趨勢科技資安核心技術部門資深協理明天 4/2(四)上午09:40 將出席2015 台灣資訊安全大會,分享的主題是”重大資料竊案,現場忠實呈現”
若您還只是聚焦在APT攻擊,您的企業還是暴露在很大的風險之中。因為寶貴的資料才是駭客不斷改變竊取手段的動力。趨勢科技資安核心技術部門資深協理張裕敏,將從企業、銀行到政府,剖析還原2013 ~ 2015 國內外重大駭客竊取資料的真實案例和手法精采呈現;透過實際案例為您的企業做最完整的防禦規劃。請勿錯過,精彩議程!
地點:台北市國際會議中心 – 台北市信義路五段 1 號
時間: 4/2(四)上午09:40
以下為趨勢科技業務部協理楊肇謙今日在活動現場接受訪談, 談 APT攻擊
現場活動:
對於今日的許多組織來說,問題不再是他們會否成為APT攻擊-進階持續性滲透攻擊 (Advanced Persistent Threat, APT) /目標攻擊APT 目標攻擊的受害者,而是什麼時候。在這種情況下,組織如何應對會決定它會演變成嚴重的事件,或保持在小麻煩狀態。
這需要資訊安全人員改變心態。過去的技術和許多最佳做法都是以攻擊者可以擋住為前提。
然而今日不再如此。用於APT 目標攻擊的惡意軟體往往無法被偵測(因為它是為特定組織所客製化)。精心製作的社交工程攻擊可以看起來就像是個正常商業郵件的引人誘餌。
簡言之,有足夠資源的攻擊者總是可以找到方法進入目標,不管部署了哪些防禦。防禦措施可以增加進入的難度,但無法完全防止。
SANS組織提供了一些組織該該如何應對資安事件的指南。不過在廣義上來說,回應可以分為四個階段:
做好準備。
這涉及在APT 目標攻擊實際發生前的回應措施。安全專家需要對於如何應對自家網路內的APT 目標攻擊做好規劃。就好比系統管理員需要固定的為應對停機相關事件(如資料中心離線)做好規劃。
同樣地,瞭解組織每日所面對到的一般正常威脅也很重要。資訊安全專家不僅必須在攻擊事件發生時加以處理,還應該瞭解一般「正常」的問題,才能夠快速地發現不正常的威脅。像是APT 目標攻擊。威脅情報和分析在這一階段非常珍貴,可以引導安全專家瞭解目前的情況。
安全專家還必須計畫去取得正確的技能來有效地處理APT 目標攻擊。所該學會最重要的技能之一是數位鑑識能力,好從被入侵設備上適當的採集和分析資料。
這些技術有許多和一般IT日常工作比起來都比較陌生,但學習這些技術可以幫助組織取得資訊和更佳地準備好去處理任何攻擊。
回應。
一旦判斷有APT 目標攻擊在進行中,下一步是要果斷回應。回應APT 目標攻擊有幾個部分:控制威脅、加以消除和確認損害範圍。第一步是立即隔離或控制威脅規模。這裏可以進行的步驟包括隔離受感染機器或將被入侵的服務離線。最終目標是防止攻擊進一步的擴展。
要確認所發生的威脅,和瞭解常見APT 目標攻擊工具及灰色軟體的安全廠商攜手合作對於找到組織內部威脅是很有幫助的。同樣地,持續監控現有的網路活動可以幫助確定現有攻擊的規模和範圍。 繼續閱讀
處理攻擊、入侵和資料竊取問題是目前許多組織要面對的工作之一。這類威脅就像是組織固定會面對的問題,而不正確防禦策略所帶來的後果將會很快地顯現出來。
索尼影視(Sony Pictures)最近的攻擊事件突顯出這個問題。在11月下旬,該公司企業網路被自稱為和平守護者(#GoP)的團體所入侵。一張首先發表在Reddit的圖檔表示此圖被秀在每一位員工的電腦上,帶來駭客們的訊息,要求他們的「需求需要得到滿足」。
駭客聲稱他們擁有數個包含機密員工資料的ZIP檔案,包括姓名、個人檔案、薪資和生日。其他據稱被竊的資料是主演索尼影視(Sony Pictures)電影明星的個人資料。
五部尚未發表的完整長度影片也被洩露到各個檔案分享網站。
索尼影視(Sony Pictures)對此事件的反應也值得強調。對於這類高層級攻擊的典型反應是要讓組織可以適當地調查現有攻擊並將對組織的日常運作影響減至最低。然而,現有關於此次攻擊的報告顯示他們的反應是禁用整個企業網路。不僅嚴重地影響日常營運,也讓調查任何攻擊變得更加困難。
一般來說,攻擊企業網路被認為是對竊取金錢或資訊有興趣。這次攻擊提醒了IT管理員某些攻擊主要是被設計來破壞目標組織的運作 – 實際上,就是駭客主義的呈現。組織必須考慮到這一點並相對應地來保護自己的網路。
@原文出處:Sony Pictures Corporate Network Hit by Major Attack: Why You Need to Stay Ahead of Targeted Attacks
對索尼被攻擊事件的報導隨著我們看到更多發展而繼續下去。這裡是跟此事件有關的文章列表:
MIRAS 惡意軟體家族最近和歐洲 IT 公司的攻擊事件出現關聯性。分析顯示 MIRAS或 BKDR64_MIRAS.B(一個64位元的惡意軟體)被用在APT攻擊-進階持續性滲透攻擊 (Advanced Persistent Threat, APT) /目標攻擊的資料竊出階段。MIRAS可以在32位元(BKDR_MIRAS.B)和64位元(BKDR64_MIRAS.B)的Windows作業系統上運作。
分析BKDR64_MIRAS.B
簡單概述MIRAS,其後門功能主要包含檔案/系統方面的操作,這也代表攻擊者知道受害者的身份資訊。
除了後門程式的資訊竊取行為,它看來特別針對連接到遠端桌面工作階段主機(Remote Desktop Session Host)的系統。它使用遠端桌面服務API – WTSEnumerateProcesses而非一般的程序狀態API – EnumProcesses。攻擊者還可以列出正在執行的程序,我們可以從而推測出他們知道目標使用者如何登錄到工作站(即透過遠端桌面工作階段主機伺服器)。
圖1、BKDR64_MIRAS.B使用遠端桌面服務API – WTSEnumerateProcesses
惡意軟體的檔案和磁碟管理模組在獲取檔案相關資訊方面非常全面。透過指令Enumerate all logical drives(列出所有邏輯磁碟)和Get logical drive’s drive type and disk space(取得邏輯磁碟的磁碟類型和磁碟空間),攻擊者能夠知道受害者系統上什麼時候出現重大的改變。
攻擊者也能夠知道他們的目標檔案是否更新。MIRAS的程序管理模組在針對性攻擊的資料竊出階段扮演另一個重要角色。這模組給了攻擊者關於程序建立日期和時間的詳細資訊。這很重要,因為知道建立日期和時間就可以知道此程序已經建立了多久。舉例來說,程序在系統存在的時間長短可以了解此程序的關鍵程度。
後門功能還讓攻擊者可以知道其他程序正在使用的模組全貌。攻擊者也就能夠加以利用,比方說,DLL劫持攻擊或漏洞攻擊要看目標受害者系統上有哪些模組。
遠端Shell模組讓攻擊者可以做出遠端Shell所能做的一切事情,他們會具備當前登入使用者的權限。
我們可以確認惡意軟體的C&C伺服器 – 96[.]39[.]210[.]49位在美國。此C&C伺服器早在 2013年11月就開始使用。
看到更多攻擊針對64位元平台
攻擊者使用相容64位元系統的惡意軟體攻擊案例也回應著我們在2013年下半年針對性攻擊趨勢報告中的有將近10%針對性攻擊相關惡意軟體完全針對64位元平台。隨著64位元平台的普及率上升,我們會繼續研究攻擊者最近用幾個版本的KIVARS來實作64位元相容的惡意軟體。
防禦可能的針對性攻擊
因為這些攻擊通常會被設計成幾乎不留任何痕跡,所以IT管理員能夠知道哪裡可以找到淪陷的可能指標或「異常現象」就非常的重要。異常現象可能是未知的大檔案,通常是資料外洩的跡象而可能需要檢查是否包含從網路內偷來的資料。攻擊者通常會在資料竊出階段將這些檔案儲存在他們的目標系統內。MIRAS出現在系統內的另一個指標是出現了檔案 – %System%/wbem/raswmi.dll。
為了對抗像MIRAS威脅所帶來的風險,企業應該要部署趨勢科技的客製化防禦,這是一個可以讓IT管理員快速偵測、分析和回應攻擊與進階威脅的安全解決方案。在它們造成更多傷害前先加以處理。
有關各種針對性攻擊及企業最佳實作的詳細資訊,可以參考我們的針對性攻擊威脅情報資源。
@原文出處:64-bit Version of MIRAS Used in Targeted Attack作者:Abraham Camba(趨勢科技威脅研究員)
本文分享一些 IT 管理員可以積極實行的規則,好為網路建立「基本的防禦」。這裡說的”基本”是因為這些規則並非是為了涵蓋網路內所有類型的可疑活動 – 只是一些作者認為很可能被漏掉的活動。
偵測到使用非標準端口的服務
一般的協定都有預設的端口來讓應用程式或服務使用。一個執行某協定的服務卻沒有使用預設端口可以視為可疑 – 這是常被攻擊者利用的技術,因為預設端口通常都會被安全產品監控。同樣地,偵測未知協定使用標準服務端口也很重要,像是 80(HTTP)、25(SMTP)、21(FTP)、443(HTTPS)。因為有服務使用這些端口,所以IT管理員不能加以封鎖,所以就有可能被攻擊者利用來進行攻擊。由於每個企業的環境都有所不同,所以確認可以允許哪些端口就是IT管理員的工作,而且要密切地監視流過這些端口的流量,確保是預期中的正常流量。
除此之外,封鎖環境中所有未使用的端口也是個重要的做法。如同我們從以往關於針對性攻擊中後門程式所使用技術的研究裡學到,會使用的端口往往依賴於網路內允許哪些通過。限制網路中所打開的端口可以防止攻擊者加以濫用。像是攻擊者還可以利用網路中用來同步時間的網路時間協定(NTP)來發動分散式阻斷服務(DDoS)攻擊。
偵測名稱有可疑特徵的檔案
誘騙使用者打開惡意檔案的基本技巧之一是要變造檔案名稱讓目標認為自己所開啓的檔案並無害處。儘管很難單單靠著檔案名稱就確認一個檔案的性質,還是有幾個可疑的檔名特徵可以讓管理員加以注意:
