APT攻擊:敵人在大門嗎?

 

 

最近一次出差到東京時,我見證了哥吉拉並不隱蔽的攻擊。正如你從上圖所看到的,從照片中,部分東京能夠逃過巨大綠色怪獸的憤怒得感謝有個強大的圍牆。真的嗎?我用iPhone拍攝的這張驚人圖片讓我思考了一番,自以為倖免於難是對 「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱APT攻擊)的重大誤解。

許多想法浮現在我腦海中。千百年來,防守邊界一直是良好安全實作的基本原則。從中古世紀的護城河、城牆和高塔,到通電柵欄,再到現代IT安全的防火牆、閘道防禦、IPS等等。其背後的邏輯就是阻止任何形式的威脅進入這些設計用來防護的邊界防禦。然而在這樣過了幾千年後,深思熟慮的安全措施需要深度防禦的做法。原則就是在可預見及不可預見的條件下,防禦措施可能會被攻破或是沒有作用。那麼,這跟哥吉拉有何關係? 繼續閱讀

APT 攻擊有何變化?政府機關依然是APT 攻擊最愛,台灣列入熱門目標

2014 年是「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱APT攻擊)手法更加精進的一年。隨著越來越多企業升級到新版的 Windows 作業系統,我們發現有些攻擊行動也開始採用更多的 64 位元惡意程式。這類 64 位元惡意程式的範例包括:HAVEX (一種 RAT 遠端存取木馬程式,用於專門針對工業控制系統的攻擊) 以及 WIPALL (Sony Pictures 遭駭事件的主角)。

APT 攻擊有何變化?政府機關依然是APT 攻擊最愛,台灣列入熱門目標


隨著歹徒轉進新的 Windows 版本,他們也開始在攻擊當中利用一些正常的工具和功能。Windows PowerShell® 就是一個例子,這是 Windows 7 開始提供的一個功能,可讓系統管理員不需透過圖形使用者介面 (GUI) 就能操作系統的一些功能。歹徒使用 PowerShell 指令來下載惡意檔案,並且越過檔案執行管制原則來執行下載的惡意檔案。

此外,還有一個文件漏洞攻擊範本 TROJ_MDROP.TRX 也出現在多起APT攻擊當中。此漏洞攻擊範本很可能已在地下市場上販售及散布,因為它曾出現在多項攻擊行動當中。歹徒只需修改這個漏洞攻擊範本來配合其目的即可。

根據趨勢科技的資料,.RTF 和 .DOC 檔案是最常被使用的電子郵件附件檔案,這很可能是因為 Microsoft Word® 在任何企業及機構都會用到。


圖 1:2014 年鎖定APT 攻擊最常用的電子郵件附件檔案類型

攻擊所使用的新舊漏洞

2014 年的鎖定APT 攻擊使用了多個零時差漏洞。例如,兩個針對 CVE-2014-1761 漏洞的 Taidoor 相關零時差漏洞攻擊,襲擊了台灣的一些政府機關和某個教育機構,其修補空窗期維持了 15 天。攻擊新的漏洞比攻擊舊的漏洞效果更好,因為廠商尚未釋出修補程式。零時差漏洞經常讓廠商及一般受害者手忙腳亂。

然而,歹徒並未因為使用新的漏洞就放棄利用舊的漏洞。事實上,攻擊舊的漏洞可以收到固定的成效,而且歹徒只需利用一些可輕易買到且經過長期驗證的漏洞攻擊工具即可。

儘管 MS12-027資訊安全公告已修正了 CVE-2012-0158 漏洞,但此漏洞仍是駭客的最愛。不但如此,它還是 2014 上半年鎖定APT 攻擊最常利用的漏洞。最有名的例子就是 PLEAD  和  Pawn Storm,這兩項攻擊行動都是利用這個漏洞來滲透目標網路。

全球問題

政府機關依然是 2014 年鎖定APT 攻擊 最愛的對象。不過在下半年,軟硬體公司、消費性電子產品製造商以及醫療照護機構遭到鎖定APT 攻擊 的次數也突然竄升。

此外,我們也統計了與幕後操縱伺服器通訊的受害目標在全球的分布狀況。如以下地圖中的熱區顯示,美國、俄羅斯和中國不再是歹徒唯一的最愛,其他熱門的目標還有台灣、南韓、法國與德國。


圖 2:2014 年與鎖定APT 攻擊幕後操縱伺服器通訊最多的國家 (點一下影像可放大檢視)

跟上威脅的腳步

有鑑於鎖定APT 攻擊 數量不斷增加、發動攻擊的困難度不斷下降、防禦的困難度不斷上升,網路安全人員最重要的是從預防到偵測的心態轉變。也就是說,企業必須接受APT 攻擊 勢必攻陷其網路的事實,因此,任何黑名單的機制都將無法遏止有心的駭客。

建立威脅情報是對抗鎖定APT 攻擊的重要關鍵。透過外界的各種報告以及內部的歷史記錄和即時監控資料來了解歹徒所用的工具、技倆及手法,能有助於建立強大的入侵指標 (Indicators of Compromise,簡稱 IoC) 資料庫,這將成為企業採取行動的基礎。但企業不應僅止於了解這類攻擊,還應建立及訓練一些事件應變團隊,並且教育員工、合作夥伴以及上下游廠商認識社交工程技巧與資訊安全的概念,以降低鎖定APT 攻擊 的相關風險。

如需詳細的說明,請參閱我們的鎖定APT 攻擊趨勢:2014 年度報告

 

 

原文出處: https://blog.trendmicro.com/trendlabs-security-intelligence/how-targeted-attacks-changed-in-2014/

調查偵測命令和控制伺服器

想了解整體威脅環境可以從各種來源來收集資料。其中一種有用的做法是檢視命令和控制(C&C)伺服器的各種活動,像是用在殭屍網路、針對性攻擊,或是用在攻擊更廣泛目標的一般使用者。

我們可以結合各種威脅情報來源,包括了趨勢科技的主動式雲端截毒技術,進而一窺C&C伺服器的活動。(這些都可以在全球殭屍網路地圖上即時顯示)。以下的發現呈現出我們在整個2014年所收集的資料。我們可以看到C&C伺服器位置、端點位置,以及使用這些伺服器的惡意軟體家族。

那我們可以從這些數字中學到什麼?以及IT專業人士能夠幫忙減輕這類威脅嗎?

 

惡意軟體使用更多方法來確保伺服器通訊暢通

我們評量了最常用的惡意軟體家族,根據和這些惡意軟體家族相關的命令和控制伺服器數量來加以衡量。在所有的C&C伺服器活動中,以下是最常見的惡意軟體家族:

  • CRILOCK
  • RODECAP
  • ZEUS
  • FAKEAV
  • BLADABINDI

 

而在APT攻擊-進階持續性滲透攻擊 (Advanced Persistent Threat, APT) /目標攻擊中,這是最常見的惡意軟體家族:

 

  • DARKCOMET
  • XTREME
  • NJRAT
  • GHOSTRAT
  • START

 

從這些數字中可以看出一些趨勢:

 

  • 像CRILOCK這樣利用網域生成演算法(DGA)的惡意軟體家族是很好的代表,凸顯出它們的普及程度。儘管其行為有所差異(加密勒索軟體或資料竊取),但是DGA很受歡迎,因為攻擊者只需要額外的少許精力就可以讓封鎖惡意網域變得更加困難。
  • 受駭網站也是常見的C&C伺服器。ZeuS/ZBOT和RODECAP都會利用受駭網站作為C&C伺服器,而且它們兩個惡意軟體家族都會廣泛地利用此種特殊做法。
  • 同樣地,免費網路代管服務供應商和動態IP重新導向服務也常被一些惡意軟體家族利用,像是NJRAT和DarkComet。
  • 許多最初被用在針對性攻擊的遠端存取工具(RAT)現在也用在各種網路犯罪攻擊中。這顯示出這些遠端存取工具的供應量增加,以及註冊和設立C&C網域的低進入門檻。

綜合起來,這些發展顯示出攻擊者如何採用更多技術來試圖混淆其控制下的C&C伺服器。好讓對這些攻擊的鑑識分析變得更加困難,使得進行偵測和找出源頭產生問題。

 

伺服器所在位置

攻擊者企圖去混淆攻擊,讓透過C&C伺服器來找出攻擊幕後黑手變得十分困難。結果就是,想要只靠C&C伺服器位置來找出源頭並不可靠。必須獲得進一步的威脅情報才能夠真正做出結論。

我們對C&C伺服器位置的調查結果也反映了這一點:大多數C&C伺服器並非位在被視為網路犯罪避風港的國家。相反地,它們反映了廣泛的網路狀況:擁有豐富基礎設施去代管任何類型服務的國家深受網路犯罪份子歡迎。

表1、C&C伺服器位置(所有C&C活動)

 

表2、C&C伺服器位置(只包括針對性攻擊)

繼續閱讀

Arid Viper攻擊行動:繞過鐵穹防禦系統

Viper

趨勢科技這篇研究報告裡,發掘了兩起跟阿拉伯有強烈關係的攻擊行動,可能位在加薩走廊。第一起是Arid Viper行動,對五個以色列組織(政府、運輸/基礎設施、軍事、學術和運輸)及一個總部在科威特的組織進行了極具針對性的網路攻擊。這起攻擊行動背後的惡意份子顯示出用精密手段來攻擊關鍵目標以取得敏感機密資料的能力,據信自2013年中就一直運作至今。

Arid Viper 行動利用色情影片,展開魚叉式網路釣魚(Phishing)攻擊五個以色列組織(涵蓋政府、運輸、基礎設施、軍事和學術單位)及一個科威特組織。「它所針對的專業人士可能會因為在工作上收到不當內容而羞於去回報此事件,」趨勢科技威脅研究人員在最近的 Arid Viper發現報告中表示。

在監視其所連接的C&C基礎設施(放在德國)時,趨勢科技的研究人員發現了另一起攻擊活動,這是由埃及駭客主導的Advtravel行動。我們的調查結果顯示這些埃及駭客似乎對存放在受害者電腦中的圖片特別感興趣。我們推測他們在找尋非法或有問題的圖片以用來進行勒索。跟 Arid Viper行動的幕後黑手不同,Advtravel行動幕後集團的動機並非金錢或間諜活動。有趣的是,當我們檢查 advtravel[點]info時,攻擊者的伺服器目錄結構完全的對外開放。這讓我們相信 Advtravel背後的攻擊者技術能力較差,而且並非那麼有目的的在攻擊其他埃及人。 繼續閱讀

影響全球銀行的 CARBANAKAPT 目標攻擊

想想看,有一種APT攻擊-進階持續性滲透攻擊 (Advanced Persistent Threat, APT) /目標攻擊將目標放在金融利益上,而非典型地會去竊取企業內部的重要資料或機密數據,那你大概就知道CARBANAK是什麼了。根據新聞報導,一個後門程式攻擊了超過100家的銀行和金融機構。這起攻擊始於2013年,影響了全球的銀行。

什麼是CARBANAK

CARBANAK是目標放在銀行和金融機構的針對性攻擊活動相關的偵測名稱。根據報告,它所採用的方法和技術(如魚叉式網路釣魚(Phishing)和漏洞攻擊),都常見於針對性攻擊中。因此,攻擊者的確會對目標網路進行情報蒐集以加以滲透。就跟其他針對性攻擊一樣,他們也使用魚叉式釣魚郵件作為攻擊進入點。趨勢科技將其偵測為BKDR_CARBANAK.A。

誰是目標?

CARBANAK惡意軟體背後的攻擊者將目標放在各個國家的銀行和金融機構,像是俄羅斯、美國、烏克蘭及其他亞太地區國家。

惡意軟體如何進入網路?

CARBANAK背後的攻擊者會寄送魚叉式釣魚郵件給目標銀行的員工。該電子郵件的附件檔帶有已知或舊的漏洞攻擊碼,如CVE-2012-0158、CVE-2013-3906和CVE-2014-1761。一旦攻擊成功,就會執行shellcode以執行CARBANAK惡意軟體。而在其他的感染鏈中,使用者會收到CPL檔案,執行後也會帶來CARBANAK惡意軟體。 繼續閱讀