apt 攻擊 - 資安趨勢部落格

Flash的威脅：不只是在瀏覽器

2015 年 08 月 06 日2015 年 08 月 19 日趨勢科技 TrendMicro

Flash目前也在瀏覽器之外的地方受到攻擊。這個「發現」來自於 Hacking Team 資料外洩。趨勢科技注意到這些零時差漏洞中的 CVE-2015-5119一直被用在APT攻擊。包含偽裝成來自台灣政府的電子郵件…..

七月對Adobe Flash Player安全來說是很糟糕的一個月。出現了三個零時差漏洞（都來自 Hacking Team 資料外洩流出的資料），讓許多人非常擔心Flash的安全性，也有許多人（包括本站）呼籲它要消失。

不可免地，Adobe做出了些回應來提升Flash的安全性。最新版本的Flash（18.0.0.209）加入了許多攻擊緩解技術。這些是由Adobe和Google的Project Zero團隊一同開發。

新的攻擊緩解技術為：

<*>長度驗證 – 加入長度cookie到Vector緩衝區。如果漏洞攻擊碼覆寫Vector長度，cookie檢查會失敗。因為今天的每一個Flash漏洞攻擊碼都會覆寫Vector長度，這方法可以增加Flash漏洞攻擊碼開發的難度，甚至能阻止尚未公開的零時差攻擊。

增加cookie長度檢查之後，攻擊者需要有兩個漏洞來進行攻擊 – 一個洩漏cookie長度，另一個覆寫長度。也可以使用既能洩漏和覆寫該位置的單一漏洞，但這種漏洞很少見。

<uint>緩衝堆積分區 – 這解決方法讓洩漏cookie和覆寫長度更加困難。現在需要特定的漏洞而非一般的資料洩露和覆寫漏洞。
Flash堆積更強大的隨機能力 – 這緩解機制讓洩漏cookie和覆寫vector長度更加困難，因為堆積佈局比以前更難預測。

繼續閱讀

< APT 攻擊 >駭客比你同事還了解你?!社交工程信件主旨總整理

2015 年 07 月 09 日2024 年 09 月 23 日趨勢科技 TrendMicro

APT攻擊鎖定目標對象會被誤導去相信電子郵件的來源和內容真實無誤，進而受騙和在無意中將進階惡意軟體安裝到他們的電腦上，從而成為攻擊者在網路內的灘頭堡。從這一刻開始，攻擊者可能會取得敏感的客戶資料、商業秘密或無價的知識產權。

APT攻擊是今日企業所面臨的最大威脅之一。進階的攻擊工具包、基礎設施以及隨時在線上待命的專業能力；加上傳統的安全防禦並無法偵測未曾見過的威脅，都將攻擊的風險推到前所未有的高度。高知名度的攻擊事件，像是零售商Target和百貨公司Neiman Marcus的大量資料外洩事件都提醒了IT和業務主管相關危險。

攻擊者:電子郵件是阻力最小的攻擊路徑

根據趨勢科技TrendLabs的研究，有91％的 APT攻擊利用電子郵件作為開始的進入點。此外，Ponemon的研究表示有78％的針對性電子郵件攻擊利用嵌入在附件的惡意軟體。根據這幾點，攻擊者顯然認為電子郵件是阻力最小的攻擊路徑，可以用來避開現有的安全防禦，進而從你的網路外洩資料。
【延伸閱讀】69％的人每週都碰到網路釣魚,25% 高階員工被釣得逞

有案例顯示歹徒攔截中小企業和客戶之間的通訊，並捏造付款帳號資訊。再從受駭企業的公司信箱發電子郵件給客戶，告知客戶其接受付款的帳戶已經換成歹徒所持有的帳戶。過去即曾有歹徒利用Predator Pain 和 Limitless 這兩個鍵盤側錄程式，來從事「供應商資訊變更」詐騙，獲利高達約22億新台幣！(請參考)

一封假冒銀行交易的信件,導致南韓爆發史上最大駭客攻擊,根據趨勢科技統計，一般員工平均每個工作日會收到100封電子郵件，等於我們每天有100次掉進駭客陷阱的風險。先做個測試,以下這些信件主旨,有幾個你會不疑有他的打開?

駭客跟你一起關心熱門新聞?!熱門新聞被駭主旨一覽:

駭客比你同事還了解你?!鎖定個人被駭主旨一覽:

更改銀行收款帳戶(寄件人:廠商)
員工滿意度調查(寄件人:高階主管)
○○會議名單更新(寄件人:政府部會)
我的履歷表(收件者:人事部門經理)
關於104年中央政府總預算 (寄件者:業務相關部會)
實驗室電話表(寄件者:業務相關部會)
陳情書(寄件者:業務相關部會)
你的帳號將被暫停(寄件人:email系統管理員)
請儘速到我辦公室(寄件人:老闆)
電信帳單(寄件人:知名電信公司)
銀行交易明細(寄件人:某銀行)
*以上寄件人皆為假冒身分

延伸閱讀:針對台灣政府單位的 RTLO技術目標攻擊)

公司如果不能真正解決 APT攻擊電子郵件攻擊的問題，付出的代價並不只是重裝幾次電腦或從經驗中變聰明一點。更嚴重的是一些潛在的影響，包括來自客戶、供應商和股東的訴訟、罰款、收入損失和削弱品牌價值。根據Ponemon的研究計算出一次APT攻擊的平均成本是嚇人的580萬美元也就不令人驚訝了，光是從 EMC和 Target事件所看到的成本就是10倍以上了。

原因是，APT攻擊通常會先充分研究過並以相關的電子郵件形式出現(請參考:服貿議題成社交工程信件誘餌!! 及針對台灣政府單位的 RTLO技術目標攻擊)，其中包含惡意電子郵件附加檔案或網址來合成引誘收件者打開的內容。他們會被誤導去相信電子郵件的來源和內容真實無誤，進而受騙和在無意中將進階惡意軟體安裝到他們的電腦上，從而成為攻擊者在網路內的灘頭堡。從這一刻開始，攻擊者可能會取得敏感的客戶資料、商業秘密或無價的知識產權。

對組織來說，關鍵是讓攻擊者無法輕易地去侵入公司網路，不要讓電子郵件被當作切入點。繼續閱讀

< APT攻擊 >「預防中東呼吸綜合症（MERS）」網路釣魚主旨散播中

2015 年 07 月 02 日2015 年 07 月 03 日趨勢科技 TrendMicro

駭客總是跟你一起關心熱門議題。。但不懷好意

近日全台關注的八仙塵爆事件疑已有詐騙集團蠢動警方關注,大家請提高警覺別讓愛心成為駭客提款機(含歷年天災詐騙伎倆大揭發)。本文介紹的是近日全球關注的中東呼吸綜合症（MERS）。

攻擊者將中東呼吸綜合症（MERS）的爆發當作魚叉式網路釣魚（Phishing）郵件的魚餌，發送給日本大型媒體公司的一名員工。使用雅虎郵件免費帳號來輕易地通過防垃圾郵件過濾程式，攻擊者複製網路上的公開資訊，用來引誘收件者去打開郵件。

郵件標題是用日文，意思是「轉寄：預防中東呼吸綜合症（MERS）」，而附件檔名為「預防中東呼吸綜合症（MERS）.7z」。

圖1、以MERS為主題的網路釣魚郵件寄給一名日本媒體公司員工

繼續閱讀

技術長觀點：防範來自企業內部人員的攻擊

2015 年 06 月 30 日2015 年 06 月 30 日趨勢科技 TrendMicro

Raimund Genes (趨勢科技技術長，CTO)

若您讀過不少犯罪小說，或者看過不少動作影片，您對這樣的情節應該不會感到陌生：一位內部人員因為多年前所受到的屈辱而對企業展開報復，導致企業蒙受重大損失。企業內部人員通常站在正義的一方，但有時也會站在邪惡的一方。

這道理不難理解，因為內部人員非常清楚企業的做事方法、寶貴資料，以及遭受攻擊時的因應方式。誰能比內部人員更知道該如何攻擊企業本身？

然而這是假設「內部人員的威脅」無可避免。所幸，大多數人都不會想要毀掉自己所任職的企業。大多數人都希望自己所屬的機構能夠成長、茁壯。因此，除非您待的是國防單位，否則這點通常不是您要擔心的問題。

不過問題是，並非所有「內部人員的威脅」都是來自蓄意。內部人員也有可能因為不小心而造成資料外洩。社群網站為人們提供了許多新鮮有趣的溝通方式，但不幸的是，有時候也會讓一些「不該」透露的機密資訊外流。

若人們已經將資訊洩漏在網路上，那麼您還能利用社交工程（social engineering ）從別人身上套出什麼更多資料？所謂的社交工程技巧，就是利用一些人際之間手段來讓別人照著您的意思去做。這是數千年來流傳已久的一門藝術，因此歹徒擅長這門藝術也就不令人訝異。

幾乎所有「進階持續性滲透攻擊」（Advanced Persistent Threat，以下簡稱APT攻擊）一開始都是利用某種形態的社交工程技巧。因此，儘管不易，您應該盡可能防範這類攻擊。繼續閱讀

< APT攻擊 > 鎖定台灣和菲律賓政府機關、軍事單位的”熱帶騎警”攻擊行動如何滲透機密單位?

2015 年 05 月 29 日2015 年 08 月 28 日趨勢科技 TrendMicro

台灣和菲律賓已成為一項名為 Tropic Trooper (熱帶騎警) 的「進階持續性滲透攻擊」（Advanced Persistent Threat，以下簡稱APT攻擊）的目標，而這項攻擊使用的只是舊的技倆：兩個 Windows 經常遭到攻擊的漏洞、社交工程（social engineering ）巧以及簡單的圖像隱碼術 (Steganography)。這項攻擊從 2012 年至今一直不斷在竊取政府機關與產業的機密。

Tropic Trooper 攻擊行動專門鎖定台灣和菲律賓的政府機關、軍事單位以及重工業企業。值得注意的是仍有許多機構遭到這些老舊技倆的滲透，但它其實是可以利用漏洞修補、資安教育、惡意程式防護偵測等一些主動的作為和技術來事先加以防範。

在這項攻擊行動當中，歹徒對其攻擊目標的網路瞭若指掌，而且知道該用什麼誘餌來吸引受害者上鉤。歹徒精心製作了魚叉式網路釣魚（Phishing）電子郵件，並且附上炸彈攻擊預告信、履歷表、政府預算表等等吸引受害者開啟的附件檔案。這些隨附的文件當中暗藏了程式碼來攻擊 Windows 經常被利用、並可執行木馬程式的兩項漏洞：CVE-2010-3333 和 CVE-2012-0158。

[延伸閱讀：進階持續性滲透攻擊 (APT) 最常利用的漏洞 (Most Commonly Exploited Vulnerabilities Related to Targeted Attacks)]

歹徒的木馬程式 (TROJ_YAHOYAH) 最後會下載並解碼出一個惡意的圖片檔或一個誘餌文件。這個圖片檔看似無害，而且很像 Windows XP 系統內建的桌布。但其實歹徒利用了隱寫術來將 BKDR_YAHAMAM 後門程式暗藏在圖片當中，此程式會竊取系統上的資料、中止執行中的程序及服務、刪除檔案和目錄、將系統睡眠，或是執行其他的後門功能。

繼續閱讀