報告數據 - 資安趨勢部落格

《APT攻擊》 2013年目標攻擊的三個預測

2013 年 01 月 07 日2013 年 06 月 28 日趨勢科技 TrendMicro

APT

現在對於目標攻擊的認識，包括APT進階持續性威脅 (Advanced Persistent Threat, APT)已經在廣大的安全社群內成為主流。我預計到了2013年，我們的認知將會面臨到挑戰。我們在過去幾年間看到所謂「技術上不複雜」的攻擊是如何被成功的運用，我認為他們也將會繼續這樣做。他們的伎倆會盡可能的發揮在人的因素上，其次才是技術部分。

趨勢科技技術長 – Raimund Genes的2013年預測中，他認為惡意軟體攻擊將會變得越來越複雜，這並不一定是指惡意軟體本身的技術部分，而是如何去佈署攻擊。此外，他認為這類攻擊將會有越來越多具備破壞能力，使得做屬性分析時更加困難。基於這些觀點，以下是我對於2013年的趨勢預測：

越來越多針對性地區性目標攻擊尤其是有些知名的APT進階持續性威脅 (Advanced Persistent Threat, APT)活動日漸公開。我們將會看到本地化攻擊的增加，像是除非符合一定條件，不然惡意軟體不會執行。比方說語言設定，或是只會影響某些地區，甚至特定網段的水坑攻擊(Watering Hole )攻擊。
更多帶有破壞性的間諜活動:我們現在都認為目標攻擊的動機是間諜活動，但在2013年將會看到有更多攻擊帶有破壞性質。將會有越來越多目標攻擊所使用的惡意軟體具備破壞能力。無論這是它的主要企圖（即破壞），或是作為清理攻擊者蹤跡的手段。這功能很可能是時間性攻擊的一部分，運用在明確的政治（或是軍事）目的上。
故佈疑陣,讓判斷更困難: 繼續閱讀

2012年目標攻擊/ APT 攻擊回顧

2013 年 01 月 07 日2013 年 01 月 07 日趨勢科技 TrendMicro

作者：Nart Villeneuve（趨勢科技資深威脅研究員）

經過了整個2012年，我們研究了各式各樣的目標攻擊，包括好幾個APT進階持續性威脅 (Advanced Persistent Threat, APT)攻擊活動（像LuckyCat和Ixeshe），也更新了一些已經運行一段時間的攻擊活動（像Lurid/Enfal和 Taidoor）。資安社群在今年有許多關於目標攻擊的精采研究發表，我將這些有意思的研究集結起來，分成六個我認為可以代表2012年目標攻擊趨勢的主題：

目標和工具 –
雖然在2011年，目標攻擊幾乎就等同於APT進階持續性威脅 (Advanced Persistent Threat, APT)。在2012年出現了各式各樣的攻擊，特別是在中東地區，包括沙烏地阿拉伯的Shamoon，Mahdi攻擊活動，GAUSS和Wiper/Flame，這些都被卡巴斯基所記錄起來。還有一些攻擊和中東地區衝突有關，最顯著的是敘利亞、以色列和巴勒斯坦（參考Norman的研究分析）。APT活動在2012年仍然是個重大的問題，Dell SecureWorks發表了一份集結各種APT活動的報告，還有關於Mirage和SinDigoo的報告來闡述問題的影響範圍。彭博社發表了一系列關於「Comment Crew」的文章，詳細介紹了APT攻擊活動的廣度和影響。還有針對俄羅斯、台灣、韓國、越南、印度和日本的活動也相當活躍。除了目標地理位置的擴張之外，我們也看到了所針對技術的擴展，包括Android行動設備和Mac平台。來自Citizen Lab的Seth Hardy在SecTor上作了一場很棒的演講，介紹了今年所新興的各種Mac相關遠端存取木馬（RAT）（SabPub、MacControl、IMULER/Revir和Dokster）。雖然我們在過去看過智慧卡的相關攻擊，不過感謝來自Sykipot和AlienVault的精采分析，提供蓄意用智慧卡做目標攻擊的技術細節。
隱匿性和持久性 –
這些是主要的趨勢之一，根據Mandiant在2012年的文件，APT活動之所以不只是惡意軟體，正因為確保持久存取會使用正常應用程式（例如VPN）。此外，雖然許多進行中的APT攻擊活動所用的惡意軟體可以經由網路流量分析而偵測，微軟發現一個舊惡意軟體組件會在NDIS（網路驅動程式介面規範）層建立一個隱蔽的後門，讓偵測變得更加困難。除了隱身在網路層，我們也看到在某些案例中，出現有數位簽章的惡意軟體讓檔案系統層級的偵測變得更加困難。有數位簽章的惡意軟體當然不是新伎倆，還有個大量被用在目標攻擊上的遠端存取木馬（被稱為PlugX），使用一種DLL搜尋路徑劫持（這技術本身也不是新的）。
另一個出現在Mandiant報告中的HiKit工具也會利用DLL搜尋路徑隱藏在檔案系統層級，同時會在網路層竊聽進入流量（像是早期的遠端存取木馬），而非只是對外連接到命令和控制伺服器。Flame惡意軟體則會利用MD5碰撞攻擊，劫持Windows Update功能來散播。將隱匿性及持久性帶到另一個境界。
社交工程陷阱( Social Engineering) –
毫無意外地，魚叉式網路釣魚郵件仍然是目標攻擊主要用來傳遞惡意軟體的機制。但其他技術，像是「Watering Hole」攻擊也讓人極為注目。Shadowserver發表了被他們稱之為「策略性網站入侵（Strategic Web Compromises）」的研究分析，利用了Java和Flash的漏洞攻擊碼，而RSA報告中所提到的VOHO攻擊活動，也使用了相同的技術。但在2012年，另一個有趣的社交工程伎倆就是利用安全廠商對惡意軟體的分析做為誘餌，來傳播惡意軟體。不過，魚叉式網路釣魚郵件和淪陷網站並不是唯一的攻擊途徑。即時通（被認為用在針對Google的Aurora攻擊）也提供了另一條攻擊路線。Skype也被報導提到用在敘利亞衝突的DarkComet RAT攻擊內。
攻擊是最好的防禦 –
在2012年，有個新興資安公司 – Crowdstrike提出了「攻擊是最好的防禦」概念，雖然這概念常被狹隘地理解為「駭回去」，但我卻想從David Dittrich所謂的「主動回應連續（Active Response Continuum）」背景下來理解這件事。有各種戰術可以應用，滲透，強迫下線（不管是通過技術手段、回報濫用行為、策反、點名和羞辱、法律機制或和執法單位合作）或是欺敵行動，好來進行反擊，而不是只能「駭回去」。這些都是經常用來對付犯罪份子的行動，但也可以應用在這裡。在一定程度上，針對基礎設施的攻擊，通常都是國家默許或國家資助的。所以這些措施以外的反擊作法也很吸引人，因為有國家資助的案例通常是不適用於法律途徑的，所以我們也開始看到這樣的行動出現。在2012年的一個案例中，CERT-GOV-GE不僅取得存取「Georbot」殭屍網路命令和控制伺服器的能力，還誘使殭屍網路運營者去偷取一個惡意檔案。執行之後，就讓CERT-GOV-GE可以遠端錄下運營者的影像。
「超限」武器交易 –
這個備受爭議的話題 – 販賣零時差漏洞攻擊碼及搭配的惡意軟體，在2012年已經是個公開的祕密。美國公民自由聯盟的Christopher Soghoian在VB2012大會上用這題目做了主題演講。除了會買賣漏洞和攻擊碼之外，也有惡意軟體的交易是在政府授意下。Morgan Marguis-Boire發表了被稱為FinFisher的產品（也可用來偵查智慧型手機）是如何被英國政府散播的相關資料。還有被義大利公司所散播的後門程式，據報導是被政府用來監控異議份子。另外Dell SecureWorks的Joe Stewart發現「一個由位在某亞洲國家（非中國）的私營電腦安全公司所經營的龐大網路間諜活動針對國外軍事單位」，進一步說明了問題的嚴重程度。繼續閱讀

2013年雲端預測

2013 年 01 月 04 日2013 年 01 月 04 日趨勢科技 TrendMicro

作者：趨勢科技雲端安全副總裁Dave Asprey

資料在哪裡，網路犯罪份子就會出現在哪裡。有越來越多的資料搬到雲端去，也讓更多攻擊轉移到雲端。這並不是說行動設備不是攻擊雲端的好方式，它的確是。然而，隨著有更多重要的資料搬到雲端，我們也將看到更多雲端安全方面的發展。

雲端反衝

隨著企業越來越有能力去鑑別公共雲的優勢和缺點，私有雲（或只是簡單的虛擬化）將繼續成為大型企業需要穩定運作時，具成本效益的選擇。而將新的、使用量具變動性的、需要面對外部網路的應用程式放在公共雲。

效率驅動著雲端安全

由於雲端環境的成本管理和衡量工具變得更加成熟，雲端安全解決方案的效能將成為企業考量的一個主要因素。沒有人希望雲端解決方案是安全卻非常昂貴而低效的，讓人無法負擔執行它的成本。會大量消耗伺服器和網路資源的雲端安全產品將會變得沒有競爭力。

多租戶的安全

多租戶雲端安全將在2013年成為現實。我們將會常常看到雲端安全代管主控台運行在多數主要的雲端服務供應商，讓每個雲端使用者可以設定自己基於代理和無代理的安全設定，而且可以橫跨公共雲和私有雲。

可拋棄雲

可拋棄雲的時代來臨了。企業將開始接受低成本雲端備援陣列模型，就像是Pirate Bay一樣。令人驚訝的是，它會讓一般雲端服務供應商做出區隔化的運行時間服務水平協議變得不再重要。也讓用策略驅動的安全變得更加重要。

超快速雲

我們將會看到有更多高密度、高性能的雲端運算產品提供給專門用途。有些資料中心產品（SSD等）會出現在市場上，將會在2013年帶來跟2012年相比十倍以上的效率。而這些高性能雲端產品將會非常實惠，它們也將讓安全分析提升到一個新的境界。不過大多數企業在2013年還不會享受到這些。

追踪OpenStack

OpenStack將會持續取得進展，尤其是有些公共雲供應商會想要用來挑戰亞馬遜網路服務（AWS），還有一些具有前瞻性的企業會體認到OpenStack是實現混合雲的一條途徑。我們可以預見到有OpenStack專用安全方案可以運作在OpenStack、私有雲和公共雲之間。繼續閱讀

13恐懼症？2013年資安預測

2013 年 01 月 02 日2013 年 01 月 17 日趨勢科技 TrendMicro

作者：趨勢科技資深資安分析師Rik Ferguson

又來到了一年的這個時候，雪厚厚的積在地上，槲寄生出現在我的口袋裡，有熱酒暖和著手，當然還有對二〇一三年的資安預測。

趨勢科技在發表了商務、數位生活和雲端技術所要面臨的安全威脅，這是趨勢科技對二〇一三年及未來的安全預測。猛一看，預測標題可能會讓人覺得驚訝，惡意和高風險的Android應用程式數量將會在二〇一三年達到一百萬個。然而，如果想到我們在這一年來不停地上修二〇一二年底的Android惡意軟體數量，而現在已經有一百萬的四分之一了，那聽起來或許就不那麼遙不可及了。

這份報告總共提出了十項預測挑戰，有些全面性地檢視了技術發展趨勢和生活方式的改變，非常值得一讀。但我也想為你提供一些我自己的預測。

今年當然還是有些引人注目的惡意軟體出現，特別是Flame、Gauss及其家族。雖然這些單獨來看都很難說是2012年最大的威脅，但是他們所展現的方向和動能是很驚人的。在2012這一年，我們也證實了各個國家及政府單位意識到可以由數位秘密行動來進行軍事目的的可能性，可以說是已經被用來違反日內瓦公約和國際人道法。這是一個大問題，而所造成的影響，我相信得過一段時間後才會更加清楚。

跨平台漏洞攻擊包將會出現，這些攻擊包會包括針對行動系統的強制（drive-by）攻擊。這是有根據的，因為黑洞漏洞攻擊包（Blackhole Exploit Kit）已經在收集Win8和行動作業系統的統計資料。針對行動系統的強迫攻擊會改變整個行動惡意軟體世界。

惡意附加檔案再次興起 – 根據趨勢科技的最新研究發現，約有91％的目標攻擊是透過魚叉式網路釣魚郵件進入，其中有96％使用了惡意附加檔案。所以可以預計利用電子郵件附加檔案來做攻擊會再度興起，這是在近幾年內比較少在資安防禦中被討論到的部分。

沙箱閃避技術 – 安全技術的更新也意味著攻擊者將被迫花費更多時間來發展躲避沙箱自動分析的技術。自爆不再是個可行的作法。

繼續閱讀

<金毒獎 >粉絲票選最駭帝王李宗瑞;最駭帝后陳妍希~話題人物的社交工程陷阱,你 Hold 住了嗎?

2012 年 12 月 19 日2012 年 12 月 17 日趨勢科技 TrendMicro

“星巴克免費喝”社交工程毒餌,最讓上班族滑鼠Hold不住

如同電影界的指標性獎項金馬獎，一年一度萬眾矚目的駭客攻擊暨病界指標獎項趨勢科技金毒獎又來了。今年趨勢科技徵求廣大趨勢科技Facebook粉絲們，票選2012金毒獎各類獎項得主。甚麼樣的電子郵件標題擄獲粉絲的心，讓粉絲們不點選就心癢癢? 在2012年中，哪些男女明星最受網友青睞，榮登駭客釣魚誘餌首選，奪下最「駭」男女主角獎。在歲末假期頻仍的此時，趨勢科技估計駭客可能會就歲末瘋購物與旅行的相關議題發動另一波的攻擊，民眾應小心謹慎。
陳妍希最「駭」女主角李宗瑞榮登最駭男主角成另類駭客吸睛焦點

2012年資安威脅事件依舊不斷，網路釣魚（Phishing）與社交工程陷阱( Social Engineering)手法攻擊仍層出不窮。過往趨勢科技從資安防護專家的角度票選出每年透過不同攻擊手法且最具代表性的資安事件；今年趨勢科技透過趨勢科技粉絲團票選，了解對使用者而言，2012年最具代表意義的各類資安事件為何。

票選結果出爐，年度最駭男女主角獎分別由陳妍希與李宗瑞獲得。駭客運用陳妍希宅男女神的知名度為影片釣魚誘餌，而李宗瑞的淫照事件高度引起網友關注，以超過五成的票數獲得壓倒性的勝利。而電子郵件釣魚部分，網友一至認為最讓人滑鼠Hold不住的信件標題為「星巴克免費喝」(27.35%)、「免費下載暗黑破壞神三」(21.88%)，以及「李宗瑞影片，趕快下載唷」(16.51%)。而在最受駭客歡迎密碼獎的部分，近半參與票選的網友一致認為「123456」是最受駭客歡迎的傻瓜密碼。

2012年另一個倍受矚目的資安「駭」焦點則是行動裝置APP，52%網友則KUSO票選認為若駭客創造號稱可追蹤正妹的「正妹行蹤通報器」APP，肯定會是「駭」到最多人的行動APP。

趨勢科技資深技術顧問表示：「不論是過往資訊安全專家票選的金毒獎，或是由粉絲從使用者角度出發的票選結果，可以發現駭客攻擊的誘餌或標題都不脫主流大眾關心、或可以滿足人性偷窺欲望或喜愛美的事物的本性。歲末與跨年時節最受矚目的議題不脫購物、美食，以及旅遊等折扣優惠。或是利用依循過往慣例，駭客可能會透過電子郵件、社交平台訊息等方式散播假好康真釣魚或竊取個資的訊息。民眾需提高警覺。」

2012 金毒獎得獎名單:

【最駭導演】 AP進階持續性威脅(Advanced Persistent Threat, APT)
【得獎理由】遠端遙控臥底間諜暗度陳倉,忠實呈現目標攻擊單位情資
粉絲票選年度代表事件: