目標式攻擊 - 資安趨勢部落格

針對企業與大型機構的新興「Safe」鎖定目標攻擊興起

2013 年 05 月 30 日2013 年 05 月 30 日趨勢科技 TrendMicro

超過ㄧ萬受害IP 遍佈百國 以亞洲地區國家為大宗

【2013 年 5 月 30 日台北訊】趨勢科技發現一個名為「Safe」的全新鎖定目標攻擊，攻擊對象為政府機關、科技公司、媒體、研究機構，以及非政府組織。Safe 攻擊的散布方式採用魚叉式網路釣魚（Phishing）電子郵件，內含專門攻擊 Microsoft Word軟體漏洞 (CVE-2012-0158) 的惡意附件檔案，惡意程式入侵電腦後將與C&C伺服器連線，近而竊取受害電腦資料並且下載更多惡意程式。根據趨勢科技的追蹤分析，已知有近12,000個受害IP，受害者遍佈超過 100個國家，平均每天有71個受害IP連往C&C 伺服器，其中最大宗受害IP來源國集中在印度、美國、中國以及巴基斯坦。

圖一：受害IP遍佈全球100多個國家，

前五名中除了美國外，其餘皆為亞洲地區國家。

這項攻擊首度現身於 2012 年 10 月，「Safe：鎖定目標威脅」(Safe: A Targeted Threat) 研究報告指出，「 Safe」鎖定目標攻擊使用的是專業軟體工程師所開發的惡意程式，這些工程師可能與地下網路犯罪集團有所關聯。趨勢科技病毒防治中心 Trend Labs 資訊安全專家 Macky Cruz 表示：「我們觀察到一些較小型攻擊正逐漸興起，不同於以往資安業界所熟知的較為大型且行跡較為明顯的攻擊，此類小型攻擊採用email社交工程手法，入侵特定全球企業及機構，Safe 攻擊就是這樣一個例子，它使用少數的幕後操縱伺服器、新型惡意程式，並且僅針對特定目標進行鎖定攻擊。」

圖二：Safe 鎖定目標攻擊運用電子郵件樣本。繼續閱讀

《總經理看資安趨勢》被APT攻擊後，該怎麼辦？

2013 年 05 月 21 日2013 年 05 月 21 日 Trend Labs 趨勢科技全球技術支援與研發中心

作者:洪偉淦趨勢科技台灣暨香港區總經理

假使企業發現遭受APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)，如何因應？不久前恰好有一份相關的統計報告出爐，歸納最常見處理方式不外下面三種，第一種是「強化傳統資安解決方案」，就現有防護工具進行全面補強；其次是將受害電腦予以Format，也就是「毀屍滅跡」；甚至有人索性「放任不管」，因缺乏專業知識，不知如何下手，只好置之不理。

綜觀上述三種方式，除了「放任不管」明顯不值得鼓勵外，另兩種做法亦存在盲點。首先，APT攻擊與一般威脅的最大不同之處，在於它是針對特定目標量身訂做的攻擊，傳統方案無法偵測其蹤影，所以「強化傳統資安解決方案」效用不大。其次，APT攻擊通常依循著攻擊、控制、擴散等步驟，企業必須瞭解其發展至哪一個階段，方知已造成或潛在的傷害有多大，才有助於對症下藥，如今好不容易有線索可還原事件原貌，卻急於「毀屍滅跡」，殊為可惜，因為那些被Format的標的，可能只是冰山一角，恐存在更多漏網之魚。

持平而論，APT是持續性的滲透攻擊，完整的防禦機制理應包含工具、流程，以及APT攻擊專家介入協助，三者缺一不可。也就是說，企業在部署偵測、分析、欄截、鑑識等APT專用解決方案之餘，另須搭配事件反應處理流程IR Process（Incident Response Process），輔以APT攻擊專家針對攻擊型態深入剖析，才足以洞察事件全貌。一方面將分析結果回饋到防禦機制，持續發揮偵查之效，遏止新的攻擊入侵，另一方面產製真正有效的解藥，針對潛伏在企業的APT暗樁，進行大規模清除。繼續閱讀

《總經理看資安趨勢》個資法來了，怎麼辦？

2013 年 05 月 16 日2013 年 05 月 20 日 Trend Labs 趨勢科技全球技術支援與研發中心

作者:洪偉淦趨勢科技台灣暨香港區總經理

新版個資法對於企業蒐集、處理、利用、停止利用以及刪除個人資料之歷程，不僅都有嚴格規範，而且制定嚴厲罰則，對企業肯定是巨大挑戰。

眾所矚目的新版個人資料保護法，總算在今年10月1日正式施行。就條文來看，新版個資法對於企業蒐集、處理、利用、停止利用以及刪除個人資料之歷程，不僅都有嚴格規範，而且制定嚴厲罰則，對企業肯定是巨大挑戰。

按理說，企業一路「觀望」了兩年多，早該基於個資防護做好充分準備；但實則不然，特別是中小企業，迄今仍有許多人還抱持觀望態度，他們寧可「賭」自己不會這麼倒楣，凡事等到第一個違法判例成立再說。

持平而論，這些毫無動靜的企業，未必不遵循法規，說穿了就是因為「無所適從」。以往國人保護個資觀念堪稱薄弱，對於個資的蒐集與使用，總認為理所當然、無傷大雅，如今面對千頭萬緒的法條，還真不知該如何下手；再者，幾乎所有資訊安全廠商，都說自家產品可以防護個資，而且個個要價不菲，企業無力消化繁複的產品資訊，更難以負擔高昂的購置成本，所以索性按兵不動。

這群企業的苦衷，固然情有可原，但世事難測，面對最高可達兩億元的賠償金額，更是不可承受之重，因此絕不宜兩手空空賭運氣。企業必須先有一個觀念，要100%杜絕個資外洩，那是不可能的，但最起碼需要盡到良善保管的責任，所以當務之急，即是趕緊從法律條文中找出關鍵點，再配合資訊技術加以落實，才是明哲保身之道。

最值得企業謹記在心的法律關鍵點為何？無非就是設備安全、資料安全稽核、使用資料的軌跡記錄，為了迎合這些關鍵需求，企業必須做到三件事。第一，建立內容過濾機制，針對所有從PC或伺服器等設備向外傳送的資料，逐一加以監控，辨識其內容是否挾帶個資；不可諱言，傳送個資的行為，有些是出自商業行為，未必個個都是蓄意外洩，但倘若個資數量達到一定筆數，或即將觸及企業的規範底線，就需要加以警示、甚至攔阻，一來可以提醒無心人，二來更可遏阻有心人。繼續閱讀

《總經理看資安趨勢》用客製化防禦對付APT 攻擊

2013 年 05 月 15 日2013 年 05 月 15 日 Trend Labs 趨勢科技全球技術支援與研發中心

作者:洪偉淦趨勢科技台灣暨香港區總經理

過去企業最關注的資安威脅，往往是全球病毒爆發事件，但從2011年起，焦點則轉向APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)，因為就連資安把關嚴密的大型企業，都能被 APT突穿防線而渾然不知，顯見此類攻擊確實可怕，難怪舉世為之震驚。

APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)是客製化的目標式攻擊，處心積慮就是要透滲攻擊目標，所以面對防毒軟體、防火牆或入侵防禦系統等傳統資安防線，早已深諳閃避之道，也擅長運用社交工程郵件以假亂真，讓員工在不疑有他的情況下，淪為駭客的禁臠，企業那怕做再多宣導與訓練，終將防不勝防。

企業如何因應APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)？第一步即是調整心態，先假設自己已遭攻擊，然後一方面積極提高被攻擊的門檻，避免持續遭到滲透，二方面設法早期發現、儘速處理。針對「發現」與「處理」，企業亦應有所體認，面對客製化攻擊，唯有運用客製化防禦才能順利反制，莫再倚賴一體適用的工具，只因這些工具根本無效；此時企業可與資安廠商合作將因應新型攻擊的反應機制和流程在企業內部建立，方可做到客製化的防禦。

要滿足上述目標，少不得需要工具輔助。所以近年來，奠基於沙箱模擬分析技術的APT解決方案，一一現身於市場，以協助用戶揪出惡意檔案，並據此求助防毒軟體廠商，儘速清理禍害。這類方案確實擁有一定價值，但亦存在若干盲點。沙箱模擬是必要的分析工具，但單靠此一技術難以抑止實際攻擊。首先，高達九成APT攻擊，皆以社交工程郵件為先遣部隊，企業需考慮如何在第一時間阻擋社交工程電子郵件進入內部，以減少後續災害控制的成本。單一沙箱模擬技術在時效及效能難以符合實際需求。繼續閱讀

APT 攻擊防禦:阻撓，干擾，閃避

2013 年 05 月 10 日2013 年 09 月 17 日 Trend Labs 趨勢科技全球技術支援與研發中心

作者：Rik Ferguson

APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)和目標攻擊的重點大部分都會和Lockheed Martin的網路擊殺鏈（killchain）有關，它其實是來自美國傳統的軍事目標攻擊週期（F2T2EA） – 搜尋（find）、定位（fix）、追蹤（track）、瞄準（target）、接戰（engage）、評估（assess）。網路擊殺鏈包含了七個階段：偵察（Reconnaissance）、武器化（Weaponization）、派送（Delivery）、漏洞攻擊（Exploitation）、安裝（Installation）、命令與控制（C2）和在目標內的行動。

重要的是要記住，網路擊殺鏈並沒有提到防禦方法，它只是詳述了攻擊者如何去入侵對象所採取的步驟。它是以一連串攻擊行為的觀點，而非研究各事件好了解如何阻擾、干擾或閃避持續不斷的入侵攻擊嘗試。主動反擊（Offense）必須要通知防禦方，目的是終止攻擊者繼續或完成攻擊的能力。

針對目標攻擊的主動式防禦必須要能夠使用攻擊者的長處去對付他們。雖然有個明顯不對等的地方，就是快速反應的攻擊者沒有必要去尊重法律或遵守遊戲規則。在攻擊活動時，橫跨所有階段所持續進行的分析活動，可以確認關鍵指標和重複的地方。這些標記可以讓防禦方將反應點從被動的漏洞攻擊後階段，向前推移到更主動的武器化和派送階段，甚至是偵察階段。

成功的關鍵是要能夠分析和關連大量的攻擊資料。識別出攻擊模式，代表以後攻擊者所使用的新攻擊指標可以被拿來更新防禦和消除方式。入侵的初始階段可能會在受害者網路內被偵測出指揮和命令（C&C）流量，或是被偵測到入侵後植入的惡意軟體，分析出可行動的情報可以用來發展更加主動的防禦措施。攻擊者在入侵活動裡所使用的基礎設施或漏洞攻擊碼，往往也會被重複用在APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)的後期階段，或用在攻擊其他受害組織上。建立出攻擊模型可以找出使用在安裝階段的漏洞攻擊碼，進而進行修補或更新入侵防禦技術。而在派送階段對攻擊流量的識別可以用來更新ACL（存取控制列表），防火牆和其他攔截技術，讓組織防禦可以從後期進化到早期偵測和消除。

最近針對幾個韓國公司的攻擊為這防禦模式做出有力的例子。在三月十九日，我們看到了這起攻擊的首個跡象。韓國組織收到包含惡意附件的垃圾郵件。附件會從多個不同網址下載九個檔案，利用假網站來掩蓋惡意活動。

繼續閱讀