< APT >企業資料是網絡罪犯的金礦 ,新型APT 目標攻擊手法威脅網絡安全

 檢視APT 攻擊趨勢:2014 年度報告

「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱APT攻擊)(以下簡稱APT)是一種專門以竊取目標系統上的資料為主的威脅。APT攻擊包含六個階段:情報蒐集、突破防線、幕後操縱 (C&C)、橫向移動、搜尋資產/資料、資料外傳。有別於一般的認知,這些階段並非單向線性執行的,而是各階段不斷重複且並行重疊的。同樣地,資料外傳的動作也不會只有一次,其幕後操縱通訊和橫向移動則是整個行動當中一直持續在進行。最後,鎖定目標攻擊會進入一個維護階段,此時駭客會執行某些動作來讓資安人員的因應措施以及其他駭客企圖霸占的行為無法成功。

APT 攻擊行動很難找到幕後黑手和犯罪集團

 

這份年度報告討論了趨勢科技在 2014 年當中所分析的APT案例,以及所監控的相關幕後操縱伺服器。此外,這份報告也詳細討論了趨勢科技所調查過的攻擊行動,以及我們對APT攻擊手法、技巧與程序發展趨勢的觀察:

  • 鎖定目標攻擊行動很難找到幕後的黑手和犯罪集團。 

歹徒會盡可能不在目標網路內留下可追溯的痕跡,因此很難找到其幕後的黑手。2014 年,我們發現一些由政府在背後支援以及非政府支援的攻擊,後者的案例如 Arid Viper 和 Pitty Tiger。根據趨勢科技網路安全長 Tom  Kellermann 指出,有越來越多的網路犯罪者利用毀滅性攻擊來宣揚其激進主義或者反制資安應變措施。

APT攻擊行動的各個階段

圖 1:APT攻擊行動的各個階段

除了外部攻擊之外,企業可能還得面對內賊的威脅,如去年的 Amtrak 資料外洩事件,該案洩漏了將近 20 年的旅客個人身分識別資訊 (PII)。

APT攻擊行動的各個階段

圖 2:歹徒的身分和動機

  • 環境的特殊性不一定能防止歹徒的覬覦。

除了鎖定一般商用及熱門的軟體與工具之外,歹徒也會利用一些特殊領域的應用程式、作業系統及環境來發動攻擊,其中一個例子就是利用奇異公司智慧型平台 (GE Intelligent Platform) CIMPLICITY 軟體的攻擊。Apple 的裝置也成了歹徒滲透目標網路、進而從事間諜活動的工具,例如 Pawn Storm 攻擊行動。

  • 鎖定目標攻擊手法持續突破、技巧不斷翻新。

新的鎖定目標攻擊手法在 2014 年不斷出現。這些手法運用了一些正當的工具 (如 Windows® PowerShell) 以及雲端儲存平台 (如 Dropbox)。此外趨勢科技也發現針對 64 位元系統所開發出來的惡意程式越來越普遍。

[您的企業有能力防範網路攻擊嗎?《APT攻擊:遊戲》邀請您來擔任公司的資訊長]

  • 經過長期試驗成功的漏洞與新發現的零時差漏洞依然是歹徒的最愛。

根據證據顯示,歹徒不僅會利用零時差漏洞,也會利用一些已經存在多年的舊漏洞來發動APT

  • 鎖定目標攻擊仍是一項全球問題。

根據我們在 2014 年所監控的案例,澳洲、巴西、中國、埃及和德國是APT幕後操縱伺服器分布最多的前五大國家。監控的過程當中我們也發現,APT幕後操縱伺服器的通訊對象分散許多國家,美國、俄羅斯和中國不再是歹徒唯一的最愛。

  • 網路犯罪集團也開始採用鎖定目標攻擊技巧,讓這類攻擊的界定變得模糊。

網路犯罪集團現在也開始模仿APT經常使用的技巧,因為這些技巧確實能為他們開發更多受害者,進而帶來更豐厚的利潤。例如,Predator Pain 和 Limitless 兩項攻擊就專挑中小企業下手,在短短的六個月當中就獲利高達 7,500 萬美元。

若想進一步了解過去一年的APT發展趨勢,請參閱我們的完整報告:鎖定APT目標攻擊趨勢:2014 年度報告

 

 

原文出處:Targeted Attack Campaigns and Trends: 2014 Annual Report

趨勢科技加速達人App全面進化整合AdPlay互動遊戲試玩服務打造手遊免費試玩新體驗

【台北訊】趨勢科技為提供手遊玩家更優質的遊戲體驗,近期研究玩家需求發現,全台超過6成的手遊玩家最怕「Lag」、「跑不動」影響遊戲表現。為解決玩家最困擾的速度問題,趨勢科技於去年4月推出免費的「 加速達人」App,甫上架即獲得Google Play小工具類最新熱門免費項目第1名,根據統計,已成功協助使用者加速超過三百萬次。為持續提供手遊玩家更豐富多元的服務,延續著創新精神的趨勢科技行動達人團隊(Dr. Mobile),將台灣潛力新創VMFive研發之「AdPlay」互動遊戲試玩創新服務整合至「加速達人」App中,打造全球首款搭載 AdPlay 遊戲試玩專區的遊戲加速App,使用者無需下載即可免費體驗多款手機遊戲,免去下載的時間與金錢成本,體驗好遊戲就這麼簡單!

圖說: (左)趨勢科技全球行動事業部執行總監黃國豪與(右)VMFive執行長丁俊宏共同宣布進化版上市   圖說:攜手VMFive,加速達人App強打手遊免下載先試玩!今年第二季搶攻日本手遊市場

圖說: (左)趨勢科技全球行動事業部執行總監黃國豪與(右)VMFive執行長丁俊宏共同宣布進化版上市

 

圖說: (左)趨勢科技全球行動事業部執行總監黃國豪與(右)VMFive執行長丁俊宏共同宣布進化版上市   圖說:攜手VMFive,加速達人App強打手遊免下載先試玩!今年第二季搶攻日本手遊市場
圖說:攜手VMFive, 加速達人App強打手遊免下載先試玩!今年第二季搶攻日本手遊市場

繼續閱讀

技術長見解:漏洞出售中

作者:Raimund Genes(趨勢科技技術長)

2014年顯示了漏洞可以在所有的應用程式中發現 — Heartbleed心淌血漏洞Shellshock都讓系統管理者出乎意料,顯示出開放原始碼伺服器應用程式也可能出現嚴重的安全性漏洞。

 

現實是,要讓軟體完全沒有漏洞是困難且代價高昂的,即便並非完全不可能。每一千行程式碼中,你可以預期找出15到50個某種錯誤。這錯誤率在真正關鍵的應用程式(像是太空探險用)上可能會較低,但這需要軟體開發成本付出額外的時間和金錢。

儘管這樣很耗費成本,開發人員還是需要更好地去建立安全的產品。軟體漏洞如何被發現和披露的變化意味著使用者因為安全性漏洞所面對的風險都比以往都還要大。

在過去,被發現的漏洞會回報給開發人員,好讓他們可以修復以盡可能地保護更多的使用者。然而,有越來越多發現安全性漏洞的公司將這些資訊賣給出價最高者。這無法幫助任何人 — 除了從事買賣這些漏洞的公司。開發人員無法修復他們的產品,使用者遺留在風險中,安全社群的大多數人都還一無所悉。整體來說,網路是更加不安全的。

所以某些國家的政府已經在設法控制這些市場並不令人驚訝。在去年,瓦聖納協定(Wassenaar Arrangement)考慮將漏洞攻擊程式碼列入新的「入侵軟體」領域;此協定所涵蓋的項目被認為是「雙重用途」(即軍事和民間應用)。這表示協定的41個成員國可能對這些項目進行出口管制。事實上,今年Pwn2Own的準出席者被要求與其律師確認他們是否需要出口授權或政府通知才能參加。

當然,發現漏洞的研究人員也想為自己的努力獲取回報。這有許多方式可以達成,無須將漏洞賣到公開市場上。主要網站和廠商都提供漏洞獎金給在他們產品找出漏洞的研究人員。有許多方法能夠讓研究人員得到報酬,而無須將漏洞放在公開市場上。

我們不能強迫公司或個人停止買進或賣出漏洞,我們所能做的就是減少貨源。通過建立更加安全的產品,包含更少的漏洞及更好的解決那些已知問題,我們讓網際網路對每個人來說都更加安全。

 

@原文出處:CTO Insights: Vulnerabilities for Sale
《提醒》在粉絲頁橫幅,讚的右邊三角形選擇接收通知新增到興趣主題清單,重要通知與好康不漏接

◎ 歡迎加入趨勢科技社群網站

< IoT 物聯網>全功能PoS 惡意軟體,可回傳信用卡號碼,竊取巴西 22,000筆信用卡資訊

FighterPOS的功能跟我們過去所看到的其他PoS惡意軟體家族類似。它可以收集信用卡磁軌1,磁軌2和CVV碼。該惡意軟體還包含記憶體擷取功能,這在許多PoS惡意軟體家族中都很常見。此外,它的鍵盤側錄功能讓攻擊者可以側錄受感染終端上的按鍵紀錄。

 

趨勢科技已經確認一個銷售終端(PoS- Point of Sale)惡意軟體家族:「FighterPOS」影響了超過100家的巴西受害組織。這波個人行動已經竊取了超過22,000筆不重複的信用卡號碼。

IOE PoS

其作者似乎在卡片、支付詐騙和惡意軟體製造上有很長的歷史;此外,我們認為此惡意軟體作者是獨立運作,沒有任何同夥協助。FighterPOS 並不便宜,目前售價是18比特幣(約為5,250美元)。然而,它有精心設計的控制台且支援多種功能,對攻擊者來說具有相當的誘因。

本文中會概述 FighterPOS  的行為,相關報告 – 「FighterPOS:新POS惡意軟體攻擊活動的解析和運作」會提供更多技術細節。

 

購買

乍一看,此廣告並非特別不尋常。引起我們的興趣的是廣告和其惡意軟體支援功能的專業性質。

 

圖1、銷售FighterPOS的廣告

繼續閱讀

TV5Monde-法國最大的全球性電視網遭攻擊,11個頻道全數斷線:四小時改變了世界

4月8日晚上10點到翌日凌晨的1點,TV5Monde,這家法國最大的全球性電視網因為網路攻擊而導致完全斷線。這次攻擊的範圍前所未見。攻擊者能夠:

  1. 完全中斷 TV5Monde所有11個頻道的播出。
  2. 完全中斷 TV5Monde 的內部網路。
  3. 取得 TV5Monde 網站和社群媒體帳號的控制。
  4. 變更網站內容成為親ISIS的聲明。
  5. 在社群媒體帳號貼出參與對ISIS行動的法國士兵親屬名字和個人資料。

上述任何一項,單獨發生都已經是重大的網路攻擊事件,全部同時發生更是提升了整個事件的層級。有關單位正持續進行調查,以期精確掌握此攻擊事件的源頭與始末。

TV5Monde,這家法國最大的全球性電視網因為網路攻擊而導致完全斷線
TV5Monde,這家法國最大的全球性電視網因為網路攻擊而導致完全斷線,網路相關報導

 

根據趨勢科技初步的調查顯示,VBS_KJWORM.SMA是由名為Sec-Worm 1.2 Fixed vBS Controller的駭客工具所產生。我們將此遠端控制木馬產生器偵測為HKTL_KJWORM

要指出的是,Kjw0rm已知的惡意軟體家族;趨勢科技在一月份時曾經提及此惡意軟體家族,因為它來自于外洩的NJWORM原始碼。Kjw0rm可以在dev-point.com的阿拉伯文區找到。

研究趨勢科技主動式雲端截毒服務  Smart Protection Network的資料後發現,VBS_KJWORM.SMA在過去一周至少在12個國家出現,包括了南非和印度。這並不令人驚訝,因為這惡意軟體可以從地下論壇取得,任何人都可以使用。

此惡意軟體可以被用來作為後門程式進入受感染系統。此外,據報在攻擊中所用的C&C伺服器跟另一個後門程式BKDR_BLADABINDI.C有關。經過調查讓我們相信Kjw0rm和BLADABINDI幕後的黑手是相同的。

進一步由趨勢科技主動式雲端截毒服務  Smart Protection Network所提供的資料顯示其他VBS惡意軟體變種目前也在肆虐中。同時也發現四個不同的C&C伺服器(跟NJWORM所用的不同)。這些不同樣本跟之前的NJRAT/JENXCUS攻擊有關。NJRAT會關連到拉丁美洲的DUNIHI攻擊。

註:SECWORM惡意軟體是來自KJw0rm的遠端存取木馬,加上一些修改和改進。

 

了解造成公司停擺之網路攻擊的影響

根據報導,這起在4月9日針對法國TV5Monde電視網的大規模網路攻擊開始於大約當地時間的晚上10點,當時該電視網的11個頻道都停播了。

此外,TV5Monde的網站、公司電子郵件以及他們的社群媒體帳號都遭到攻擊。該電視網的Facebook網頁被用來發佈據稱來自伊斯蘭國ISIS的宣傳資訊。該電視網的一個Twitter帳號也被用來貼出反對美國和法國的留言,以及發出威脅法國士兵家屬的訊息。法國士兵的身分證和護照影本也被公佈。

要特別指出的是,此次攻擊的技術細節尚未明朗。然而,遠端存取木馬產生器目前在數個駭客論壇都可取得,任何惡意份子都能加以利用。因此,不需要太多技術背景就可以加以使用。

趨勢科技威脅研究反應團隊也密切關注此事件發展,以確保提供用戶完整的防護。同時,藉著本次惡意攻擊事件發生的機會,趨勢科技再次提醒客戶及合作夥伴,我們無時無刻都處於精密規劃的惡意攻擊威脅之中,因此更需要建立一套完整的防禦措施。即便這次事件的初始攻擊目標是位於巴黎的公司,但是現今的資訊流早已無國界,也可能造成全球性的重大影響。

APT 攻擊-進接持續性威脅(Advanced Persistent Threat,APT)與其他目標式攻擊的其中一項關鍵在於他們會尋找企業的系統及軟體弱點與安全防護漏洞,並搶先在漏洞修補前發動攻擊。滲透進入企業內部網路後,隨即開始使用各種惡意程式、駭客工具、惡意程式碼回報給遠端的命令與控制伺服器(Command & Control Server, C&C)。有鑑於此,趨勢科技也持續將新發現的C&C的IP位址加入趨勢科技主動式雲端截毒技術(Smart Protection Network, APN)資料庫中,協助阻擋此類攻擊事件中的回報行為,大幅降低可能帶來的損害。

趨勢科技在此建議您,要防範駭客攻擊,除了防毒軟體及各種資訊安全產品皆須正確佈署並隨時保持更新之外,應當採取更積極主動的措施(可參考給IT管理員的 6 個網路安全建議),在日常生活中也須提高資安意識,例:點擊電子郵件中的網址前須仔細確認其真偽。

如前所述,趨勢科技仍持續關注歐洲網路攻擊事件的發展,並會將新資訊或是防護措施(病毒碼或新防禦規則等)公布於以下知識庫:https://esupport.trendmicro.com/solution/en-us/1109423.aspx。此事件再次提醒我們,現今的數位化世界高度連結已無國界,面對資安威脅絕不可掉以輕心。如對目標式攻擊或惡意威脅有任何問題,請聯絡趨勢科技技術支援部。相關資料請參閱 。

這事件更加令人驚心的是幕後很有可能有著政治或恐怖分子目的(跟我們最近的Arid Viper行動報告中所陳述的類似)。

完整的細節尚未明朗,不過之前的攻擊如 Arid Viper 和 Sony(遭遇相同命運的另一家大公司)顯示這很有可能是網路釣魚(Phishing)和魚叉式網路釣魚造成。我們最近針對美洲國家組織(OAS)所作關於關鍵基礎設施攻擊的調查結果也支持了這一論點。研究發現,網路釣魚(Phishing)是針對關鍵基礎設施的頭號攻擊手法,有71%的受訪者說自己曾遭遇這樣的攻擊。

而此事件所最凸顯的是針對關鍵基礎設施的網路攻擊會影響到一般民眾這事實。簡而言之,這是第一次出現只在驚悚片或災難片中會看到的針對關鍵基礎設施攻擊。

TV5Monde在約上午2點恢復對其網路及運作的控制,約是攻擊開始後的四個小時。截至本文撰寫時,他們已經保持控制超過了24小時。從這一點看,攻擊似乎是結束了。

但該擔心的事情現在才開始浮現,因為我們知道發生什麼及其代表什麼。 繼續閱讀