目標攻擊 - 資安趨勢部落格

91％的APT 目標攻擊用魚叉式網路釣魚攻擊手法

2013 年 04 月 23 日2013 年 04 月 16 日 Trend Labs 趨勢科技全球技術支援與研發中心

一封假冒銀行交易的網路釣魚信件,導致南韓爆發史上最大駭客攻擊,這就是APT 目標攻擊最愛採用魚叉式網路釣魚攻擊手法。魚叉式網路釣魚針對的是公司內部的個人或團體。電子郵件會包含目標對象的相關資訊，想辦法盡可能看起來真實。在大多數情況下，這些郵件不包含惡意軟體。因此它們通常可以通過大多數垃圾郵件和網路釣魚過濾軟體。

作者：Vic Hargrave

網路釣魚在網際網路的威脅環境裡是種始終存在的危險。在我的部落格文章 – 對抗釣魚郵件中，我提到了你可以如何做來對抗傳統的網路釣魚（Phishing）。傳統指的是，這些郵件利用社交工程技術來讓你點入郵件裡通往惡意網站的連結，你可能會被要求輸入有價值的個人資料 – 信用卡號碼、帳號登錄資料等等。

正如我之前所指出的，這些攻擊很容易偵測。大多數瀏覽器和電子郵件客戶端都提供某種程度的保護。當然，像PC-cillin 2013雲端版這樣的安全解決方案也在封鎖已知惡意網站，打擊網路釣魚（Phishing）方面做了很好的工作。

但在過去一年裡，趨勢科技威脅研究人員觀察到，魚叉式網路釣魚（Phishing）的趨勢正在上升。根據趨勢科技安全報告 – 「魚叉式網路釣魚郵件：APT攻擊最愛用的誘餌」，它在二〇一二年二月到九月間所收集的資料顯示，有91％的目標攻擊用到魚叉式網路釣魚攻擊手法，誘騙受害者打開惡意檔案或網站。

魚叉式網路釣魚看起來像什麼

和傳統撒下大網，希望達到受害者數量最大化的網路釣魚（Phishing）不同，魚叉式網路釣魚針對的是公司內部的個人或團體。電子郵件會包含目標對象的相關資訊，想辦法盡可能看起來真實。在大多數情況下，這些郵件不包含惡意軟體或我之前提過的網路釣魚郵件品質。因此它們通常可以通過大多數垃圾郵件和網路釣魚過濾軟體。

如果你在安全或業務相關部落格上讀過魚叉式網路釣魚（Phishing），可能會讓你認為這種攻擊只限於公司內部的人。但趨趨勢科技的垃圾郵件(SPAM)威脅研究員 – Jon Oliver跟我分享了一些魚叉式網路釣魚（Phishing）的有趣案例，將會讓你有新的想法。第一個是來自Verizon的通知郵件，第二個似乎是來自美國國稅局的通知。

這些郵件看起來很像真的，不是嗎？國稅局那封簡直讓人嚇壞了。很多人會被騙去點入這些偽造郵件內的連結，但這樣做的後果比以前更可怕。隨著越來越多惡意攻擊套件在網路犯罪地下世界內流通和使用（像是黑洞漏洞攻擊包），只需要一指點入魚叉式網路釣魚郵件內的一個連結，你的瀏覽器就會載入惡意軟體，進而危害到你的電腦。

繼續閱讀

從Facebook、Twitter、Microsoft和Apple遭到水坑攻擊談Mac OS平台安全

2013 年 03 月 29 日2013 年 03 月 27 日 Trend Labs 趨勢科技全球技術支援與研發中心

隨著越來越多的個人資訊會提供給Facebook、Twitter、Microsoft和Apple，他們的員工也成為更加誘人的目標。攻擊者知道這些員工還有其他許多可能的高價值目標是Mac使用者，並會據此來制定攻擊計劃。

作者：Jonathan Leopando

最近，我們看到了許多科技業知名品牌（如Facebook、Twitter、Microsoft和Apple）都遭到水坑（Watering hole）。這些受影響公司的員工瀏覽了受歡迎的iOS開發論壇，因為它被入侵淪陷了，所以也讓使用者遭受當時仍未知的Java漏洞攻擊。

毫無疑問地，Java首當其衝地被認為要為此事件負責。The Verge的一個頭條新聞甚至要對Java「消失」。類似想法已經出現在許多安全專家的腦海裡，不管他們是不是會公開地說出來。

但…Java並不是唯一的問題。所有受影響的系統都是Mac（這很自然，因為是針對iOS開發者的論壇）。現在的重點都一直放在是如何攻擊（Java），而非目標（Mac）上。

攻擊者會嘗試去攻擊目標所使用的平台，不管是哪一種。在整個作業系統的市場裡，Apple的市佔率仍然比較低，但在某些圈子（如矽谷）的比例則高得多。而這些被鎖定的目標恰恰就是因為是Mac電腦的使用者而變得不再安全。攻擊者會客製化他們的攻擊以符合他們目標的狀況。在這起事件裡，攻擊者顯然是要透過水坑（Watering hole）攻擊來針對iOS開發者，這也說明了這起攻擊有過相當程度的規劃。

去年的Flashback事件強調了Mac使用者也有遭受惡意軟體攻擊的風險，而這起事件讓人了解到Mac使用者也會成為精心設計的目標攻擊(APT-進階持續性滲透攻擊)對象。Java只是這次攻擊的載體，但Mac使用者已經不再比其他使用者更加免疫於社交工程( Social Engineering)攻擊。

隨著越來越多的個人資訊會提供給這些網路公司，他們的員工也成為更加誘人的目標。攻擊者知道這些員工還有其他許多可能的高價值目標是Mac使用者，並會據此來制定攻擊計劃。

使用者可以透過跨平台防護的PC-cillin 2013雲端版來防護Mac OS平台上所有已知的威脅影響。

＠原文出處：Barking Up The Wrong Tree

想了解更多關於網路安全的秘訣和建議，只要到趨勢科技粉絲網頁或下面的按鈕按讚

◎延伸閱讀

什麼是 APT進階持續性威脅 (Advanced Persistent Threat, APT)？

《APT 攻擊》南韓爆發史上最大駭客攻擊企業及個人用戶電腦皆停擺

當 APT 攻擊者擁有很大程度的控制權時，該怎麼辦？

《APT攻擊/威脅》水坑攻擊: 不是去攻擊目標，而是去埋伏在目標必經之路

Mandiant 提出的美國企業被 APT攻擊報告被當作社交工程信件誘餌

《APT 攻擊》退信和讀取回條自動回覆的風險

APT 攻擊者偏好的DDOS 分散式阻斷服務攻擊與密碼擷取工具，自我更新更厲”駭”

木馬專門竊取圖檔/影像檔案,得手資料傳送遠端 FTP,可能為APT 攻擊布局

◎即刻加入趨勢科技社群網站,精彩不漏網

< APT 目標攻擊 >美國能源部成為受害者:14台伺服器和20台工作站入侵,數百名員工的個人資料被讀取

2013 年 02 月 06 日2013 年 02 月 06 日趨勢科技 TrendMicro

作者：Rik Ferguson

圖片來自Flickr上的IndigoValley

經過上週所發生針對「紐約時報」、「華爾街日報」和「華盛頓郵報」的攻擊之後。另一個令人震驚的新受害者出現了 – 「美國能源部」，負責美國核武軍火庫的美國國家核能安全管理局所屬的單位，也成為了被入侵的受害者。

根據美國華盛頓自由燈塔（Free Beacon）的一份報告，官員已經證實有十四台伺服器和廿台工作站在攻擊中被入侵。

在目前這早期階段，還沒有太多攻擊細節被官方所釋出，並沒有辦法去做出什麼結論，但就我們所知道的部分已經令人感到非常擔憂了。華盛頓自由燈塔（Free Beacon）的報告指出：「他們認為這起複雜的滲透攻擊並不只是竊取個人資料。有跡象顯示，攻擊者帶有其他目的，可能包括計劃進一步去存取機密和其他敏感資料。」這說明在這起攻擊中沒有機密資料被存取。已經被證實的是有數百名員工的個人資料被讀取。

APT攻擊/目標攻擊特質:用多次行動組成攻擊活動

如果這次攻擊的意圖和間諜活動有關，這也是目前最有可能的原因，那攻擊者是不大可能因為一次失敗就放棄的。現代攻擊的特質就是會用多次行動組成攻擊活動，而不會是單獨的攻擊。即使沒有機密資料被存取（而這是「仍在調查中」，我懷疑這結論為何可以如此肯定），已經確認被讀取過的資料還是非常的寶貴，可以用來建立未來的目標攻擊，去針對那些能源部和國家核能安全管理局等知名目標的員工。

許多國家都一直投資最先進的技術用作國際間諜目的，而且還會繼續下去，這應該並不奇怪。所以政府和企業也應該為自己的員工和國民公民利用類似的尖端科技去加密敏感資料，以及監控重要網路以即時掌握可疑的行為。攻擊一個如此高風險的組織不會只是次簡單的行動而已。

衡量傳統防毒技術的有效性:能否偵測客製化目標攻擊?

當熱門媒體在提到有關入侵的故事時，都放大了安裝在受害者組織上的防毒解決方案並沒有找出攻擊者所使用的惡意檔案。而這也是問題之一，當組織遇到先進的目標攻擊時，還繼續依賴著單一層面的安全防護，往往是設計用來解決完全不同的問題。繼續閱讀

《APT 攻擊》針對敘利亞政府的目標攻擊

2013 年 01 月 10 日2013 年 01 月 10 日趨勢科技 TrendMicro

APT 在2012年上半年，我們看到有目標攻擊利用敘利亞衝突，還有遠端存取木馬（RAT） DarkComet是如何被使用，這些被記錄在下列的文章內：

之後，Anonymous集團的OpSyria或稱Operation Syria（針對敘利亞政府）最近洩露了來自敘利亞外交部（MoFA）的文件，起源是帶有惡意PDF檔案的電子郵件。這個電子郵件是在去年 – 二〇一一年十二月五日所發送。趨勢科技進一步的調查發現這針對性電子郵件攻擊一直持續到二〇一二年三月（甚至更久），就如下圖所示。一份送到{BLOCKED}n@mofa.gov.sy，另一份被送到{BLOCKED}k@mofa.gov.sy，這兩封的寄件者都是{BLOCKED}bi@mofa.gov.sy。

信件內容翻譯如下：

在這代號辦公室裡的同事們請告知我們編號23號電報的收件者感謝大使館/阿布扎比請打開或下載附加檔案。祝好！

雖然先前有報告指出寄件者IP – {BLOCKED}.{BLOCKED}.57.166是在韓國，我們所看到的寄件者IP來自不同的地方，其中一個是{BLOCKED}.{BLOCKED}.151.233，設在日本東京。此外，查詢了在趨勢科技資料庫中類似的攻擊後，用這案例裡的命令和控制（C＆C）伺服器網域名稱作參考，我們還看到這封針對性電子郵件在二〇一二年六月五日用主旨「Defense and Security 2012.doc」寄送給美國政府高層單位。我們已經提醒了相關的美國政府單位。繼續閱讀

從IE最新零時差漏洞看水坑技術(Watering Hole )為何仍有效?

2013 年 01 月 07 日2013 年 01 月 07 日趨勢科技 TrendMicro

一月初美國外交關係協會的網站被入侵放置一個針對微軟IE瀏覽器的零時差漏洞攻擊碼。經過分析發現，這次攻擊只針對特定的族群。只有當使用者瀏覽器語言設定為英文（美國）、簡體中文（中國）、繁體中文（台灣）、日本、韓國或俄羅斯才會被影響。

微軟已經針對該漏洞發布一個安全公告，微軟已經釋出安全修補程式來解決這問題。建議使用者馬上更新。趨勢科技趨勢科技的用戶可以經 Deep Security的下列規則來受到保護：

1005297 – Microsoft Internet Explorer CDwnBindInfo Object Use-After-Free Vulnerability (CVE-2012-4792)
1005301 – Identified Suspicious JavaScript Encoded Window Location Object
1005298 – Microsoft Internet Explorer CDwnBindInfo Object Use-After-Free Vulnerability (CVE-2012-4792) Obfuscated

上述規則可以偵測所有已知變種的攻擊。

微軟IE瀏覽器的使用釋放後（use-after-free）漏洞可以讓遠端攻擊者執行任意程式碼。正如微軟部落格中所描述的，趨勢科技也觀察到至今被回報的目標攻擊都是透過編碼過或混淆化的JavaScript Window Location Object來觸發，這通常是被用來改變目前視窗的的位置。這漏洞是在CButton Object被釋放後，當頁面重新載入時，它的引用會被再次使用並指向無效的記憶體位置，讓當前使用者執行任意程式碼。微軟的IE6、IE7，IE8都會受到影響，但新版本 – IE9、IE10則沒有這個漏洞。

舊卻有效

水坑攻擊(Watering Hole )並不算新,事實上，早在二〇〇九年就有出現過這種技術，不過他們同時也認為水坑攻擊在未來將會更加普遍，並且將專門用在目標攻擊上。為什麼呢？

Raimund對二〇一三年的預測裡提供了一個可能的答案，他說，攻擊者將更加著重於如何去佈署威脅，而非開發惡意軟體。攻擊者在進行攻擊前會盡可能的收集關於目標的資訊，以設計出更加有效進入目標的方法。

如果我們檢視水坑攻擊是如何運作的，我們會發現所使用的方法都非常熟悉。然而，這種威脅本身所採用的策略佈署讓跟其他類似網站入侵或零時差攻擊等威脅看來是在不同層級上，就好像魚叉式網路釣魚（Phishing）郵件會比一般垃圾郵件(SPAM)威脅來得更有效率一樣。攻擊者可以利用對於目標資料的了解來建立強大的社交工程陷阱( Social Engineering)手法，因此也就不需要去開發非常複雜的工具。使用者必須要完全認清這一點，攻擊者所利用的不再僅僅是軟體漏洞，還有使用者本身。繼續閱讀