APT 攻擊文章懶人包

影片說明:APT 攻擊駭客攻擊手法模擬~社交工程攻擊(Social Engineer)過程重現

 

影片說明:APT 攻擊真實案例改編

★看更多APT 攻擊相關影片

什麼是 APT進階持續性威脅 (Advanced Persistent Threat, APT)?

淺談APT進階持續性威脅 (Advanced Persistent Threat, APT)~含中文社交工程郵件案例

《APT 攻擊》南韓爆發史上最大駭客攻擊 企業及個人用戶電腦皆停擺

《APT 攻擊》韓國網路攻擊事件 FAQ
《APT 攻擊》趨勢科技Deep Discovery 成功協助南韓客戶抵抗駭客多重攻擊
APT 攻擊者偏好的DDOS 分散式阻斷服務攻擊與密碼擷取工具,自我更新更厲”駭”

《APT進階持續性威脅~主要目標攻擊侵入點:eMail》63%產品規劃藍圖 ,76%預算計畫經由 email 傳送

木馬專門竊取圖檔/影像檔案,得手資料傳送遠端 FTP,可能為APT 攻擊布局

「李宗瑞影片,趕快下載呦!」從公僕誤開測試信,看好奇心所付出的資安代價(含APT 目標式電子郵件攻擊實際案例)

《APT 威脅》神不知鬼不覺的APT攻擊 — 多則APT 真實案件分享(含網路釣魚信件樣本)
[圖表] APT攻擊的 5 個迷思與挑戰惡意PowerPoint文件夾帶漏洞攻擊及後門程式

進階持續性威脅LURID: 入侵了61個國家1465台電腦,包含外交等單位

《 APT 進階持續性滲透攻擊》BKDR_POISON 未來將出現更多挑戰

APT 進階持續性滲透攻擊研究報告10個懶人包

<APT進階持續性威脅>經由Email 發送的"員工滿意度調查"PDF檔案含SYKIPOT,展開目標攻擊行動

< APT 目標攻擊 >知名韓國企業收到量身訂製的社交工程信件,員工開啟後遭遠端控制竊取個資

《APT攻擊 》另一起電子郵件目標攻擊利用研究單位做掩護

《APT 攻擊》下載藏文輸入法至Apple iOS,竟引狼入室

《APT /MAC 攻擊》另一起和西藏相關的攻擊活動針對Windows和Mac系統

微軟控告殭屍網路ZeuS、SpyEye和Ice IX幕後黑手

時代變了 Mac使用者現在也會遭受目標攻擊

雲端安全和APT防禦是同一件事嗎?

一週十大熱門文章排行榜:<影音> 防毒小學堂: 躲在社交網路/社群網路後面的威脅 Social Media Threats

《 APT 進階持續性滲透攻擊》16 封不能點的目標攻擊信件

傳統安全策略已經不再足以保護企業

《 APT 進階持續性滲透攻擊》病毒也愛林來瘋!!目標攻擊以林書豪傳奇故事為餌,安裝後門程式

《 APT 進階持續性滲透攻擊》BKDR_POISON 未來將出現更多挑戰

《木馬專偷 Word, Excel 文件檔,得手後放雲端》受駭IP 遍佈150 國,含政府、學術界和企業網路

APT 進階持續性滲透攻擊研究報告10個懶人包

後門程式針對國際人權組織

趨勢科技發表2012資安關鍵十二大預測

2011 金毒獎【得獎名單】與【得獎理由】

<APT進階持續性威脅>經由Email 發送的"員工滿意度調查"PDF檔案含SYKIPOT,展開目標攻擊行動

 

什麼是 APT?簡單的說就是針對特定組織所作的複雜且多方位的網路攻擊。

認識 APT

以往駭客發動的APT攻擊雖然以政府為主,但從2010年開始企業成為駭客鎖定竊取情資的受駭者越來越多,2011年幾個世界性的組織在目標攻擊下淪陷,付出了昂貴的成本。RSA和Sony是 2011年最大的兩個APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)的目標。幾個世界性的組織在目標攻擊下淪陷,付出了昂貴的成本。他們失去了數百萬客戶的資料,光是完成修復就花費了鉅資。

APT 攻擊的特色:

【鎖定特定目標】針對特定政府或企業,長期間進行有計劃性、組織性竊取情資行為,可能持續幾天,幾週,幾個月,甚至更長的時間。

【假冒信件】針對被鎖定對象寄送幾可亂真的社交工程惡意郵件,如冒充長官的來信,取得在電腦植入惡意程式的第一個機會。

【低調且緩慢】為了進行長期潛伏,惡意程式入侵後,具有自我隱藏能力避免被偵測,伺機竊取管理者帳號、密碼。

客製化惡意元件】攻擊者除了使用現成的惡意程式外亦使用客制化的惡意元件。

安裝遠端控制工具】攻擊者建立一個類似殭屍網路/傀儡網路 Botnet 的遠端控制架構攻擊者會定期傳送有潛在價值文件的副本給命令和控制伺服器(C&C Server)審查。

傳送情資】將過濾後的敏感機密資料,利用加密方式外傳

APT 進階持續性滲透攻擊 (Advanced Persistent Threat, APT)可能持續幾天,幾週,幾個月,甚至更長的時間。APT攻擊可以從蒐集情報開始,這可能會持續一段時間。它可能包含技術和人員情報蒐集。情報收集工作可以塑造出後期的攻擊,這可能很快速或持續一段時間。

例如,試圖竊取商業機密可能需要幾個月有關安全協定,應用程式弱點和文件位置的情報收集,但當計畫完成之後,只需要一次幾分鐘的執行時間就可以了。在其他情況下,攻擊可能會持續較長的時間。例如,成功部署Rootkit在伺服器後,攻擊者可能會定期傳送有潛在價值文件的副本給命令和控制伺服器(C&C Server)進行審查。

【如何避免APT 進階性持續威脅攻擊?

趨勢科技建議民眾應:

  • · 養成良好的電腦使用習慣,避免開啟來路不明的郵件附件檔
  • · 安裝具有信譽的資訊安全軟體,並定期進行系統更新與掃毒

另一方面,為預防員工成為駭客攻擊企業內部的跳板,建議企業也應:

  • · 建立早期預警系統,監控可疑連線及電腦
  • · 佈建多層次的資安防禦機制,以達到縱深防禦效果
  • · 對企業內部敏感資料建立監控與存取政策
  • · 企業內部應定期執行社交工程攻擊演練

趨勢科技PC-cillin 雲端版採用最新雲端截毒掃描功能,能隨時蒐集最新威脅資訊,隨時協助電腦於最新最佳防護病毒與惡意程式的狀態,30天免費試用版下載,即刻免費下載

◎ 歡迎加入趨勢科技社群網站

分享:

安裝這個可以拿到別人的 facebook 臉書密碼?!是詐騙!

駭客工具和利用SOPA的問卷調查詐騙以Facebook使用者做為目標

 

在監測趨勢科技主動式雲端截毒服務  Smart Protection Network技術內的資料時,我們注意到一個可疑檔案來自http://{BLOCKED}bookhacking.com/FacebookHackerPro_Install.exe。從網域名稱來看,這是針對社群網站 – Facebook臉書的駭客工具。

 

這工具看起來是用來擷取Facebook密碼。根據趨勢科技對這安裝程式的分析

,它就像是個普通的安裝程式會顯示使用者授權合約(EULA),並讓使用者選擇要安裝的資料夾。安裝過程中會產生惡意檔案「Toolbar.exe」,並且在使用者不知情下放入暫存目錄。

 

一旦安裝完畢,它會顯示一個視窗來要求使用者輸入目標Facebook帳號的電子郵件地址或是Facebook ID:

一旦安裝完畢,它會顯示一個視窗來要求使用者輸入目標Facebook帳號的電子郵件地址或是Facebook ID
一旦安裝完畢,它會顯示一個視窗來要求使用者輸入目標Facebook帳號的電子郵件地址或是Facebook ID

為了要看起來正常,這程式甚至會出現一個視窗表示要求正在進行中。二到五分鐘過後,它會通知使用者已經找到所要的密碼:

為了要看起來正常,這程式甚至會出現一個視窗表示要求正在進行中。二到五分鐘過後,它會通知使用者已經找到所要的密碼
為了要看起來正常,這程式甚至會出現一個視窗表示要求正在進行中。二到五分鐘過後,它會通知使用者已經找到所要的密碼

有趣的地方來了:想要獲得密碼,使用者必須購買產品金鑰,售價29.99美金。如果使用者選擇購買產品金鑰,會被導到網站http://{BLOCKED}bookhacking.com/p/unlock

一旦購買之後,使用者需要再次輸入電子郵件地址或Facebook ID。既然已經有了金鑰,就會出現以下內容:

一旦購買之後,使用者需要再次輸入電子郵件地址或Facebook ID。既然已經有了金鑰,就會出現以上內容
一旦購買之後,使用者需要再次輸入電子郵件地址或Facebook ID。既然已經有了金鑰,就會出現以上內容

但是這工具怎麼取得這些呢?簡單:這個程式會下載並使用一個免費的第三方應用程式,用來恢復並顯示使用者本地瀏覽器暫存區內保存的密碼。所以只有在使用者電腦中有儲存過的密碼才會有用。上述的第三方應用程式是個正常的密碼恢復程式,只是被惡意的用在這次攻擊中。也就是說是指受害者被騙去付錢了 但其實只能看到儲存在自己電腦上的密碼而已 沒辦法找到別人的密碼。

如果駭客工具無法下載第三方應用程式,就會出現以下錯誤訊息:

如果駭客工具無法下載第三方應用程式,就會出現以上下錯誤訊息
如果駭客工具無法下載第三方應用程式,就會出現以上下錯誤訊息

 

繼續閱讀

< APT 目標攻擊 >知名韓國企業收到量身訂製的社交工程信件,員工開啟後遭遠端控制竊取個資

特製的HWP文件檔在韓國發動 APT 目標攻擊

幾個禮拜前,趨勢科技發現有一個特製的韓國文書處理軟體檔案(HWP)會攻擊Hancom Office文書處理系統內的應用程式漏洞。這個副檔名HWP是在韓國很普及的文書處理軟體檔案格式,使用針對韓國潛在受害者所使用的格式,或許就是他們的目的。

 

這個被偵測為TROJ_MDROP.ZD的特製文件檔是以電子郵件附檔的方式到達受害者的手上,它用韓國最近發生的謀殺案做為社交工程陷阱( Social Engineering)誘餌。這封電子郵件送給一間知名的韓國企業的眾多員工。

 

這個被偵測為TROJ_MDROP.ZD的特製文件檔是以電子郵件附檔的方式到達受害者的手上,它用韓國最近發生的謀殺案做為社交工程陷阱( Social Engineering)誘餌。這封電子郵件送給一間有名韓國企業的眾多員工
這個被偵測為TROJ_MDROP.ZD的特製文件檔是以電子郵件附檔的方式到達受害者的手上,它用韓國最近發生的謀殺案做為社交工程陷阱( Social Engineering)誘餌。這封電子郵件送給一間有名韓國企業的眾多員工

 

打開惡意附件檔後,TROJ_MDROP.ZD會攻擊一個目前仍不明的漏洞來植入並在背景執行後門程式BKDR_VISEL.FO。這個後門程式可以讓潛在攻擊者來做遠端存取,能在受感染機器做出其他惡意行為。根據我們的分析,BKDR_VISEL.FO也能夠停掉特定的防毒程式,讓它更難被偵測和清除。這個後門程式也會下載並執行其他惡意檔案,讓受感染系統被進一步的感染和或竊取資料。

 

執行之後,TROJ_MDROP.ZD會用另一個非惡意HWP文件檔取代自己以防使用者懷疑。這個被當做誘餌的文件包含以下的韓文內容:

 

執行之後,TROJ_MDROP.ZD會用另一個非惡意HWP文件檔取代自己以防使用者懷疑。這個被當做誘餌的文件包含以上的韓文內容
執行之後,TROJ_MDROP.ZD會用另一個非惡意HWP文件檔取代自己以防使用者懷疑。這個被當做誘餌的文件包含以上的韓文內容

 

替將來的攻擊進行偵察

 

從這目標公司的狀況來看,一次成功的感染可能會導致大量客戶個人資料被竊取。加上HWP是韓國政府文書處理時的標準格式,所以現在的攻擊很可能只是偵察階段,為了以後更大更廣泛攻擊做準備。

 

從這起事件中,我們可以看到攻擊者會使用區域性應用程式的弱點。Hancom Office也不是第一個被攻擊者攻擊漏洞的區域性應用程式。我們之前報導過另一起事件,惡意攻擊者攻擊日文文書處理軟體Ichitaro。攻擊成功之後會導致安裝後門程式。這兩起事件證明了使用區域性應用程式並不能保證沒有惡意攻擊發生。所以,文書處理軟體廠商如果使用了可能有漏洞的特定第三方模組,就需要注意業界的漏洞資訊,並準備加以更新。

 

這凸顯出了安全性的重要,特別是那些服務包括儲存客戶資料的公司。一旦公司被入侵成功,不僅讓他們的客戶處在危險中,也會很快就毀了他們的聲譽。這起事件裡幸運的是,很快的就執行了適當的消除步驟。然而,我們也必須保持警覺,因為這不會是我們最後一次看到這類威脅。

 

趨勢科技的使用者可以透過趨勢科技主動式雲端截毒服務  Smart Protection Network來偵測和刪除相關的惡意檔案。它也在惡意郵件抵達使用者信箱前就加以封鎖。

 

 

補充資料

 

根據趨勢科技的分析,TROJ_MDROP.ZD會造成一個外掛程式 – HNCTextArt.hplg的緩衝區溢位,這是HWP.EXE用來處理HWP檔案的程式。HNCTextArt.hplg有一個程式碼會將寬字元字串(包含空白結尾字元)從來源複製到目的地。來源的字串必須要包含空白結尾字元。而這起事件裡的惡意HWP檔案中,這個被複製的寬字元字串並沒有包含上述的空白結尾字元,導致了無限迴圈。

 

也因為如此,HNCTestArt.hplg會不停的複製資料直到發生異常。這會觸發惡意HWP文件檔內的惡意程式碼。這個程式碼會解開、植入和執行PE檔案和用來做為誘餌的非惡意HWP文件。

 

 

@原文出處:Specially Crafted .HWP File Used for Korean Targeted Campaign

@延伸閱讀

什麼是 APT進階持續性威脅 (Advanced Persistent Threat, APT)?

進階持續性威脅LURID: 入侵了61個國家1465台電腦,包含外交等單位

《 APT 進階持續性滲透攻擊》BKDR_POISON 未來將出現更多挑戰

APT 進階持續性滲透攻擊研究報告10個懶人包

<APT進階持續性威脅>經由Email 發送的"員工滿意度調查"PDF檔案含SYKIPOT,展開目標攻擊行動

 

◎ 歡迎加入趨勢科技社群網站

趨勢科技再次蟬連全球虛擬化安全市場第一名

市場研究機構TechNavio最新全球虛擬化安全市場報告出爐

趨勢科技再次蟬連全球虛擬化安全市場第一名

2012 6 20 台北訊】全球雲端安全領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 再度獲得獨立市場研究機構TechNavio評選為全球虛擬化安全市場第一名[1]!根據 TechNavio 所發表的「2011-2015 年全球虛擬化安全管理解決方案市場」(The Global Virtualization Security Management Solutions Market 2011-2015) 報告,趨勢科技在全球虛擬化安全管理市場佔有率高達10-12% ,穩坐龍頭。  

市場研究機構TechNavio最新全球虛擬化安全市場報告出爐 趨勢科技再次蟬連全球虛擬化安全市場第一名
市場研究機構TechNavio最新全球虛擬化安全市場報告出爐 趨勢科技再次蟬連全球虛擬化安全市場第一名

繼日前TechNavio 與IDC分別評選全球市場佔有率報告:趨勢科技獲得雲端安全第一名 [2]」,以及「企業端點伺服器安全與全球虛擬化安全管理市場領導者」[3]後,趨勢科技再度榮登全球虛擬化安全市場第一名!

最新TechNavio的報告指出,趨勢科技擁有多項針對虛擬化環境設計的安全解決方案,相較於其競爭對手,趨勢科技具備地理多樣性、策略併購Third Brigade以及與 Microsoft、HP、IBM、VMware等多家廠商的密切合作,皆是其拓展虛擬化產品並且領先群雄的助力。

   趨勢科技產品長Steve Quane表示:「TechNavio的這份報告再度肯定趨勢科技在雲端與虛擬資訊安全的策略與努力。後PC雲端時代的雲端與虛擬環境充滿挑戰與變化性,應用程式與裝置更是千變萬化。趨勢科技希望在如此嚴峻的環境下,提供企業和消費者一個能充分保障其資料安全的防護架構。」

   該報告並進一步對全球虛擬化安全市場作出預估,認為目前正蓬勃發展的虛擬化安全市場在未來三年之內將以 49.53% 的年複合成長率 (CAGR ) 持續擴大。目前全球虛擬化市場的大宗仍為美洲,約佔全球市場 51–53%,歐洲、中東與非洲 (EMEA) 及亞太地區 (APAC) 虛擬化市場則持續擴大,有迎頭趕上之姿。

  繼續閱讀

Android上的間諜軟體測試版會竊取簡訊

趨勢科技發現一個目前可在Google Play上找到的間諜軟體正在某些駭客論壇上熱烈的討論著。從三月十一日開始,就可以從網站上下載這軟體的測試版。估計有五百到一千名使用者已經下載過這ANDROIDOS_SMSSPY.DT間諜軟體。

 

趨勢科技發現一個目前可在Google Play上找到的間諜軟體正在某些駭客論壇上熱烈的討論著。
趨勢科技發現一個目前可在Google Play上找到的間諜軟體正在某些駭客論壇上熱烈的討論著。
從三月十一日開始,就可以從網站上下載這軟體的測試版。估計有五百到一千名使用者已經下載過這ANDROIDOS_SMSSPY.DT間諜軟體。
從三月十一日開始,就可以從網站上下載這軟體的測試版。估計有五百到一千名使用者已經下載過這ANDROIDOS_SMSSPY.DT間諜軟體。

 

繼續閱讀