APT 進階持續性威脅 - 資安趨勢部落格

《APT 攻擊》退信和讀取回條自動回覆的風險

2012 年 12 月 13 日2012 年 12 月 06 日趨勢科技 TrendMicro

不在辦公室通知可能洩漏目標的組織架構、聯絡方式等有用資訊。讀取回條可以顯示哪起攻擊成功了，以及如何有效地繼續進行攻擊。總之，這些自動回覆可以被用在精心策劃和執行的目標攻擊上，尤其是對那些位在極其敏感位置APT進階持續性威脅 (Advanced Persistent Threat, APT)鎖定的對象。

本部落格之前有討論到四個使用Outlook的郵件自動回覆功能的注意事項，就是它們會洩漏資訊給攻擊者，以用來進行攻擊。

不過，自動回覆的危險並不止於不在辦公室通知而已。其他兩種類型的自動回覆也會造成危險：退信和讀取回條。這裡就讓我們一併討論。

退信，正式的名稱應該是未送達報告（NDR），長久以來都已知會造成垃圾郵件(SPAM)問題。然而，它也可能成為資料外洩的來源：設定不正確的郵件伺服器可以洩露像它們的主機名稱、IP地址和軟體設定等詳細資料。一個熟練的攻擊者可以利用這些資訊在不同地方，無論是技術（即攻擊伺服器）或非技術（建立組織結構圖）方面。

然而，退信的主要用途是即時確認電子郵件地址的有效性。雖然在網路上找到的電子郵件地址可能有用，但是透過退信可以更有效、更準確的來確認電子郵件地址。

讀取回條的問題甚至更多。對攻擊者來說，可以告訴他們攻擊是否「成功」：也就是說對方讀了電子郵件（同時也讓攻擊者知道這電子郵件地址的確存在。）這是攻擊者所想得到最有價值的資訊，他可以利用這資訊來評估受害者讀了哪封電子郵件。加上網路漏洞，攻擊者甚至會知道受害者所用的軟體。

對使用者來說，是否要發送讀取回條是完全可以控制的。但也可能設定電子郵件軟體去自動發送讀取回條，而不需要使用者確認。讀取回條對於企圖強烈的攻擊者來說會透漏非常有價值的線索；所以自動發送給他們的風險也就更大了。（取消自動發送讀取回條會讓這風險變得可以掌控。只要使用者自己小心，不要把發送給不認識的人）。

讓我們來看看可能發生最壞的狀況，這些自動回覆的有著不安全的設定，而且會洩漏資訊。退信可以和網路搜尋一起使用來確認電子郵件地址是否存在。不在辦公室通知可能洩漏目標的組織架構、聯絡方式等有用資訊。讀取回條可以顯示哪起攻擊成功了，以及如何有效地繼續進行攻擊。總之，這些自動回覆可以被用在精心策劃和執行的目標攻擊目標攻擊/進階APT 攻擊(進階持續性滲透攻擊Advanced Persistent Threat, APT)上，尤其是對那些位在極其敏感位置的對象。

＠原文出處：Other Risks from Automatic Replies作者：Jonathan Leopando

◎延伸閱讀

休假時,你的 Outlook 自動回覆(郵件答錄機)透漏太多訊息?!

什麼是 APT進階持續性威脅 (Advanced Persistent Threat, APT)？

進階持續性威脅LURID: 入侵了61個國家1465台電腦,包含外交等單位

《 APT 進階持續性滲透攻擊》BKDR_POISON 未來將出現更多挑戰

APT 進階持續性滲透攻擊研究報告10個懶人包

＜APT進階持續性威脅＞經由Email 發送的＂員工滿意度調查＂PDF檔案含SYKIPOT，展開目標攻擊行動
想了解更多關於網路安全的秘訣和建議，只要到趨勢科技粉絲網頁或下面的按鈕按讚

◎即刻加入趨勢科技社群網站,精彩不漏網

APT 攻擊者偏好的DDOS 分散式阻斷服務攻擊與密碼擷取工具，自我更新更厲”駭”

2012 年 12 月 03 日2016 年 11 月 07 日趨勢科技 TrendMicro

APT 攻擊者偏好的DDOS 分散式阻斷服務攻擊與密碼擷取工具，自我更新更厲”駭”

BKDR_ADDNEW 惡意程式 (也就是地下網路上所稱的「DaRK DDoSseR」) 是一個可從事 DDOS 分散式阻斷服務攻擊的工具，同時又具備了密碼竊取能力、瀏覽檔案、擷取畫面、啟動麥克風或啟動網路攝影機等能力。該工具的售價大約 30 美元，已經出現好幾年了。

某些感染 BKDR_ADDNEW 程式的電腦後來也感染了 Gh0st RAT 惡意程式。儘管 Gh0st RAT 曾經出現在許多鎖定目標攻擊，但此工具及其多個變種一直為 APT攻擊/進階持續性威脅 (Advanced Persistent Threat, APT)者與網路犯罪者所廣泛採用。

在執行時，BKDR_ADDNEW 會連線至一個 TCP 連接埠來接收遠端犯罪者的指令 (我們分析過一些使用連接埠443, 3176 和 3085 的樣本，但其預設連接埠為 3175)。
可能接收到的一些指令包括：下載檔案、竊取 Mozilla Firefox 密碼、顯示 DNS 資訊以及傳送應用程式權限等等。此外，它還能發動阻斷服務 (DOS) 攻擊。

就趨勢科技的調查所知，BKDR_ADDNEW 內建了讓歹徒「更新」惡繼續閱讀

木馬專門竊取圖檔/影像檔案,得手資料傳送遠端 FTP,可能為APT 攻擊布局

2012 年 11 月 08 日2012 年 11 月 06 日趨勢科技 TrendMicro

最近似乎出現了一種新形態的資料竊取：趨勢科技發現了一個專門從感染裝置上竊取影像檔案的惡意程式TSPY_PIXSTEAL.A，此間諜木馬會將檔案傳送至某個遠端 FTP 伺服器。

TSPY_PIXSTEAL.A會開啟一個隱藏的指令列視窗，然後複製所有的 .JPG、.JPEG 及 .DMP 檔案。前二種檔案 (.JPG 及 .JPEG) 是一般常用的影像格式，而 .DMP 檔案則是系統的記憶體傾印檔，內含某次系統當機時的記憶體內容。

下圖顯示 TSPY_PIXSTEAL.A 將感染電腦 C、D、E 磁碟上的影像檔案複製到 C:\ 。

APT 威脅攻擊 — TSPY_PIXSTEAL.A 將感染電腦 C、D、E 磁碟上的影像檔案複製到 C:\

<apt 威脅/攻擊 >複製完成之後，木馬會連線至某個 FTP 伺服器，並且將前 20,000 個檔案上傳至該伺服器 — 複製完成之後，木馬會連線至某個 FTP 伺服器，並且將前 20,000 個檔案上傳至該伺服器

複製完成之後，它就會連線至某個 FTP 伺服器，並且將前 20,000 個檔案上傳至該伺服器。這樣的作法儘管看起來費力，但如果歹徒成功竊取到有用的資訊，其報酬將相當可觀。一直以來，資訊竊盜的形態大多侷限於文字，因此這個惡意程式對使用者來說，是一項新的風險。因為使用者通常也會用照片來保存資訊，不論是個人或工作相關資訊，這使得資訊外洩的風險變得很高。歹徒蒐集到的相片可用於身分詐騙、恐嚇，甚至用於未來鎖定目標攻擊,對鎖定機構展開APT進階持續性威脅 (Advanced Persistent Threat, APT)。繼續閱讀

《APT進階持續性威脅~主要目標攻擊侵入點:eMail》63%產品規劃藍圖 ,76%預算計畫經由 email 傳送

2012 年 10 月 29 日2012 年 10 月 22 日趨勢科技 TrendMicro

企業電子郵件流量預計會在2016年底達到1430億封

在最近幾年間，因為企業有網頁應用程式、社群媒體和消費化應用的出現，提升了商務溝通的能力。但電子郵件仍然是主要用來交換重要商業資訊的媒介。企業的電子郵件流量佔了今日全球流量的大部分。根據一項研究顯示，企業電子郵件流量預計會在2016年底達到1430億封。^註1

有73％的企業表示他們透過公司電子郵件來傳送高度機密的資料

商務溝通透過電子郵件既快速又簡單，在大多數情況下只要有網路就可以了。它可以放入足夠長度的內容，也可以用正式的格式來做資料交換。電子郵件也被認同是法律文件。

電子郵件被認為是關鍵的資訊服務。^註2 員工會認為這在工作流程中是必要的，所以零電子郵件的政策難以被落實。^註3 研究顯示，有73％的企業表示他們透過公司電子郵件來傳送高度機密的資料。^註4 有些關鍵文件包括客戶資料、產品設計，企業策略和銷售報價等等。

經由電子郵件寄送的重要資訊類別:

敏感的賠償問題 47%
併購活動 33%
可能的資遣和組織重組 45%
產品規劃藍圖 63%
預算計畫 76%

來源：PhoneFactor

電子郵件附加檔案

商務人士經常會在電子郵件內附加檔案，已經成為正常商務通訊的一部分。

微軟Word檔案：Windows 已經被企業廣泛的採用。因此，唯一和作業系統完全相容的微軟Office套件也非常的普及。^註5
PDF檔案：組織會使用PDF檔案，因為它支援多個平台，可以很容易地散布、歸檔和儲存。根據研究顯示，有90％的企業將掃描文件儲存成PDF檔案。而89％的受訪者表示，他們正在把微軟Word檔案轉成PDF檔案。^註⁶

毫無疑問的，攻擊者已經了解到利用電子郵件在目標攻擊活動裡散播攻擊工具是非常有效的作法。

目標攻擊進入點

目標攻擊或APT進階持續性威脅 (Advanced Persistent Threat, APT)是指一種威脅類型，可以長時間潛伏在網路或系統內來達到它們的目的（通常是竊取資料）而不被偵測到。

目標攻擊的幕後黑手會先利用開放的資料來源做研究，做出有效的社交工程陷阱( Social Engineering)誘餌。既然電子郵件是最常被使用的商務溝通模式，惡意威脅份子通常會經由這媒介來帶入漏洞攻擊。這些漏洞攻擊之後會下載更多的惡意軟體。

以下影片(10:22)有看似熟人寄發信件,點擊後卻引發攻擊的多則實際案例
標題包含:”看了這個文章多活 10 年”,”新年度行政機關行事曆”

繼續閱讀

《APT進階持續性威脅》APT 攻擊常用的三種電子郵件掩護潛入技巧(含多則中英文信件樣本)

2012 年 10 月 24 日2012 年 10 月 31 日趨勢科技 TrendMicro

「李宗瑞影片，趕快下載呦！」政府單位以這測試信,導致 996 名員工好奇點閱「中招」，點閱員工分十梯上2小時的資訊安全課程。在本部落格提到的這篇文章中, 69％的人每週都碰到網路釣魚,25% 高階員工被釣得逞。

老闆來信要你馬上回辦公室,開還是不開?

以下這個的寄信來源者是” Boss”老闆大人，開宗明義在標題寫著”get back to my office for more details”.(預知詳情請儘速回來到我辦公室)：

“Please read the attached letter and get back to my office for more details to proceed further”，要收件人先開info.zip 的附件，當心喔，我們一再提醒不要輕易開啟附件。經趨勢科技專家分析，解壓縮後出現 info.exe執行檔，果然是隻病毒。

有時候我們真的很難對以下這樣看似”好意”的電子郵件產生懷疑的心態,尤其寄件者來自高階主管,這就是 APT攻擊 (Advanced Persistent Threat, APT) 者,可以得逞的第一步驟,取得在電腦植入惡意程式的第一個機會。。

APT 目標攻擊中文社交工程信件樣本

APT進階持續性威脅 (Advanced Persistent Threat, APT)和目標攻擊通常會利用社交工程陷阱( Social Engineering)電子郵件作為進入目標網路的手段（註）。考慮到一般企業員工在每個工作天平均所傳送41 封和接收100封的電子郵件數量，以及製造社交工程陷阱( Social Engineering)電子郵件的容易度，企業應該要重新檢視如何確保這類型商務溝通的安全措施了。

過去的目標攻擊可以看到幾種不同類型的社交工程陷阱( Social Engineering)技術。例如：

利用常見網頁郵件服務的帳號來發送這些電子郵件
請參考:目標攻擊：Gmail 繁體中文網路釣魚信件
利用所之前入侵獲得的電子郵件帳號來發送
偽裝成特定部門或高階主管的電子郵件地址
比如經由Email 發送的＂員工滿意度調查＂附件PDF檔案含目標攻擊病毒

以下這個來自中文社交工程郵件一文中的案例,附件“企劃rcs.doc “看起來像文件檔,其實真正的檔名是”企劃cod.scr”這個螢幕保護程式駭客插了控制碼 ,讓它顯示從後顯示到前,點下去就啟動執行檔, 更讓平日對執行檔有警戒心的收件者,也無招架能力。

這些電子郵件通常會夾帶漏洞攻擊用檔案來針對常見軟體的漏洞以入侵受害者的電腦。一旦入侵成功，就會在網路裡繼續進行進階持續性威脅攻擊的其他階段。

對企業而言，尤其是負責保護網路的資安單位，需要更加了解攻擊者多麼輕易地就能夠利用電子郵件，因為電子郵件是用來做商務溝通最常見的形式。TrendLabs推出入門書 – 「你的商業通訊安全嗎？」和資料圖表 – 「掩護潛入：經由員工信箱的目標攻擊」，這兩者都介紹到電子郵件在進階持續性威脅攻擊活動裡扮演多麼危險的角色。點擊下面縮圖來下載文件：