作者:JM Hipolito
在趨勢科技研究威脅的過程裡,我們看過了不同類型的社交工程陷阱( Social Engineering),好用來帶起不同的情緒,像是害怕或高興。這些誘餌往往很有效,因為我們過去看過好幾個成功的事件。然而,它們也很容易辨認,因為往往都使用類似的主題,就是最近發生的事件或節慶。
還有些則利用了不同的、更為低調的作法。這些伎倆不是為了引起注意,而是盡可能的避免。它們試圖融入目標受害者的日常生活,或利用他們的興趣來引他們入局。雖然這些伎倆相較於他們所帶來的攻擊來說非常安靜,它們很難被偵測,但往往更加險惡。
其中一個例子是水坑技術,被用在最近一次影響了Facebook和Apple等公司的攻擊裡。選擇使用行動開發者論壇當做水坑,這誘餌幾乎是完全被動的,並不施展任何手段來吸引受害者訪問該網站。這網站是被精心挑選過的,因為它已經被確認是目標攻擊受害者平常會去逛的網站。
早些時候,趨勢科技也看到最近所公佈的Mandiant報告被當做誘餌。這攻擊開始於寄件者建議去閱讀聲稱是該報告的PDF檔案(當然,這實際上是個惡意PDF檔案,被我們偵測為TROJ_PIDIEF.VEV)。
為何在看Mandiant報告前要先讀ISACA APT研究報告?
這是出現在紐約時報上的另一起重大資訊安全新聞。在三個禮拜前,他們詳述了關於網路遭受APT進階持續性威脅 (Advanced Persistent Threat, APT)。今天他們報導了另一個故事,關於正在攻擊世界各地公司和組織的間諜活動和企業間諜活動。
但對於一般客戶來說,雖然這故事很吸引人,但上週由ISACA所發表的2012進階持續性威脅(APT)安全意識研究報告更為重要,因為它提供更多關於如何保護你公司或組織的資訊。紐約時報的文章是很好的閱讀材料,但ISACA報告可以幫你不落入紐約時報所提到的故事內。
63%的受訪者表示他們可能是APT攻擊的目標,僅僅9.6%的受訪者認同客製化攻擊需要以不同的方法來解決
我們從這問卷調查中所看到的重要事情是,人們在擔心APT進階持續性威脅 (Advanced Persistent Threat, APT)和知道它們如何進行之間的嚴重脫節。
有63%的受訪者表示他們可能是APT攻擊的目標。但同時,幾乎有一樣多的人(53.4%)認為APT攻擊和傳統威脅「類似」。這意味著,僅僅略低於10%(正確來說是9.6%)的受訪者認為這是一種威脅,並且了解到這是個不同類型的威脅,需要用在根本上不同的方法來解決。
出現這類的故事時,經常會有客戶問:「我可以防護這種攻擊嗎?」他們大部份時候的真正意思是「你的病毒碼/特徵碼可以抓到這攻擊嗎?」對這問題的正確答案是:這其實並不重要,這些攻擊的設計就是用來避過基於病毒碼/特徵碼的客戶端安全防護偵測。我們可以從對紐約時報的攻擊裡看出這一點。事實上,我們相信這些攻擊通常會經過基於病毒碼/特徵碼的客戶端安全產品測試,以確保它們不會被偵測到。
是的,我們的確可以防護這篇報告裡所提到的多數惡意軟體,也會對新惡意軟體建立新防護。但這也強調了被動的、基於病毒碼/特徵碼的客戶端安全防護只是你面對APT攻擊整體防護的一部分。面對客製化的攻擊,需要有不同的方法來進行防禦。一個客製化的防禦會利用進階的偵測技術,在真正傷害造成前發現攻擊。
如果你擔心APT攻擊,重要的是要真正了解威脅的本質,以能夠更好地加以防禦。ISACA問卷調查結果顯示出許多會擔心的人卻不真的了解這威脅,並可能使用錯誤的工具,讓他們的組織陷入危險。
資訊分享如此的氾濫,想要了解攻擊者從某特定目標可以獲得多少資訊,和哪些資訊可以被用來攻擊是幾乎不可能的。
我們的產業從目標攻擊裡所學到的大部分事情幾乎都透過最艱苦的方式:通過對成功攻擊的分析。至今的成果也只是讓我們了解到自身對於目前所處的「戰場」有多麼陌生,以及這陌生是如何讓產業無法理解在面對這種攻擊時需要做什麼。但為什麼會這樣呢?攻擊者真的佔得上風嗎?很不幸的,答案是肯定的。
攻擊者不公平的優勢
簡單地說,攻擊者有著更高一層的掌控能力以及更充沛的資源。他們可以決定威脅的本質 – 如何以及什麼時候去進行攻擊。他們可以使用網路上所找得到的許多種工具,包括正當的網路服務。更重要的是,他們可以獲得所想要攻擊對象的情報 –他們可以對目標做研究並找尋資料,讓入侵滲透變得更加簡單而幾乎無法偵測。
當攻擊者可以利用這種靈活性時,他們的攻擊對象,在另一方面卻面臨著許多限制,自己都已經快管不好自己了。隨著消費化和行動運算的興起,對公司來說,想要確認自己的網路範圍都已經是件難事了,更別說還要去保護它。他們所能做的就是盡可能利用可用的策略,對網路所能做的控管以及對員工的教育訓練了。
對掌控的錯誤感覺
身為需要負起防護責任的人,最危險的就是假設我們了解攻擊者要如何去進行攻擊。真相是,我們並不真的了解攻擊是如何發生的。特別是像現在,資訊分享是如此的氾濫,想要了解攻擊者從某特定目標可以獲得多少資訊,和哪些資訊可以被用來攻擊是幾乎不可能的。
所以當我聽到以偏概全的說目標攻擊總是透過電子郵件時,總是讓我覺得惱怒。這會誤導使用者,也幫了資安防衛者倒忙。電子郵件可能在某些攻擊裡被用來作為接觸受害者的載體,但攻擊並不總是需要從那開始。就像我之前所說的,攻擊者決定了攻擊的本質,他們所採取的策略通常是根據他們對目標的偵察結果而定。是根據對目標的熟悉程度來讓攻擊生效,因為他們掌握著目標的行為和弱點,不管是數位或實體。攻擊者可能會實際到達目標家裡,這會產生跟數位攻擊相同甚至更大的結果。
【2013年 2月27 日 台北訊】趨勢科技APT進階持續性威脅 (Advanced Persistent Threat, APT)情報資訊中心,近期自攻擊政府單位電子郵件社交工程陷阱( Social Engineering)信件中,發現組織型駭客的最新針對性攻擊事件「遮日行動」,此種手法不同於以往的中繼站連線方式,透過間接繞道式的進階戰術,成功突破傳統式防火牆 (Firewall) 與 DNS 伺服器阻擋黑名單的防禦機制,達成其滲入政府機關以及企業的主要目的,目前有能力抵擋與防禦此型態攻擊的機關與企業屈指可數,政府與企業單位應立即正視、不可不慎。
「遮日行動」採取「以迂為直」攻擊戰術。惡意程式突破傳統手法,不直接向DNS伺服器詢問中繼站網域對應IP,而改為先向網際網路中提供網域查詢(DNS lookup)服務網站連線後,進行網頁查詢以取得中繼站實際位置,成功突破過往依靠防火牆或DNS伺服器阻擋之機制。趨勢科技技術總監戴燊表示:「『遮日行動』為組織型駭客針對政府機關與高科技產業發展出的進階式攻擊,顛覆過往資安防護思維,相當有效地突穿現行資安防禦防線。目前台灣僅有少數政府機關部署對應防禦機制,有能力偵測或阻擋此類攻擊。」戴燊更進一步說明:「依過去經驗,一旦此新型攻擊手法收到初步效果,恐短期內為組織型駭客大量使用,並可預期在未來將發展多種的變形攻擊,強烈建議政府與企業即早準備應變。」 繼續閱讀
作者:趨勢科技Christopher Budd
紐約時報發表他們從四個月前就開始遭受APT進階持續性威脅 (Advanced Persistent Threat, APT)。該報告還提供出一定程度的細節,這其實是相當少見的,任何對資訊安全和防範APT攻擊有興趣的人都應該花點時間來讀完紐約時報全部的故事。
紐約時報還做了一件事,就是指出了他們有安裝安全產品,但是這些產品未能阻止攻擊。他們甚至將這安全廠商列名出來,讓人覺得他們將矛頭指向該美國安全廠商。紐約時報的故事和安全廠商的反應似乎都暗示集中在基於病毒碼(特徵碼)的端點安全防護方案。
有了這些資訊以及我們對這攻擊的所知訊息,我們可以學到一些教訓,關於要怎樣如何才能充分保護網路環境以對抗APT進階持續性威脅 (Advanced Persistent Threat, APT)。
鎖定特定對象電子郵件帳號,進而存取 53 名員工個人電腦
本部落格分享過這篇:《APT進階持續性威脅~主要目標攻擊侵入點:eMail》63%產品規劃藍圖 ,76%預算計畫經由 email 傳送,紐約時報陳述攻擊的進入點也是透過針對特定對象的電子郵件帳號(大概是透過適當的開放情報收集所確認得來)。獲得控制權後,他們利用帶有特定目的的惡意軟體來建立命令和控制(C&C)通訊點。接著,開始橫向移動,先偷取企業內所有員工的密碼(透過針對網域控制(DC)伺服器的攻擊),並用來存取其他系統(包括53名員工的個人電腦,其中大多數不屬於紐約時報編輯部)。
關於APT 攻擊常用的三種電子郵件掩護潛入技巧,請參考:《這裡》含多則中英文信件樣本
他們說從這起攻擊中所學到的教訓是,有45個客製化惡意軟體被部署,但安全廠商未被偵測。該報告接著說明沒有重要資料被竊取,因為這次攻擊被及早的發現。調查人員也在監控這起攻擊,以了解需要做些什麼來防護網路。
以病毒碼(特徵碼)為基礎的防護,無法全面主動監控
對於像是這樣複雜的攻擊來說,很明顯地,傳統基於病毒碼(特徵碼)的端點安全防護是不夠的。攻擊者可以製作並測試出多面向的目標攻擊以特別用來閃避這些產品的偵測。他們是整體安全防護的一個重要部分,但必須包含在更整體的防護策略中,包括啟發式偵測、動態信譽評比服務和主動式網路監控。
以客製化防禦對抗針對性攻擊
如我上面所說,我們不確定紐約時報用了哪些產品以及如何部署。但是,我們可以觀察這起攻擊所提供的細節,去了解攻擊者這些天做了哪些事情,從而確認怎樣的防護策略會最有效果。答案很顯然是設計用來對抗進階威脅的主動式、多層次安全防禦:現在需要客製化的防禦去對抗針對性的攻擊。如趨勢科技的Deep Discovery,便可以防禦目標攻擊。 繼續閱讀