根據趨勢科技之前的研究顯示,目標攻擊所產生的後續行為會跟作業系統有關,而最近我們又看到有惡意檔案會以Mac OSX作為目標。這個被偵測為TROJ_MDROPR.LB的惡意軟體是一支木馬,被用在對西藏的目標攻擊活動裡,最初是由Alienvault所提報的。
在調查該活動時,趨勢科技發現被用在這次特定攻擊裡的C&C伺服器,跟最近所看到被用在一系列對西藏目標攻擊裡的Gh0stRat所用的C&C伺服器之一是同一個。
下面是一封包含惡意DOC檔案的電子郵件,它會產生Gh0stRat並且連到上述的C&C伺服器:
再回頭看TROJ_MDROPR.LB,趨勢科技發現關於一個被用在這次攻擊的特定惡意文件的詳細資訊:
其中一個TROJ_MDROPR.LB進行的行為是會產生並打開非惡意的DOC檔案,好欺騙使用者以為自己打開的是一個正常檔案。
作者:趨勢科技Andy Dancer
我最近在RSA上還有許多無法趕上演說的人前講到這個主題,他們問到這兩個看似無關的領域之間有什麼關連,我答應會寫出來好讓更多人可以了解,所以就是這篇了:
進階持續性威脅 (Advanced Persistent Threat, APT)「進階」是指使用了讓人難以置信、複雜的新惡意軟體,但實際上並非如此。通常「進階」是指研究上的難度,還有社交工程陷阱( Social Engineering)的設計,讓受駭目標去做出不該做的行為,並讓他們點下攻擊者所選的連結。
一旦攻擊者掌控了一台位在企業內部的電腦,就可以當做跳板來針對那些沒有直接連上網路的電腦找出漏洞。這是一個常見的手法,當修補程式出了一段時間之後,攻擊者還是可以攻擊成功,因為許多公司都不認為位在內部「安全」網路上的機器具備風險。而這個攻擊者直接控制受感染的電腦,有著足夠的時間(持續性)來悄悄地探測,直到發現他們可以利用的漏洞。
所以,你該如何抵禦這種目標攻擊?底下是幾件我們認為最該做的事:
減少噪音
保持現有的外部防禦來盡可能地抵禦所有的壞東西。這給你更多的機會去發現在內部網路上發生的事情。
建立碎型外部防禦
碎型是種數學形狀,它跟原本的形狀一樣,只是比較小。所以,當你放大之後就會回到原本的形狀。可以利用一樣的概念來加強你的防禦,多加一或兩層的防禦在重要資料的外圍。我會強烈建議部署虛擬修補程式到所有的伺服器上,可以在真正上修補程式前就提供保護,這在有人試圖攻擊漏洞時很重要。
利用專門軟體來監控內部網路流量
不要只是看對外的連線或是看流量是否超出設定值。還需要利用專門的威脅偵測解決方案來監控內部網路,以確保在攻擊發生時會收到警訊。
追蹤和清理
當外面的電腦被攻擊之後,除了加以封鎖之外通常就不能做什麼了。但是如果是一個內部伺服器被攻擊,而且攻擊是來自另一個內部的機器。那封鎖攻擊就變得很重要,不只是因為你阻止這次攻擊,更重要的是你現在知道內部有機器正在做些不該做的事,而你可以在它試圖做出更複雜而不被偵測的攻擊(或是攻擊者連上來控制)之前就修復它。
保護你的資料
如果一切防護都失敗了,攻擊者已經突破了你的防禦,直達你的重要資料,其實還不算結束。你需要由內而外的第二道防禦,也就是資料加密,再利用資料防護來追蹤被帶走了什麼資料,並了解有哪些內容被盜走了。
假設已經被入侵成功了
應該預先設定的狀況是假設你旁邊的電腦已經被入侵了,並且據此來設定對應的防禦。
最後的重點就是前面六點的總結,同時也提供了跟雲端安全之間的連結。在一個多租戶的環境(IaaS)底下,你應該假設你附近的機器有可能會攻擊你,並據此來設定防禦措施。你的供應商會提供許多安全功能:外圍防火牆、IPS等,還有在客戶間所做的內部網路分割,這些設計都是為了你的安全,但是通常在租約裡面沒有提供SLA。利用這些功能來消除噪音是不錯的作法,但是要假設還是有人在覬覦著你的伺服器或資料。為你的伺服器建立自己的外圍防護以保護好你的供應商所遺漏的部份。加密你的雲端資料,所以就算你的供應商將之放錯地方,你也還是受到保護的。這在商業上還有另外一個好處,就是當你想要更換供應商時,不論是因為價格更低或是功能更好,也都不必擔心你會遺留下敏感資料。
對於內部(私有)雲來說也同樣適用。因為成本和運作效率,會將服務都放在一起,這樣做也減少了它們之間的分離性。所以還是要假設已經被入侵了,在環境裡實施虛擬分割,而跟實體環境相比,利用外圍防護和加密可以保持同樣甚至更提高安全性,同時利用無代理方案也會盡可能地保持相同的效能。
所以雲端安全和APT防禦可能不是同一件事情,但他們可以有一樣的作法!
@原文出處:Cloud Security and APT defense – Identical Twins?
APT 攻擊的特色:
【鎖定特定目標】針對特定政府或企業,長期間進行有計劃性、組織性竊取情資行為,可能持續幾天,幾週,幾個月,甚至更長的時間。
【假冒信件】針對被鎖定對象寄送幾可亂真的社交工程惡意郵件,如冒充長官的來信,取得在電腦植入惡意程式的第一個機會。
【低調且緩慢】為了進行長期潛伏,惡意程式入侵後,具有自我隱藏能力避免被偵測,伺機竊取管理者帳號、密碼。
【客製化惡意元件】攻擊者除了使用現成的惡意程式外亦使用客制化的惡意元件。
【安裝遠端控制工具】攻擊者建立一個類似殭屍網路/傀儡網路 Botnet 的遠端控制架構攻擊者會定期傳送有潛在價值文件的副本給命令和控制伺服器(C&C Server)審查。
【傳送情資】將過濾後的敏感機密資料,利用加密方式外傳
@延伸閱讀
認識 APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)
《目標攻擊》狡猾的銀行木馬 CARBERP始作庸者遭跨國逮捕
《 APT 進階持續性滲透攻擊》16 封不能點的目標攻擊信件
《 APT 進階持續性滲透攻擊》病毒也愛林來瘋!!目標攻擊以林書豪傳奇故事為餌,安裝後門程式
《 APT 進階持續性滲透攻擊》BKDR_POISON 未來將出現更多挑戰
◎ 歡迎加入趨勢科技社群網站
惡意郵件利用西藏事件作誘餌來進行目標攻擊
就是這些信,讓日印藏被駭
1.印度軍事企業收到1封關於導彈防衛系統
2.西藏運動組織收到有關自焚的新聞
3.日本企業在311地震後收到關於輻射觀測報告。
相關報導:日印藏網諜活動 陸駭客有關聯
趨勢科技最近分析了一連串利用熱門社會政治議題來發送給特定使用者的電子郵件。其中一個跟德國總理對在西藏拉薩的抗議活動所做的發言有關。寄件者欄位顯示這封信來自澳洲西藏委員會(ATC,Australian Tibet Council)裡的重要人物。不過這封電子郵件當然是偽造的,電子郵件地址也是剛剛才建立用來假冒ATC人員。它還包含了一份聲稱跟發言相關的DOC檔案。一旦下載這個被偵測為TROJ_ARTIEF.AE的檔案,它會攻擊微軟Word的一個漏洞(CVE-2010-3333),接著產生被偵測為TSPY_MARADE.AA的檔案。一旦TSPY_MARADE.AA被執行起來,就會收集網路和系統資訊,再將這些偷來的資料上傳到惡意網站。
是時候讓企業將他們原有的安全策略揉掉丟進垃圾桶了,因為傳統保護企業資料的方法已經不再足夠有效了。越來越多前所未見、更加複雜的攻擊會突破企業網路的防護,也突顯了現代化做法和新方案的必要性。
總而言之,由於對網際網路的依賴越來越重,舊的資料安全做法已經失去效用。網路犯罪分子已經大規模的轉移到網頁上,利用著每一個可能的漏洞。
根據最近一份來自資訊安全論壇(Information Security Forum,ISF)的報告,上述變化對許多組織都有嚴重的影響。
「企業領導人看到了網路所帶來的龐大商機和好處,能夠去增加創新能力、協作能力、生產力、競爭力跟顧客參與。他們會繼續想辦法去利用這些機會。」ISF執行長 – Michael de Crespigny說道:「但是很多人並沒有準確地去判斷風險與報酬的關係,沒有準備好去接受可能的壞處,也不了解這些好處其實也伴隨著重大的風險。」
什麼是 APT?簡單的說就是針對特定組織所作的複雜且多方位的網路攻擊。
認識 APT
以往駭客發動的APT攻擊雖然以政府為主,但從2010年開始企業成為駭客鎖定竊取情資的受駭者越來越多,2011年幾個世界性的組織在目標攻擊下淪陷,付出了昂貴的成本。RSA和Sony是 2011年最大的兩個APT攻擊 (Advanced Persistent Threat)的目標。幾個世界性的組織在目標攻擊下淪陷,付出了昂貴的成本。他們失去了數百萬客戶的資料,光是完成修復就花費了鉅資。
APT 攻擊的特色:
【鎖定特定目標】針對特定政府或企業,長期間進行有計劃性、組織性竊取情資行為,可能持續幾天,幾週,幾個月,甚至更長的時間。
【假冒信件】針對被鎖定對象寄送幾可亂真的社交工程惡意郵件,如冒充長官的來信,取得在電腦植入惡意程式的第一個機會。
【低調且緩慢】為了進行長期潛伏,惡意程式入侵後,具有自我隱藏能力避免被偵測,伺機竊取管理者帳號、密碼。
【客製化惡意元件】攻擊者除了使用現成的惡意程式外亦使用客制化的惡意元件。
【安裝遠端控制工具】攻擊者建立一個類似殭屍網路/傀儡網路 Botnet 的遠端控制架構攻擊者會定期傳送有潛在價值文件的副本給命令和控制伺服器(C&C Server)審查。
【傳送情資】將過濾後的敏感機密資料,利用加密方式外傳
APT 進階持續性滲透攻擊 (Advanced Persistent Threat, APT)可能持續幾天,幾週,幾個月,甚至更長的時間。APT攻擊可以從蒐集情報開始,這可能會持續一段時間。它可能包含技術和人員情報蒐集。情報收集工作可以塑造出後期的攻擊,這可能很快速或持續一段時間。
例如,試圖竊取商業機密可能需要幾個月有關安全協定,應用程式弱點和文件位置的情報收集,但當計畫完成之後,只需要一次幾分鐘的執行時間就可以了。在其他情況下,攻擊可能會持續較長的時間。例如,成功部署Rootkit在伺服器後,攻擊者可能會定期傳送有潛在價值文件的副本給命令和控制伺服器(C&C Server)進行審查。
——————————————————————————————-
企業面對不斷演變的資安威脅環境。其中一項最大的挑戰就是APT進階持續性滲透攻擊(Advanced Persistent Threats, APT),它是針對特定組織所作出複雜且多方位的攻擊。要減輕APT的風險需要比傳統的多層次防禦更先進的作法,包括即時威脅管理。本綱要系列介紹APT的性質,它們對企業所構成的風險,以及如何去封鎖、偵測並遏制APT和其他新威脅的技術。我們先從實務面來評估APT的性質,大綱如下:
很顯然地,資安威脅環境變得越來越具有挑戰性。對於資訊系統進行攻擊的動機和方法正在發生變化。有決心有毅力的攻擊者正運用著多種手段去打破安全控制。企業需要透過多種安全控管來做應對,包括即時監控和快速遏制措施。
今天的APT
APT是針對一個特定組織所作的複雜且多方位的網路攻擊。不管是就攻擊者所使用的技術還是他們對於目標內部的了解來看,這種攻擊是非常先進的。APT可能會採取多種手段,像是惡意軟體,弱點掃描,針對性入侵和利用惡意內部人員去破壞安全措施。
APT是長期且多階段的攻擊
APT攻擊的早期階段可能集中在收集關於網路設定和伺服器作業系統的的詳細資訊,接著,精力會放在安裝Rootkit或其他惡意軟體去取得控制權或是跟命令與控制伺服器(C&C Server)建立連線。再下來的攻擊可能集中在複製機密或是敏感數據來竊取知識產權。
重要的是要明白,APT不是一種新的攻擊手法,也不是可以藉由阻止或破壞一次攻擊就讓問題消失。APT可以被視為更像是一個網路攻擊活動而不是單一類型的威脅;可以想成是進行中的過程。防毒程式可能會阻止APT攻擊所使用的惡意軟體,但並不意味著停止攻擊。就其性質而言,一個APT是一段持續的攻擊。如果一個戰術行不通,就會再嘗試另外一個。實際上,我們不應該只去思考單一對策,或只是在多層次安全策略上增加更多防禦層,相反的,我們應該思考將其他例子中可能用來攔截、偵測和遏制的各種方式都組合起來。現在,很合理的我們會想問,要如何做到這一點? 繼續閱讀