分類: 目標式攻擊

從紐約時報APT攻擊裡所學到的教訓

趨勢科技 TrendMicro

作者:趨勢科技Christopher Budd

紐約時報發表他們從四個月前就開始遭受APT進階持續性威脅 (Advanced Persistent Threat, APT)。該報告還提供出一定程度的細節,這其實是相當少見的,任何對資訊安全和防範APT攻擊有興趣的人都應該花點時間來讀完紐約時報全部的故事

從紐約時報APT攻擊裡所學到的教訓

紐約時報還做了一件事,就是指出了他們有安裝安全產品,但是這些產品未能阻止攻擊。他們甚至將這安全廠商列名出來,讓人覺得他們將矛頭指向該美國安全廠商。紐約時報的故事和安全廠商的反應似乎都暗示集中在基於病毒碼(特徵碼)的端點安全防護方案。

有了這些資訊以及我們對這攻擊的所知訊息,我們可以學到一些教訓,關於要怎樣如何才能充分保護網路環境以對抗APT進階持續性威脅 (Advanced Persistent Threat, APT)

 鎖定特定對象電子郵件帳號,進而存取 53 名員工個人電腦

本部落格分享過這篇:《APT進階持續性威脅~主要目標攻擊侵入點:eMail》63%產品規劃藍圖 ,76%預算計畫經由 email 傳送,紐約時報陳述攻擊的進入點也是透過針對特定對象的電子郵件帳號(大概是透過適當的開放情報收集所確認得來)。獲得控制權後,他們利用帶有特定目的的惡意軟體來建立命令和控制(C&C)通訊點。接著,開始橫向移動,先偷取企業內所有員工的密碼(透過針對網域控制(DC)伺服器的攻擊),並用來存取其他系統(包括53名員工的個人電腦,其中大多數不屬於紐約時報編輯部)。
關於APT 攻擊常用的三種電子郵件掩護潛入技巧,請參考:《這裡》含多則中英文信件樣本

45個客製化惡意軟體潛伏部署,但廠商沒有偵測到

他們說從這起攻擊中所學到的教訓是,有45個客製化惡意軟體被部署,但安全廠商未被偵測。該報告接著說明沒有重要資料被竊取,因為這次攻擊被及早的發現。調查人員也在監控這起攻擊,以了解需要做些什麼來防護網路。

以病毒碼(特徵碼)為基礎的防護,無法全面主動監控

對於像是這樣複雜的攻擊來說,很明顯地,傳統基於病毒碼(特徵碼)的端點安全防護是不夠的。攻擊者可以製作並測試出多面向的目標攻擊以特別用來閃避這些產品的偵測。他們是整體安全防護的一個重要部分,但必須包含在更整體的防護策略中,包括啟發式偵測、動態信譽評比服務和主動式網路監控。

以客製化防禦對抗針對性攻擊

如我上面所說,我們不確定紐約時報用了哪些產品以及如何部署。但是,我們可以觀察這起攻擊所提供的細節,去了解攻擊者這些天做了哪些事情,從而確認怎樣的防護策略會最有效果。答案很顯然是設計用來對抗進階威脅的主動式、多層次安全防禦:現在需要客製化的防禦去對抗針對性的攻擊。如趨勢科技Deep Discovery,便可以防禦目標攻擊繼續閱讀

從IE最新零時差漏洞看水坑技術(Watering Hole )為何仍有效?

趨勢科技 TrendMicro


hacker with mask2

一月初美國外交關係協會的網站被入侵放置一個針對微軟IE瀏覽器的零時差漏洞攻擊碼。經過分析發現,這次攻擊只針對特定的族群。只有當使用者瀏覽器語言設定為英文(美國)、簡體中文(中國)、繁體中文(台灣)、日本、韓國或俄羅斯才會被影響。

微軟已經針對該漏洞發布一個安全公告,微軟已經釋出安全修補程式來解決這問題。建議使用者馬上更新。趨勢科技趨勢科技的用戶可以經 Deep Security的下列規則來受到保護:

 

  • 1005297 – Microsoft Internet Explorer CDwnBindInfo Object Use-After-Free Vulnerability (CVE-2012-4792)
  • 1005301 – Identified Suspicious JavaScript Encoded Window Location Object
  • 1005298 – Microsoft Internet Explorer CDwnBindInfo Object Use-After-Free Vulnerability (CVE-2012-4792) Obfuscated

 

上述規則可以偵測所有已知變種的攻擊。

微軟IE瀏覽器的使用釋放後(use-after-free)漏洞可以讓遠端攻擊者執行任意程式碼。正如微軟部落格中所描述的,趨勢科技也觀察到至今被回報的目標攻擊都是透過編碼過或混淆化的JavaScript Window Location Object來觸發,這通常是被用來改變目前視窗的的位置。這漏洞是在CButton Object被釋放後,當頁面重新載入時,它的引用會被再次使用並指向無效的記憶體位置,讓當前使用者執行任意程式碼。微軟的IE6、IE7,IE8都會受到影響,但新版本 – IE9、IE10則沒有這個漏洞。

 

舊卻有效

水坑攻擊(Watering Hole )並不算新,事實上,早在二〇〇九年就有出現過這種技術,不過他們同時也認為水坑攻擊在未來將會更加普遍,並且將專門用在目標攻擊上。為什麼呢?

Raimund對二〇一三年的預測裡提供了一個可能的答案,他說,攻擊者將更加著重於如何去佈署威脅,而非開發惡意軟體。攻擊者在進行攻擊前會盡可能的收集關於目標的資訊,以設計出更加有效進入目標的方法。

如果我們檢視水坑攻擊是如何運作的,我們會發現所使用的方法都非常熟悉。然而,這種威脅本身所採用的策略佈署讓跟其他類似網站入侵或零時差攻擊等威脅看來是在不同層級上,就好像魚叉式網路釣魚(Phishing)郵件會比一般垃圾郵件(SPAM)威脅來得更有效率一樣。攻擊者可以利用對於目標資料的了解來建立強大的社交工程陷阱( Social Engineering)手法,因此也就不需要去開發非常複雜的工具。使用者必須要完全認清這一點,攻擊者所利用的不再僅僅是軟體漏洞,還有使用者本身。 繼續閱讀

「李宗瑞影片,趕快下載呦!」從公僕誤開測試信,看好奇心所付出的資安代價(含APT 目標式電子郵件攻擊實際案例)

趨勢科技 TrendMicro

「李宗瑞影片,趕快下載呦!」~~~政府單位以這測試信,導致 996 名員工好奇點閱「中招」,點閱員工分十梯上2小時的資訊安全課程。如果你是 IT 部門的主管,你知道公司裡最會開啟色情附件檔的是哪些員工?那個部門是網路安全的地雷區?

在本部落格提到的這篇文章中,   69%的人每週都碰到網路釣魚,25% 高階員工被釣得逞 ,而根據趨勢科技曾經針對國內某家超過300人的企業所做的調查顯示,防毒意識最差的部門是:業務部,而最會開危險郵件的員工是:工讀生等臨時雇員。(編按:上述文章中有提到防網路釣魚四步驟,推薦閱讀)

認識駭客(Hacker),Cracker(破壞者),激進駭客(Hacktivist)網路犯罪份子(Cybercriminal),白帽(White Hat),黑帽(Black Hat),灰帽(Grey Hat) 這意味著,幫公司締造業績的部門,卻同時有可能是企業網路運作殺手。跑腿的工讀生,可能因午休時間開啟一封朋友轉寄的色情信件或網站連結,而讓公司數位資產暴露在外。 這不是在叫IT部門看完本文後去把業務部門電腦搜查一遍,或解雇所有工讀生,而是要指出一個現象:在這個調查之前,該公司 IT 部門普遍不知道企業內部的安全殺手潛伏在那個部門,也不知如何隔離那些總是開啟網路釣魚(Phishing)頁面或誤開有毒色情檔案高危險群。

這是目前存在許多企業的安全管理難題,尤其是網路使用自由度高的公司, IT 部門在不干涉員工的網路連線前提下,又要有效率地執行安全守則,著實兩難。 最明顯的例子是,員工開啟色情郵件或連結引狼入室。

此類郵件藉由勾起使用者的好奇心,一個郵件標題、一個附件檔名,就能讓使用者 Click滑鼠進行散播,我們稱之為社交工程陷阱( Social Engineering) 趨勢科技攔截到許多以色情為餌的病毒。它們既不是散發大量郵件的蠕蟲,也沒有透過殭屍網路/傀儡網路 Botnet來散發垃圾郵件(SPAM),而是由人為手動轉寄木馬植入程式。究其原因,原來這封郵件樣本由群組中的某位成員散發給許多該群組的郵件,再滾雪球般地逐漸散佈出去。雖然屬於手動散播,但只要想想這封電子郵件所傳送的群組數目,加上每個群組所擁有的成員數目,也能釀成大禍。

資訊安全從「 IT 部門的事」到「全公司的事」

 

好的風險管理能成功教育員工為資訊安全負責,電腦中毒時不但不再衝動拿起電話開罵 IT部門,反而會為自己違反公司安全政策,影響公司網路安全而自責,讓安全意識的轉變從「千錯萬錯都是 IT 部門的錯」到「安全政策,不再只是 IT 部門的事」。 有個實際案例,某公司過去網路斷線時,員工總是高分貝抗議,但是請其合作遵守資訊安全守則時,卻是得不到明顯的成效,一直到他們舉行防毒演習為止。

在演習中,首先該公司以「看似」某部門最高長官 Dave的名義發出「軟體 Beta 版搶先試用,拿大獎」測試信,結果高達98%的員工開啟附件,結果得到如下訊息:「哈哈,上當了!!你的安全警覺性待加強。」而事實上該部門最高長官的正確名字是 David,而不是Dave。凡是點閱該封信件者,都會留下紀錄,藉著測試活動結果,以統計數據說服當事人或是高層主管,企業潛在的人為因素對整體網路安全的影響。

誤點信件後果比你想像的更嚴重! APT 攻擊全球戒備

今天我們就來分享APT進階持續性威脅 (Advanced Persistent Threat, APT)社交工程陷阱( Social Engineering)信件案例與入侵實際模擬,讓大家看看一時的好奇心,可能付出的代價不只是個人電腦中毒,還有可能失去客戶資料,付出昂貴成本與修復鉅資。

什麼是 APT?簡單的說就是針對特定組織所作的複雜且多方位的網路攻擊。

這兩年很夯讓許多組織機構聞之色變的APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT) ,其特色之一就是【假冒信件】:針對被鎖定對象寄送幾可亂真的社交工程惡意郵件,如冒充長官的來信,取得在電腦植入惡意程式的第一個機會。

以往駭客發動的APT 進階持續性滲透攻擊 (Advanced Persistent Threat, APT)攻擊雖然以政府為主,但從2010年開始企業成為駭客鎖定竊取情資的受駭者越來越多,2011年幾個世界性的組織在目標攻擊下淪陷,付出了昂貴的成本。RSA和Sony是 2011年最大的兩個APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)的目標。

幾個世界性的組織在目標攻擊下淪陷,付出了昂貴的成本。他們失去了數百萬客戶的資料,光是完成修復就花費了鉅資。 趨勢科技身為全球雲端安全的領導廠商,在年度雲端資訊安全盛會 “CloudSec 2012”會中如何因應嶄新威脅APT (Advanced Persistent Threat)以守護企業重要機敏資訊的重要性。以下是:趨勢科技全球核心技術研發部技術經理翁世豪,在會議中分享的: 面對APT企業應當採取的縱深防禦防護策略。(含國內外社交工程信件案例與駭客入侵模擬)

 

目標式電子郵件攻擊實際案例(10:22) 駭客入侵模擬(20:20) APT 防護階段(29:16) 以下是幾個郵件樣本 1.攻擊者先收集 eMail 清單,然後寄給內部特定對象這個看起來像是excel 的附件,點開檔案只有一個空白的檔案,是寄錯檔案了嗎? APT社交工程信件攻擊案例

其實看到這畫面時病毒已經在背後運作了,因為該檔案是設計過的,背後插了一個 Adobe flash 物件,,即使用戶已經更新了所有的 patch 還是無法阻擋該攻擊,因為這是零時差漏洞攻擊   繼續閱讀

《趨勢專家談雲端運算》目標攻擊在Web 3.0的演變

趨勢科技 TrendMicro

作者:趨勢科技 Tom Kellermann

 目標攻擊在Web 3.0的演變

雲端運算、行動裝置、 APT進階持續性威脅 (Advanced Persistent Threat, APT),一開始IT和資訊安全界都只將它們當成行銷用的術語。直到現在,還是常常會有所誤解或是將它們分開處理。網路安全環境不斷在變化,這已經是句老生常談的話了。嗯,就好像APT攻擊會進化去適應Web 3.0一樣,如何全面性地去管理雲端、行動裝置、網路和實體安全,好讓資訊安全計畫可以成功也成為基本的問題了。

 

Web 3.0是網際網路的下個階段。任何只要有電流通過的機器就會有個IP地址,好來跟其他類似的機器溝通,而不需人為介入。機器可以近乎擁有人工智慧,了解你的好惡和需求,去從網路上找出、關連並組織你要的資料再呈現給你。使用者不需要做太多動作,因為他不再需要點擊連結或打開附件以接收資料。這些都來自雲端的巨量資料,而你的行動裝置就是個人使用端點,去收集、儲存、存取和傳輸資料。

 

這些資料對於貪婪的網路犯罪份子來說當然是非常珍貴的。不過我們也開始在金融服務業和政府看到網路詐騙集團利用接近攻擊(Proximity Attack),所以他們不僅會去攻擊受害者寶貴的雲端資料,他們也會攻擊實體手機以獲取利益。

 

這些攻擊一開始可能經由網路層的入侵,或是透過網路釣魚(Phishing)或訊息的魚叉式攻擊、不安全的無線網路或偽裝成正常應用程式的惡意軟體來直接攻擊到設備端點。就好像曾經只在電影上看到的劇情一樣。而現在已經成真了,惡意軟體可以有效地駭入你的現實世界。網路犯罪份子可以完全接管你的設備,查看您的行事曆,打開網路攝影機或是麥克風來窺探重要會議。同時,感謝雲端技術和Web 3.0,你的位置可以在任何時候輕易地被追蹤。而將這些接近攻擊自動化也帶來惡意攻擊新的一頁。

 

並不難想像這些威脅對於商業或政府組織來說是如何的危險,不僅是因為這些駭客找到一個金礦可以從這些端點去收集各種敏感資訊,而是因為持續窺探這些設備可能讓他們收集更多額外的有用競爭情報甚或內幕交易的詳細資料。

 

這攻擊讓人想到一個重要的問題,就是你的資安團隊目前是如何運作的,是否有跟你的行動及雲端安全策略緊密結合。實體和網路安全部門一直以來都是預算大餅的競爭對手,但是這內部爭議現在要先放到一旁,先認真面對這些直接威脅。至少有一個理由讓雙方需要通力合作,就是網路犯罪會對組織安全造成實體威脅。

 

這應該是對資訊安全長的一個警鐘,他們對於防護雲端資料所做的努力,不應該跟行動安全切割開來。這些行動設備不僅僅是巨量資料或雲端服務的端點,而是整個生態圈的一個內部環節,需要放進整體防護計畫一起考量。

 

對於企業來說,行動裝置代表了最大的風險,並不只是指Android智慧型手機,還包括各種高階主管要求能在工作中使用的平板電腦。通常這些設備都是由主管自己所購買,而更糟的是他們可能會要求IT讓他們可以接收和查看敏感文件。不僅很難去完全消除接近攻擊的威脅,而且也很難加以管理和防護。

 

那資訊安全長可以做些什麼?嗯,他們沒辦法拒絕高階主管,但是他們可以限制這些設備的功能跟使用地點以降低風險。例如,可以在董事會裡使用,但是簡訊、麥克風和錄影機功能都必須關閉。所以必須讓裝置可以依據所在地來限制功能。

 

另外一種好的資訊安全作法就是採取包含端點(行動裝置)的雲端策略。想要成功就必須做到持續性的監控。進階持續性攻擊是被設計來利用各種手段來躲過偵測。啟用進階記錄、深度封包檢測和檔案完整性監控工具可以讓安全團隊保持對現狀的高度感知,了解環境內正在發生的事情,讓他們可以察覺任何不對頭的事情。

繼續閱讀

惡意PowerPoint文件夾帶漏洞攻擊及後門程式

趨勢科技 TrendMicro

趨勢科技發現有一個惡意PowerPoint簡報檔,會以郵件附加檔案的形式攻擊使用者。這個檔案內嵌一個Flash檔,它會攻擊特定版本Flash Player的漏洞(CVE-2011-0611)來將後門程式植入到使用者的電腦內。

惡意PowerPoint簡報檔,會以郵件附加檔案的形式攻擊使用者。這個檔案內嵌一個Flash檔,它會攻擊特定版本Flash Player的漏洞(CVE-2011-0611)來將後門程式植入到使用者的電腦內。
惡意PowerPoint簡報檔,會以郵件附加檔案的形式攻擊使用者。這個檔案內嵌一個Flash檔,它會攻擊特定版本Flash Player的漏洞(CVE-2011-0611)來將後門程式植入到使用者的電腦

 

一旦使用者打開惡意PPT檔案就會觸發Flash檔內的Shellcode來攻擊CVE-2011-0611漏洞,接著將「Winword.tmp」放入Temp資料夾中。它同時也會產生一個非惡意的PowerPoint簡報檔「Powerpoint.pps」,以矇騙使用者認為這只是一般的簡報檔案。根據趨勢科技的分析,「Winword.tmp」是一個後門程式,它會連到遠端站台跟幕後黑手進行通訊。它也可以下載並執行其他惡意軟體,讓受感染系統面臨更可怕的威脅,像是進行資料外洩資料竊取的惡意軟體。

 

趨勢科技將這個惡意PowerPoint檔案偵測為TROJ_PPDROP.EVL,產生的後門程式偵測為BKDR_SIMBOT.EVL。根據報導以及趨勢科技的分析,都可以看出過去的目標攻擊也用過這類惡意軟體。

趨勢科技將這個惡意PowerPoint檔案偵測為TROJ_PPDROP.EVL,產生的後門程式偵測為BKDR_SIMBOT.EVL。根據報導以及趨勢科技的分析,都可以看出過去的目標攻擊也用過這類惡意軟體。
趨勢科技將這個惡意PowerPoint檔案偵測為TROJ_PPDROP.EVL,產生的後門程式偵測為BKDR_SIMBOT.EVL。過去的目標攻擊也用過這類惡意軟體。

繼續閱讀