有效回應 APT 目標攻擊的四階段

對於今日的許多組織來說,問題不再是他們會否成為APT攻擊-進階持續性滲透攻擊 (Advanced Persistent Threat, APT) /目標攻擊APT 目標攻擊的受害者,而是什麼時候。在這種情況下,組織如何應對會決定它會演變成嚴重的事件,或保持在小麻煩狀態。

APT

這需要資訊安全人員改變心態。過去的技術和許多最佳做法都是以攻擊者可以擋住為前提。

然而今日不再如此。用於APT 目標攻擊的惡意軟體往往無法被偵測(因為它是為特定組織所客製化)。精心製作的社交工程攻擊可以看起來就像是個正常商業郵件的引人誘餌。

簡言之,有足夠資源的攻擊者總是可以找到方法進入目標,不管部署了哪些防禦。防禦措施可以增加進入的難度,但無法完全防止。

SANS組織提供了一些組織該該如何應對資安事件的指南。不過在廣義上來說,回應可以分為四個階段

做好準備。

這涉及在APT 目標攻擊實際發生前的回應措施。安全專家需要對於如何應對自家網路內的APT 目標攻擊做好規劃。就好比系統管理員需要固定的為應對停機相關事件(如資料中心離線)做好規劃。

同樣地,瞭解組織每日所面對到的一般正常威脅也很重要。資訊安全專家不僅必須在攻擊事件發生時加以處理,還應該瞭解一般「正常」的問題,才能夠快速地發現不正常的威脅。像是APT 目標攻擊。威脅情報和分析在這一階段非常珍貴,可以引導安全專家瞭解目前的情況。

安全專家還必須計畫去取得正確的技能來有效地處理APT 目標攻擊。所該學會最重要的技能之一是數位鑑識能力,好從被入侵設備上適當的採集和分析資料。

這些技術有許多和一般IT日常工作比起來都比較陌生,但學習這些技術可以幫助組織取得資訊和更佳地準備好去處理任何攻擊。

回應。

一旦判斷有APT 目標攻擊在進行中,下一步是要果斷回應。回應APT 目標攻擊有幾個部分:控制威脅、加以消除和確認損害範圍。第一步是立即隔離或控制威脅規模。這裏可以進行的步驟包括隔離受感染機器或將被入侵的服務離線。最終目標是防止攻擊進一步的擴展。

要確認所發生的威脅,和瞭解常見APT 目標攻擊工具灰色軟體的安全廠商攜手合作對於找到組織內部威脅是很有幫助的。同樣地,持續監控現有的網路活動可以幫助確定現有攻擊的規模和範圍。  繼續閱讀

< 索尼影業被駭事件 > GOP 駭客組織給Sony Pictures員工的警告與 WIPALL 惡意軟體變種分析

趨勢科技 之前討論了「破壞性」美國聯邦調查局安全通報和關於WIPALL惡意軟體家族的分析及其對索尼影視(Sony Pictures)大規模駭客攻擊的直接關聯。

駭客hacker

在此篇文章中,我們將進一步討論其他 WIPALL惡意軟體變種和它們與索尼影視(Sony Pictures)員工受感染電腦內所見#GOP警告相關的主要行為。下面是對此文章所要討論感染鏈的概述:

BKDR64_WIPALL.F停用McAfee服務

WIPALL變種BKDR_WIPALL.C和之前所討論的變種BKDR_WIPALL.B共用程式碼。在BKDR_WIPALL.C案例中、植入的複本命名為igfxtrays{2隨機字元}.exe和用指定參數(-a、-m、-d、-s)執行數個自身複本,其中包含其主要行為。

圖1、BKDR_WIPALL.C的主要惡意軟體行為

繼續閱讀

< 索尼影視(Sony Pictures)攻擊事件 > 深入分析美國 FBI 所提供之「破壞性」惡意軟體樣本

趨勢科技 T rendLabs 最近取得美國聯邦調查局(FBI)在12月2日警告美國公司之報告中所述的「破壞性」惡意軟體樣本。根據路透社報導,在最近的索尼影視(Sony Pictures)攻擊事件後,美國聯邦調查局發出警訊通知企業對這新的「破壞性」惡意軟體保持警覺。在本文撰寫時,索尼影視(Sony Pictures)入侵外洩事件和美國聯邦調查局所提惡意軟體間的關聯尚未得到確認。

駭客hacker

美國聯邦調查局的備忘「#A-000044-mw」描述了惡意軟體的行為,據報其有能力去覆蓋電腦硬碟的所有資料(包括開機磁區),這會讓電腦無法開機。

下面是趨勢科技的調查分析結果:

BKDR_WIPALL惡意軟體分析

我們將美國聯邦調查局報告中介紹的惡意軟體偵測為BKDR_WIPALL。下面是這攻擊感染鏈的快速概覽。

這裡的主要程式為diskpartmg16.exe(檢測為BKDR_WIPALL.A)。BKDR_WIPALL.A的overlap有一組加密的使用者名稱和密碼,如下圖所示:

圖1、BKDR_WIPALL.A的overlap包含加密的使用者名稱和密碼

這些使用者名稱和密碼被發現在惡意軟體樣本的overlap內用XOR 0x67加密,然後用來登入共享網路。一旦登入,惡意軟體會嘗試授予所有人完全的存取權限來存取系統根目錄。

圖2、惡意軟體登入到網路的程式碼片段  繼續閱讀

索尼影視(Sony Pictures)企業網路遭受重大攻擊:為何你需要領先APT 目標攻擊一步

處理攻擊、入侵和資料竊取問題是目前許多組織要面對的工作之一。這類威脅就像是組織固定會面對的問題,而不正確防禦策略所帶來的後果將會很快地顯現出來。

索尼影視(Sony Pictures)最近的攻擊事件突顯出這個問題。在11月下旬,該公司企業網路被自稱為和平守護者(#GoP)的團體所入侵。一張首先發表在Reddit的圖檔表示此圖被秀在每一位員工的電腦上,帶來駭客們的訊息,要求他們的「需求需要得到滿足」。

駭客聲稱他們擁有數個包含機密員工資料的ZIP檔案,包括姓名、個人檔案、薪資和生日。其他據稱被竊的資料是主演索尼影視(Sony Pictures)電影明星的個人資料。

五部尚未發表的完整長度影片也被洩露到各個檔案分享網站。

索尼影視(Sony Pictures)對此事件的反應也值得強調。對於這類高層級攻擊的典型反應是要讓組織可以適當地調查現有攻擊並將對組織的日常運作影響減至最低。然而,現有關於此次攻擊的報告顯示他們的反應是禁用整個企業網路。不僅嚴重地影響日常營運,也讓調查任何攻擊變得更加困難。

一般來說,攻擊企業網路被認為是對竊取金錢或資訊有興趣。這次攻擊提醒了IT管理員某些攻擊主要是被設計來破壞目標組織的運作 – 實際上,就是駭客主義的呈現。組織必須考慮到這一點並相對應地來保護自己的網路。

 

@原文出處:Sony Pictures Corporate Network Hit by Major Attack: Why You Need to Stay Ahead of Targeted Attacks

對索尼被攻擊事件的報導隨著我們看到更多發展而繼續下去。這裡是跟此事件有關的文章列表:

變更密碼和移除惡意軟體並不足以化解 APT 目標攻擊

APT

說到APT攻擊-進階持續性滲透攻擊 (Advanced Persistent Threat, APT) /目標攻擊,攻擊者並非無所不知。他們需要在早期階段收集資料來了解目標,他們會從各種情報來源收集資料,像是Google、Whois、Twitter和Facebook。他們可能會收集電子郵件地址、IP位址範圍和連絡人列表等資料。然後將其來製造釣魚郵件的誘餌,最終可以讓他們滲透入目標組織的網路。

一旦進入,攻擊者會開始橫向移動階段。在此階段,攻擊者會進行端口掃描、服務掃描、網路拓撲映射、密碼嗅探、鍵盤記錄和安全政策滲透測試。目標是找到更加機密的資料以及更加隱密的存取方式。

橫向移動讓攻擊者可以取得對自己有利的資料。他們現在知道了有哪些安全弱點、防火牆規則設定缺陷和錯誤的安全設備部署。他們現在也擁有了最新的網路拓撲、密碼設定和安全性政策。 繼續閱讀