你的潛在敵人了解你的企業、你的網路、你的防禦措施、你的員工、你的供應鏈以及任何與你組織有互動相關的點。你會問,為什麼要做到如此透徹?這是要了找出最好的方法去躲避你的防禦措施,拿到你的資料,取回接著從中獲利。
作者:Bob Corson
對付 APT攻擊/目標攻擊, 必須偵測看不見的東西
如果你還沒有嘗試過「APT目標攻擊遊戲」,記得去試試。在最近,一直在我腦海中激盪思考的題目,就好似上圖中兩個物品跟目標攻擊的關係。不過,我希望經過幾段文章之後,你會得出以下結論:那些想進行「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱APT攻擊)的人不會照著預期的規則走。想贏得這場「遊戲」,你必須要能夠偵測某些你原本看不見的東西。
現在,讓我們開始。在進行「APT目標攻擊遊戲」後,很有機會你會進行到最後跟Ferguson先生握手,你有什麼結論、意見和想法呢?我的話,是加強了我已經思考一段時間的想法,可以由上圖的物件來表示。 繼續閱讀
APT手法持續突破 政府機關、軟硬體公司、消費性電子製造商成目標
【2015年4月30日台北訊】全球雲端安全領導廠商趨勢科技發佈最新進階持續性滲透攻擊(APT)發展趨勢:2014 年度報告。根據報告指出,過去一年,進階持續性滲透攻擊(簡稱 APT) 技巧不斷翻新,威脅變得更為多元複雜,而情報蒐集與竊取資料是所有APT的共通目的。趨勢科技呼籲,政府、企業皆需全面了解最新APT發展情勢以調整防禦策略,降低遭遇攻擊的風險。
趨勢科技資深技術顧問簡勝財指出:「由於其高破壞性與高成功率,讓網路犯罪集團越來越常採用APT的攻擊技巧。要反制這類攻擊,企業必須隨時保持警戒,並且採取有效的解決方案來因應不斷演變的網路安全情勢。建議企業必須建立一套客製化防禦,運用進階威脅偵測技術與共享的威脅情報來偵測、分析、回應一般標準資安解決方案所無法偵測的攻擊。」
根據報告預測,APT目前依然難以防範,其不著痕跡的攻擊方式讓有心人士蒐集情報、竊取機密資料的軌跡無法立即偵測,且技巧和手法皆不斷翻新。APT已成為全球問題,網路犯罪者最愛的目標不再僅侷限於美國、俄羅斯與中國。依據趨勢科技於 2014 年所監控的案例,澳洲、巴西、中國、埃及和德國是APT幕後操縱(C&C)伺服器分布最多的前五大國家,台灣也名列前十五名之一。雖然,政府機關依然是此類攻擊最愛的對象,不過趨勢科技也發現,軟硬體公司、消費性電子產品製造商以及醫療照護機構遭到APT的次數也突然攀升。
2014 年是「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱APT攻擊)手法更加精進的一年。隨著越來越多企業升級到新版的 Windows 作業系統,我們發現有些攻擊行動也開始採用更多的 64 位元惡意程式。這類 64 位元惡意程式的範例包括:HAVEX (一種 RAT 遠端存取木馬程式,用於專門針對工業控制系統的攻擊) 以及 WIPALL (Sony Pictures 遭駭事件的主角)。
隨著歹徒轉進新的 Windows 版本,他們也開始在攻擊當中利用一些正常的工具和功能。Windows PowerShell® 就是一個例子,這是 Windows 7 開始提供的一個功能,可讓系統管理員不需透過圖形使用者介面 (GUI) 就能操作系統的一些功能。歹徒使用 PowerShell 指令來下載惡意檔案,並且越過檔案執行管制原則來執行下載的惡意檔案。
此外,還有一個文件漏洞攻擊範本 TROJ_MDROP.TRX 也出現在多起APT攻擊當中。此漏洞攻擊範本很可能已在地下市場上販售及散布,因為它曾出現在多項攻擊行動當中。歹徒只需修改這個漏洞攻擊範本來配合其目的即可。
根據趨勢科技的資料,.RTF 和 .DOC 檔案是最常被使用的電子郵件附件檔案,這很可能是因為 Microsoft Word® 在任何企業及機構都會用到。
圖 1:2014 年鎖定APT 攻擊最常用的電子郵件附件檔案類型
攻擊所使用的新舊漏洞
2014 年的鎖定APT 攻擊使用了多個零時差漏洞。例如,兩個針對 CVE-2014-1761 漏洞的 Taidoor 相關零時差漏洞攻擊,襲擊了台灣的一些政府機關和某個教育機構,其修補空窗期維持了 15 天。攻擊新的漏洞比攻擊舊的漏洞效果更好,因為廠商尚未釋出修補程式。零時差漏洞經常讓廠商及一般受害者手忙腳亂。
然而,歹徒並未因為使用新的漏洞就放棄利用舊的漏洞。事實上,攻擊舊的漏洞可以收到固定的成效,而且歹徒只需利用一些可輕易買到且經過長期驗證的漏洞攻擊工具即可。
儘管 MS12-027資訊安全公告已修正了 CVE-2012-0158 漏洞,但此漏洞仍是駭客的最愛。不但如此,它還是 2014 上半年鎖定APT 攻擊最常利用的漏洞。最有名的例子就是 PLEAD 和 Pawn Storm,這兩項攻擊行動都是利用這個漏洞來滲透目標網路。
全球問題
政府機關依然是 2014 年鎖定APT 攻擊 最愛的對象。不過在下半年,軟硬體公司、消費性電子產品製造商以及醫療照護機構遭到鎖定APT 攻擊 的次數也突然竄升。
此外,我們也統計了與幕後操縱伺服器通訊的受害目標在全球的分布狀況。如以下地圖中的熱區顯示,美國、俄羅斯和中國不再是歹徒唯一的最愛,其他熱門的目標還有台灣、南韓、法國與德國。
圖 2:2014 年與鎖定APT 攻擊幕後操縱伺服器通訊最多的國家 (點一下影像可放大檢視)
跟上威脅的腳步
有鑑於鎖定APT 攻擊 數量不斷增加、發動攻擊的困難度不斷下降、防禦的困難度不斷上升,網路安全人員最重要的是從預防到偵測的心態轉變。也就是說,企業必須接受APT 攻擊 勢必攻陷其網路的事實,因此,任何黑名單的機制都將無法遏止有心的駭客。
建立威脅情報是對抗鎖定APT 攻擊的重要關鍵。透過外界的各種報告以及內部的歷史記錄和即時監控資料來了解歹徒所用的工具、技倆及手法,能有助於建立強大的入侵指標 (Indicators of Compromise,簡稱 IoC) 資料庫,這將成為企業採取行動的基礎。但企業不應僅止於了解這類攻擊,還應建立及訓練一些事件應變團隊,並且教育員工、合作夥伴以及上下游廠商認識社交工程技巧與資訊安全的概念,以降低鎖定APT 攻擊 的相關風險。
如需詳細的說明,請參閱我們的鎖定APT 攻擊趨勢:2014 年度報告。
原文出處: https://blog.trendmicro.com/trendlabs-security-intelligence/how-targeted-attacks-changed-in-2014/
檢視APT 攻擊趨勢:2014 年度報告
「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱APT攻擊)(以下簡稱APT)是一種專門以竊取目標系統上的資料為主的威脅。APT攻擊包含六個階段:情報蒐集、突破防線、幕後操縱 (C&C)、橫向移動、搜尋資產/資料、資料外傳。有別於一般的認知,這些階段並非單向線性執行的,而是各階段不斷重複且並行重疊的。同樣地,資料外傳的動作也不會只有一次,其幕後操縱通訊和橫向移動則是整個行動當中一直持續在進行。最後,鎖定目標攻擊會進入一個維護階段,此時駭客會執行某些動作來讓資安人員的因應措施以及其他駭客企圖霸占的行為無法成功。
這份年度報告討論了趨勢科技在 2014 年當中所分析的APT案例,以及所監控的相關幕後操縱伺服器。此外,這份報告也詳細討論了趨勢科技所調查過的攻擊行動,以及我們對APT攻擊手法、技巧與程序發展趨勢的觀察:
歹徒會盡可能不在目標網路內留下可追溯的痕跡,因此很難找到其幕後的黑手。2014 年,我們發現一些由政府在背後支援以及非政府支援的攻擊,後者的案例如 Arid Viper 和 Pitty Tiger。根據趨勢科技網路安全長 Tom Kellermann 指出,有越來越多的網路犯罪者利用毀滅性攻擊來宣揚其激進主義或者反制資安應變措施。
圖 1:APT攻擊行動的各個階段
除了外部攻擊之外,企業可能還得面對內賊的威脅,如去年的 Amtrak 資料外洩事件,該案洩漏了將近 20 年的旅客個人身分識別資訊 (PII)。
圖 2:歹徒的身分和動機
除了鎖定一般商用及熱門的軟體與工具之外,歹徒也會利用一些特殊領域的應用程式、作業系統及環境來發動攻擊,其中一個例子就是利用奇異公司智慧型平台 (GE Intelligent Platform) CIMPLICITY 軟體的攻擊。Apple 的裝置也成了歹徒滲透目標網路、進而從事間諜活動的工具,例如 Pawn Storm 攻擊行動。
新的鎖定目標攻擊手法在 2014 年不斷出現。這些手法運用了一些正當的工具 (如 Windows® PowerShell) 以及雲端儲存平台 (如 Dropbox)。此外趨勢科技也發現針對 64 位元系統所開發出來的惡意程式越來越普遍。
[您的企業有能力防範網路攻擊嗎?《APT攻擊:遊戲》邀請您來擔任公司的資訊長]
根據證據顯示,歹徒不僅會利用零時差漏洞,也會利用一些已經存在多年的舊漏洞來發動APT。
根據我們在 2014 年所監控的案例,澳洲、巴西、中國、埃及和德國是APT幕後操縱伺服器分布最多的前五大國家。監控的過程當中我們也發現,APT幕後操縱伺服器的通訊對象分散許多國家,美國、俄羅斯和中國不再是歹徒唯一的最愛。
網路犯罪集團現在也開始模仿APT經常使用的技巧,因為這些技巧確實能為他們開發更多受害者,進而帶來更豐厚的利潤。例如,Predator Pain 和 Limitless 兩項攻擊就專挑中小企業下手,在短短的六個月當中就獲利高達 7,500 萬美元。
若想進一步了解過去一年的APT發展趨勢,請參閱我們的完整報告:鎖定APT目標攻擊趨勢:2014 年度報告。
原文出處:Targeted Attack Campaigns and Trends: 2014 Annual Report
4月8日晚上10點到翌日凌晨的1點,TV5Monde,這家法國最大的全球性電視網因為網路攻擊而導致完全斷線。這次攻擊的範圍前所未見。攻擊者能夠:
上述任何一項,單獨發生都已經是重大的網路攻擊事件,全部同時發生更是提升了整個事件的層級。有關單位正持續進行調查,以期精確掌握此攻擊事件的源頭與始末。
根據趨勢科技初步的調查顯示,VBS_KJWORM.SMA是由名為Sec-Worm 1.2 Fixed vBS Controller的駭客工具所產生。我們將此遠端控制木馬產生器偵測為HKTL_KJWORM。
要指出的是,Kjw0rm已知的惡意軟體家族;趨勢科技在一月份時曾經提及此惡意軟體家族,因為它來自于外洩的NJWORM原始碼。Kjw0rm可以在dev-point.com的阿拉伯文區找到。
研究趨勢科技主動式雲端截毒服務 Smart Protection Network的資料後發現,VBS_KJWORM.SMA在過去一周至少在12個國家出現,包括了南非和印度。這並不令人驚訝,因為這惡意軟體可以從地下論壇取得,任何人都可以使用。
此惡意軟體可以被用來作為後門程式進入受感染系統。此外,據報在攻擊中所用的C&C伺服器跟另一個後門程式BKDR_BLADABINDI.C有關。經過調查讓我們相信Kjw0rm和BLADABINDI幕後的黑手是相同的。
進一步由趨勢科技主動式雲端截毒服務 Smart Protection Network所提供的資料顯示其他VBS惡意軟體變種目前也在肆虐中。同時也發現四個不同的C&C伺服器(跟NJWORM所用的不同)。這些不同樣本跟之前的NJRAT/JENXCUS攻擊有關。NJRAT會關連到拉丁美洲的DUNIHI攻擊。
註:SECWORM惡意軟體是來自KJw0rm的遠端存取木馬,加上一些修改和改進。
了解造成公司停擺之網路攻擊的影響
根據報導,這起在4月9日針對法國TV5Monde電視網的大規模網路攻擊開始於大約當地時間的晚上10點,當時該電視網的11個頻道都停播了。
此外,TV5Monde的網站、公司電子郵件以及他們的社群媒體帳號都遭到攻擊。該電視網的Facebook網頁被用來發佈據稱來自伊斯蘭國ISIS的宣傳資訊。該電視網的一個Twitter帳號也被用來貼出反對美國和法國的留言,以及發出威脅法國士兵家屬的訊息。法國士兵的身分證和護照影本也被公佈。
要特別指出的是,此次攻擊的技術細節尚未明朗。然而,遠端存取木馬產生器目前在數個駭客論壇都可取得,任何惡意份子都能加以利用。因此,不需要太多技術背景就可以加以使用。
趨勢科技威脅研究反應團隊也密切關注此事件發展,以確保提供用戶完整的防護。同時,藉著本次惡意攻擊事件發生的機會,趨勢科技再次提醒客戶及合作夥伴,我們無時無刻都處於精密規劃的惡意攻擊威脅之中,因此更需要建立一套完整的防禦措施。即便這次事件的初始攻擊目標是位於巴黎的公司,但是現今的資訊流早已無國界,也可能造成全球性的重大影響。
APT 攻擊-進接持續性威脅(Advanced Persistent Threat,APT)與其他目標式攻擊的其中一項關鍵在於他們會尋找企業的系統及軟體弱點與安全防護漏洞,並搶先在漏洞修補前發動攻擊。滲透進入企業內部網路後,隨即開始使用各種惡意程式、駭客工具、惡意程式碼回報給遠端的命令與控制伺服器(Command & Control Server, C&C)。有鑑於此,趨勢科技也持續將新發現的C&C的IP位址加入趨勢科技主動式雲端截毒技術(Smart Protection Network, APN)資料庫中,協助阻擋此類攻擊事件中的回報行為,大幅降低可能帶來的損害。
趨勢科技在此建議您,要防範駭客攻擊,除了防毒軟體及各種資訊安全產品皆須正確佈署並隨時保持更新之外,應當採取更積極主動的措施(可參考給IT管理員的 6 個網路安全建議),在日常生活中也須提高資安意識,例:點擊電子郵件中的網址前須仔細確認其真偽。
如前所述,趨勢科技仍持續關注歐洲網路攻擊事件的發展,並會將新資訊或是防護措施(病毒碼或新防禦規則等)公布於以下知識庫:https://esupport.trendmicro.com/solution/en-us/1109423.aspx。此事件再次提醒我們,現今的數位化世界高度連結已無國界,面對資安威脅絕不可掉以輕心。如對目標式攻擊或惡意威脅有任何問題,請聯絡趨勢科技技術支援部。相關資料請參閱 。
這事件更加令人驚心的是幕後很有可能有著政治或恐怖分子目的(跟我們最近的Arid Viper行動報告中所陳述的類似)。
完整的細節尚未明朗,不過之前的攻擊如 Arid Viper 和 Sony(遭遇相同命運的另一家大公司)顯示這很有可能是網路釣魚(Phishing)和魚叉式網路釣魚造成。我們最近針對美洲國家組織(OAS)所作關於關鍵基礎設施攻擊的調查結果也支持了這一論點。研究發現,網路釣魚(Phishing)是針對關鍵基礎設施的頭號攻擊手法,有71%的受訪者說自己曾遭遇這樣的攻擊。
而此事件所最凸顯的是針對關鍵基礎設施的網路攻擊會影響到一般民眾這事實。簡而言之,這是第一次出現只在驚悚片或災難片中會看到的針對關鍵基礎設施攻擊。
TV5Monde在約上午2點恢復對其網路及運作的控制,約是攻擊開始後的四個小時。截至本文撰寫時,他們已經保持控制超過了24小時。從這一點看,攻擊似乎是結束了。
但該擔心的事情現在才開始浮現,因為我們知道發生什麼及其代表什麼。 繼續閱讀
