《APT 威脅》神不知鬼不覺的APT攻擊 — 多則APT 真實案件分享(含網路釣魚信件樣本)

我們現在面臨著一個不斷演變的資安威脅環境。從一開始為了用來吹噓而攻擊或是用阻斷式攻擊( DoS )來切斷流行網站的服務,到現在是為了經濟利益而攻擊。攻擊者透過詐騙或竊取知識產權直接獲取利益,或進行大規模資料竊取等等。除了攻擊的動機與目的的轉變外,攻擊手法也有所改變。在這樣的環境中,最大的挑戰就是APT進階持續性威脅 (Advanced Persistent Threat, APT)

APT — Advanced Persistent Threat ,一般稱為進階持續性威脅,是針對特定組織進行複雜且多方位的攻擊。APT 不似從前的一般惡意程式攻擊:缺乏嚴格掌控;不限定目標地亂槍打鳥。APT 會花費較長的時間規劃、執行:偵查、蒐集資料;發掘目標的安全漏洞或弱點。

近兩年來遭受 APT 攻擊的著名案例:

· 2010 年 1 月 — Google:
在一起名為「極光行動」的事件中, Google 遭受 APT 攻擊。
當時一位 Google 員工點了即時通訊訊息中的一個連結,接著就連上了一個惡意網站,
不知不覺下載了惡意程式,開啟了接下來的一連串APT 事件。
在此事件中,攻擊者成功滲透 Google 伺服器,竊取部分智慧財產以及重要人士帳戶資料。

Googleaurora
「極光行動」常用像這樣的軟體更新下載程式作為誘餌。 

· 2010 年 7 月 — 西門子:
Stuxnet 是世界上第一隻攻擊西門子 SIMATIC WinCC 與 PCS 7 系統的蠕蟲病毒,
主要攻擊目標為發電廠或煉油廠等等的自動化生產與控制系統( SCADA )。
Stuxnet 藉由微軟 MS10-046 Windows 系統漏洞散佈,
其目的在於取得 WinCC SQL Server 登入 SQL 資料庫的權限。

· 2011 年 3 月 — Comodo:
數位簽章遭竊,憑證遭到破解,使得許多使用者及網站暴露於危險之中。 

· 2011 年 3 月 – RSA:
歹徒寄了兩封標題為「 2011 Recruitment Plan 」( 2011 年度徵才計畫)的信件給員工。
這兩封信件實為網路釣魚(Phishing),引發了後續的資料外洩事件。
Rsa01
RSA APT 事件中的網路釣魚(Phishing)

· 2011 年 4 月 — 洛克希德馬丁:
在 RSA 遭到攻擊後隔月,駭客以從 RSA 竊得的 SecureID 通過身分認證,侵入武器製造商洛克希德馬丁。 

· 2011 年 4 月 – Sony:
Sony PSN 資料庫遭侵入,部分用戶資料未經加密遭竊,
另有信用卡資料、購買歷程明細、帳單地址等等。
官方說法為商未修補的已知系統漏洞遭攻擊。
到了 10 月又遭攻擊者冒名登入,並取得 9 萬多筆用戶資料。
遭竊的信用卡資料在地下網站上拍賣。

 在 APT 攻擊中,最常使用的就是社交工程攻擊手法,以下將介紹幾個例子:

· 西藏獨立運動事件:
常見的引誘主題即是使用重大的國際新聞或是流行新聞。
例如以下信件是一封難辨真偽的邀請函。
Tibetan1
使用者只要點按郵件中的連結後就會被導到一個網站,
此網站透過程式碼來判斷訪客是使用 Windows 或是 Mac 作業系統。
然後會載入一個 JAVA 程式攻擊漏洞 CVE-2011-3544 
成功後即會安裝後門程式 OSX_OLYX.EVL 。 

· 員工滿意度調查 PDF:
另外一種常見的例子是幾可亂真的公司內部信件,
例如下面這一封員工滿意度調查信件。
Surveyform

通常信件內會夾帶一個惡意檔案,
此惡意檔案有可能是 Office 檔案、 PDF 甚至 JPG 圖檔。
在此案例中,使用者點開夾帶的惡意 PDF 檔案後,
即會攻擊 Adobe Reader 的零時差漏洞,
進而安裝惡意程式 BKDR_SYKIPOT.B 。 

 

 APT 攻擊層出不窮,我們當前所面臨的問題為:

 

· 對於APT 的攻擊不易察覺:
  –多數人不清楚APT 的攻擊手法;
  –不易分辨與其他傳統攻擊的不同;
  –一般的傳統攻擊大多是正面突破後植入後門程式,再設法對內連結進行下一步攻擊;
     而 APT 攻擊是逆向連結,惡意程式會自動進行回報,進行所謂防火牆後的攻擊;
  –利用針對傳統攻擊的防禦方式無法有效發現攻擊,更遑論能有效解決問題。
對此, Gartner 「減少先進持續性威脅的最佳實務原則」也指出 :
「 許多安全人員… 不認為有所謂的進階持續性滲透攻擊能躲過他們的傳統安全防護機制,並且潛伏在他們的系統內部。 

 

· 低估APT 攻擊帶來的傷害: 
  –此種攻擊在表面上不會有明顯且立即的損害,比起病毒感染或網頁置換來說,幾乎是無感;�
  –攻擊的目的是竊取機密資料,所造成的結果往往很難與 APT 攻擊連結,常誤認為內賊洩漏或在外部遺失。�
Gartner 也在「對付進階持續性滲透攻擊的策略」 提到
「 鎖定目標攻擊正不斷滲透標準的安全控管,
    讓安全控管一成不變的企業蒙受巨大的商業損失… 

   

 APT進階持續性威脅 (Advanced Persistent Threat, APT)正越過傳統的安全防護,並且持續潛伏在企業內部。
由於這些攻擊隱密與持續的特性使然,您很可能已經遭到入侵,只是還不知道而已。
有鑑於並非所有威脅都有辦法預防,資安分析師已開始要求客戶假設滲透無可避免
因此應該將目標轉移至改善偵測、預防及事件應變能力。
• 「 光是多加幾道防護不盡然能夠提升對抗進階持續性滲透攻擊的能力,安
       全防護必須演進才行。」– Gartner , John Pescatore , 2011 

• 「 過去採用的一些最佳應用實務,今日依然有其必要,但是…我們必須在
反制措施當中增加一些即時監控與管制技術。」 – Realtime Publisher 
• 「 事件應變能力必須提升,納入企業內部或第三方機構的鑑識與惡意程式
       分析能力。」– Gartner ,「對付進階持續性滲透攻擊的策略」

 

APT 攻擊



想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚

延伸閱讀

淺談APT進階持續性威脅 (Advanced Persistent Threat, APT)~含中文社交工程郵件案例

《APT 威脅》神不知鬼不覺的APT攻擊 — 多則APT 真實案件分享(含網路釣魚信件樣本)

「李宗瑞影片,趕快下載呦!」從公僕誤開測試信,看好奇心所付出的資安代價(含APT 目標式電子郵件攻擊實際案例)

什麼是 APT進階持續性威脅 (Advanced Persistent Threat, APT)?

[圖表] APT攻擊的 5 個迷思與挑戰

 惡意PowerPoint文件夾帶漏洞攻擊及後門程式

 進階持續性威脅LURID: 入侵了61個國家1465台電腦,包含外交等單位

《 APT 進階持續性滲透攻擊》BKDR_POISON 未來將出現更多挑戰

APT 進階持續性滲透攻擊研究報告10個懶人包

<APT進階持續性威脅>經由Email 發送的"員工滿意度調查"PDF檔案含SYKIPOT,展開目標攻擊行動

< APT 目標攻擊 >知名韓國企業收到量身訂製的社交工程信件,員工開啟後遭遠端控制竊取個資

《APT攻擊 》另一起電子郵件目標攻擊利用研究單位做掩護

《APT 攻擊》下載藏文輸入法至Apple iOS,竟引狼入室

《APT /MAC 攻擊》另一起和西藏相關的攻擊活動針對Windows和Mac系統

微軟控告殭屍網路ZeuS、SpyEye和Ice IX幕後黑手

時代變了 Mac使用者現在也會遭受目標攻擊

雲端安全和APT防禦是同一件事嗎?

一週十大熱門文章排行榜:<影音> 防毒小學堂: 躲在社交網路/社群網路後面的威脅 Social Media Threats

《 APT 進階持續性滲透攻擊》16 封不能點的目標攻擊信件

傳統安全策略已經不再足以保護企業

《 APT 進階持續性滲透攻擊》病毒也愛林來瘋!!目標攻擊以林書豪傳奇故事為餌,安裝後門程式

《 APT 進階持續性滲透攻擊》BKDR_POISON 未來將出現更多挑戰

《木馬專偷 Word, Excel 文件檔,得手後放雲端》受駭IP 遍佈150 國,含政府、學術界和企業網路

APT 進階持續性滲透攻擊研究報告10個懶人包

後門程式針對國際人權組織

趨勢科技發表2012資安關鍵十二大預測

2011 金毒獎【得獎名單】與【得獎理由】

<APT進階持續性威脅>經由Email 發送的"員工滿意度調查"PDF檔案含SYKIPOT,展開目標攻擊行動

◎ 歡迎加入趨勢科技社群網站