趨勢科技最近介紹了些APT攻擊工具以及如何去識別出它們。我們這些威脅研究人員工作的一部分就是去調查APT攻擊裡的各種角色以及他們所使用的工具,才能更佳地保護我們的使用者。本篇文章要更進一步去探討APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)內所使用的各種工具,和他們用這些工具做些什麼。
這些工具被如何使用
雖然有許多人認為這些工具是被用在攻擊最開始的入侵階段,但這並非本文章的重點。我會專注在入侵成功後的各階段所要用的工具。下圖說明了這些工具在傳統APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)生命週期裡所扮演的角色。
第一步:攻擊者發送惡意軟體給受害者。這可以用許多種方式達成 – 電子郵件內的惡意附加檔案、隨身碟或是被入侵淪陷的網站都有可能。 繼續閱讀
趨勢科技研究部門發現,南韓同時遭到多種攻擊肆虐,而惡意軟體攻擊正是其中之一。攻擊者鎖定執行 Microsoft Windows、IBM AIX、Oracle Solaris 和 Hewlett-Packard HP-UX 版 UNIX 的系統,展開攻擊。
*本事件也有一說為南韓 DarkSeoul 大規模APT攻擊事件)這些攻擊一開始先寄送魚叉式網路釣魚電子郵件,偽裝成三月份的信用卡帳單明細,電子郵件包含兩個附件,而攻擊便是透過這些附件啟動。Deep Discovery 網路偵測和自訂沙盒分析會對電子郵件進行偵測,識別出惡意軟體,找出攻擊者所使用的外部指令和控制站點。
我們稍早看到了針對南韓的破壞 MBR 之APT攻擊。目前已經對這整起攻擊有了全盤的認識,如何用兩個不同的情境了解整起攻擊,以及為何會造成如此大的損害。最後是我們如何利用趨勢科技 Deep Discover Inspector(DDI)和其他解決方案來保護使用者。
偽造的銀行通知帶來惡意下載程式
在三月十九日,我們看到這起攻擊的第一個跡象,南韓許多單位收到帶有惡意附件檔的垃圾郵件(SPAM),加上聲稱是每月信用卡帳單的資訊。這封郵件偽裝成來自銀行。附件檔其實是個惡意下載程式,會從多個不同網址下載檔案。為了要引隱藏惡意行為,會顯示出一個假網站。
就在這個階段, Deep Discover Inspector(DDI) 透過ATSE(進階威脅掃描引擎)來智慧化的偵測惡意附件檔以保護我們的客戶。接著 Deep Discover Inspector(DDI)會利用沙箱技術來執行附件檔,用以生成網址列表,好立即封鎖這些攻擊。在這個階段所發現的網址會被封鎖。 Deep Discover Inspector(DDI)所提供的資訊加上IT管理者快速的反應就可以確保我們的客戶能夠受到及時的防護。
下面截圖顯示警告訊息:
木馬 MBR 抹除事件
不過大多數報導都專注在MBR抹除程式。它讓許多屬於南韓各單位的電腦進入癱瘓狀態。這MBR抹除程式最先被植入到Windows系統內。被設定到三月廿日下午二點之前都是休眠狀態。一旦到了上述時間,這惡意軟體就會被啟動。它會終止某些進程,搜索以下應用程式所儲存的遠端連線:mRemote和SecureCRT,利用所儲存的憑證來登錄到遠端Unix伺服器:對於AIX,HP-UX和Solaris伺服器,它會抹除其MBR。如果無法抹除MBR,就會刪除/kernel/、/usr/、/etc/、/home/等目錄下的檔案。 繼續閱讀
3 月 20 日當天,南韓三家大型銀行和兩家最大電視台因為遭到目標式攻擊而陷入癱瘓,造成許多南韓人無法從 ATM 提款,電視台人員無法作業。
【2013 年03月21日 台北訊】駭客針對南韓主要銀行、媒體,以及個人電腦發動大規模攻擊,截至目前為止,趨勢科技已經發現多重攻擊。駭客主要針對南韓主要銀行與媒體的補丁更新伺服器(patch management server)佈署惡意程式,造成受攻擊企業內部的電腦全面無法開機,作業被迫停擺;另一攻擊則針對南韓的企業網站,有的網站遭攻擊停擺,有的網站則是使用者造訪該網站都會被導向位於海外的假網站,並被要求提供許多個人資訊;此外,駭客並針對個人用戶發動電子郵件釣魚攻擊,假冒南韓銀行交易記錄名義,誘騙使用者下載內含木馬程式TROJ_KILLMBR.SM的執行檔,使用者電腦開機區遭到覆蓋,導致使用者無法開機。
趨勢科技內部偵測到的針對企業內部的目標攻擊,目前已知受影響的企業主要為銀行以及媒體。這波攻擊以企業補丁更新伺服器(Patch Management Server)為標的,駭客成功入侵受害企業的補丁更新伺服器佈署惡意程式,該惡意程式會隨著企業員工電腦定期下載補丁(Patch) 而散佈至企業內部,造成企業內部電腦全面停擺,無法進行作業。
另一個攻擊則針對企業網站進行攻擊,目前已知南韓知名企業網站遭到入侵,並恐有被植入不明惡意程式之可能。除了企業之外,駭客並針對銀行使用者展開一波社交工程陷阱( Social Engineering)郵件攻擊。駭客透過一封假冒南韓銀行的信件,信件內容表示為使用者的交易記錄,要求使用者打開附件,附件內容其實為一個執行檔,一旦使用者下載執行後,將被下載一個名為TROJ_KILLMBR.SM的惡意程式,電腦開機區的所有資訊將被覆蓋,導致電腦無法開機。 繼續閱讀
一封假冒銀行交易的信件,導致南韓爆發史上最大駭客攻擊 企業及個人用戶電腦皆停擺 企業該思考的是,當我們的傳統防禦失敗後,接下來有什麼方法來防止APT進階持續性威脅 (Advanced Persistent Threat, APT)/目標攻擊?比較好的態度就是假設攻擊已經進到在內部網路裡,因為這會迫使我們去重新思考目前的保護措施。
了解目標攻擊:我們要如何防禦?
在上一篇的文章(了解目標攻擊:我們真正對抗的是什麼?)裡,我談到在APT進階持續性威脅 (Advanced Persistent Threat, APT)/目標攻擊裡攻擊者所掌握到的優勢。還有接受這事實,好正確地處理攻擊是如何的重要。現在來到困難的部分:當我們認識到攻擊者擁有很大程度的控制權時,我們現在該怎麼辦?
請記住,即使我們認知到攻擊者掌握更大的控制能力時,並不代表我們沒有任何控制能力。我們的確有,而且要記住,如何善用我們所擁有的控制能力去處理目標攻擊是非常重要的關鍵。
控制外圍網路
當然,想要讓任何形式的控制能力真正發揮作用,我們就必須完全瞭解自己到底掌控什麼。牢牢控制誰和什麼東西可以存取網路,和擁有什麼層級的權限可能會犧牲掉大部份員工的便利性,但是想到APT進階持續性威脅 (Advanced Persistent Threat, APT)/目標攻擊的危險性,還是把安全性放在第一位比較重要。
確認網路的部分工作就是要有深入的了解,具體化我們認為正常的作業、流程、事件和行為。知道什麼是真正的正常,將有助於更快也更正確地識別出異常來。
一旦確認好網路範圍,另個關鍵是要有監控網路的措施,這裡所談的是對於任何網路進出的能見度和控制能力。可以幫助網路管理員這樣做的技術之一是DNS Response Policy Zone(RPZ)。DNS RPZ提供一個可擴展的方式來管理對於網路的連結。如果加上網域黑名單,就會建立一個更加安全的網路環境。
部署由內到外的防護
傳統的防禦重點在於強化防火牆和透過黑名單來過濾壞份子。而在今日,這個「由外到內」的策略對抗一般的簡單攻擊是很有效,但在面對APT進階持續性威脅 (Advanced Persistent Threat, APT)/目標攻擊時就幫不上忙了。傳統防禦是用來對抗那些形式和來源都很容易識別的攻擊,但非目標攻擊。
傳統的防禦
一個更佳防禦的典範是魔戒裡的剛鐸首都 – Minas Tirith。這座城堡的設計是將主城放在中心,四周環繞著七層高牆。每一個層都比前一層還高,最外圍的牆壁最低矮,但也最堅固。每層牆壁都有城門,但門與門之間沒有辦法直接通過,每個城門都位在城堡的不同方位。這也是軍事戰略中被稱為「縱深防禦」的策略。它非常有效,因為不僅提供對外部攻擊的防護,還可以防止由內發起的攻擊。套用在網路防禦上,就好像部署多層次防護,並對關鍵資料進行加密。
「水坑(Watering hole)」攻擊和我們一般認為的網路攻擊相反。並不是去攻擊目標,而是去埋伏在他們知道目標可能會去的地方。
跟你在老西部片裡會看到的一種策略類似,壞人會在沙漠裡的一個水坑盯哨,因為他們知道目標會在這停下來取水,就可以在此時展開攻擊。因為最終每個人都還是要到水坑喝水的……
如果你最近有看新聞,那可能會注意到有許多大公司被駭了,就好像在看富士比排行榜一樣:紐約時報、華爾街日報、臉書、推特、蘋果和微軟。
這是起非常成功的駭客攻擊,同時也會讓人感到非常不安:我從不記得曾經有過如此多大型而重要的公司宣布被成功地攻擊。在一些討論裡清楚地顯示出這是起目標攻擊。APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)或目標攻擊就是駭客會針對特定公司或個人來獲取資料。除非你在這樣的公司工作,或本身是個名人,不然就不大可能成為這種攻擊的受害者。
但這些故事聽起來還是很令人心生恐懼,不僅讓人想問:到底發生了什麼事?這是怎麼發生的?
另一種類型的攻擊
當我們想到駭客對某家公司進行攻擊時,浮在腦海裡的印象往往是入侵者會去試探網路,找尋可以入侵的地方。但我們現在看到的並不一樣,因為有這麼多公司受到影響。因為其目標的大小和攻擊的規模在在顯示出這和之前不同。
一般的共識是,最近所發生的這許多起APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)攻擊是被稱為「水坑(Watering hole)」攻擊的結果。「水坑」攻擊事實上和我們一般認為的網路攻擊相反。並不是去攻擊目標,而是去埋伏在他們知道目標可能會去的地方。
一旦目標出現,他們就會展開攻擊。這是一種被稱為「水坑」的攻擊方式,因為它跟你在老西部片裡會看到的一種策略類似,壞人會在沙漠裡的一個水坑盯哨,因為他們知道目標會在這停下來取水,就可以在此時展開攻擊。因為最終每個人都還是要到水坑喝水的……
網路水坑:行動開發者網站被入侵?
最近的這些攻擊很可能是因為行動開發人員所經常瀏覽的網站被入侵淪陷了。在接近二〇一二年底,趨勢科技TrendLabs看到一起水坑(Watering hole)針對美國外交關係委員會的網站。
水坑(Watering hole)的另一個共同特徵是會使用零時差漏洞,就像上個月我所提到的Java零時差漏洞。事實上,最近的這些攻擊也可能是Java的另一個問題所造成的。
最終,這些攻擊的目的都是為了要進入這些公司的網路來竊取資料或其他資產。進行破壞也有可能是針對政府設施和機構時的目的。你可以將這認為是一起複雜有計劃的專業攻擊第一步。