< CTO 觀點 >針對性攻擊/鎖定目標攻擊(Targeted attack )與進階持續性滲透攻擊 (ATP) 有何差異?

作者:Raimund Genes (趨勢科技技術長,CTO)

前不久我上了由 Bill Murphy 主持的 RedZone Podcast 節目,談論到有關「 針對性攻擊/鎖定目標攻擊(Targeted attack )」和「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱APT攻擊)」之間有何差異 (當然還有其他主題)。這是一個過去我經常談到的一個話題,也是一個我經常在各種會議上被問到的問題。讓我來解釋一下我的意思。

APT攻擊一詞,大約是十年前從美國軍方流傳出來的一個用語。它有相當明確的定義,意指那些由國家所發動的攻擊。這些攻擊當然不會明確張揚其幕後的主使者。其程式碼也不會告訴你是哪個情報單位或國家所為。要追溯某項攻擊確切的幕後主使國家有其困難:畢竟,駭客很可能會透過重重的跳板來隱藏其真正的源頭。

攻擊,APT,目標攻擊

不過,在大多數情況下,當我們在檢視某個 APT攻擊所用的程式碼時可以發現,這些程式都擁有相當完整的設計。它們不像是由一小群個人所開發,反倒像背後有一整個開發團隊。此外,我們也無法在地下犯罪網路上找到這些程式的藍本,意思是:不論是誰所開發,這些都是他們自己的創作。

這一切所需的代價不斐。想想看您需要多少資源才能養得起這些開發人員。看看 Hacking Team 資料外洩 的例子,他們的產品在全球各國販售的價格在數十萬美元之譜。想像一下,若是一個國家要培養自己的「駭客團隊」要付出比這價格高出多少的代價。

然而,大多數人「並不」需要擔心 APT攻擊 的問題。除非您是某個政府機構或國防承包商的 IT 系統管理員,否則您大概不會需要擔心APT攻擊 威脅。您「真正」需要擔心的是資料外洩和 針對性目標攻擊(Target attack )。

針對性攻擊/鎖定目標攻擊(Targeted attack )」與 APT攻擊截然不同,它們不是由國家所發動,而是由全世界各個角落的駭客所為。他們的動機五花八門,包括:竊取資訊、從事信用卡詐騙、或者單純只是在您的企業內搞破壞。他們所用的工具基本上都能在地下市集上以合理的價格買到。其真正「精密」之處在於這些攻擊所用的社交工程技巧繼續閱讀

台灣和香港數家電視和政府網站遭Hacking Team Flash漏洞攻擊

Hacking Team 資料外洩相關的Flash漏洞攻擊,被發現入侵了台灣和香港的網站, 此一攻擊活動從 7月9日開始,也就是Hacking Team 資料外洩宣布被駭的幾天後隨即受駭。會下載 Poison Ivy遠端存取工具和其他惡意軟體到使用者電腦上。

PoisonIvy是個在地下市場中流行的RAT後門程式,通常被用在「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱APT攻擊)攻擊中。這個後門程式已知會抓取螢幕截圖、網路攝影機影像和聲音;記錄按鍵和活動視窗;刪除、搜尋和上傳檔案並執行其他侵入性行為。

這一波攻擊入侵了台灣的電視台、教育單位、宗教團體及一知名政黨的網站;還有一個受歡迎的香港新聞網站。這些受駭的網站有著固定的使用者,比方說提供就業考試給政府僱員的教育單位,已經製作和進口電視節目和電影長達十年的台灣網路電視。

我們已經通知了受攻擊影響網站的所有者;然而到本文撰寫時,還有三個網站處在受駭狀態。

 

Hacking Team的痕跡仍然在那

攻擊者一開始傳送Hacking Team所流出的Flash Player漏洞(CVE-2015-5119)到預先入侵好的網站上,就在該公司宣布遭受駭客攻擊(7月5日)和Adobe修補漏洞(7月7日)的幾天後。攻擊者們進行另一波的攻擊,導致另一個Hacking Team相關的Flash零時差漏洞攻擊(CVE-2015-5122)。

 

圖1、Hacking Team相關Flash漏洞攻擊送至台灣和香港網站的時間表

 

值得注意的是,在第一波和第二波攻擊開始時,兩個台灣教育機構網站皆在攻擊目標中。

 

圖2、台灣受駭的宗教團體網站

 

PoisonIvy和其他惡意軟體

趨勢科技發現所有受駭網站(除了一知名台灣政黨官方網站)都被用iframe來注入一惡意SWF,會導致遠端訪問工具(RAT) Poison Ivy (BKDR_POISON.TUFW)。

而另一方面,該政黨網站會帶來嵌入在圖片內的不同惡意軟體,偵測為TROJ_JPGEMBED.F。政黨網站跟其他受駭網站一樣會將資料發送到同一伺服器(223[.]27[.]43[.]32),推測這是同一波攻擊活動的一部分。

Hacking Team Flash exploit campaign

圖3、Hacking Team Flash漏洞攻擊所嵌入的圖片

 

雖然分析工作仍在進行中,好確定這波攻擊活動是否為 APT攻擊趨勢科技已經看到一個可疑網域wut[.]mophecfbr[.]com嵌入在惡意軟體中,它也出現在之前報導被稱為「Tomato Garden(番茄花園)」針對性攻擊所使用命令和控制(C&C)列表內。

 

建議

 

為了防止電腦遭受漏洞攻擊和惡意後門程式植入,使用者要更新Adobe Flash Player。你可以透過Adobe Flash Player網頁來檢查自己是否使用最新的版本。隨時了解常用軟體的最新消息也有幫助。參考我們的部落格文章 – 「Adobe Flash難題:積重難返」來了解更多最近的Flash相關事件,以及使用者和企業可以做些什麼。

 

趨勢科技可以偵測此事件中的所有惡意軟體和漏洞攻擊碼。SHA1值如下:

  • SWF_CVE20155122.A
    d4966a9e46f9c1e14422015b7e89d53a462fbd65
  • SWF_CVE20155122.B
    fdcdf30a90fa22ae8a095e99d80143df1cc71194
  • SWF_CVE20155122.C
    9209fee58a2149c706f71fb3c88fef14b585c717
  • BKDR_POISON.TUFW
    2dc1deb5b52133d0a33c9d18144ba8759fe43b66

 

@原文出處:Hacking Team Flash Attacks Spread: Compromised TV and Government-Related Sites in Hong Kong and Taiwan Lead to PoisonIvy|作者:Joseph C Chen(網路詐騙研究員)

 

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。

▼ 歡迎加入趨勢科技社群網站▼

好友人數

 

Java零時差漏洞再現,鎖定專門攻擊軍事單位,政府機關和國防機構

Pawn Storm:兩年來第一個 Java 零時差攻擊

趨勢科技的研究團隊在 Pawn Storm(典當風暴) 這個專門鎖定重要敏感機構的駭客集團攻擊行動當中發現了一項新的攻擊手法。我們經由趨勢科技主動式雲端截毒服務  Smart Protection Network情報網發現了一些專門針對北約 (NATO) 會員國和某個美國國防機構的攻擊電子郵件。

Attack 攻擊

Pawn Storm 行動這項最新攻擊之所以令人矚目的原因是它運用了一個全新、尚未修補的 Java 漏洞,這是自從 2013 年以來第一個被發現的 Java 零時差漏洞。此外,該攻擊還運用了一個已有三年歷史的 Microsoft Windows Common Controls (通用控制項) 漏洞 (CVE-2012-015),此漏洞已經在 MS12-027 安全公告當中解決。

趨勢科技的研究人員已將漏洞通報給 Oracle, Oracle已經在2015 年 7 月重大修補更新當中修正了這項漏洞。我們建議受影響的使用者盡快更新自己的 Java 軟體。此外,該漏洞也已列入 CVE 漏洞資料庫當中,編號:CVE-2015-2590。

零時差漏洞一直是進階持續性滲透攻擊 (APT) 的最愛工具,因為它們非常有效。這一切都是因為廠商還未釋出修補程式的緣故。在我們持續追蹤及監控 Pawn Storm 這個 APT 攻擊行動的過程中,我們發現了一些可疑的網址專門攻擊一項新發現的 Java 零時差漏洞。這是近兩年來第一次有新的 Java 零時差漏洞被發現。

值得注意的是,這個零時差漏洞與最近發生的 Hacking Team 資料外洩事件並無關聯。Pawn Storm 攻擊行動背後的團體目前正利用這項 Java 零時差漏洞來從事活動。

前述暗藏這個 Java 新零時差漏洞的網址與 Pawn Storm(典當風暴)  在 2015 年 4 月攻擊北約 (NATO) 會員國和美國白宮所使用的網址類似,不過當時的網址並未包含這次發現的漏洞。除此之外,Pawn Storm 還會攻擊其他政府機構,並利用一些政治事件和研討會為社交工程(social engineering )誘餌,如亞太經合會 (APEC) 以及 2014 年中東國土安全高峰會 (Middle East Homeland Security Summit 2014)。除了軍事單位和政府機關之外,媒體與國防工業也是這個 APT 攻擊行動鎖定的目標。 繼續閱讀

< APT 攻擊防禦 > 識別和區分網路及使用者

適當進行網路區隔是保護網路對抗「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱APT攻擊)最關鍵的主動應對措施。對組織來說,適當的識別和分類自己的使用者與其所能存取的網路也同樣的重要。

attack hacker 鍵盤攻擊

這是一項重要的任務,因為它讓管理者能夠正確的區隔使用者權限和網路流量。有些使用者會被限制存取敏感公司網路;同樣的,某些網路可能會比其他網路擁有更廣泛的資料。這可以使得保護組織最重要資料(我們經常討論的話題)的任務變得更加容易。

可以同心合作來廣泛地評估組織所面對的威脅。有些風險並非出現在所有組織 – 比方說國防承包商面對的威脅就和家庭式麵包店不同。組織需要了解自己面對的是什麼樣的風險,以及有那些已經出現在自己的網路內。後者尤其困難,甚至連大型組織也面臨到這樣的挑戰。但這很重要,在組織提高其安全態勢前,需要先了解自己的狀況。

在過去,這項任務可能比較容易,因為所有的設備都在IT部門管控之下,而且連線只有有線網路。這代表了IT部門可以負責一切 – 而IT管理者,一般來說是一組人,可以將事情有邏輯的安排好,輕鬆的將以防護。

但在今日就不是這樣了。行動設備和BYOD政策代表想要強制進行「正確」的網路區隔變得困難得多。同樣的,因為角色會不斷改變和更具備彈性,也代表員工每日所需的資料可能會經常變動。此外,企業網路內資料流動的規模也是大大的增加。

區隔使用者和網路是一項艱鉅的任務,但卻是必要的。在面對今日的針對性攻擊時,識別正常流量及使用者是必要的。能夠更加熟悉「正常」流量和使用者,在偵測可能是針對性攻擊跡象的不尋常網路活動就更加有用。

那麼,有那些標準可以用來識別和分類網路?下面是一些例子。 繼續閱讀

< APT 攻擊 >「熱帶騎警攻擊行動」強勢攻台  62%鎖定政府單位與重工業

【台北訊】趨勢科技發佈「熱帶騎警攻擊行動」觀察報告,指出台灣與菲律賓一直是此項「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱APT攻擊)的首要目標,在過去三個月內,62%的攻擊行為都是針對台灣的政府單位與重工業,菲律賓的軍事單位則是另一個目標。根據趨勢科技病毒防治中心最新研究,駭客攻擊火力以今年3月份最為密集,連最常被利用的c&c伺服器也位於台灣!報告中詳述攻擊行動的目標、階段與手法,趨勢科技也表示,如同其他APT攻擊一樣,「熱帶騎警攻擊行動」已帶來重大危險,建議政府單位和企業都應有一套完整的監控策略與進階威脅防護工具,才能確切掌握並修補其網路的安全漏洞。

APT

 

趨勢科技資深技術顧問簡勝財表示:「『熱帶騎警攻擊行動』自2012年起即現出蹤影,但在今年3月份對台灣的攻擊火力大幅增強,並仍持續進行中。被利用的C&C伺服器中,有43%位於台灣,其次則分別位於美國、香港和阿拉伯聯合大公國

 

簡勝財指出,這項攻擊行動之所以能夠成功,是綜合了許多因素,例如利用兩個至今最常遭到攻擊的 Windows漏洞:CVE-2010-3333 和CVE-2012-0158 來入侵目標網路,並且採用了基本的圖像隱藏術 (steganography) 來將惡意程式碼隱藏在圖片當中,再搭配社交工程(social engineering 技巧騙取收件者的信任,而不小心開啟洩漏資訊給駭客的後門。此外,截至目前為止,台灣仍有17%的系統還在使用微軟Windows XP作業系統,而許多企業對於如何防禦 APT攻擊這種長期持續滲透的攻擊仍不熟悉、防護架構也不完整。
【延伸閱讀】
堅持上工的Windows XP ,讓DOWNAD 登上第二季垃圾毒王寶座
第一個 Windows XP 系統終止支援後出現的重大IE漏洞
十二年了,Windows XP時代終結:如果你還在用它怎麼辦

本次事件的攻擊手法,是先使用社交工程(social engineering 釣魚郵件、挾帶惡意附件檔案,進一步攻擊一些既有的漏洞,透過與收件者業務有關聯的郵件主旨、內容以及配合該情況的附件檔案名稱,趨勢科技曾發現的有:「關於104年中央政府總預算」或「實驗室電話表」等檔名,讓收件人不疑有他,進而下載並開啟郵件中所附的檔案。

社交工程釣魚郵件樣本

圖一、社交工程釣魚郵件樣本

繼續閱讀