《 APT 攻擊 》從南韓 DarkSeoul大規模 APT 攻擊裡學到的三個教訓

前言:

在 3 月 20 日下午,多家南韓民間企業遭受數次攻擊(也一說為 DarkSeoul 大規模 APT 攻擊事件),業務運作嚴重中斷。此次事件的開始是受害企業內部數台電腦黑屏,網路凍結,造成電腦無法使用。

4月中事件調查出爐,報導說北韓至少策畫了8個月來主導這次攻擊,成功潛入韓國金融機構1千5百次來部署攻擊程式,受駭電腦總數達4萬8千臺,這次攻擊路徑涉及韓國25個地點、海外24個地點,部分地點與北韓之前發動網路攻擊所使用的地址相同。駭客所植入的惡意程式總共有76種,其中9種具有破壞性,其餘惡意程式僅負責監視與入侵之用,相關報導:
韓國320駭客事件調查出爐,北韓花8個月潛入企業千次部署攻擊

作者:Christopher Budd(威脅溝通經理)

趨勢科技在本部落格貼出一些關於二〇一三年三月廿日針對韓國許多系統進行MBR破壞攻擊的細節。

今天,我想藉著這些和一些從這事件裡獲得的額外資訊來帶出我們可以從這攻擊裡學到什麼。

當我們在看這起針對韓國的攻擊時,會看到三個具體的教訓:

  1. 後PC時代的攻擊並不只是針對設備
  2. 自動更新基礎設施是個可能的目標
  3. 安全和基礎設施產品也是目標之一

這些經驗教訓裡有個最重要的主題:當我們提到目標攻擊,並不僅是指透過針對性魚叉式網路釣魚(Phishing)郵件寄送所啟動的攻擊。目標攻擊同時也指會針對所選擇的受害者去了解基礎設施,想辦法盡可能去閃避或利用。最重要的是,這也適用在安全防護和控制措施上。

後PC時代的攻擊並不只是針對設備

這些攻擊裡有件特別引人注目的事情,就是出現針對Unix和Linux作業系統的攻擊程式碼。我們在過去一年已經看到攻擊者開始將注意力轉向Mac OS X,所以惡意軟體去攻擊非Windows作業系統並非新玩意。然而,Unix和Linux通常是駭客入侵的對象,而非惡意軟體的目標,所以這也代表了一種新的趨勢,將這些作業系統放入後PC攻擊的狙擊線內。

大多數組織會將這些版本的Unix用在高價值系統上,所以將它們包含在這攻擊程式碼內,似乎也表示將目標放在這些高價值系統上。而Linux往往被用在基礎設施和商品化作業系統,所以我們知道這些也都成為了目標。

這裡的關鍵教訓是,如果我們要找出目目標攻擊,就必須將所有的平台和設備都視為可能的目標。所以盡可能去將端點安全的最佳實作延伸到所有的平台和設備上是合理的作法,並且要實施其他層的防護以保護那些無法使用客戶端安全解決方案的平台和設備(如iOS)。

自動更新基礎設施是個可能的目標

我們從這些攻擊中學到的一個重要訊息是,攻擊者可能會破壞利用受害者的修補更新管理系統的認證機制,並用它來散佈自己的惡意軟體。這是第二次主要的目標攻擊會去攻擊自動更新/修補管理基礎設施,並將它變成惡意軟體派送系統:去年五月的Flame攻擊也代表一種主要的攻擊方式升級,透過破壞Windows Update客戶端來派送惡意軟體。

有了Flame攻擊,加上現在這起案例,很明顯地,攻擊者不僅是要破壞自動更新機制,還要進一步去利用它。這並不是說自動更新在本質上不可靠,應該是說,不該再將其視為理所當然。Flame攻擊是透過非常複雜的作法,而韓國攻擊則使用老式的破壞憑證作法。雖然針對Flame攻擊所使用的那種方式,你並沒有什麼可以做的,但你可以進一步地去確保安全修補管理和更新基礎設施都在更好的管控之下。從風險管理的角度來看,你應該將這些資產評估為關鍵、高價值的目標,並且適當地應對其風險。

安全和基礎設施產品也是目標之一

這一點是從前兩者延伸出來的,也是更廣的範圍。MBR抹除程式惡意軟體會針對兩個或三個韓國安全軟體。針對安全產品本身並不是新聞,Conficker/DOWNAD和其他惡意軟體在過去都曾經做過。但這裡最有意思的是,它只針對有限的兩三個目標,而非大量的目標(像是DOWNAD)。

這代表他們了解目標的安全防護措施。加上他們所利用的修補管理系統也集中在單一廠商這事實,我們可以得出結論,攻擊者有做好功課,收集他們目標受害者的安全和基礎設施相關資訊。

就跟我們前面提到要調整修補管理基礎設施的風險評估一樣,這裡所學到的教訓是,在目標攻擊裡,安全和基礎設施產品也是可能的目標。因此,你會需要額外的防護層來加以消弭風險,特別是能夠支援啟發式偵測能力的防護層。

結論

從MBR攻擊事件中有兩件事情特別引人注目:強大的破壞性和他們如何清楚地去針對高價值目標攻擊。像這樣大規模的攻擊很罕見:我記得上次類似的例子是發生在二〇〇四年的Witty蠕蟲攻擊,它針對運行Black Ice的系統,讓系統無法啟動。這些攻擊突顯出一些攻擊的興起和令人擔憂的趨勢。我們所能做的就是了解這些趨勢意味著什麼,並採取積極的防護措施,以更好地去對抗它們。而我們現在至少能夠知道一件事,那就是成功的戰術會被放到其他攻擊者的工具箱內,並被用在其他攻擊上。

 

@原文出處:Three Lessons from the South Korea MBR Wiper Attacks

想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚

◎延伸閱讀

《APT 攻擊》南韓爆發史上最大駭客攻擊 企業及個人用戶電腦皆停擺

《APT 攻擊》韓國網路攻擊事件 FAQ

影片說明:原來駭客就是這樣跟我一起上班的~APT 攻擊駭客攻擊手法模擬~社交工程攻擊(Social Engineer)過程重現

 

影片說明:APT 攻擊真實案例改編

★看更多APT 攻擊相關影片

什麼是 APT進階持續性威脅 (Advanced Persistent Threat, APT)?

淺談APT進階持續性威脅 (Advanced Persistent Threat, APT)~含中文社交工程郵件案例
《APT 攻擊》趨勢科技Deep Discovery 成功協助南韓客戶抵抗駭客多重攻擊APT 攻擊者

五個給小型企業關於雲端運算的迷思與事實

《趨勢專家談雲端運算》VMworld的熱門話題:為什麼安全團隊喜歡虛擬化桌面架構

八個令人無法苟同的雲端迷思

小型企業是網路犯罪者的大事業-每個小型企業都應知道的五件關於網路犯罪的事