說到APT攻擊-進階持續性滲透攻擊 (Advanced Persistent Threat, APT) /目標攻擊,攻擊者並非無所不知。他們需要在早期階段收集資料來了解目標,他們會從各種情報來源收集資料,像是Google、Whois、Twitter和Facebook。他們可能會收集電子郵件地址、IP位址範圍和連絡人列表等資料。然後將其來製造釣魚郵件的誘餌,最終可以讓他們滲透入目標組織的網路。
一旦進入,攻擊者會開始橫向移動階段。在此階段,攻擊者會進行端口掃描、服務掃描、網路拓撲映射、密碼嗅探、鍵盤記錄和安全政策滲透測試。目標是找到更加機密的資料以及更加隱密的存取方式。
橫向移動讓攻擊者可以取得對自己有利的資料。他們現在知道了有哪些安全弱點、防火牆規則設定缺陷和錯誤的安全設備部署。他們現在也擁有了最新的網路拓撲、密碼設定和安全性政策。 繼續閱讀
10 月 14 日,網路上出現一則有關 Sandworm team (沙蟲小隊) 駭客團體的報導。在初步研究過相關的惡意程式樣本和網域之後,趨勢科技很快就發現該團體的主要對象應該是使用 SCADA (監控與資料擷取) 系統的企業,尤其專門鎖定奇異公司智慧型平台 CIMPLICITY HMI 解決方案套裝軟體的使用者。 我們發現該團體使用 .cim 和 .bcl 檔案為攻擊工具,兩者都是 CIMPLICITY 軟體所使用的檔案。另一項證明其專門鎖定 CIMPILICITY 的證據是,其惡意程式會透過 %CIMPATH% 這個環境變數找到 CIMPLICITY 在目標系統上的安裝目錄,然後將其檔案複製到該目錄內。
圖 1:內含環境變數的字串。
CIMPLICITY 是一個搭配 SCADA 系統使用的套裝軟體。HMI 是任何一個 SCADA 系統都必備的主要元件之一,HMI 代表人機介面 (Human-Machine Interface),基本上就是操作主控台,用來監視及控制工業環境中的各項裝置,這些裝置可能負責自動化控制或安全控管。
圖 2 示範電力輸送系統的 HMI 所在位置。此外,您也可以在企業網路中看到設計、開發和測試用的 HMI。
圖 2:監控與資料擷取 (SCADA) 系統範例。
值得注意的一點是,我們目前已看到歹徒利用 CIMPLICITY 為攻擊途徑,但尚未發現惡意程式實際操弄任何 SCADA 系統或資料。但由於 HMI 在企業總部和控制網路當中都有,因此這項攻擊可用於攻擊特定網段或者從企業總部橫跨至控制網路。 繼續閱讀
八種駭客用來竊取企業資料的後門程式技巧
後門程式可讓駭客從任何網路遙控缺乏防護的電腦,包括公共網路、家用網路或辦公室網路。透過一些所謂的後門程式技巧 (也就是後門程式所做的工作),駭客就能暗中下令電腦竊聽使用者線上聊天內容、連上受感染的網站、複製密碼等等。
當 IT 系統管理員在電腦系統上發現後門程式時,很可能歹徒早已暗中蒐集有關其網路的重要資訊。此外,也代表駭客早已準備進入鎖定目標攻擊流程的第三階段,也就是建立其幕後操縱 (C&C) 通訊。若照這樣繼續發展下去,駭客最後將偷到一些可讓他們販賣或用於其他惡意用途的資訊。
下載完整的研究報告:鎖定目標攻擊所使用的後門程式技巧 (Backdoor Use in Targeted Attacks)
延伸閱讀:幾可亂真的 UPS 快遞電子郵件暗藏後門
為此,趨勢科技研究人員特別觀察駭客使用後門程式來操控目標網路的方式,截至目前為止,我們發現駭客最常使用的後門程式技巧有八項:
若網路上沒有架設防火牆,駭客就能輕易透過電腦的某個通訊埠來進行後門通訊,也就是連接埠綁定。一旦後門程式綁定某個連接埠,駭客就能自由地與該電腦通訊,進而輕易加以掌控。
若網路上架設了防火牆,駭客可利用反向連線的技巧來通訊。駭客會修改後門程式來檢查可用及沒有保護的連接埠以進行通訊。如此,後門程式就能穿越防火牆和防護軟體的封鎖。一旦後門程式找到一個可用的連接埠,就能連回駭客的幕後操縱 (C&C) 伺服器。
通常,駭客還會利用後門程式來搜尋可用的連線,以躲避入侵防護系統 (IDS) 的偵測。駭客一旦找到可用連線,就能經由後門程式暫時連上系統並進行其他惡意活動,例如傳輸檔案。
後門程式是針對性攻擊/鎖定目標攻擊(Targeted attack ) 重要組成部分,因為它們讓外部的攻擊者可以去控制任何已經入侵的電腦。這讓攻擊者可以收集資料,並且在目標組織內做橫向移動。
我們對各種針對性攻擊/鎖定目標攻擊(Targeted attack ) 進行的調查顯示,後門程式會利用各種不同戰術來進行自己的行為,以及保持不被網路管理者或安全產品發現。隨著時間的過去,這些技術已經發展成更加複雜以防範網路管理者。
最初,攻擊者所需要做的只是連上一台已入侵電腦的開放TCP/IP端口。然而,因為防火牆變得更加普遍,其它技術也變成必需。技術繼續發展,變成是由客戶端來初始連線到伺服器,因為早期封鎖對外流量比較少見。
隨著時間過去,各種防禦也越來越加進步,所以會使用其他的技術。比方說,公開的部落格也可以成為某種指揮和控制(C&C)伺服器:
圖1、用作指揮和控制伺服器的部落格(點入以看大圖)
惡意威脅份子會對企業和組織進行間諜和破壞活動。經過足夠的研究後,惡意威脅份子可以製造社交工程陷阱( Social Engineering)誘餌來騙得足夠多的員工點入連結或打開附加檔案。電子郵件是目標攻擊最常使用的進入點
•每天的電子郵件流量有超過60%屬於企業用途
•一般企業員工平均每天會寄送41封和接收100封的電子郵件。
•收到的郵件中有16%是垃圾郵件
點圖片可放大
攻擊者會假造內容讓它符合時事且更具有說服力
•攻擊者利用常見網頁郵件服務(如Yahoo!、Gmail等等)的帳號和之前所入侵獲得的帳號來寄送電子郵件
•在RSA受到的攻擊中,送給員工的電子郵件中有主旨為:「 Recruitment Plan(聘僱計畫)」
•攻擊者偽造來自特定部門或目標辦公室內高階主管的電子郵件
•攻擊者假造附加檔案名稱來變得更符和時事,更有說服力
•在Nitro攻擊活動中,電子郵件偽裝成來自目標公司的資訊部門
•一封送至印度目標的電子郵件偽稱含有印度彈道導彈防禦計畫的資料
企業需要更大規模的多層次安全解決方案來讓網路管理者可以深入了解並掌控整體網路的全貌,以降低目標攻擊的危險性,不管它會利用什麼設備或是入侵點。
