APT - 資安趨勢部落格

防止貴公司網站成為水坑攻擊目標，應採取的五步驟

2014 年 08 月 26 日2014 年 08 月 23 日趨勢科技 TrendMicro

鱷魚的眼淚：看看反轉網路攻擊局面

在非洲，鱷魚被認為是最可怕的肉食性動物。這原始的野獸因為其實力和狩獵戰術而成為一流的獵人。其中一個戰術是在草原的水坑旁埋伏著。使用這種戰術是因為牛羚和瞪羚會聚集在水坑。這種戰術現在也被網路犯罪份子應用在網路空間。

「水坑（Watering hole）」在美國快速地發展著。水坑攻擊就是當某個企業網站伺服器被入侵，出現某個網頁被用來針對訪客提供特製的惡意軟體。這種攻擊對於將自己公司網頁設成首頁的員工來說特別有效，威脅也延伸到客戶和合作夥伴。另一種水坑攻擊是污染了網站內的廣告。這類型的攻擊被稱為惡意廣告。

根據Cisco Threat Research Media的報告，網路所帶來的惡意軟體是一般企業網路的四倍，這可能是因為惡意廣告的增加。網路出版品會吸引來帶有惡意軟體的線上廣告，並將它派送給讀者。傳媒產業依賴著廣告的收入，但廣告很少會審查有問題的程式碼。

趨勢科技最近的第二季威脅綜合報告 – 「反轉網路攻擊局面：應對不斷變化的戰術」指出全世界受感染的網址有25%源自美國。

你的網站已經成為你品牌的延伸；也是業務營運的延伸，所以保護它和防止它毒害你的員工和消費者是勢在必行。為了防止你的網站成為水坑，應該要採取以下步驟：

偵測網頁應用程式的漏洞並加以修補
發現應用程式的邏輯缺陷，包括全面性的漏洞攻擊證明
在平台層識別關鍵的安全漏洞，包括掃描作業系統，網頁伺服器和應用程式伺服器
透過入侵防護和WAF規則來防護漏洞不被攻擊
部署DMARC

繼續閱讀

“我的公司沒有重要到會被攻擊 ?” IT 管理員對 APT 攻擊常見五個誤解

2014 年 08 月 25 日2014 年 08 月 25 日趨勢科技 TrendMicro

在趨勢科技努力解決APT攻擊-進階持續性滲透攻擊 (Advanced Persistent Threat, APT) /目標攻擊時，經常會和不同公司的IT管理者一起處理攻擊他們的網路威脅。從合作的過程中，我們瞭解到一些IT管理者對於APT攻擊常有的誤解（或該說企業普遍都有）。本文介紹其中一部分，希望可以啟發IT管理員如何去制訂打擊APT攻擊的策略。

1.處理APT攻擊只需一次性努力?
事實:追踪並攔截一次攻擊意圖不代表解決了威脅

一些IT管理者認為處理APT 攻擊是一次性的努力 – 也就是說偵測和阻止一次惡意活動就會結束整個攻擊。但事實是，APT攻擊，因為這個詞很好地描述了它的特性：進階和持久。這些攻擊往往經過精心策劃和能夠靈活地去適應目標網路內的變化。能夠追踪並攔截一次攻擊意圖不代表解決了威脅。如果要說，它可能代表還可能有許多其他沒被發現的攻擊意圖，需要不斷地監控。

2.APT攻擊有一體適用的解決方案 ?
事實:所有的網路都不相同，這意味著每一個都需要不同配置

對於完整而有效的APT攻擊解決方案的需求相當高，但想想 APT攻擊的本質，就知道這樣的解決方案並不存在。攻擊者花費許多時間去偵察和了解目標企業 – 它的 IT 環境和它的安全防禦 – IT 管理者在制訂安全策略時需要去考慮到這種想法。所有的網路都不相同，這意味著每一個都需要不同配置。IT管理者需要充分了解網路，並實施必要的防禦措施以配合他們的環境。
3.你的企業沒有重要到會被攻擊 ?
事實:攻擊者可用你認為不重要的資料,發動社交工程（social engineering ）攻擊

另一個企業談到APT攻擊時的常見想法是，他們不太可能成為目標，因為他們的系統內沒有重要資料。不幸的是，資料的重要性可能取決於想獲取人的意圖。例如，公司的人力資源可能不會覺得過去的應徵資料有多重要，但攻擊者可能會用它來作為社交工程（social engineering ）的參考資料。如趨勢科技 CTO Raimund在今年早些時候的影片中所說，企業需要確定自己的核心資料，並加以足夠的保護。

4.APT攻擊都只跟零時差漏洞有關 ?
事實:只要一個系統錯過一個更新，就可能危害到整個網路
毫無疑問地，零時差漏洞對企業和一般使用者都造成很大的危害。然而，根據過去所看到的APT攻擊分析，陳年漏洞也很頻繁地被使用。根據我們對於2013年下半年的APT 攻擊趨勢報告，最常被利用的弱點不僅是在2012年被發現，也是在該年就被修補。這種趨勢讓部署安全更新到網路內所有系統變得更加重要性 – 只要一個系統錯過一個更新，就可能危害到整個網路。

5.APT攻擊是惡意軟體問題?
事實:專注於惡意軟體將只解決問題的一部分
我要談論的最後一個誤解有點特殊之處，因為從某方面來說是真的。IT管理者大多只是關心要有解決方案來防止惡意軟體進入他們的網路。雖然這樣並沒有錯，但專注於惡意軟體將只解決問題的一部分。APT 攻擊不僅跟端點有關，而是跟整個IT環境有關。比方說，用來進行橫向移動的許多工具都是合法的管理工具。如果解決方案只集中在偵測惡意軟體，那它就無法偵測到惡意活動。IT管理員需要考慮能夠覆蓋網路各方面的解決方案。

想了解更多防止APT 攻擊的專家意見和防禦措施，請參考我們的APT 攻擊入口網站。

@原文出處：Common Misconceptions IT Admins Have on Targeted Attacks作者：Spencer Hsieh（威脅研究員）

將你的頭抬出沙堆！單靠沙箱技術並無法完全地對抗APT 攻擊

2014 年 08 月 21 日2014 年 08 月 21 日趨勢科技 TrendMicro

先前本部落格這篇「啟發式掃描和沙箱防護：雙劍合壁」文章說出了關於APT針對性攻擊和的實情。這文章點出為什麼單靠沙箱技術並無法完全地對抗APT攻擊。

它是一個重要部分，當然沒錯。然而不管是號稱獨門技術或額外特製，不要讓任何供應商說服你相信沙箱分析可以解決一切。它雖然有效，但單靠沙箱解決不了APT 攻擊。因為有過度簡化的風險，這裡有三個原因：

跟任何安全技術一樣，沙箱有自己的弱點。沒有兩家廠商的產品是一樣的；但總的來說，沙箱技術可以被攻擊者透過先進的偵察和攻擊準備來閃避掉。
正如TrendLabs的文章所說，攻擊者會在他們的進階惡意軟體中建立檢查點，尋找特定的Windows作業系統許可證、語言和其他設定，包括檢查虛擬環境。成熟的廠商會開發對策；然而，很少會提供建立客製化沙箱來模擬攻擊者試圖攻擊的目標桌面環境。
由於流量和攻擊載體的數量，很少組織具備足夠的財力和安全資源來建立可擴展的沙箱服務而不會影響到最終使用者的工作效率。

除了有嚴謹的研究來保持領先於攻擊者的沙箱迴避技術，趨勢科技也獨一無二的使用啟發式掃描在網路流量上。透過監視所有的網路端口，超過八十種協定和應用程式，我們可以提供獨特的先進分流技術來偵測進階惡意軟體和零時差漏洞而不用依賴沙箱技術。結合了這兩種技術，會更加有效率的偵測和回應針對性攻擊和進階威脅。

不用只聽我們講，實測是最好的證明：

最近零時差漏洞攻擊碼的部分名單

NSS實驗室入侵外洩偵測系統測試結果

@原文出處：Get Your Head out of the Sand! 作者：Bob Corson

調查顯示：「企業領導者需要知道針對性目標攻擊(APT 攻擊)」

2014 年 08 月 12 日2014 年 07 月 31 日趨勢科技 TrendMicro

針對性目標攻擊攻擊和APT攻擊-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)對你組織的信譽、智慧產權、通訊和資料來說都是種不斷成長的風險。原因很簡單，發動針對性攻擊所需的武器和專業知識都是現成的。就跟你今天在線上購買一本書或你喜愛的歌曲一樣，攻擊者只需要一張信用卡和滑鼠來設計和執行針對性攻擊，同時使用支援的基礎設施和專業知識。

擔憂尚未明確

最近趨勢科技委託的哈佛商業評論分析服務所做的深入調查發現，有60%的企業管理階層非常關心針對性攻擊，有70％認為高層決策者在攻擊發生時需要瞭解影響程度。此外，根據研究，有三分之一不知道在這樣的攻擊下有什麼類型的資料會受到影響。

訊息很清楚：除非資深管理階層更了解問題的本質，和知道他們的組織哪裡容易受到進階攻擊，不然安全預算所解決的問題也有限。作為背景資料，有三分之一受訪者回應哈佛商業評論研究時指出，他們目前正被當作目標。更重要的是，調查中所提出的最主要安全擔憂包括了品牌形象受損（56％），損害專業信譽（54％），智慧產權損失（52％）和營收損失（49％）。更加迫切的是需要有辦法去遵循越來越多的規範和法律。

然而，「不知道」是當受訪者被問到他們的組織遇到這樣的攻擊時被竊取了什麼資料時的頭號答案，對針對性攻擊和進階威脅的性質及意圖缺乏深刻的瞭解。

是時候採取行動

那我們該如何建立IT和業務主管間的橋樑，以增加對攻擊的認知和排定安全投資的優先順序？嗯，這份報告建議了很棒的第一步，分類和識別哪些企業資料最有危險。然後安全團隊可以開始用更有效的投資回報名詞來介紹網路防禦技術。易於部署並能阻止廣泛攻擊卻又不會增加管理和支援成本的工具將會最受到青睞。

很清楚的是，針對性攻擊是一個日益嚴重的威脅，像趨勢科技屢獲殊榮的Deep Discovery樣的解決方案可以幫助企業偵測和回應針對性攻擊。

趨勢科技委託哈佛商業評論分析服務所做的調查可以在這裡下載。

＠原文出處：Survey Says: “What Business Leaders Need to Know about Targeted Attacks” 作者：Bob Corson

《APT 攻擊》91％的目標攻擊利用電子郵件作為進入點

2014 年 07 月 14 日2015 年 07 月 08 日趨勢科技 TrendMicro

一封冒稱健保局的「二代健保補充保險費扣繳辦法說明」,導致萬筆中小企業個資遭竊;
一封偽裝銀行交易紀錄信件,導致南韓爆發史上最大駭客攻擊;
996 名公僕因為一封標題為「李宗瑞影片，趕快下載呦！」信件, 好奇點閱中了資安陷阱;

Ponemon的研究計算出一次目標攻擊的平均成本是嚇人的 580萬美元也就不令人驚訝了，光是從EMC和Target事件所看到的成本就是10倍以上了。

APT目標標攻擊通常會先充分研究過並以相關的電子郵件形式出現，其中包含惡意電子郵件附加檔案或網址來合成引誘收件者打開的內容。他們會被誤導去相信電子郵件的來源和內容真實無誤，進而受騙和在無意中將進階惡意軟體安裝到他們的電腦上，從而成為攻擊者在網路內的灘頭堡。從這一刻開始，攻擊者可能會取得敏感的客戶資料、商業秘密或無價的知識產權。

阻止電子郵件目標攻擊：移除攻擊者最容易進入的路徑

「進階持續性滲透攻擊」（Advanced Persistent Threat，以下簡稱APT攻擊）是今日企業所面臨的最大威脅之一。一場完美風暴已然形成。結合了世界各地具備創造力和靈活力的網路犯罪分子；進階的攻擊工具包、基礎設施以及隨時在線上待命的專業能力；加上傳統的安全防禦並無法偵測未曾見過的威脅，都將攻擊的風險推到前所未有的高度。高知名度的攻擊事件，像是零售商Target和百貨公司Neiman Marcus的大量資料外洩事件都提醒了IT和業務主管相關危險。

從此一問題延伸開來，根據趨勢科技TrendLabs的研究，有91％的 APT攻擊利用電子郵件作為開始的進入點。此外，最近Ponemon的研究表示有78％的針對性電子郵件攻擊利用嵌入在附件的惡意軟體。根據這幾點，攻擊者顯然認為電子郵件是阻力最小的攻擊路徑，可以用來避開現有的安全防禦，進而從你的網路外洩資料。

公司如果不能真正解決針對性電子郵件攻擊的問題，付出的代價並不只是重裝幾次電腦或從經驗中變聰明一點。更嚴重的是一些潛在的影響，包括來自客戶、供應商和股東的訴訟、罰款、收入損失和削弱品牌價值。所以最近Ponemon的研究計算出一次APT攻擊的平均成本是嚇人的580萬美元也就不令人驚訝了，光是我們從 EMC和 Target事件所看到的成本就是10倍以上了。

建立對未知的能見度

IT安全專家所面臨的問題是，目前的電子郵件安全閘道對於嵌入在郵件附檔的進階惡意軟體和郵件內嵌網址沒有識別能力。事實是，它們沒有能力解決這個問題。

原因是，APT攻擊通常會先充分研究過並以相關的電子郵件形式出現(請參考:服貿議題成社交工程信件誘餌!! 及針對台灣政府單位的 RTLO技術目標攻擊)，其中包含惡意電子郵件附加檔案或網址來合成引誘收件者打開的內容。他們會被誤導去相信電子郵件的來源和內容真實無誤，進而受騙和在無意中將進階惡意軟體安裝到他們的電腦上，從而成為攻擊者在網路內的灘頭堡。從這一刻開始，攻擊者可能會取得敏感的客戶資料、商業秘密或無價的知識產權。

對組織來說，關鍵是讓攻擊者無法輕易地去侵入公司網路，不要讓電子郵件被當作切入點。

Deep Discovery Email Inspector解決針對性電子郵件攻擊

今日資源和預算都有限的現實環境下，解決問題必須透過加強現有投資來創造槓桿效應。資安也是一樣。考慮到這一點，趨勢科技發展出一套內部部署專用的解決方案，通過增強現有電子郵件安全閘道來解決針對性電子郵件攻擊問題。透過單一專用的設備，Deep Discovery Email Inspector無縫地跟你現有的電子郵件基礎設施整合。無需變動你現有電子郵件閘道或第三方安全工具的政策、管理或設定。根據趨勢科技TrendLabs的研究以及他們對APT攻擊和攻擊者行為的瞭解，利用各種特製演算法和專門偵測方式來偵測和封鎖含有可疑網址或嵌有進階惡意軟體之電子郵件附件的針對性電子郵件攻擊。

下面是阻止針對性電子郵件攻擊的解決方案還能做到的部分：