新舊比較:APT 目標針對性攻擊所用的漏洞

最近一起新發現的網路間諜活動被大肆的報導著,由被稱為「Sandworm Team」的團體所發動。這起攻擊的核心是能夠影響所有現行支援中的微軟Windows版本和Windows Server 2008及2012的零時差漏洞

根據趨勢科技的分析,該漏洞讓攻擊者能夠透過微軟Windows和Server上的OLE封裝管理程式漏洞來執行另一個惡意軟體。之前的報告說明該漏洞被用在針對幾個組織和產業的針對性攻擊中。趨勢科技研究人員的分析顯示,這攻擊和資料蒐集與監控系統(SCADA)有關目標有著密切關連。此外,這個漏洞很快就被用在另一起採用新規避技術(將惡意檔案嵌入PPSX檔案)的攻擊。

APT

有時舊,有時新

並不是只有零時差漏洞會被用在針對性攻擊上。在2014年上半年,趨勢科技看到攻擊者仍然重度的使用較舊的漏洞。最好的例子莫過於CVE-2012-0158,這是跟Windows公共控制項有關的漏洞。儘管自2012年初就有了修補程式,但這漏洞已被證明是APT攻擊 /目標攻擊中不可或缺的工具,包括了PLEAD攻擊活動

當然,這並不代表零時差漏洞沒有在2014年造成威脅。一個針對好幾個大使館的APT攻擊 /目標攻擊被發現會利用一個Windows零時差漏洞。這個漏洞在幾天後被修補 –值得注意的是這發生在Windows XP停止支援前,而Windows XP也是受影響的平臺。另一個零時差漏洞也被Taidoor攻擊活動的幕後黑手重度的使用在攻擊中。這個零時差漏洞在三月後期被發現,修補程式在四月的禮拜二更新推出。

各擅勝場

漏洞幾乎都會被廠商加以修補,尤其是被認為是關鍵性的漏洞。但儘管有修補程式存在,也不是所有的使用者和組織都會加以更新或立即更新。原因之一是更新修補程式可能會中斷營運。或者是會經過較長的延遲時間才更新修補程式,因為在企業環境中更新修補程式需要先經過測試。

從這角度上,攻擊者會因為「可靠性」而使用舊漏洞。有些已經充分測試過的漏洞可以在目標網路和組織中發現。並且因為這些漏洞已經存在多年,讓攻擊者更能夠去產生完美的惡意軟體或威脅來利用此漏洞。

在另一方面,新的漏洞可以讓攻擊者取得上風。零時差漏洞可以讓所有人都措手不及,包括了安全廠商。供應商要不斷地去建立必要的安全措施和對應的修補程式,零時差漏洞可以利用「安全空窗期」來攻擊,甚至能夠影響最安全的環境。在這個意義上,零時差漏洞可以被認為更有效也更具危險性。

如果受影響平臺或應用程式已經過時或超過支援期限,那麼零時差漏洞會更加有效。因為沒有修補程式可用,可以進行零時差漏洞攻擊的安全空窗期就會變成無限長。

一個很好的例子是一個 目標攻擊利用了IE瀏覽器漏洞。這個漏洞(CVE-2014-1776)受到大量的關注,因為最初報導指出微軟不會發表Windows XP上的修補程式。不過很快就有修補程式釋出在該平臺上。

對策及解決方法

解決針對性攻擊不僅需要正確的工具,還要有正確的心態。在我們的文章:「IT管理員對APT攻擊常見的誤解」中,我們列舉了幾個可能會大大地影響網路安全的誤解。包括針對性攻擊一定會使用零時差漏洞的錯覺。正如我們所看到的,攻擊者不會自限於使用零時差漏洞。舊漏洞其實較零時差漏洞更受青睞。這強調了要更新所有可用安全修補程式的重要性。

解決零時差漏洞問題可能很困難,但並非不可能。類似虛擬修補程式這樣的做法可以幫助減輕零時差漏洞和不受支援系統所帶來的威脅。蜜罐系統(可以用來吸引攻擊者)能夠在早期階段標記攻擊。類似啟發式掃描和沙箱防護等技術可以用來幫助識別可疑的檔案,並在控制環境內執行該檔案而不會對網路造成影響。組織也應該要加強員工的教育訓練。電子郵件誘餌往往會出現在針對性攻擊的第一階段﹔如果員工有受過訓練來識別可疑的郵件,就可以大大地強化網路防禦。

趨勢科技Deep Security可以透過下列規則來防護這篇文章中所提到的零時差漏洞:

 

  • 1005801 – Microsoft Windows Kernel Elevation Of Privilege Vulnerability (CVE-2013-5065)
  • 1006030 – Microsoft Internet Explorer Remote Code Execution Vulnerability (CVE-2014-1776)
  • 1006045 – Microsoft Internet Explorer Remote Code Execution Vulnerability (CVE-2014-1776) – 1
  • 1005989 – Identified Malicious C&C Server SSL Certificate (For CVE-2014-1761)
  • 1005990 – Microsoft Word RTF Remote Code Execution Vulnerability (CVE-2014-1761)
  • 1006000 – Microsoft Word RTF Remote Code Execution Vulnerability (CVE-2014-1761) – 1

 

@原文出處:Old versus New: Vulnerabilities in Targeted Attacks