APT - 資安趨勢部落格

是什麼讓貴公司成為 APT 目標攻擊覬覦的對象？

2014 年 03 月 12 日2016 年 01 月 25 日趨勢科技 TrendMicro

在2014年，嚴重的資料外洩事件成為新聞版面的常態。不幸的是，這跟趨勢科技在2013年第四季所做出的主要威脅預測是一致的。政府、零售業、金融業、醫療保健甚至是醫療器材廠商都一直在APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)目標攻擊的標靶上。

企業被網路犯罪份子和其同夥所入侵的次數，跟這些駭客被繩之以法的機率比起來是完全不成比例的。這到底是為什麼呢？這世界對於網路犯罪分子和國家來說的確是平的。

如同我們頂尖的威脅研究員最愛說的一句話，「封包不用護照」。這讓防禦和最終將網路犯罪份子繩之於法都變得更加困難。在網路上找線索就像是終極版的CSI犯罪現場。

身為IT和安全專家，趨勢科技竭盡所能地對抗些企圖打爆基礎設施的惡意軟體，和精心設計來竊取敏感資料的攻擊行為，盡力地想打場好仗。不過到最後，真正重要的還是資料，並且確保我們有依照業務需求將資料作適當的分類。

接著，我們必須在強制性法規，像支付卡產業（PCI）之外部署具成本效益的基礎設施和安全協定，以合乎我們對自己所要求的資料安全標準。如果沒有適當的資料分類，組織要麼必須將一切都當成最高機密來防護，而這並不切實際。不然就是得對一切都做一般性的防護，這當然也並不可取，因為會讓你的組織增加危險。

不幸的是，許多組織都選擇後者。在趨勢科技最新的威脅綜合報告裡，我們分析網路犯罪份子是如何利用數位資料賺錢，還有他們利用什麼方式來攻陷他們的目標。最終，關鍵是替你的組織設計出有意義的風險模型。當討論到風險管理時，我常常會用「風險平衡」這名詞。因為說到資料安全，我們就必須在如何平衡投資和資料資產受損風險間作出決定。繼續閱讀

< 執行長的雲端隨筆 > 綜觀全局退一步見全貌

2014 年 03 月 08 日2014 年 04 月 08 日趨勢科技 TrendMicro

【作者:趨勢科技執行長 陳怡樺】 

自上次提筆撰寫專欄，一晃眼竟已相隔數十載的時光，身分也從「體育專欄作家」變成趨勢科技執行長，心境與生活體驗上可說是大不相同。然而，能透過筆下文字和大家分享個人見聞與想法，一樣令人興奮與期待！這一系列專文，除了我周遊各國的經驗、個人最感興趣的網路安全議題外，也將與大家分享個人興趣在經營管理上的啟發。 

我有許多嗜好，其中以繪畫為最，這個機緣該從10年前，移居美國加州帕薩迪納的那時說起。帕薩迪納是著名的藝術和設計學校的城市，與藝術相關的工作室也不在少數。

在一個陽光明媚的午後，我漫無目的散步著，忽然，一個別致的藝術工作室映入眼簾，我就這樣被裡面的一幅畫作，以及環繞著莫札特音樂的藝術氛圍深深吸引，立刻加入了繪畫班。當時，正好是公司產品開發與矽谷繁忙生活中的一個稍長的假期，好不容易偷得一些清閒時日，得此機緣與繪畫結下不解之緣。

拉高視野 繪畫帶來啟發
一周兩次在藝術工作室的課程，沒有繪畫天賦的我從基本功開始苦學，從圓形、橢圓的描繪到蘋果、杯子的素描，算是相當認真！習畫期間，經常被老師指出的問題點，也帶給我人生中重要的啟發，那就是「綜觀全局」。

學畫初期可能因為太專注於作畫了，所有的心思都放在特定的細部上，而忘記應該要以整幅畫為考量。
 繼續閱讀

針對日本和中國,可客製化攻擊的 EvilGrab 產生器

2013 年 12 月 16 日2013 年 12 月 12 日趨勢科技 TrendMicro

趨勢科技最近發表對一起新攻擊活動的調查結果，這起攻擊活動稱為EvilGrab，一般針對日本和中國的受害者。這起攻擊活動仍在攻擊使用者，我們現在已經取得用來製造此次攻擊活動所用惡意程式的產生器。

在現在現實世界的EvilGrab產生器

帶我們找到EvilGrab產生器的是個偽裝成Word文件檔的惡意檔案 – 最新版本的请愿书-让我们一同为书记呐喊（请修改指正).doc.exe。檔名是用簡體中文（它的MD5值是b48c06ff59987c8a6c7bda3e1150bea1，趨勢科技將其偵測為BKDR_EVILOGE.SM）。它會連到命令和控制伺服器（203.186.75.184和182.54.177.4），分別位在香港和日本。它還會將自己複製到啟動資料夾，並且對Windows註冊表做編輯。這些都是這類型惡意軟體的典型舉動。

然而，有些被加入的註冊碼有著特殊意義：

HKEY_LOCAL_MACHINE\SOFTWARE\{AV vendor}\settings

HKEY_LOCAL_MACHINE\SOFTWARE\{AV vendor}\environment

這些註冊碼似乎試圖將自己注入到防毒產品的程序內。和我們之前所討論的EvilGrab樣本類似，這惡意軟件會對騰訊QQ（一個流行的中國即時通系統）進行相同檢查。

雖然惡意軟體本身並沒有特別不尋常的地方，但是分析它讓我們找到用來產生這些惡意軟體的產生器。這個產生器被確認確實存在，而且命名為Property4.exe。

我們可以看到攻擊者可以輸入好幾個欄位。其中包括了：

指定命令和控制（C&C）伺服器（IP地址或網域名稱），端口和連接時間間隔。
選擇檔案圖示（安裝檔案圖示，檔案夾圖示和文件圖示）
刪除自己
鍵盤記錄
按鍵記錄

另外，在這產生器的第二選項頁內，攻擊者可以選擇試圖繞過的防毒產品：

圖二、繞過防毒軟體

測試EvilGrab產生器

這時候，我們決定要測試這產生器的功能，並且將其所生成的檔案和之前所看到的EvilGrab版本加以比較。

首先，我們打開產生器，輸入一些基本設定來產生測試版的EvilGrab。

圖三、EvilGrab產生器

我們的輸出選擇使用微軟Word檔案圖示，檔名為New.doc.exe，如下圖所示。請注意，這微軟Word檔案圖示描繪得很精確。

圖四、EvilGrab測試樣本

除了製造惡意檔案外，還會產生一個包含連線詳細資料的設定檔。

圖五、EvilGrab設定檔繼續閱讀

< APT 攻擊 >防護基礎設施對抗目標攻擊重要的一步

2013 年 11 月 11 日2013 年 11 月 05 日趨勢科技 TrendMicro

最近針對 Internet Explorer 瀏覽器釋放後使用（use-after-free）漏洞的零時差攻擊強調了一件事：建立使用者設定檔時使用最小權限原則有多麼的重要。

試想一下，如果大多數使用者帳號在端點都設定為管理者權限或root（這在舊作業系統上是驚人的常見，像是Windows XP）。一個簡單的社交工程技巧就可以讓攻擊者（或類似角色）利用這漏洞來取得跟目前使用者相同的使用者權限。這可能包括了修改系統檔案、安裝新程式或是管理其他設定。

網路管理員必須要盡最大的努力來防止攻擊者取得管理權限。再怎麼說，一個無法在系統上安裝和執行所下載程式的使用者設定檔就不會在我們所舉的例子裡造成太大的影響。這可能會對使用者和管理者帶來一些不便，但相較於安全性的提高還是值得的。因為攻擊者可能會取得權限提昇的風險，微軟最近介紹了Windows 8.1內的若干措施來防止這種情況發生，並且讓使用者可以更好地控制具有權限的帳號。

Jim Gogolinksi之前一篇「幫助企業對抗目標攻擊的建議」是非常具有建設性和必要的報告，讓人了解企業為何需要花時間來檢視他們的網路基礎設施是如何建立的。那篇報告關注在五件事情上：基礎設施、資料、事件回應團隊、威脅情報和進行滲透測試。

根據Gogolinski所說，安全的基礎設施在很大程度上依賴三個因素：正確和邏輯的網路分隔，日誌記錄和分析的能力，保護使用者個人設定檔和工作站的設定。無法奠定安全的基礎會成為企業的致命傷。趨勢科技最新的企業入門書「企業還擊：防護你的網路基礎設施以對抗目標攻擊」討論了因為沒有花時間和資源在這方面的努力上，而讓目標攻擊造成的安全影響。

原文出處：Securing the Network Infrastructure: An Important Step in the Fight Against Targeted Attacks作者：Macky Cruz

按<這裡>下載 2013台灣進階持續性威脅白皮書

本片為APT 攻擊(Advanced Persistent Threats) 真實案例改編,為了全方面了解目標攻擊對象,駭客鎖定目標攻擊者的財務狀況、社交活動等細節,還要列出所有部們和員工名單,甚至要知道員工會不會在網路上討論老闆。當然網路的邊界防禦措施和對外的網路連線系統,是必要的調查條件。

還不是趨勢科技粉絲嗎?想了解更多關於網路安全的秘訣和建議，只要到趨勢科技粉絲網頁或下面的按鈕按讚加入粉絲,各種粉絲專屬驚奇好禮,不定期放送中

◎即刻加入趨勢科技社群網站,精彩不漏網

影片說明:APT 攻擊駭客攻擊手法模擬~社交工程攻擊(Social Engineer)過程重現

◎即刻加入趨勢科技社群網站,精彩不漏網

趨勢科技發布2013年台灣進階持續性威脅(APT)白皮書

2013 年 10 月 21 日2014 年 09 月 25 日趨勢科技 TrendMicro

80%的台灣企業並不知曉已遭受APT攻擊 77%的企業在發現時已被駭客全面性掌控

【台北訊】進階持續性威脅（APT）在2013年引發一連串動大事件，從南韓爆發大規模的網路攻擊，到政府公文系統被駭事件，讓人認識到這種不易辨識，潛藏甚深的威脅，實際上非常需要注意，否則會釀成大禍！全球雲端資安領導品牌趨勢科技(TSE:4704)的資安事件處理團隊，多年以來協助國內政府機關與民間企業調查處理APT事件的過程中，累積了豐富的實戰經驗及對應方案的研究成果，加上趨勢科技的全球威脅情報進行統計分析，在今日首次發布第一份針對台灣APT攻擊現況的「2013年台灣進階持續性威脅白皮書」。
按<這裡>下載

「這次趨勢科技發布的2013年台灣APT白皮書為針對台灣，我們從這份報告當中，可以看出超過80%的受駭組織，並不知道自身企業遭受到APT攻擊，而且受駭的目標除政府單位之外，還包含高科技產業、金融業和中小企業等。」趨勢科技技術總監戴燊說明。「2013年台灣進階持續性威脅白皮書」當中指出，一般的資安解決方案並沒有辦法解決APT攻擊的問題，「APT攻擊的危險在於，它的潛伏深度令人驚駭：高科技產業的受駭組織，平均要經過346天才會發現自己遭受到APT攻擊，而甚至有些機構花費1019天才察覺到。這當中有77%的組織在發現受到攻擊時，已經被駭客取得完全的掌控，卻只有50%的受害電腦內會被找出惡意程式。」這也顯示出，組織內的IT團隊所面臨的挑戰，不只是發覺問題，而是必須找出保護網路，對抗APT的確切解決之道。

趨勢科技期待藉著這份這份白皮書，讓企業IT團隊可以對APT攻擊有更深一層的認識，幫助企業制訂對抗APT攻擊的策略，「藉著了解駭客所會用到的戰術和運作，我們認為有助於企業或組織中的IT人員，來建立本地威脅智慧和回應方式。」趨勢科技技術總監戴燊說。

這份白皮書透過三個面向–社交工程電子郵件攻擊、APT惡意程式和資安事件調查，為組織揭開APT的面紗。以下是該白皮書之內容摘要分享：

一、 社交工程電子郵件攻擊