你的潛在敵人了解你的企業、你的網路、你的防禦措施、你的員工、你的供應鏈以及任何與你組織有互動相關的點。你會問,為什麼要做到如此透徹?這是要了找出最好的方法去躲避你的防禦措施,拿到你的資料,取回接著從中獲利。
作者:Bob Corson
對付 APT攻擊/目標攻擊, 必須偵測看不見的東西
如果你還沒有嘗試過「APT目標攻擊遊戲」,記得去試試。在最近,一直在我腦海中激盪思考的題目,就好似上圖中兩個物品跟目標攻擊的關係。不過,我希望經過幾段文章之後,你會得出以下結論:那些想進行「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱APT攻擊)的人不會照著預期的規則走。想贏得這場「遊戲」,你必須要能夠偵測某些你原本看不見的東西。
現在,讓我們開始。在進行「APT目標攻擊遊戲」後,很有機會你會進行到最後跟Ferguson先生握手,你有什麼結論、意見和想法呢?我的話,是加強了我已經思考一段時間的想法,可以由上圖的物件來表示。 繼續閱讀
APT手法持續突破 政府機關、軟硬體公司、消費性電子製造商成目標
【2015年4月30日台北訊】全球雲端安全領導廠商趨勢科技發佈最新進階持續性滲透攻擊(APT)發展趨勢:2014 年度報告。根據報告指出,過去一年,進階持續性滲透攻擊(簡稱 APT) 技巧不斷翻新,威脅變得更為多元複雜,而情報蒐集與竊取資料是所有APT的共通目的。趨勢科技呼籲,政府、企業皆需全面了解最新APT發展情勢以調整防禦策略,降低遭遇攻擊的風險。
趨勢科技資深技術顧問簡勝財指出:「由於其高破壞性與高成功率,讓網路犯罪集團越來越常採用APT的攻擊技巧。要反制這類攻擊,企業必須隨時保持警戒,並且採取有效的解決方案來因應不斷演變的網路安全情勢。建議企業必須建立一套客製化防禦,運用進階威脅偵測技術與共享的威脅情報來偵測、分析、回應一般標準資安解決方案所無法偵測的攻擊。」
根據報告預測,APT目前依然難以防範,其不著痕跡的攻擊方式讓有心人士蒐集情報、竊取機密資料的軌跡無法立即偵測,且技巧和手法皆不斷翻新。APT已成為全球問題,網路犯罪者最愛的目標不再僅侷限於美國、俄羅斯與中國。依據趨勢科技於 2014 年所監控的案例,澳洲、巴西、中國、埃及和德國是APT幕後操縱(C&C)伺服器分布最多的前五大國家,台灣也名列前十五名之一。雖然,政府機關依然是此類攻擊最愛的對象,不過趨勢科技也發現,軟硬體公司、消費性電子產品製造商以及醫療照護機構遭到APT的次數也突然攀升。
2014 年是「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱APT攻擊)手法更加精進的一年。隨著越來越多企業升級到新版的 Windows 作業系統,我們發現有些攻擊行動也開始採用更多的 64 位元惡意程式。這類 64 位元惡意程式的範例包括:HAVEX (一種 RAT 遠端存取木馬程式,用於專門針對工業控制系統的攻擊) 以及 WIPALL (Sony Pictures 遭駭事件的主角)。
隨著歹徒轉進新的 Windows 版本,他們也開始在攻擊當中利用一些正常的工具和功能。Windows PowerShell® 就是一個例子,這是 Windows 7 開始提供的一個功能,可讓系統管理員不需透過圖形使用者介面 (GUI) 就能操作系統的一些功能。歹徒使用 PowerShell 指令來下載惡意檔案,並且越過檔案執行管制原則來執行下載的惡意檔案。
此外,還有一個文件漏洞攻擊範本 TROJ_MDROP.TRX 也出現在多起APT攻擊當中。此漏洞攻擊範本很可能已在地下市場上販售及散布,因為它曾出現在多項攻擊行動當中。歹徒只需修改這個漏洞攻擊範本來配合其目的即可。
根據趨勢科技的資料,.RTF 和 .DOC 檔案是最常被使用的電子郵件附件檔案,這很可能是因為 Microsoft Word® 在任何企業及機構都會用到。
圖 1:2014 年鎖定APT 攻擊最常用的電子郵件附件檔案類型
攻擊所使用的新舊漏洞
2014 年的鎖定APT 攻擊使用了多個零時差漏洞。例如,兩個針對 CVE-2014-1761 漏洞的 Taidoor 相關零時差漏洞攻擊,襲擊了台灣的一些政府機關和某個教育機構,其修補空窗期維持了 15 天。攻擊新的漏洞比攻擊舊的漏洞效果更好,因為廠商尚未釋出修補程式。零時差漏洞經常讓廠商及一般受害者手忙腳亂。
然而,歹徒並未因為使用新的漏洞就放棄利用舊的漏洞。事實上,攻擊舊的漏洞可以收到固定的成效,而且歹徒只需利用一些可輕易買到且經過長期驗證的漏洞攻擊工具即可。
儘管 MS12-027資訊安全公告已修正了 CVE-2012-0158 漏洞,但此漏洞仍是駭客的最愛。不但如此,它還是 2014 上半年鎖定APT 攻擊最常利用的漏洞。最有名的例子就是 PLEAD 和 Pawn Storm,這兩項攻擊行動都是利用這個漏洞來滲透目標網路。
全球問題
政府機關依然是 2014 年鎖定APT 攻擊 最愛的對象。不過在下半年,軟硬體公司、消費性電子產品製造商以及醫療照護機構遭到鎖定APT 攻擊 的次數也突然竄升。
此外,我們也統計了與幕後操縱伺服器通訊的受害目標在全球的分布狀況。如以下地圖中的熱區顯示,美國、俄羅斯和中國不再是歹徒唯一的最愛,其他熱門的目標還有台灣、南韓、法國與德國。
圖 2:2014 年與鎖定APT 攻擊幕後操縱伺服器通訊最多的國家 (點一下影像可放大檢視)
跟上威脅的腳步
有鑑於鎖定APT 攻擊 數量不斷增加、發動攻擊的困難度不斷下降、防禦的困難度不斷上升,網路安全人員最重要的是從預防到偵測的心態轉變。也就是說,企業必須接受APT 攻擊 勢必攻陷其網路的事實,因此,任何黑名單的機制都將無法遏止有心的駭客。
建立威脅情報是對抗鎖定APT 攻擊的重要關鍵。透過外界的各種報告以及內部的歷史記錄和即時監控資料來了解歹徒所用的工具、技倆及手法,能有助於建立強大的入侵指標 (Indicators of Compromise,簡稱 IoC) 資料庫,這將成為企業採取行動的基礎。但企業不應僅止於了解這類攻擊,還應建立及訓練一些事件應變團隊,並且教育員工、合作夥伴以及上下游廠商認識社交工程技巧與資訊安全的概念,以降低鎖定APT 攻擊 的相關風險。
如需詳細的說明,請參閱我們的鎖定APT 攻擊趨勢:2014 年度報告。
原文出處: https://blog.trendmicro.com/trendlabs-security-intelligence/how-targeted-attacks-changed-in-2014/
檢視APT 攻擊趨勢:2014 年度報告
「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱APT攻擊)(以下簡稱APT)是一種專門以竊取目標系統上的資料為主的威脅。APT攻擊包含六個階段:情報蒐集、突破防線、幕後操縱 (C&C)、橫向移動、搜尋資產/資料、資料外傳。有別於一般的認知,這些階段並非單向線性執行的,而是各階段不斷重複且並行重疊的。同樣地,資料外傳的動作也不會只有一次,其幕後操縱通訊和橫向移動則是整個行動當中一直持續在進行。最後,鎖定目標攻擊會進入一個維護階段,此時駭客會執行某些動作來讓資安人員的因應措施以及其他駭客企圖霸占的行為無法成功。
這份年度報告討論了趨勢科技在 2014 年當中所分析的APT案例,以及所監控的相關幕後操縱伺服器。此外,這份報告也詳細討論了趨勢科技所調查過的攻擊行動,以及我們對APT攻擊手法、技巧與程序發展趨勢的觀察:
歹徒會盡可能不在目標網路內留下可追溯的痕跡,因此很難找到其幕後的黑手。2014 年,我們發現一些由政府在背後支援以及非政府支援的攻擊,後者的案例如 Arid Viper 和 Pitty Tiger。根據趨勢科技網路安全長 Tom Kellermann 指出,有越來越多的網路犯罪者利用毀滅性攻擊來宣揚其激進主義或者反制資安應變措施。
圖 1:APT攻擊行動的各個階段
除了外部攻擊之外,企業可能還得面對內賊的威脅,如去年的 Amtrak 資料外洩事件,該案洩漏了將近 20 年的旅客個人身分識別資訊 (PII)。
圖 2:歹徒的身分和動機
除了鎖定一般商用及熱門的軟體與工具之外,歹徒也會利用一些特殊領域的應用程式、作業系統及環境來發動攻擊,其中一個例子就是利用奇異公司智慧型平台 (GE Intelligent Platform) CIMPLICITY 軟體的攻擊。Apple 的裝置也成了歹徒滲透目標網路、進而從事間諜活動的工具,例如 Pawn Storm 攻擊行動。
新的鎖定目標攻擊手法在 2014 年不斷出現。這些手法運用了一些正當的工具 (如 Windows® PowerShell) 以及雲端儲存平台 (如 Dropbox)。此外趨勢科技也發現針對 64 位元系統所開發出來的惡意程式越來越普遍。
[您的企業有能力防範網路攻擊嗎?《APT攻擊:遊戲》邀請您來擔任公司的資訊長]
根據證據顯示,歹徒不僅會利用零時差漏洞,也會利用一些已經存在多年的舊漏洞來發動APT。
根據我們在 2014 年所監控的案例,澳洲、巴西、中國、埃及和德國是APT幕後操縱伺服器分布最多的前五大國家。監控的過程當中我們也發現,APT幕後操縱伺服器的通訊對象分散許多國家,美國、俄羅斯和中國不再是歹徒唯一的最愛。
網路犯罪集團現在也開始模仿APT經常使用的技巧,因為這些技巧確實能為他們開發更多受害者,進而帶來更豐厚的利潤。例如,Predator Pain 和 Limitless 兩項攻擊就專挑中小企業下手,在短短的六個月當中就獲利高達 7,500 萬美元。
若想進一步了解過去一年的APT發展趨勢,請參閱我們的完整報告:鎖定APT目標攻擊趨勢:2014 年度報告。
原文出處:Targeted Attack Campaigns and Trends: 2014 Annual Report
想了解整體威脅環境可以從各種來源來收集資料。其中一種有用的做法是檢視命令和控制(C&C)伺服器的各種活動,像是用在殭屍網路、針對性攻擊,或是用在攻擊更廣泛目標的一般使用者。
我們可以結合各種威脅情報來源,包括了趨勢科技的主動式雲端截毒技術,進而一窺C&C伺服器的活動。(這些都可以在全球殭屍網路地圖上即時顯示)。以下的發現呈現出我們在整個2014年所收集的資料。我們可以看到C&C伺服器位置、端點位置,以及使用這些伺服器的惡意軟體家族。
那我們可以從這些數字中學到什麼?以及IT專業人士能夠幫忙減輕這類威脅嗎?
惡意軟體使用更多方法來確保伺服器通訊暢通
我們評量了最常用的惡意軟體家族,根據和這些惡意軟體家族相關的命令和控制伺服器數量來加以衡量。在所有的C&C伺服器活動中,以下是最常見的惡意軟體家族:
而在APT攻擊-進階持續性滲透攻擊 (Advanced Persistent Threat, APT) /目標攻擊中,這是最常見的惡意軟體家族:
從這些數字中可以看出一些趨勢:
綜合起來,這些發展顯示出攻擊者如何採用更多技術來試圖混淆其控制下的C&C伺服器。好讓對這些攻擊的鑑識分析變得更加困難,使得進行偵測和找出源頭產生問題。
伺服器所在位置
攻擊者企圖去混淆攻擊,讓透過C&C伺服器來找出攻擊幕後黑手變得十分困難。結果就是,想要只靠C&C伺服器位置來找出源頭並不可靠。必須獲得進一步的威脅情報才能夠真正做出結論。
我們對C&C伺服器位置的調查結果也反映了這一點:大多數C&C伺服器並非位在被視為網路犯罪避風港的國家。相反地,它們反映了廣泛的網路狀況:擁有豐富基礎設施去代管任何類型服務的國家深受網路犯罪份子歡迎。
表1、C&C伺服器位置(所有C&C活動)
表2、C&C伺服器位置(只包括針對性攻擊)
