APT 進階持續性滲透攻擊研究報告10個懶人包

作者：趨勢科技Nart Villeneuve （資深威脅研究員）

 

在2011年，我相信你已經聽說過RSA被入侵了，而且偷走RSA Secure ID的相關資料，然後用在後續的攻擊事件裡。除了RSA之外，還有許多其他類似的受害者。你可能也聽說過ShadyRAT，它證明了殭屍網路/傀儡網路 Botnet可以有多麼長壽，還有Nitro和Night Dragon顯示出有些攻擊者的目標會鎖定在特定產業上。

 

你大概也看過趨勢科技關於Lurid攻擊的研究報告，它說明了攻擊者對非美國的目標也是有興趣的。而更重要的是，這樣的事件應該被視為「系列攻擊」，而非獨立事件。

 

但還有些了不起的APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)相關研究可能是你所不知道的。這是我個人所排出的前11名：

部落格「Contagio Dump」和「Targeted Email Attacks」：Mila Parkour和Lotta Danielsson-Murphy已經在這方面發表過許多相關的研究報告。我們通常拿得到惡意程式碼做進一步的分析，但社交工程陷阱所用的電子郵件內容卻不容易拿到。這些部落格在目標攻擊的領域裡有許多獨特的見解。

 

 

1.      部落格CyberESI：CyberESI的團隊發表過一些變種龐大惡意軟體家族的詳細分析報告（是真的非常詳細）。在我看來，他們的分析報告為這方面的逆向工程設立了標準。

 

2.      Htran：Joe Stewarts在Htran方面的研究成果被ShadyRAT研究報告的光芒給掩蓋了，但我認為這是今年最具有創新性的一份研究報告，因為它著眼在根本問題，尋找攻擊來源IP以找出幕後攻擊者的實際位置。

 

3.      「透過對系列攻擊的分析來啟動智慧型電腦網路防禦系統」：Hutchins，Cloppert和Amin說明如何追蹤一次攻擊的多個階段，並將多次事件串成一次「系列攻擊」。這是任何想要追蹤APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)的人都不可不看的報告。

 

4.      「1.php」: 這份來自Zscaler的報告，對一次特定的系列攻擊及所用的命令與控制基礎架構（C＆C）做出徹底的解構和分析，並且在結論裡提出了確實可行的防禦方法。另外，它對於在這方面的資訊披露也提出了相當獨到的見解。

 

5.      APT解密在亞洲：Xecure在今年的黑帽大會上展示他們對惡意軟體以共同屬性作群集分類的研究。我真的很喜歡他們在群集分類上所下的功夫，還有他們所提出的名詞「NAPT（非進階持續性威脅）」。

 

6.      M-Trends：這份來自Mandiant的報告對於攻擊者所用的方法做出很清楚的描述，也提出了詳細的清除策略。此外，它也包含了Mandiant對於持續性機制所做的研究，特別是「DLL搜尋路徑劫持（DLL search order hijacking）」技術。

 

7.      Sykipot：AlienLabs記錄了Sykipot系列攻擊所做出的目標攻擊（利用UCAV，無人戰鬥機的相關資訊），包括攻擊所用的弱點攻擊碼、惡意軟體以及命令和控制基礎架構（C&C）。

 

8.      「APT在煽動性的名稱外還有什麼？」：Seth Hardy在SecTor提出了許多對於APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)炒作訊息的重要觀點，包括了對一特定惡意軟體「SharkyRAT」的詳細技術分析。

 

9.      「茉莉花」，Greg Walton記錄了針對記者所做出的攻擊，這攻擊利用了Facebook還有針對Gmail的MHTML漏洞攻擊碼。這攻擊碼讓攻擊者可以將自己的電子郵件地址設成授權存取的帳號。

 

10.  「My Lovely Wood」，這篇來自Frankie Li的報告對用在目標攻擊裡的惡意軟體做出詳盡的技術分析。

 

＠原文出處：Top APT Research of 2011 (That You Probably Haven’t Heard About)

 

@認識APT

什麼是 APT？簡單的說就是針對特定組織所作的複雜且多方位的網路攻擊。

APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)集中於間諜與竊取機敏資料方面，其影響程度雖大但攻擊範圍甚小，使得蒐集有用的證據相對困難。攻擊者除了使用現成的惡意程式外亦使用客制化的惡意元件，並建立一個類似殭屍網路/傀儡網路 Botnet的遠端控制架構而隱身其後，達成一高度安全的作業環境。網路犯罪和網絡間諜之間的界限越來越模糊，藉由使用一般的惡意程式、漏洞與架構使得要區分與調查這類案件越來越困難。

APT 進階持續性滲透攻擊(Advanced Persistent Threat, APT)可能持續幾天，幾週，幾個月，甚至更長的時間。APT攻擊可以從蒐集情報開始，這可能會持續一段時間。它可能包含技術和人員情報蒐集。情報收集工作可以塑造出後期的攻擊，這可能很快速或持續一段時間。

例如，試圖竊取商業機密可能需要幾個月有關安全協定，應用程式弱點和文件位置的情報收集，但當計畫完成之後，只需要一次幾分鐘的執行時間就可以了。在其他情況下，攻擊可能會持續較長的時間。例如，成功部署Rootkit在伺服器後，攻擊者可能會定期傳送有潛在價值文件的副本給命令和控制伺服器（C&C Server）進行審查。

@延伸閱讀

鎖定單一對象的惡意程式攻擊有多高超？

專偷商業機密的Nitro 目標攻擊背後的意義

APT 進階持續性滲透攻擊：目標攻擊查明真相並不容易

進階持續性威脅LURID: 入侵了61個國家1465台電腦,包含外交等單位

CTO 觀點:我們從最近的 Sony 等駭客攻擊學到什麼？

現在是在駭什麼？從近日Sony 花旗等大公司被駭談駭客史

精確鎖定企業的目標攻擊與最大的弱點（內含Google與 RSA 遭目標攻擊案例）

繼假 Facebook 登入頁面後，殭屍病毒ZeuS鎖定美國陸軍銀行帳戶