APT 駭客工具解密

趨勢科技2013安全預測中,我們提到惡意軟體會逐漸地演變,不會有太多顯著地變化。這可以從APT進階持續性威脅 (Advanced Persistent Threat, APT)使用一些(合法)駭客工具中看得出來。

attack

這為什麼是個問題呢?駭客工具是種灰色軟體,並不一定會被防毒軟體防毒軟體所偵測,或因為道德法律考量讓他們不這樣做。不幸的是,這意味著在APT進階持續性威脅 (Advanced Persistent Threat, APT)鑑識調查裡更難發覺它。此外,它也讓攻擊者省下自己開發工具的麻煩。常見到的駭客工具有:

密碼回復工具 – 用來將應用程式或作業系統存放在本地硬碟或註冊表內的密碼或密碼雜湊值取出的工具。通常被用來複製或偽造使用者帳號以取得管理者權限。雜湊值注入(Pass-the-hash)是種常見的方式讓攻擊者透過偷來的密碼雜湊值取得管理者權限。

  • 使用者帳號複製工具 – 當攻擊者取得密碼後,用來複製使用者帳號的工具。一旦取得足夠權限,攻擊者就可以繞過系統的安全措施,執行惡意企圖。
  • 檔案操作工具– 用來操作檔案(複製、刪除、修改時間標記、搜尋特定檔案)的工具。它被用來修改存取過檔案的時間標記或刪除特定組件以掩飾入侵的痕跡。它也可以讓攻擊者透過副檔名搜尋所需要的關鍵文件。
  • 排程工具– 用來關閉或建立排程的軟體。這可以讓攻擊者透過關閉軟體更新排程以降低受感染系統的安全性。同樣地,也可以做為惡意用途。例如,攻擊者可以建立排程以在特定時間自動竊取檔案。
  • FTP工具 – 用來執行FTP傳輸的工具,像是將檔案上傳到特定FTP站台。因為在網路上的FTP傳輸看起來比較不那麼可疑,有些APT(進階持續性威脅)幕後黑手會偏好將竊取來的資料上傳到遠端FTP站台,而不是上傳到C&C伺服器。要特別指出的是,有好幾個合法的FTP應用程式也被網路犯罪份子所用。
  • 資料壓縮工具– 這些工具本身並非惡意,也不被視為入侵用的工具。在大多數情況下,這些都是合法的檔案壓縮工具,像是WinRAR,只是被攻擊者用來將多個偷來的檔案加以壓縮合併。這可以在資料竊取階段,幫攻擊者將偷來的文件合成一個單一檔案上傳。在少數情況下,我們也看到這些應用程式被組合設定來壓縮預先定義好的一組檔案。

要如何判斷APT(進階持續性威脅)使用這些駭客工具?

我們已經看到要如何使用這些工具在APT進階持續性威脅 (Advanced Persistent Threat, APT)中取得管理者權限,並且收集關鍵文件。那麼IT管理員和進階使用者該如何利用這資訊來判斷有使用這些工具的APT進階持續性威脅 (Advanced Persistent Threat, APT)

  1. 出現可疑的命令列程序在執行,就表示可能有被入侵。上面所列舉的工具,不是命令列工具,或是同時具備命令列和圖形界面。攻擊者透過在背景執行的命令列程序來使用這些工具,所以定期檢查環境內未知的命令列執行程序可以幫你找出可能的攻擊。此外,利用類似Process Explorer的程序管理工具可以讓你看到命令列程序所用的參數。這可以幫你找出APT進階持續性威脅 (Advanced Persistent Threat, APT)可能的相關組件。
  2. 攻擊者早就已經開始利用合法軟體做為惡意用途。因此,使用者應該要對出現在自己系統上的軟體抱持著小心謹慎的態度,也應該要可以識別是否為自己所安裝。這可能很無趣,但是否能夠發覺系統內異常的檔案,也決定了可以解決APT(進階持續性威脅)攻擊,或是讓組織內大量機密文件被外洩的差別。
  3. 此外,我們還觀察到,攻擊者有時會將這些工具改成奇怪的檔名,或是假的副檔名。再次提起,可以去辨別這些被加入的檔案是辨識可能入侵的關鍵。
  4. 在網路活動日誌中注意FTP連線也是個好作法。雖然比較常見的作法是檢查惡意C&C連線,檢查FTP連線則會讓你多一個機會去發覺網路中是否有資料外洩的情況。在企業環境裡,FTP站台通常是位在內部網路,所以可以很容易的分辨惡意或正常的站台。FTP的網路活動也比其他類型的通訊協定來得少多了,可以讓你更快去辨別是否有問題。此外,檢查被上傳到遠端站台的檔案或壓縮檔是否使用奇怪的檔名也是個辨別的方式。
  5. 檢查工作排程。工作排程是種常見的自動啟動模式,不僅被用在APT進階持續性威脅 (Advanced Persistent Threat, APT),一般的惡意軟體也會用。檢查工作排程不僅可以讓你辨別是否受到攻擊,還有機會去透過它們所執行的檔案來找出攻擊活動裡的其他組件。有鑑於今日的APT活動越來越多,可以從組織網路活動內識別出現行的APT攻擊就跟防止APT進階持續性威脅 (Advanced Persistent Threat, APT)入侵是一樣重要。

從不同角度(像是使用者,安全管理員,還有安全研究人員)來了解目標攻擊,可以更有效地去打擊這些威脅。強調APT進階持續性威脅 (Advanced Persistent Threat, APT)所用的組件,可以讓我們知道該去哪裡尋找,以識別出可能的入侵活動。

趨勢科技之前提過,相對於帶有間諜目的攻擊,我們將會看到增加的是帶有破壞性的攻擊。此外,帶有某些特定條件(如特定語言設定或地理位置)的本地化攻擊也將會增加。

@原文出處:Throwing Some Light on APT Hacktools作者:Roland Dela Paz(威脅研究員)

想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚

◎延伸閱讀

 

什麼是 APT進階持續性威脅 (Advanced Persistent Threat, APT)?

《APT 攻擊》退信和讀取回條自動回覆的風險

APT 攻擊者偏好的DDOS 分散式阻斷服務攻擊與密碼擷取工具,自我更新更厲”駭”

木馬專門竊取圖檔/影像檔案,得手資料傳送遠端 FTP,可能為APT 攻擊布局

 

APT 攻擊

 

◎即刻加入趨勢科技社群網站,精彩不漏網