APT攻擊-進階持續性滲透攻擊 (Advanced Persistent Threat, APT) 最為人所知的是會利用零時差攻擊。不過舊漏洞其實也經常被利用。事實上,根據2013年下半年所進行的分析結果顯示,這段時間內最常被攻擊的漏洞是CVE-2012 0158,這是微軟Office在2012年4月就已經被修補的漏洞,這顯示更新修補程式和安全更新在解決這些威脅所帶來的風險上是多麼的重要。
圖一、APT攻擊中最常被攻擊的漏洞
台灣、日本和美國最常被APT攻擊鎖定目標;攻擊產業前三名:政府、 IT產業、金融服務業
趨勢科技的研究結果(根據我們所分析過的案子)顯示,有八成的APT攻擊和政府機構有關。其次是IT產業(不管是硬體或軟體)以及金融服務業(銀行)。此外,我們還監控了存取針對性攻擊相關C&C伺服器的各個IP地址位置。我們的數據顯示出台灣、日本和美國是APT 攻擊鎖定三大區域。
圖二、台灣、日本和美國最被常APT 攻擊鎖定目標
台灣政府機關下載或開啟附件檔案之前請務必三思!趨勢科技發現一個專門針對台灣政府機關的鎖定目標攻擊行動,名為「PLEAD」,犯罪份子使用魚叉式網路釣魚(Phishing)電子郵件,內含以「強制從右至左書寫」(RTLO) 技巧來偽裝檔名的附件,並利用 Windows 的漏洞來攻擊受害者,誘騙缺乏警戒的收件人開啟並下載惡意附件檔案,進而在受感染的電腦上執行後門程式以蒐集系統與網路資訊。
趨勢科技台灣區技術總監戴燊表示:「RTLO 技巧運用了從右至左書寫的 Unicode 指令字元,這些字元是為了支援世界上從右至左書寫的語言,讓使用不同語言的電腦也能正確交換資訊。透過 RTLO 技巧,歹徒可將惡意檔案偽裝成看似無害的文件。」
專門攻擊台灣政府機關 新「鎖定目標攻擊」現身!
檔案名稱精心造假 引誘收件者下載惡意附件
趨勢科技曾經在最近的2013年下半年度目標攻擊綜合報告裡指出,在台灣看見了好幾起APT攻擊-進階持續性滲透攻擊 (Advanced Persistent Threat, APT) /目標攻擊相關的攻擊活動。
趨勢科技目前正在監視一起專門針對台灣政府和行政單位的攻擊活動。我們將這起特定攻擊活動命名為PLEAD,來自於其相關惡意軟體所發出後門指令的字母。
此次攻擊活動的進入點是透過電子郵件。在PLEAD攻擊活動裡,攻擊者利用RTLO(從右至左覆蓋)技術來欺騙目標收件者將被解開的檔案誤認成非執行檔。(編按:比如將檔案名稱xxx.fdp.scr顯示成xxx.rcs.pdf)
在某些PLEAD攻擊活動的相關案例裡正確地運用了RTLO技術,如同一起針對台灣某部會的案例,聲稱是關於技術顧問會議的參考資料:
圖一:寄送至台灣政府單位的電子郵件
一旦.7z附加檔案被解開,收件者會看到兩個檔案,看來像一個PowerPoint文件和一個Microsoft Word檔案。RTLO技術基本上是利用支援由右到左書寫語言的Unicode字元,可以從第一個檔案清楚地看到。事實上是螢幕保護程式檔案。
此威脅的主角還包括一個用作誘餌的.DOC文件,圖二內的第二個檔案,其唯一的作用是增加電子郵件的可信度。
圖二:解開的附件檔顯示RTLO伎倆作用在.SCR檔案上
為了進一步讓受害者相信.SCR檔案是PPT文件,這個.SCR檔案實際上會產生下列PPT檔案以充作誘餌。
圖三:.SCR產生這個PPT檔案作為誘餌
另一封電子郵件偽裝成台商企業的統計數據:
圖四:第二封電子郵件樣本,被寄送到不同的台灣政府單位
圖五:附件檔解開後發現該檔案是個可執行檔
漏洞,特別是零時差漏洞,經常會被惡意份子用作目標攻擊的起始點。影響微軟Word的零時差(在當時)漏洞(CVE-2014-1761)就是一個例子。在三月所發佈的資安通報裡,微軟自己承認該漏洞被用在「有限的目標攻擊」裡。微軟因此在其四月的週二修補程式裡修補了此一漏洞。
然而,出現修補程式並不會嚇阻惡意份子去利用此漏洞。趨勢科技還是看到有APT攻擊-進階持續性滲透攻擊 (Advanced Persistent Threat, APT) /目標攻擊在他們的攻擊活動裡利用此一漏洞。
Taidoor連線:偽裝台灣政府部門和教育單位發出全國民調, 服貿議題被操作
我們看到了兩起針對台灣政府部門和一個教育單位的攻擊。第一起攻擊使用夾帶惡意附件檔的電子郵件,此郵件偽裝成來自政府員工。附件檔標題偽裝成一份全國性民調來增加說服力。此附件其實是被偵測為TROJ_ARTIEF.ZTBD-R的漏洞攻擊程式。它會產生被偵測為BKDR_SIMBOTDRP.ZTBD-R的檔案,接著再產生兩個檔案 – TROJ_SIMBOTLDR.ZTBD-R和TROJ_SIMBOTENC.ZTBD-R。這兩個檔案最後會導致被偵測為BKDR_SIMBOT.SMC的最終結果。
第二起APT攻擊的教育單位也是在台灣。此波攻擊利用電子郵件附加檔案來取得對收件者電腦和網路的存取能力。這封電子郵件討論了服貿議題,而附件檔和一個工作專案有些關係。跟第一個案例類似,此附件檔也是被偵測為TROJ_ARTIEF.ZTBD-PB的漏洞攻擊程式。它會產生一個被偵測為BKDR_SIMBOT.ZTBD-PB的後門程式。一旦執行,此一惡意軟體可以執行指令來搜尋欲竊取的檔案、取出檔案以獲利以及進行橫向移動。
我們已經確定這兩個攻擊跟Taidoor有關(一個自2009年就開始活躍的攻擊活動),因為網路流量結構類似。上述攻擊和之前的攻擊活動有著相同的特性,不管是目標、社交工程(social engineering )誘餌以及使用(零時差漏洞)的技術。
後續的PlugX:偽裝成來自台灣某出版社的新書列表
另一起我們看到利用CVE-2014-1761的攻擊針對在台灣的郵件服務。就跟其他攻擊一樣,此一攻擊利用電子郵件附加檔案來進入網路。電子郵件附加檔案偽裝成來自一出版社的新書列表。這樣做是為了引起收件者的興趣。
此附件檔其實是偵測為TROJ_ARTIEF.ZTBD-A的漏洞攻擊程式,會產生被偵測為TROJ_PLUGXDRP.ZTBD的PlugX惡意軟體。它會產生被偵測為BKDR_PLUGX.ZTBD的惡意程式,此程式可以進行廣泛的資料竊取行為,包括:
正如我的母親未能發現和防止餅乾竊賊,因為她只監視廚房椅子、衣櫃門或烤箱門的開啟。建立起有效防禦目標攻擊與APT攻擊的重點之一就是必須監控廣泛的攻擊表面。就是這麼簡單,餅乾竊賊有著貪婪的慾望和頑強的堅持,那些想入侵你的網路並竊取你資料的人也是,你只要那邊不注意,那麼「餅乾」就會從那裡消失。
作者:Bob Corson
最近有個想法閃過我的腦中,我小時候常有過的回憶和現在的目標攻擊與APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)有許多相似之處。這是個遲來的懺悔,不過當我還是小孩子的時候,我常會去偷吃媽媽剛烤好的餅乾。<希望我的母親不會看到這一篇>
回想起來,我記得我有著瘋狗般的毅力驅動著我,想要一嚐新鮮的花生醬、巧克力片或燕麥餅乾來滿足我的味蕾。也因此,我想到許多方法來拿到餅乾。我不會在這列出所有的方法,因為我太太也是個烘焙高手,所以我可不希望她知道我所有的招數。但說回我的童年,這裡是一些孩子們會嘗試和真正可以拿到餅乾的方式:
現在回歸正題,這跟目標攻擊與APT攻擊有何關係?嗯,讓我驚訝的是,我的母親變得對監控聲響非常熟練 – 移動廚房椅子的聲音,我用掃帚柄打開櫥櫃門時的吱吱作響,當我試著偷偷去拿還溫熱餅乾時的烤箱門開啟聲。此外,她善於監測曾出現過的「餅乾攻擊手法」 – 當我想用不同的路線來偷拿餅乾時。而且有著獵犬般的警覺性,可以看出當我想用「社交工程陷阱( Social Engineering)」手法,一邊用著「我愛你媽媽」的熱情擁抱,同時伸出一隻手在她背後去偷拿餅乾。
趨勢科技第一時間攔截零時差攻擊
呼籲政府及企業儘速修補程式 並進行APT 防護檢測
【2014年4月11日台北訊】全球雲端資安領導廠商趨勢科技,今日針對最新一波重大APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)事件發出警訊!根據趨勢科技APT調查小組第一時間的攔截報告,發現國際性駭客組織透過微軟RTF程式漏洞,針對台灣經濟相關的政府部會及企業,進行首波大規模目標性零時差攻擊!駭客利用主旨為與服貿等熱門議題有關的社交信件,夾帶後門程式以操控受害電腦,目前已知影響近20家台灣相關政府單位與企業!趨勢科技呼籲用戶,應儘快更新微軟MS14-017重大弱點修補,並立即進行APT資安防護檢測。
趨勢科技技術總監戴燊表示:「趨勢科技於昨(10)日發現,有駭客使用國際駭客組織慣用的惡意程式,利用微軟的RTF程式漏洞,專門針對台灣用戶的電腦進行零時差攻擊。駭客利用被感染電腦做跳板,發送以熱門新聞議題(例如服貿)為主旨的社交電子郵件,給台灣經濟相關的各政府單位及組織,信件夾帶後門程式HEUR_RTFEXP.A及HEUR_RTFMALFORM,用戶一旦開啟即被植入,駭客將可取得受害電腦的操控權為所欲為,例如竊取資密資料等。」
微軟公司在3/24日公佈此項RTF 弱點,趨勢科技APT解決方案於當天即偵測並攔載到惡意程式樣本,成功協助台灣與全球客戶在第一時間防禦此波APT威脅。趨勢科技更進一步發現,為了規避資安防護產品的偵測,駭客組織透過一個日本的網站為攻擊中繼站,以增加偵測的難度,但趨勢科技網頁信譽評等服務( Web reputation service, WRS)早已將此網站封鎖。