使用加密通訊像是SSL,加上巧妙地利用新聞事件作為社交工程陷阱( Social Engineering)的誘餌,就是滲透入侵跟持久隱匿在目標網路的完美組合。
目標攻擊沒過多久就開始利用波士頓馬拉松事件作為誘餌,誘騙使用者去開啟惡意附件檔案。我們發現有封電子郵件帶有惡意附件,檔名為「The Prayer.DOC」,敦促收件者為這慘劇的受害者祈禱。
上述附件檔案(MD5:5863fb691dd5b3002c040fc7c535800f,被偵測為TROJ_MDROP.ATP),會攻擊漏洞CVE-2012-0158,將惡意執行檔 – 「IEXPLORER.EXE」(MD5:74a8269dd80d41f7c81e0323719c883c)植入目標電腦內。
這惡意軟體被偵測為TROJ_NAIKON.A,透過SSL(端口443)連到網域 – gnorthpoint.eicp.net,之前解析為IP – 220.165.218.39,現在解析為IP – 50.117.115.89。
它的憑證內填入的是假資訊,包括身份:「donc」,和組織:「abc」。
攻擊者利用合法使用者的身分認證和信任關係,持續待在你最敏感網路內很長一段時間,可以自由自在地去通過鬆散的安全技術。防火牆告訴我一切正常,IPS告訴我一切正常,防毒軟體告訴我一切乾淨;所以一切就都正常,對吧?錯了,這種短視的安全作法就是讓APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)/目標攻擊在世界各地如此成功的原因之一。
作者:趨勢科技資深安全分析師Rik Ferguson
曾經,安全技術所必須避免的重點就是產生一連串的事件通知。將系統調整到只會去通報已經確定的惡意攻擊事件是首要任務。你的防火牆必須非常肯定這些流入封包不屬於已建立的網路連線,或是入侵防禦系統(IPS)需要能夠明確指出這些封包是在嘗試做漏洞攻擊才能提出警報。
在廿世紀,甚至是廿一世紀初,我們習慣防禦就是將一切弄得清清楚楚;防火牆告訴我一切正常,IPS告訴我一切正常,防毒軟體告訴我一切乾淨;所以一切就都正常,對吧?錯了,這種短視的安全作法就是讓針對性攻擊在世界各地如此成功的原因之一。
在現實裡,那句見樹不見林的古諺說得再生動不過了。我們太過於注重「已知的惡意」,因為想要更加精簡和集中分析而對「正常」的處理,讓我們忽略脈絡而陷於危險中。
想像一下,在你伺服器機房外的走廊上一個安全監視器照到一個人,讓我們叫他戴夫。利用步態辨識和臉部識別都可以確認戴夫的身分,系統甚至可以指出他穿著清潔工的制服,這很不錯,因為戴夫是名清潔工。戴夫接近伺服器機房大門,使用他的NFC卡去開門,因為安全監視器和門禁系統已經進行連線,所以可以打開。在伺服器機房內的第二個監視器也確認的確是戴夫走進門來,一切都很好。
根據短視模型,這些事件都將被棄用,放進即將被清除的日誌資料夾內,因為「這裡沒什麼可看的」,但是這些事件所呈現出的脈絡對我們想監視的事情非常珍貴……
分隔線
如果戴夫在伺服器機房內不是在做清潔地板這類已知良好的行為,而是坐在一台伺服器前開始敲鍵盤呢。這顯然不是件好事,應該在某處敲響警鐘。但如果我們去掉我們聰明的大腦所記得和關連出的所有脈絡,那還剩下什麼?一個人在伺服器機房使用電腦?警備隊退下,這事件當然也屬於「這裡沒什麼可看的」資料夾。 繼續閱讀
一封假冒銀行交易的網路釣魚信件,導致南韓爆發史上最大駭客攻擊,這就是APT 目標攻擊最愛採用魚叉式網路釣魚攻擊手法。魚叉式網路釣魚針對的是公司內部的個人或團體。電子郵件會包含目標對象的相關資訊,想辦法盡可能看起來真實。在大多數情況下,這些郵件不包含惡意軟體。因此它們通常可以通過大多數垃圾郵件和網路釣魚過濾軟體。
作者:Vic Hargrave
網路釣魚在網際網路的威脅環境裡是種始終存在的危險。在我的部落格文章 – 對抗釣魚郵件中,我提到了你可以如何做來對抗傳統的網路釣魚(Phishing)。傳統指的是,這些郵件利用社交工程技術來讓你點入郵件裡通往惡意網站的連結,你可能會被要求輸入有價值的個人資料 – 信用卡號碼、帳號登錄資料等等。
正如我之前所指出的,這些攻擊很容易偵測。大多數瀏覽器和電子郵件客戶端都提供某種程度的保護。當然,像PC-cillin 2013雲端版這樣的安全解決方案也在封鎖已知惡意網站,打擊網路釣魚(Phishing)方面做了很好的工作。
但在過去一年裡,趨勢科技威脅研究人員觀察到,魚叉式網路釣魚(Phishing)的趨勢正在上升。根據趨勢科技安全報告 – 「魚叉式網路釣魚郵件:APT攻擊最愛用的誘餌」,它在二〇一二年二月到九月間所收集的資料顯示,有91%的目標攻擊用到魚叉式網路釣魚攻擊手法,誘騙受害者打開惡意檔案或網站。
魚叉式網路釣魚看起來像什麼
和傳統撒下大網,希望達到受害者數量最大化的網路釣魚(Phishing)不同,魚叉式網路釣魚針對的是公司內部的個人或團體。電子郵件會包含目標對象的相關資訊,想辦法盡可能看起來真實。在大多數情況下,這些郵件不包含惡意軟體或我之前提過的網路釣魚郵件品質。因此它們通常可以通過大多數垃圾郵件和網路釣魚過濾軟體。
如果你在安全或業務相關部落格上讀過魚叉式網路釣魚(Phishing),可能會讓你認為這種攻擊只限於公司內部的人。但趨趨勢科技的垃圾郵件(SPAM)威脅研究員 – Jon Oliver跟我分享了一些魚叉式網路釣魚(Phishing)的有趣案例,將會讓你有新的想法。第一個是來自Verizon的通知郵件,第二個似乎是來自美國國稅局的通知。
這些郵件看起來很像真的,不是嗎?國稅局那封簡直讓人嚇壞了。很多人會被騙去點入這些偽造郵件內的連結,但這樣做的後果比以前更可怕。隨著越來越多惡意攻擊套件在網路犯罪地下世界內流通和使用(像是黑洞漏洞攻擊包),只需要一指點入魚叉式網路釣魚郵件內的一個連結,你的瀏覽器就會載入惡意軟體,進而危害到你的電腦。
趨勢科技首創APT事件處理小組 透過專業顧問剖析內幕 強化企業黑魔法防禦力
【台北訊】繼美國紐約時報 (New York Times)、華爾街日報 (Wall Street Journal) 與美國聯邦準備銀行 (US Federal Reserve)遭到大規模網絡攻擊之後,Facebook、Apple、Twitter也接連遭駭,南韓多家銀行及媒體遭駭客入侵導致網路癱瘓的事件更引起全球注目,多起攻擊案例顯示在不斷演變的資安威脅環境下,傳統企業防禦措施已不足以抵擋 APT 與針對式攻擊。
趨勢科技宣布新年度的《客製化防禦策略》 (Custom Defense Strategy,CDS)將提供創新的技術,專門偵測並攔截APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)與鎖定目標攻擊的幕後操縱通訊 (C&C)。趨勢科技《客製化防禦策略》(CDS)是業界第一套能夠防範進階威脅的解決方案,不僅讓企業偵測及分析針對性目標攻擊,還能迅速調整其安全防護來回應駭客的攻擊。
根據最近一份針對ISACA會員的調查(註1),有 21% 的受訪者表示其企業曾經遭受 APT 攻擊,另有 63% 的受訪者消極的認為其企業遭受攻擊是遲早的事。而 APT 攻擊或鎖定目標攻擊會不斷滲透並躲過傳統的資訊安全機制,包括:防毒、新一代防火牆以及入侵防護系統,最近南韓各大銀行及媒體所遭受的攻擊正是如此。此類攻擊通常是由駭客透過幕後操縱通訊伺服器(Command-and-control (C&C) server (註2))從遠端對已滲透的電腦下達指令。趨勢科技 TrendLabs℠ 研究人員在追蹤這類幕後操縱通訊時發現了 1500 多個有效的幕後操縱通訊伺服器,每一網站所操縱的受害者從 1 到 25,000 個不等。
前言:
在 3 月 20 日下午,多家南韓民間企業遭受數次攻擊(也一說為 DarkSeoul 大規模 APT 攻擊事件),業務運作嚴重中斷。此次事件的開始是受害企業內部數台電腦黑屏,網路凍結,造成電腦無法使用。
4月中事件調查出爐,報導說北韓至少策畫了8個月來主導這次攻擊,成功潛入韓國金融機構1千5百次來部署攻擊程式,受駭電腦總數達4萬8千臺,這次攻擊路徑涉及韓國25個地點、海外24個地點,部分地點與北韓之前發動網路攻擊所使用的地址相同。駭客所植入的惡意程式總共有76種,其中9種具有破壞性,其餘惡意程式僅負責監視與入侵之用,相關報導:
韓國320駭客事件調查出爐,北韓花8個月潛入企業千次部署攻擊
趨勢科技在本部落格貼出一些關於二〇一三年三月廿日針對韓國許多系統進行MBR破壞攻擊的細節。
今天,我想藉著這些和一些從這事件裡獲得的額外資訊來帶出我們可以從這攻擊裡學到什麼。
當我們在看這起針對韓國的攻擊時,會看到三個具體的教訓:
這些經驗教訓裡有個最重要的主題:當我們提到目標攻擊,並不僅是指透過針對性魚叉式網路釣魚(Phishing)郵件寄送所啟動的攻擊。目標攻擊同時也指會針對所選擇的受害者去了解基礎設施,想辦法盡可能去閃避或利用。最重要的是,這也適用在安全防護和控制措施上。
後PC時代的攻擊並不只是針對設備
這些攻擊裡有件特別引人注目的事情,就是出現針對Unix和Linux作業系統的攻擊程式碼。我們在過去一年已經看到攻擊者開始將注意力轉向Mac OS X,所以惡意軟體去攻擊非Windows作業系統並非新玩意。然而,Unix和Linux通常是駭客入侵的對象,而非惡意軟體的目標,所以這也代表了一種新的趨勢,將這些作業系統放入後PC攻擊的狙擊線內。
大多數組織會將這些版本的Unix用在高價值系統上,所以將它們包含在這攻擊程式碼內,似乎也表示將目標放在這些高價值系統上。而Linux往往被用在基礎設施和商品化作業系統,所以我們知道這些也都成為了目標。
這裡的關鍵教訓是,如果我們要找出目目標攻擊,就必須將所有的平台和設備都視為可能的目標。所以盡可能去將端點安全的最佳實作延伸到所有的平台和設備上是合理的作法,並且要實施其他層的防護以保護那些無法使用客戶端安全解決方案的平台和設備(如iOS)。
