標籤: apt 攻擊

「李宗瑞影片,趕快下載呦!」從公僕誤開測試信,看好奇心所付出的資安代價(含APT 目標式電子郵件攻擊實際案例)

趨勢科技 TrendMicro

「李宗瑞影片,趕快下載呦!」~~~政府單位以這測試信,導致 996 名員工好奇點閱「中招」,點閱員工分十梯上2小時的資訊安全課程。如果你是 IT 部門的主管,你知道公司裡最會開啟色情附件檔的是哪些員工?那個部門是網路安全的地雷區?

在本部落格提到的這篇文章中,   69%的人每週都碰到網路釣魚,25% 高階員工被釣得逞 ,而根據趨勢科技曾經針對國內某家超過300人的企業所做的調查顯示,防毒意識最差的部門是:業務部,而最會開危險郵件的員工是:工讀生等臨時雇員。(編按:上述文章中有提到防網路釣魚四步驟,推薦閱讀)

認識駭客(Hacker),Cracker(破壞者),激進駭客(Hacktivist)網路犯罪份子(Cybercriminal),白帽(White Hat),黑帽(Black Hat),灰帽(Grey Hat) 這意味著,幫公司締造業績的部門,卻同時有可能是企業網路運作殺手。跑腿的工讀生,可能因午休時間開啟一封朋友轉寄的色情信件或網站連結,而讓公司數位資產暴露在外。 這不是在叫IT部門看完本文後去把業務部門電腦搜查一遍,或解雇所有工讀生,而是要指出一個現象:在這個調查之前,該公司 IT 部門普遍不知道企業內部的安全殺手潛伏在那個部門,也不知如何隔離那些總是開啟網路釣魚(Phishing)頁面或誤開有毒色情檔案高危險群。

這是目前存在許多企業的安全管理難題,尤其是網路使用自由度高的公司, IT 部門在不干涉員工的網路連線前提下,又要有效率地執行安全守則,著實兩難。 最明顯的例子是,員工開啟色情郵件或連結引狼入室。

此類郵件藉由勾起使用者的好奇心,一個郵件標題、一個附件檔名,就能讓使用者 Click滑鼠進行散播,我們稱之為社交工程陷阱( Social Engineering) 趨勢科技攔截到許多以色情為餌的病毒。它們既不是散發大量郵件的蠕蟲,也沒有透過殭屍網路/傀儡網路 Botnet來散發垃圾郵件(SPAM),而是由人為手動轉寄木馬植入程式。究其原因,原來這封郵件樣本由群組中的某位成員散發給許多該群組的郵件,再滾雪球般地逐漸散佈出去。雖然屬於手動散播,但只要想想這封電子郵件所傳送的群組數目,加上每個群組所擁有的成員數目,也能釀成大禍。

資訊安全從「 IT 部門的事」到「全公司的事」

 

好的風險管理能成功教育員工為資訊安全負責,電腦中毒時不但不再衝動拿起電話開罵 IT部門,反而會為自己違反公司安全政策,影響公司網路安全而自責,讓安全意識的轉變從「千錯萬錯都是 IT 部門的錯」到「安全政策,不再只是 IT 部門的事」。 有個實際案例,某公司過去網路斷線時,員工總是高分貝抗議,但是請其合作遵守資訊安全守則時,卻是得不到明顯的成效,一直到他們舉行防毒演習為止。

在演習中,首先該公司以「看似」某部門最高長官 Dave的名義發出「軟體 Beta 版搶先試用,拿大獎」測試信,結果高達98%的員工開啟附件,結果得到如下訊息:「哈哈,上當了!!你的安全警覺性待加強。」而事實上該部門最高長官的正確名字是 David,而不是Dave。凡是點閱該封信件者,都會留下紀錄,藉著測試活動結果,以統計數據說服當事人或是高層主管,企業潛在的人為因素對整體網路安全的影響。

誤點信件後果比你想像的更嚴重! APT 攻擊全球戒備

今天我們就來分享APT進階持續性威脅 (Advanced Persistent Threat, APT)社交工程陷阱( Social Engineering)信件案例與入侵實際模擬,讓大家看看一時的好奇心,可能付出的代價不只是個人電腦中毒,還有可能失去客戶資料,付出昂貴成本與修復鉅資。

什麼是 APT?簡單的說就是針對特定組織所作的複雜且多方位的網路攻擊。

這兩年很夯讓許多組織機構聞之色變的APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT) ,其特色之一就是【假冒信件】:針對被鎖定對象寄送幾可亂真的社交工程惡意郵件,如冒充長官的來信,取得在電腦植入惡意程式的第一個機會。

以往駭客發動的APT 進階持續性滲透攻擊 (Advanced Persistent Threat, APT)攻擊雖然以政府為主,但從2010年開始企業成為駭客鎖定竊取情資的受駭者越來越多,2011年幾個世界性的組織在目標攻擊下淪陷,付出了昂貴的成本。RSA和Sony是 2011年最大的兩個APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)的目標。

幾個世界性的組織在目標攻擊下淪陷,付出了昂貴的成本。他們失去了數百萬客戶的資料,光是完成修復就花費了鉅資。 趨勢科技身為全球雲端安全的領導廠商,在年度雲端資訊安全盛會 “CloudSec 2012”會中如何因應嶄新威脅APT (Advanced Persistent Threat)以守護企業重要機敏資訊的重要性。以下是:趨勢科技全球核心技術研發部技術經理翁世豪,在會議中分享的: 面對APT企業應當採取的縱深防禦防護策略。(含國內外社交工程信件案例與駭客入侵模擬)

 

目標式電子郵件攻擊實際案例(10:22) 駭客入侵模擬(20:20) APT 防護階段(29:16) 以下是幾個郵件樣本 1.攻擊者先收集 eMail 清單,然後寄給內部特定對象這個看起來像是excel 的附件,點開檔案只有一個空白的檔案,是寄錯檔案了嗎? APT社交工程信件攻擊案例

其實看到這畫面時病毒已經在背後運作了,因為該檔案是設計過的,背後插了一個 Adobe flash 物件,,即使用戶已經更新了所有的 patch 還是無法阻擋該攻擊,因為這是零時差漏洞攻擊   繼續閱讀

解密 PlugX 能力

趨勢科技 TrendMicro

在我們之前的文章裡,趨勢科技報導了被稱為PlugX的新品種遠端存取工具(RAT),它被用在Poison Ivy相關的APT攻擊-進階持續性滲透攻擊 (Advanced Persistent Threat, APT) /目標攻擊中。乍一看,這個遠端存取工具似乎只是個簡單的工具,具備有限的遠端存取能力。然而,進一步分析PlugX會發現它有更多微妙之處。

在典型的攻擊中,PlugX通常具備三個組成部分,即:

  • 一個正常檔案
  • 一個可以由正常檔案載入的惡意DLL
  • 一個包含惡意程式碼,可以由DLL載入的二進位檔案。

 

攻擊是由包含惡意附件檔的釣魚郵件所開始,通常是壓縮過或精心製造的文件檔,可以攻擊 Adobe Acrobat Reader微軟Office(特別是 CVE-2010-3333)的漏洞。在此案例中,它透過特製文件檔到達(偵測為TROJ_ARTIEF.LWO)。這個木馬程式會植入並執行BKDR_PLUGX.SME,它接著會植入以下檔案:

所有使用者的%User Profile%\Gf\NvSmart.exe – 一個正常的NVIDIA檔案(NVIDIA Smart Maximise Helper Host)

  • 所有使用者的%User Profile%\Gf\NvSmartMax.dll – BUT
  • 所有使用者的%User Profile%\Gf\boot.ldr – TROJ_PLUGX.SME

要注意的是,這惡意軟體會植入檔案NvSmart.exe,這是一個已知的正常NVIDIA檔案。

繼續閱讀

PlugX:客製化的遠端存取工具, 針對臺灣在內特定目標發動 APT 攻擊

趨勢科技 TrendMicro

2012年早些時候,一種被稱為Plugx(也被稱為 Korplug)的新型遠端存取工具(RAT)出現在真實世界中。PlugX,據報被用在有限的APT攻擊-進階持續性滲透攻擊 (Advanced Persistent Threat, APT) /目標攻擊裡,是專門為此類攻擊而客製化的遠端存取工具例子。

使用此新工具背後的想法很簡單:更少的可識性也更讓安全研究人員難以捉摸。然而,這並不代表這起攻擊是新的。趨勢科技的監測顯示使用 PlugX 的攻擊活動(至少)可以追朔至2008年2月。

該攻擊活動使用 Poison Ivy遠端存取工具據報會針對在日本、中國和臺灣的特定使用者。這攻擊活動也是今年早些時候所發表的一起大型協同攻擊的一部分。關於它的起源,我們注意到PlugX主要散布到政府相關組織和一個位於日本的特定公司。

跟之前的Poison Ivy攻擊活動類似,它是透過魚叉式釣魚郵件的附件檔到達,可能是壓縮過的檔案或特製的文件檔來攻擊 Adobe Acrobat Reader微軟 Office 的漏洞。我們還發現一起針對韓國網路公司和美國工程公司的 PlugX 案例。

 

Poison Ivy和PLUGX C&C伺服器:花開並蒂的關係

在我們的監視期間,我們最初看到一個PlugX變種會連到名為{封鎖}eo.flower-show.org的命令與控制(C&C)伺服器。根據歷史資料,我們確認這是個惡名昭彰的已知Poison Ivy C&C。使用{封鎖}eo.flower-show.org所解析出的IP地址,我們可以對應到數個C&C網域。這些C&C似乎都被Poison IvyPlugX變種所使用。

下面的關係圖顯示解析出的IP位址、C&C網域、遠端存取工具變種和這些遠端存取工具散播日期間的關係。注意到關於舊變種,我們使用的看見它們出現的最早日期。

 

在上圖中,我們可以看到雖然這起攻擊活動現在使用新的PlugX遠端存取工具,同時也還在繼續散播相對較久也更穩定的Poison Ivy變種。因為它的變體會植入除錯日誌到%System Root%\Documents and Settings\All Users\SxSbug.log,我們也懷疑PlugX可能仍在測試階段。此日誌檔記錄遠端存取工具程式碼內的可能錯誤,可能在之後上傳到攻擊者的C&C伺服器以作稽核用。

 

雖然為APT攻擊-進階持續性滲透攻擊 (Advanced Persistent Threat, APT) /目標攻擊開發客製化遠端存取工具並非新鮮事,我們可以看到PlugX的幕後黑手已經開始散佈其仍在測試中的遠端存取工具。這些惡意份子自2008年就已經存在,他們可能已經到達某種程度。很可能是在利用目標機器來改進他們的遠端存取木馬,以用在未來更加麻煩的攻擊活動中。

不幸的是,測試版遠端存取工具程式碼中的錯誤可能為攻擊者和任何被針對的組織導致意想不到的後果。例如,被存取的檔案可能非預期的損壞,造成大量的資料遺失。

趨勢科技的使用者受到主動式雲端截毒服務  Smart Protection Network的保護。特別是檔案信譽評比服務會偵測並刪除PlugXBKDR_PLUGXTROJ_PLUGX)和Poison Ivy(BDKR_POISON)變種。網頁信譽評比和電子郵件信譽評比服務會封鎖上述C&C和相關電子郵件。

 

 

@原文出處:PlugX: New Tool For a Not So New Campaign作者:Roland Dela Paz(威脅研究員)

 

《Java 零時差漏洞攻擊》Nitro攻擊活動和Java零時差攻擊

趨勢科技 TrendMicro

 資安社群一直很關注新的Java零時差漏洞攻擊,它看起來已經從「Nitro」網路間諜目標攻擊活動所用的中國的漏洞攻擊包(被稱為Gondad或KaiXin)內取得,然後透過BlackHole漏洞攻擊包和網路犯罪活動結合。當我們看到這些發展間的連結開始清晰時,重點是要記住,像Nitro這樣的攻擊活動並不能說是「回來」了,因為它從未離開過。Nitro攻擊活動自2011年開始有記錄以來,就一直持續地活躍著。

 

事實上,在他們拿到這Java漏洞之前,Nitro攻擊者曾在2012年八月初持續地寄送內有Poison Ivy執行檔連結的電子郵件給目標(附註一點,我們在2012年四月也看到另一波的電子郵件)。

itro攻擊者曾在2012年八月初持續地寄送內有Poison Ivy執行檔連結的電子郵件給目標
itro攻擊者曾在2012年八月初持續地寄送內有Poison Ivy執行檔連結的電子郵件給目標

 

資安社群一直很關注新的Java零時差漏洞攻擊,它看起來已經從「Nitro」網路間諜目標攻擊活動所用的中國的漏洞攻擊包(被稱為Gondad或KaiXin)內取得,然後透過BlackHole漏洞攻擊包和網路犯罪活動結合。當我們看到這些發展間的連結開始清晰時,重點是要記住,像Nitro這樣的攻擊活動並不能說是「回來」了,因為它從未離開過。Nitro攻擊活動自2011年開始有記錄以來,就一直持續地活躍著。

  繼續閱讀

《趨勢專家談雲端運算》目標攻擊在Web 3.0的演變

趨勢科技 TrendMicro

作者:趨勢科技 Tom Kellermann

 目標攻擊在Web 3.0的演變

雲端運算、行動裝置、 APT進階持續性威脅 (Advanced Persistent Threat, APT),一開始IT和資訊安全界都只將它們當成行銷用的術語。直到現在,還是常常會有所誤解或是將它們分開處理。網路安全環境不斷在變化,這已經是句老生常談的話了。嗯,就好像APT攻擊會進化去適應Web 3.0一樣,如何全面性地去管理雲端、行動裝置、網路和實體安全,好讓資訊安全計畫可以成功也成為基本的問題了。

 

Web 3.0是網際網路的下個階段。任何只要有電流通過的機器就會有個IP地址,好來跟其他類似的機器溝通,而不需人為介入。機器可以近乎擁有人工智慧,了解你的好惡和需求,去從網路上找出、關連並組織你要的資料再呈現給你。使用者不需要做太多動作,因為他不再需要點擊連結或打開附件以接收資料。這些都來自雲端的巨量資料,而你的行動裝置就是個人使用端點,去收集、儲存、存取和傳輸資料。

 

這些資料對於貪婪的網路犯罪份子來說當然是非常珍貴的。不過我們也開始在金融服務業和政府看到網路詐騙集團利用接近攻擊(Proximity Attack),所以他們不僅會去攻擊受害者寶貴的雲端資料,他們也會攻擊實體手機以獲取利益。

 

這些攻擊一開始可能經由網路層的入侵,或是透過網路釣魚(Phishing)或訊息的魚叉式攻擊、不安全的無線網路或偽裝成正常應用程式的惡意軟體來直接攻擊到設備端點。就好像曾經只在電影上看到的劇情一樣。而現在已經成真了,惡意軟體可以有效地駭入你的現實世界。網路犯罪份子可以完全接管你的設備,查看您的行事曆,打開網路攝影機或是麥克風來窺探重要會議。同時,感謝雲端技術和Web 3.0,你的位置可以在任何時候輕易地被追蹤。而將這些接近攻擊自動化也帶來惡意攻擊新的一頁。

 

並不難想像這些威脅對於商業或政府組織來說是如何的危險,不僅是因為這些駭客找到一個金礦可以從這些端點去收集各種敏感資訊,而是因為持續窺探這些設備可能讓他們收集更多額外的有用競爭情報甚或內幕交易的詳細資料。

 

這攻擊讓人想到一個重要的問題,就是你的資安團隊目前是如何運作的,是否有跟你的行動及雲端安全策略緊密結合。實體和網路安全部門一直以來都是預算大餅的競爭對手,但是這內部爭議現在要先放到一旁,先認真面對這些直接威脅。至少有一個理由讓雙方需要通力合作,就是網路犯罪會對組織安全造成實體威脅。

 

這應該是對資訊安全長的一個警鐘,他們對於防護雲端資料所做的努力,不應該跟行動安全切割開來。這些行動設備不僅僅是巨量資料或雲端服務的端點,而是整個生態圈的一個內部環節,需要放進整體防護計畫一起考量。

 

對於企業來說,行動裝置代表了最大的風險,並不只是指Android智慧型手機,還包括各種高階主管要求能在工作中使用的平板電腦。通常這些設備都是由主管自己所購買,而更糟的是他們可能會要求IT讓他們可以接收和查看敏感文件。不僅很難去完全消除接近攻擊的威脅,而且也很難加以管理和防護。

 

那資訊安全長可以做些什麼?嗯,他們沒辦法拒絕高階主管,但是他們可以限制這些設備的功能跟使用地點以降低風險。例如,可以在董事會裡使用,但是簡訊、麥克風和錄影機功能都必須關閉。所以必須讓裝置可以依據所在地來限制功能。

 

另外一種好的資訊安全作法就是採取包含端點(行動裝置)的雲端策略。想要成功就必須做到持續性的監控。進階持續性攻擊是被設計來利用各種手段來躲過偵測。啟用進階記錄、深度封包檢測和檔案完整性監控工具可以讓安全團隊保持對現狀的高度感知,了解環境內正在發生的事情,讓他們可以察覺任何不對頭的事情。

繼續閱讀