什麼是 APT進階持續性威脅 (Advanced Persistent Threat, APT)?

什麼是 APT?簡單的說就是針對特定組織所作的複雜且多方位的網路攻擊。

APT 進階持續性滲透攻擊(Advanced Persistent Threat, APT)可能持續幾天,幾週,幾個月,甚至更長的時間。APT攻擊可以從蒐集情報開始,這可能會持續一段時間。它可能包含技術和人員情報蒐集。情報收集工作可以塑造出後期的攻擊,這可能很快速或持續一段時間。

例如,試圖竊取商業機密可能需要幾個月有關安全協定,應用程式弱點和文件位置的情報收集,但當計畫完成之後,只需要一次幾分鐘的執行時間就可以了。在其他情況下,攻擊可能會持續較長的時間。例如,成功部署Rootkit在伺服器後,攻擊者可能會定期傳送有潛在價值文件的副本給命令和控制伺服器(C&C Server)進行審查。

本片為APT 攻擊(Advanced Persistent Threats) 真實案例改編,為了全方面了解目標攻擊對象,駭客鎖定目標攻擊者的財務狀況、 社交活動等細節,還要列出所有部們和員工名單,甚至要知道員工會不會在網路上討論老闆。當然網路的邊界防禦措施和對外的網路連線系統,是必要的調查條件。

 —————————————————————————————–

 企業面對不斷演變的資安威脅環境。其中一項最大的挑戰就是APT進階持續性滲透攻擊Advanced Persistent Threats, APT它是針對特定組織所作出複雜且多方位的攻擊。要減輕APT的風險需要比傳統的多層次防禦更先進的作法,包括即時威脅管理。本綱要系列介紹APT的性質,它們對企業所構成的風險,以及如何去封鎖、偵測並遏制APT和其他新威脅的技術。我們先從實務面來評估APT的性質,大綱如下:

  •  今天APT的性質
  • 不斷變化的資安威脅環境
  •  APT的要素
  •  不斷變化的企業運作,讓問題更加複雜
  • 評估控制和減輕APT風險的可能性

很顯然地,資安威脅環境變得越來越具有挑戰性。對於資訊系統進行攻擊的動機和方法正在發生變化。有決心有毅力的攻擊者正運用著多種手段去打破安全控制。企業需要透過多種安全控管來做應對,包括即時監控和快速遏制措施。

今天的APT

APT是針對一個特定組織所作的複雜且多方位的網路攻擊。不管是就攻擊者所使用的技術還是他們對於目標內部的了解來看,這種攻擊是非常先進的。APT可能會採取多種手段,像是惡意軟體,弱點掃描,針對性入侵和利用惡意內部人員去破壞安全措施。

APT是長期且多階段的攻擊。

APT攻擊的早期階段可能集中在收集關於網路設定和伺服器作業系統的的詳細資訊,接著,精力會放在安裝Rootkit或其他惡意軟體去取得控制權或是跟命令與控制伺服器(C&C Server)建立連線。再下來的攻擊可能集中在複製機密或是敏感數據來竊取知識產權。

  重要的是要明白,APT不是一種新的攻擊手法,也不是可以藉由阻止或破壞一次攻擊就讓問題消失。APT可以被視為更像是一個網路攻擊活動而不是單一類型的威脅;可以想成是進行中的過程。防毒程式可能會阻止APT攻擊所使用的惡意軟體,但並不意味著停止攻擊。就其性質而言,一個APT是一段持續的攻擊。如果一個戰術行不通,就會再嘗試另外一個。實際上,我們不應該只去思考單一對策,或只是在多層次安全策略上增加更多防禦層,相反的,我們應該思考將其他例子中可能用來攔截、偵測和遏制的各種方式都組合起來。現在,很合理的我們會想問,要如何做到這一點?

繼續閱讀

什麼是 Black SEO( 搜尋引擎毒化)?

中文相關案例:陸網友受不了!下載《肉蒲團》全遭駭 山寨版電器維修網站 賺黑心錢


2011 年四月這則新聞陸網友受不了下載《肉蒲團》全遭駭 ,小編藉此跟大家分享一下在本部落格常提到的名詞Black_Hat SEO 搜尋引擎毒化。 話說許多大陸網友要趁「五一假期」組團赴港、台觀賞《3D肉蒲團之極樂寶鑑》(因為大陸沒上映),擋得住電影上演卻檔不住大陸網友在網路上熱搜,不過在下載一個「完整版下載」的檔案時卻慘遭木馬程式入侵,導致電腦中毒。報導說估計約有十萬網友受到「肉蒲團的木馬程式」入侵。

另外還有一則台灣相關新聞「電器維修官網是山寨版?」不少消費者抱怨 大公司維修客服態度差,價格又亂報,後來才發現網路上很多維修官網都是假的,包裝聲寶,日立,奇異等家電公司有都有仿冒官網,導致消費者對於無辜的公司抱怨不斷。「真的是太扯了!」科技界任職的黃先生,花四萬多元買聲寶洗衣機,上網搜尋「聲寶」找維修,對方到府服務,開價五千元換零件,事後他發現只要換一條兩百元的線即可解決。相關報導:假的電器維修站  山寨版電器維修官網大賺黑心錢_大同冰箱   知名家電維修站也有山寨版,保固期內花三仟元買教訓

藉這個機會小編來跟大家談談什麼是「Black_Hat SEO 搜尋引擎毒化」。下次找網站時,請不要心急狂亂點擊搜尋結果。

 

 

Black_Hat SEO (blackhat search engine optimization)簡單講就是採用搜索引擎禁止的暗黑作弊手法優化網站,一般我們叫SEO作弊。一般作弊的目的是透過這個方式影響搜索引擎影響網站排名。

目前這個手法被假防毒軟體廣為採用,用當時網友關心的議題,使用Black_Hat SEO 搜尋引擎毒化手法,將含有假防毒軟體的惡意頁面利用暗黑手法排到搜尋結果頁面的前幾條。 假防毒軟體是以一則警告你感染了惡意軟體的警訊來散佈的。如果你同意下載任何一種他們促銷的防毒軟體,最後很有可能感染上的就是你試著要避開的惡意軟體。

以下是幾則跟Black_Hat SEO 搜尋引擎毒化有關的文章

    

避免掉入 Black_Hat SEO 搜尋引擎排名毒化陷阱的5個方法

繼續閱讀

開啟朋友簡訊,手機間諜軟體即附身,簡訊、電話、手機定位和電子郵件全都露

趨勢科技發現網路犯罪份子可能從NICKISPY惡意軟體獲取利潤的方法。有一個中國網站提供客戶手機監看工具和服務,客戶可以連上服務網站去獲取資訊。不過,這服務並不便宜,大約是300540美元左右。

 mobie 手機

趨勢科技之前在這部落格有篇關於數個NICKISPY變種的報告,一種可以監看手機使用者動態(像是簡訊、電話和手機定位)的Android惡意軟體。趨勢科技一直很好奇網路犯罪份子要如何利用這些私人資訊,並且靠它賺錢。

現在,趨勢科技發現一個中國網站有提供手機監看服務。一旦客戶決定使用這項服務,可以得到一個帳號以登入這個服務的後端伺服器,在這裡可以拿到從目標設備中所收集來的資訊。

客戶可以透過一個網站來使用這項服務,首先發送一個包含惡意附檔的多媒體簡訊(MMS)到受害者的手機號碼。一旦這個間諜軟體( Spyware)安裝進受害者的手機,就可以用來監看簡訊、電話、手機定位和電子郵件等資訊。這些都會被送回服務後端,而客戶就可以透過網站來使用這些資料。

下面是這服務網站的設定頁面:

手機間諜軟體 情人間諜軟體 小三軟體

控制端手機號碼是用來接收這服務發送來資料的電話號碼,其中包含被監看手機新的動態資訊。注意,客戶可以選擇前述簡訊的寄件者電話號碼。所以可以選擇被害人所熟悉的電話號碼,讓他更容易相信這是一個正常的簡訊,而不會發現已經有惡意軟體安裝到他的手機上。

 

手機間諜 小三軟體 情人間諜軟體

 

就像前面提到的,我們一直很好奇網路犯罪分子要如何從散佈這些惡意間諜軟體( Spyware)中獲利。尤其是我們之前所看到跟報導過的那些多半都是免費提供。現在發現這個服務,也就解開了部分疑問。

這項服務提供比趨勢科技之前所提過的典型間諜軟體( Spyware)還要更多的功能,因為它甚至可以幫忙安裝惡意軟體到目標手機上。但是,這些好處也是有代價的,並不便宜。這項服務的費用約為2,000到3,600人民幣,轉成美元約為300到540美元。

在服務網站上的廣告說明,他們提供服務給想要監看Symbian或 Windows Mobile手機使用者的客戶。但是,如果他們很快就能將服務提供到Android平台上,也不會讓我們感到驚訝。尤其是現在NICKISPY這樣從事監看活動的應用程式已經被大量的散播在網路上。

這樣的監看服務生意看來會在移動設備威脅環境中蓬勃發展。因此,我們強烈建議使用者加強保護他們的設備,並且確保沒有間諜應用程式安裝在裡面。

@原文出處:Mobile Phone Monitoring Service Found作者:Lion Gu(資深威脅研究員)

看更多:

手機成竊聽器?愈來愈多手機間諜軟體公開販售!! 
《小三與情人們的手機間諜戰》追蹤手機位置與簡訊的Android間諜軟體下載次數高達10萬次

手機病毒文章一覽表

手機防毒不可不知 (蘋果動新聞 有影片)

免費下載 防毒軟體 PC-cillin 試用版下載

PC-cillin 2013雲端版跨平台同時支援Win、Mac及Android手機與平板,立即下載
◎即刻加入趨勢科技社群網站,精彩不漏網

 

KOOBFACE靠網路廣告賺黑心錢的秘密:使用流量導向系統

KOOBFACE 殭屍網路/傀儡網路 Botnet會用安裝次數付費(Pay-Per-Install,PPI)和點擊次數付費(Pay-Per-Click,PPC)的商業模式來賺錢。僅僅在2009年,KOOBFACE這幫人就賺了約兩百萬美金。

 但這顯然還不夠,因為這網路黑幫剛剛升級了他們的殭屍網路/傀儡網路 Botnet網路架構,使用先進的流量導向系統(Traffic Direction System,TDS)來處理導向下游網站的流量。他們還推出新元件來增加導向他們TDS的網路流量,這也意味著會讓他們賺進更多的錢。

 KOOBFACE黑幫的TDS會將流量導往能賺仲介費的廣告網站或是其他幾個下游網站。要注意的是,這些付了仲介費的像是廣告網站或下游網站還是會透過增加的網路流量來賺回更多的錢。想更清楚地了解新TDS如何讓這集團賺更多,請看看下圖還有所列出的步驟:

 

  •   新增跟註冊Yahoo電子郵件地址:由於KOOBFACE殭屍網路/傀儡網路 Botnet不能再自動新增Google帳號為他們所用,他們就換成自動新增Yahoo電子郵件帳號。這讓他們可以建立他們所需要的Google帳號。
  •  建立社群網路帳號:KOOBFACE殭屍網路/傀儡網路 Botnet新增的電子郵件地址被用來登入社群網路,像是TwitterTumblr、FriendFeed、FC2、Livedoor、So-net和Blogger。有些也被新增到altervista.org。這些殭屍網路/傀儡網路 Botnet路所建立的部落格帳號網址內會包含像「news」或「2011」的字眼。
  • 部落格收集色情等圖檔KOOBFACE新推出的新元件會收集色情圖片;名人、婚禮、紋身和汽車照片;還有從Google圖片搜尋來的桌布圖檔。這些都會被用在網路黑幫新貼的部落格文章內。
      繼續閱讀

2010年重大資安事件回顧:Stuxnet 的喧擾與真相

2010年間最受安全產業討論的議題 Stuxnet(編按:2010 年11月Stuxnet蠕蟲攻擊伊朗核電廠,鎖定水庫、油井、電廠等重要基礎設施)。大多數 Stuxnet 的攻擊目標出現在伊朗,引發意圖破壞核子設施的陰謀論說。)。毫無疑問的是,Stuxnet是一款高度精良的惡意軟體,其資源,不管是在時間,金錢或人力上其皆十分充裕地被運用來發展。但就衝擊度而言,多數的使用者並未受顯明的影響。沒錯,Stuxnet的確散佈到世界上許多的系統中,但對幾乎是所有受到感染的系統來說,它並不是個大問題。它不偷盜資料,不促銷假防毒軟體( Fake AV),也不會大量傳送垃圾訊息。

說 Stuxnet 預告了惡意軟體威脅影響「真實世界」機構的新世代來臨,也不完全正確。早在2003年,Slammer蠕蟲就打擊了俄亥俄州一個核能機構,並關閉了一個監視系統。而 DOWNADConficker 蠕蟲攻擊了多個高知名度機構如醫院(甚至影響了MRI磁核共振造影),執法單位,甚至不同的軍事機構。

要說 Stuxnet,可以說它的確劃下了第一次有人決定值得花時間,刻意以特定供應商的SCADA系統監控與資料擷取功能軟體(Supervisor Control And Data Acqusition,簡稱SCADA)平台做為攻擊目標。技術從過去就已經存在,欠缺的是進行的動力。

這類的惡意軟體攻擊數量少也遠在今日的威脅情勢之外。目前資料竊盜仍是最大的問題。趨勢科技每日所發現的惡意軟體中,大多數皆屬資料偷盜型惡意軟體。今日所見的每一件Stuxnet感染,皆相對地會發現上千件牽涉到偷盜資料的惡意軟體,如 Zeus 和 SpyEye

從 Stuxnet我們可學到兩個教訓。對那些和被 Stuxnet視為目標類似的企業控制系統來說,這應該是一記警鐘。Stuxnet 攻擊的「軟」目標皆未受到良好的防護。這些系統之所以未受到良好防護,是因為他們是位在網路的「內部」,可能被認為受到區域防護業已足夠。網路其實和其最弱的環節一樣安全。因此,企業控制系統中的電腦和網路皆需要全面強化。

第三者的應用程式最常被做為入侵破壞的目標,例如 Adobe Flash 和 Adobe Reader,因此如果不能將這兩者自系統中移除的話,最好是將兩者隨時更新。對可移除式裝置如USB記憶碟的攻擊也不能等閒視之,且需加以防範。這將不會是迅速,簡單或便宜就可以解決的。

不過對負責重要系統的使用者而言,來自 Stuxnet 的危險必須要被放在適當的內容中。憑證竊盜軟體是遠比Stuxnet更重大的威脅。除此之外,要記得針對重要系統而來的威脅很可能目標就單只是該系統。一般的使用者更常看到的威脅類型,會是憑證竊盜和假防毒軟體類的惡意軟體。

Stuxnet終歸是享受了大量的媒體關注。它最主要的是對系統管理者在防護重要系統,甚至那些他們認為不會受惡意軟體威脅的系統,產生警告作用而非是實際的威脅。這個問題必須要被囊括在更大的惡意軟體威脅內容中,這類的威脅每日皆可見到上萬新數量的產生,絕大多數都是在偷盜使用者的資料。

文章來源:2010 in Review: The Hype and Reality of Stuxnet   作者:Ivan Macalintal (趨勢科技資安分析經理)