< APT 攻擊防禦 > 識別和區分網路及使用者

適當進行網路區隔是保護網路對抗「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱APT攻擊)最關鍵的主動應對措施。對組織來說,適當的識別和分類自己的使用者與其所能存取的網路也同樣的重要。

attack hacker 鍵盤攻擊

這是一項重要的任務,因為它讓管理者能夠正確的區隔使用者權限和網路流量。有些使用者會被限制存取敏感公司網路;同樣的,某些網路可能會比其他網路擁有更廣泛的資料。這可以使得保護組織最重要資料(我們經常討論的話題)的任務變得更加容易。

可以同心合作來廣泛地評估組織所面對的威脅。有些風險並非出現在所有組織 – 比方說國防承包商面對的威脅就和家庭式麵包店不同。組織需要了解自己面對的是什麼樣的風險,以及有那些已經出現在自己的網路內。後者尤其困難,甚至連大型組織也面臨到這樣的挑戰。但這很重要,在組織提高其安全態勢前,需要先了解自己的狀況。

在過去,這項任務可能比較容易,因為所有的設備都在IT部門管控之下,而且連線只有有線網路。這代表了IT部門可以負責一切 – 而IT管理者,一般來說是一組人,可以將事情有邏輯的安排好,輕鬆的將以防護。

但在今日就不是這樣了。行動設備和BYOD政策代表想要強制進行「正確」的網路區隔變得困難得多。同樣的,因為角色會不斷改變和更具備彈性,也代表員工每日所需的資料可能會經常變動。此外,企業網路內資料流動的規模也是大大的增加。

區隔使用者和網路是一項艱鉅的任務,但卻是必要的。在面對今日的針對性攻擊時,識別正常流量及使用者是必要的。能夠更加熟悉「正常」流量和使用者,在偵測可能是針對性攻擊跡象的不尋常網路活動就更加有用。

那麼,有那些標準可以用來識別和分類網路?下面是一些例子。 繼續閱讀

< APT攻擊 > 鎖定台灣和菲律賓政府機關、軍事單位的”熱帶騎警”攻擊行動如何滲透機密單位?

台灣和菲律賓已成為一項名為 Tropic Trooper (熱帶騎警) 的「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱APT攻擊)的目標,而這項攻擊使用的只是舊的技倆:兩個 Windows 經常遭到攻擊的漏洞、社交工程(social engineering 巧以及簡單的圖像隱碼術 (Steganography)。這項攻擊從 2012 年至今一直不斷在竊取政府機關與產業的機密。

攻擊 入侵 駭客 一般 資料外洩

Tropic Trooper 攻擊行動專門鎖定台灣和菲律賓的政府機關、軍事單位以及重工業企業。值得注意的是仍有許多機構遭到這些老舊技倆的滲透,但它其實是可以利用漏洞修補、資安教育、惡意程式防護偵測等一些主動的作為和技術來事先加以防範。

在這項攻擊行動當中,歹徒對其攻擊目標的網路瞭若指掌,而且知道該用什麼誘餌來吸引受害者上鉤。歹徒精心製作了魚叉式網路釣魚(Phishing)電子郵件,並且附上炸彈攻擊預告信、履歷表、政府預算表等等吸引受害者開啟的附件檔案。這些隨附的文件當中暗藏了程式碼來攻擊 Windows 經常被利用、並可執行木馬程式的兩項漏洞:CVE-2010-3333 和 CVE-2012-0158。

[延伸閱讀:進階持續性滲透攻擊 (APT) 最常利用的漏洞 (Most Commonly Exploited Vulnerabilities Related to Targeted Attacks)]

歹徒的木馬程式 (TROJ_YAHOYAH) 最後會下載並解碼出一個惡意的圖片檔或一個誘餌文件。這個圖片檔看似無害,而且很像 Windows XP 系統內建的桌布。但其實歹徒利用了隱寫術來將 BKDR_YAHAMAM 後門程式暗藏在圖片當中,此程式會竊取系統上的資料、中止執行中的程序及服務、刪除檔案和目錄、將系統睡眠,或是執行其他的後門功能。

Tropic Trooper 攻擊行動所使用的圖片範例
Tropic Trooper 攻擊行動所使用的圖片範例

繼續閱讀

< APT 攻擊 >電腦螢幕後的敵人了解你的企業、網路、防禦措施、員工….還有更多

你的潛在敵人了解你的企業、你的網路、你的防禦措施、你的員工、你的供應鏈以及任何與你組織有互動相關的點。你會問,為什麼要做到如此透徹?這是要了找出最好的方法去躲避你的防禦措施,拿到你的資料,取回接著從中獲利。

作者:Bob Corson

 

對付 APT攻擊/目標攻擊, 必須偵測看不見的東西

如果你還沒有嘗試過「APT目標攻擊遊戲」,記得去試試。在最近,一直在我腦海中激盪思考的題目,就好似上圖中兩個物品跟目標攻擊的關係。不過,我希望經過幾段文章之後,你會得出以下結論:那些想進行「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱APT攻擊)的人不會照著預期的規則走。想贏得這場「遊戲」,你必須要能夠偵測某些你原本看不見的東西。

APT目標攻擊遊戲

 

現在,讓我們開始。在進行「APT目標攻擊遊戲」後,很有機會你會進行到最後跟Ferguson先生握手,你有什麼結論、意見和想法呢?我的話,是加強了我已經思考一段時間的想法,可以由上圖的物件來表示。 繼續閱讀

< APT >企業資料是網絡罪犯的金礦 ,新型APT 目標攻擊手法威脅網絡安全

 檢視APT 攻擊趨勢:2014 年度報告

「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱APT攻擊)(以下簡稱APT)是一種專門以竊取目標系統上的資料為主的威脅。APT攻擊包含六個階段:情報蒐集、突破防線、幕後操縱 (C&C)、橫向移動、搜尋資產/資料、資料外傳。有別於一般的認知,這些階段並非單向線性執行的,而是各階段不斷重複且並行重疊的。同樣地,資料外傳的動作也不會只有一次,其幕後操縱通訊和橫向移動則是整個行動當中一直持續在進行。最後,鎖定目標攻擊會進入一個維護階段,此時駭客會執行某些動作來讓資安人員的因應措施以及其他駭客企圖霸占的行為無法成功。

APT 攻擊行動很難找到幕後黑手和犯罪集團

 

這份年度報告討論了趨勢科技在 2014 年當中所分析的APT案例,以及所監控的相關幕後操縱伺服器。此外,這份報告也詳細討論了趨勢科技所調查過的攻擊行動,以及我們對APT攻擊手法、技巧與程序發展趨勢的觀察:

  • 鎖定目標攻擊行動很難找到幕後的黑手和犯罪集團。 

歹徒會盡可能不在目標網路內留下可追溯的痕跡,因此很難找到其幕後的黑手。2014 年,我們發現一些由政府在背後支援以及非政府支援的攻擊,後者的案例如 Arid Viper 和 Pitty Tiger。根據趨勢科技網路安全長 Tom  Kellermann 指出,有越來越多的網路犯罪者利用毀滅性攻擊來宣揚其激進主義或者反制資安應變措施。

APT攻擊行動的各個階段

圖 1:APT攻擊行動的各個階段

除了外部攻擊之外,企業可能還得面對內賊的威脅,如去年的 Amtrak 資料外洩事件,該案洩漏了將近 20 年的旅客個人身分識別資訊 (PII)。

APT攻擊行動的各個階段

圖 2:歹徒的身分和動機

  • 環境的特殊性不一定能防止歹徒的覬覦。

除了鎖定一般商用及熱門的軟體與工具之外,歹徒也會利用一些特殊領域的應用程式、作業系統及環境來發動攻擊,其中一個例子就是利用奇異公司智慧型平台 (GE Intelligent Platform) CIMPLICITY 軟體的攻擊。Apple 的裝置也成了歹徒滲透目標網路、進而從事間諜活動的工具,例如 Pawn Storm 攻擊行動。

  • 鎖定目標攻擊手法持續突破、技巧不斷翻新。

新的鎖定目標攻擊手法在 2014 年不斷出現。這些手法運用了一些正當的工具 (如 Windows® PowerShell) 以及雲端儲存平台 (如 Dropbox)。此外趨勢科技也發現針對 64 位元系統所開發出來的惡意程式越來越普遍。

[您的企業有能力防範網路攻擊嗎?《APT攻擊:遊戲》邀請您來擔任公司的資訊長]

  • 經過長期試驗成功的漏洞與新發現的零時差漏洞依然是歹徒的最愛。

根據證據顯示,歹徒不僅會利用零時差漏洞,也會利用一些已經存在多年的舊漏洞來發動APT

  • 鎖定目標攻擊仍是一項全球問題。

根據我們在 2014 年所監控的案例,澳洲、巴西、中國、埃及和德國是APT幕後操縱伺服器分布最多的前五大國家。監控的過程當中我們也發現,APT幕後操縱伺服器的通訊對象分散許多國家,美國、俄羅斯和中國不再是歹徒唯一的最愛。

  • 網路犯罪集團也開始採用鎖定目標攻擊技巧,讓這類攻擊的界定變得模糊。

網路犯罪集團現在也開始模仿APT經常使用的技巧,因為這些技巧確實能為他們開發更多受害者,進而帶來更豐厚的利潤。例如,Predator Pain 和 Limitless 兩項攻擊就專挑中小企業下手,在短短的六個月當中就獲利高達 7,500 萬美元。

若想進一步了解過去一年的APT發展趨勢,請參閱我們的完整報告:鎖定APT目標攻擊趨勢:2014 年度報告

 

 

原文出處:Targeted Attack Campaigns and Trends: 2014 Annual Report

2015 台灣資訊安全大會- 4/2(四)上午09:40 趨勢科技專家分享:重大資料竊案,現場忠實呈現

趨勢科技資安核心技術部門資深協理明天 4/2(四)上午09:40 將出席2015 台灣資訊安全大會,分享的主題是”重大資料竊案,現場忠實呈現”

若您還只是聚焦在APT攻擊,您的企業還是暴露在很大的風險之中。因為寶貴的資料才是駭客不斷改變竊取手段的動力。趨勢科技資安核心技術部門資深協理張裕敏,將從企業、銀行到政府,剖析還原2013 ~ 2015 國內外重大駭客竊取資料的真實案例和手法精采呈現;透過實際案例為您的企業做最完整的防禦規劃。請勿錯過,精彩議程!

地點:台北市國際會議中心 – 台北市信義路五段 1 號

時間: 4/2(四)上午09:40 

以下為趨勢科技業務部協理楊肇謙今日在活動現場接受訪談, 談 APT攻擊

 

 

現場活動:

  • 現場趨勢攤位填寫完整活動問券, 可以換可口可樂一瓶 , 再抽 7-11 商品卡 (200元)
  • 趨勢科技Facebook 粉絲頁按讚,經現場攤位工作人員確定,即可獲得3M 標籤螢光筆一隻。 (不指定顏色,數量有限送完為止)。
  • 11086034_10203999134207418_703666782_n
    11132135_10203999134447424_1368673772_n

繼續閱讀