-2013-0640的攻擊程式碼使用量的增加。這些惡意PDF檔案所植入的惡意軟體和MiniDuke並無關聯，但卻和正在進行中的APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)活動有關。

Zegost

趨勢科技所發現的一組惡意PDF檔案，藏有上述漏洞攻擊碼的誘餌文章使用的是越南文，檔案名稱也是相同的語言。

這些PDF檔案內嵌著和MiniDuke攻擊活動所使用類似的JavaScript程式碼。相似之處包括了類似的函數和變數名稱。

使用Didier Steven的PDFiD工具來分析這PDF檔案，顯示出這兩個PDF檔案非常相似。雖然並非完全相同，但兩者之間的相似之處是難以否認的。有意思的地方是「/Javascript」、「/OpenAction」和「/Page」。這些地方代表著有JavaScript出現，有某種自動行為出現和頁碼。這三個項目可以幫我們確認MiniDuke和Zegost的相似之處。

繼續閱讀

駭客組織 Anonymous匿名者發動Operation Petrol攻擊意圖大量癱瘓石油國家與企業網站

2013 年 06 月 20 日2013 年 06 月 20 日趨勢科技 TrendMicro

中東地區特定政府網站疑已遭攻擊關閉 政府及企業應加強戒備以防受骇

【2013年06月20日 台北訊】駭客組織「 Anonymous匿名者」於月初宣稱將於今日發動代號為「Operation Petrol」的攻擊行動，鎖定全球主要石油產業相關的政府及企業，趨勢科技(TSE:4704)分析該組織很可能已經在五月即開始部署可發動目標性攻擊的惡意行動，以達到癱瘓大量網站目的。目前已知部分中東政府網站與特定企業也已遭攻擊，趨勢科技呼籲全球政府與企業都應提高警覺，建議企業與政府於近期進行內部IT資安防護能力檢測，確實更新修補元件、提高對網路與電子郵件釣魚的警覺心，以防成為此波攻擊受害者。

駭客團體「 Anonymous匿名者」於月初表示為了抗議石油交易以美金計價，嚴重剝奪石油產出國權益，預計於6月20日發動一波代號為「Operation Petrol」的攻擊，攻擊對象遍及全球主要國家，多數為該組織認為「石油美金」既得利益國家政府與石油產業網站，匿名者組織更進一步公布已經掌握一千個網站、三萬五千個email帳號密碼，以及十萬個Facebook帳號密碼，彰顯其具備癱瘓大量網站的能力。

根據趨勢科技病毒防治中心TrendLabs的分析，該組織已經於五月開始佈局，透過遠端C&C伺服器控制遭後門程式CYCBOT感染的電腦形成殭屍網路，駭客將可運用殭屍網路發動DDOS攻擊，癱瘓大量網站。目前已知沙烏地阿拉伯與科威特部分政府網站已經遭到零星攻擊而暫時關閉，亦有數家被駭客鎖定的機構已確定遭到攻擊。

繼續閱讀

Anonymous匿名者駭客組織宣稱在 6月20日對石油公司發動攻擊

2013 年 06 月 20 日2013 年 06 月 20 日趨勢科技 TrendMicro

作者：Darin Dutcher

在上個月，駭客集團匿名者Anonymous 宣稱他們打算對石油公司發動網路攻擊（代號：#OpPetrol），預計將會持續到6月20日。

他們聲稱這次的攻擊的主要原因是因為石油用美元計價，而非石油產國本身的貨幣。不過也有討論指出，會想要進行這波新的攻擊是因為前兩次的攻擊（代號：#OpIsrael和#OpUSA）被認為沒有效果。

要注意的是，6月20日指的是預期大多數攻擊會發生或被公開的那一天。和上個月的#OpUSA一樣，他們在這天之前就已經開始動員。自從這次行動公布以來，就開始有目標被攻擊，憑據被竊取，目標列表已經越來越長了。

而且這類攻擊被當做幌子，用來掩護其他攻擊的例子也並不少見。根據之前行動所記錄的附加損害和在公開攻擊日以外進行的資料外洩來看，不管是目標還是時間都沒有辦法被精確的掌握。

像這樣的Anonymous行動對現在或潛在的目標來說，都是個很好的機會來演練各種保護自己的步驟。每個人都可能會成為目標，總會有漏洞可被用來攻擊。

如果你所防衛的組織或國家是這次行動的潛在目標，你應該要考慮下文內的步驟，或許還要做得更多。如果你會連到這些目標組織，或位在潛在目標的國家內，我們建議你還是要採取這些步驟。但如果你和預定目標並沒有交集，你也可以利用這些步驟做為主動防禦的措施，對抗類似#OpPetrol這類的攻擊。

6月20日：

確保所有的IT系統（作業系統、應用程式、網站等）都更新到最新。
確保IT安全系統都保持在最新狀態，盡可能廣泛的監控，再加以深入的檢查。它們可以偵測和阻止攻擊計劃並且和偵殺鏈做整合嗎？它們可以佈署偵測點到網路、硬碟和記憶體內？
確保相關的第三方廠商都被通知，並且可以找得到。
偵測任何網路和系統異常行為並加以檢查。因為攻擊的偵察階段已經開始在作用。可能已經記錄了可用的漏洞和偷走所需的憑證。類似趨勢科技 Deep Discover Inspector樣的解決方案可以幫你檢查可疑的網路活動。
提醒使用者要特別小心，提防網路釣魚（Phishing）和魚叉式網路釣魚電子郵件。
和所有必要單位（不僅僅是IT部門）計劃或檢視事件反應程序。確認面對DDoS攻擊、更改網頁和資料外洩時會有不同的計劃跟反應。
讓IT安全部門、法務和對外溝通單位準備或檢視影響你組織事件的公開聲明。並且要問：「如果這起事件不是激進駭客組織所造成，而是網路犯罪、國家組織、內賊或恐怖份子進行的，那你的聲明和回應會有所不同？」
監視Anonymous的相關資訊，好了解他們的目標、工具或動機、成功列表或獲取資料的任何相關變化。