《APT 威脅》神不知鬼不覺的APT攻擊 — 多則APT 真實案件分享(含網路釣魚信件樣本)

我們現在面臨著一個不斷演變的資安威脅環境。從一開始為了用來吹噓而攻擊或是用阻斷式攻擊( DoS )來切斷流行網站的服務,到現在是為了經濟利益而攻擊。攻擊者透過詐騙或竊取知識產權直接獲取利益,或進行大規模資料竊取等等。除了攻擊的動機與目的的轉變外,攻擊手法也有所改變。在這樣的環境中,最大的挑戰就是APT進階持續性威脅 (Advanced Persistent Threat, APT)

APT — Advanced Persistent Threat ,一般稱為進階持續性威脅,是針對特定組織進行複雜且多方位的攻擊。APT 不似從前的一般惡意程式攻擊:缺乏嚴格掌控;不限定目標地亂槍打鳥。APT 會花費較長的時間規劃、執行:偵查、蒐集資料;發掘目標的安全漏洞或弱點。

近兩年來遭受 APT 攻擊的著名案例:

· 2010 年 1 月 — Google:
在一起名為「極光行動」的事件中, Google 遭受 APT 攻擊。
當時一位 Google 員工點了即時通訊訊息中的一個連結,接著就連上了一個惡意網站,
不知不覺下載了惡意程式,開啟了接下來的一連串APT 事件。
在此事件中,攻擊者成功滲透 Google 伺服器,竊取部分智慧財產以及重要人士帳戶資料。

Googleaurora
「極光行動」常用像這樣的軟體更新下載程式作為誘餌。 

· 2010 年 7 月 — 西門子:
Stuxnet 是世界上第一隻攻擊西門子 SIMATIC WinCC 與 PCS 7 系統的蠕蟲病毒,
主要攻擊目標為發電廠或煉油廠等等的自動化生產與控制系統( SCADA )。
Stuxnet 藉由微軟 MS10-046 Windows 系統漏洞散佈,
其目的在於取得 WinCC SQL Server 登入 SQL 資料庫的權限。

· 2011 年 3 月 — Comodo:
數位簽章遭竊,憑證遭到破解,使得許多使用者及網站暴露於危險之中。 

· 2011 年 3 月 – RSA:
歹徒寄了兩封標題為「 2011 Recruitment Plan 」( 2011 年度徵才計畫)的信件給員工。
這兩封信件實為網路釣魚(Phishing),引發了後續的資料外洩事件。
Rsa01
RSA APT 事件中的網路釣魚(Phishing)
繼續閱讀

IE出現零時差漏洞病毒,請修改IE瀏覽器安全性設定

 
 
請密切注意攻擊IE漏洞的零時差病毒HTML_EXPDROP.IISWF_DROPPR.II近期披露了一個IE零時差漏洞(0-day exploit),該漏洞影響Internet Explorer 7、Internet Explorer 8、Internet Explorer 9。利用此漏洞的病毒已被趨勢科技產品偵測為HTML_EXPDROP.II及SWF_DROPPR.II。據調查,在與此病毒有關的部分惡意伺服器上,發現有早先公佈的針對Java零時差漏洞的攻擊代碼。截至目前為止,微軟尚未針對該漏洞發佈修補更新檔。

病毒名稱:HTML_EXPDROP.II

其它相關的偵測名稱:SWF_DROPPR.II、BKDR_POISON.BNM、BKDR_PLUGX.BNM

 

惡意行為:

趨勢科技產品將此病毒偵測命名為HTML_EXPDROP.II,此病毒利用IE7、IE8、IE9的零時差漏洞進行攻擊。該病毒執行後會產生一個惡意Flash檔:MOH2010.SWF (此檔已被趨勢科技產品偵測為SWF_DROPPR.II)。之後,惡意Flash檔將會產生另一個後門程式,趨勢科技產品可偵測該惡意程式及其變種為BKDR_POISON.BNM、BKDR_PLUGX.BNM。

 

感染細節:

當使用者瀏覽病毒所在的惡意網站時會受到感染。

病毒會查看使用者瀏覽器的版本,它的攻擊目標是IE7、IE8、IE9。

 

關於該病毒的其他一些行為細節請參考以下網頁:

http://about-threats.trendmicro.com/us/malware/html_expdrop.ii

http://about-threats.trendmicro.com/us/malware/swf_droppr.ii

 

 

防護措施:

請修改IE瀏覽器安全性設定:

工具à網際網路選項à“安全性”頁籤à選擇“網際網路”à按下“自訂等級”à“指令碼處理”部分下的“Active scripting”,選取“提示”並按下“確定”。

IE漏洞的零時差病毒HTML_EXPDROP.II、SWF_DROPPR.II

IE漏洞的零時差病毒HTML_EXPDROP.II、SWF_DROPPR.II

 

IE漏洞的零時差病毒HTML_EXPDROP.II、SWF_DROPPR.II

 IE漏洞的零時差病毒HTML_EXPDROP.II、SWF_DROPPR.II

 

處理措施:

請更新趨勢科技產品病毒碼至9.403.00以上,即可偵測防禦目前發現的該病毒所有相關元件。

若您是DeepSecurity或IDF用戶,請立即更新Security Update: VSU12-026並啟用Rule 1005194,以針對此弱點進行防護。

手動刪除方法請參考:

http://about-threats.trendmicro.com/us/malware/html_expdrop.ii

http://about-threats.trendmicro.com/us/malware/swf_droppr.ii

 

想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚

◎ 歡迎加入趨勢科技社群網站

淺談APT進階持續性威脅 (Advanced Persistent Threat, APT)~含中文社交工程郵件案例

APT進階持續性威脅 (Advanced Persistent Threat, APT) 主要是針對特定組織所做的複雜且多方位的網路攻擊.

過去所發生過的大規模病毒攻擊事件,往往是有人藉由所謂的0-day弱點,在未發布修正程式的空窗期將惡意程式大量散播,短時間內就能癱瘓企業網路與主機,並造成難以估計的損失.不過一旦發布了修補程式後,這類型的病毒便很難繼續進行攻擊.

為什麼我們要特別注意APT進階持續性威脅 (Advanced Persistent Threat, APT)?因為所謂的APT進階持續性威脅 (Advanced Persistent Threat, APT)並不像上述說的病毒類型是短時間的大量攻擊,這類型的病毒往往長時間的潛伏在企業內部,先從蒐集情報開始,找尋適合攻擊的目標或跳板,最後再藉由這些目標對內部重要的主機發動攻擊.

根據統計,APT進階持續性威脅 (Advanced Persistent Threat, APT)主要活動的前三大地區為台灣、美國與香港,受害比例最高的是台灣,整體而言亞洲是遭受APT攻擊最主要的地區.

以下是近年來知名的APT進階持續性威脅 (Advanced Persistent Threat, APT)事件

  • 2010年7月Stuxnet USB蠕蟲病毒攻擊西門子系統
  • 2010年1月極光行動(Operation Aurora)攻擊Google Mail
  • 2011年5月Comodo的數位簽章被竊
  • 2011年4月Sony PSN個資外洩

相關圖闢請看文末 註:近兩年來遭受 APT 攻擊的著名案例:

由基本面來看,符合下列三項特點,我們就認為這攻擊是APT進階持續性威脅 (Advanced Persistent Threat, APT)

  • 出於經濟利益或競爭優勢
  • 一個長期持續的攻擊
  • 針對一個特定的公司,組織或平台

所以企業與政府通常是APT進階持續性威脅 (Advanced Persistent Threat, APT)的目標,要注意APT進階持續性威脅 (Advanced Persistent Threat, APT)是長期且多階段的攻擊,早期階段可能集中在收集關於網路設定和伺服器作業系統的的詳細資訊,可能透過SQL Injection攻擊突破外網Web伺服器主機,接著,受駭的Web伺服器作為跳板,對內網其他主機或用戶端進行情報蒐集.安裝Rootkit或其他惡意軟體去取得控制權或是跟命令與控制伺服器(C&C Server)建立連線。再下來的攻擊可能集中在複製機密或是敏感數據來竊取知識產權。

APT進階持續性威脅 (Advanced Persistent Threat, APT)的主要行為:目標式攻擊郵件

APT進階持續性威脅 (Advanced Persistent Threat, APT)的活動中,最主要的就是透過郵件進行滲透式的攻擊,主要有三種類型

  • 釣魚郵件:竊取使用者的帳號與密碼
  • 惡意的指令碼:蒐集使用者電腦的環境資訊
  • 安裝惡意程式(例如Botnet或rootkit)

APT進階持續性威脅 (Advanced Persistent Threat, APT)的攻擊郵件通常是以文件類型的檔案作為附件,例如Microsoft Office文件或是PDF檔,與一般認知的病毒郵件有著極大的差異,這類型的APT進階持續性威脅 (Advanced Persistent Threat, APT)攻擊郵件通常與使用者平時收發的郵件無太大的相異之處,容易降低使用者的戒心,以下便是APT進階持續性威脅 (Advanced Persistent Threat, APT)郵件的樣本:

Aptmail-2

Aptmail-3

APT不是一種新的攻擊手法,也不是可以藉由阻止或破壞一次攻擊就讓問題消失。APT可以被視為更像是一個網路攻擊活動而不是單一類型的威脅;可以想成是進行中的過程。防毒軟體可能可以阻止APT攻擊所使用的惡意程式,但並不意味著停止攻擊。就其性質而言,一個APT是一段持續的攻擊。如果一個戰術行不通,就會再嘗試另外一個。實際上,我們不應該只去思考單一對策,或只是在多層次安全策略上增加更多防禦層,相反的,我們應該思考將其他例子中可能用來攔截、偵測和遏制的各種方式都組合起來。

從實務面來看,在可預見的未來,APT將會一直與我們同在是很合理的假設。APT是長期的過程導向攻擊,是攻擊者動機和攻擊手段改變下的產物。 我們應該繼續部署攔截對策。防毒軟體,加密,弱點掃描和上修正程式(Patch)都是很好的做法。但是這些還不足以去應付APT,所以我們應該假設會被攻擊成功。在會被攻擊成功的前提下,我們必須即時的監控網路流量和電腦上的活動,包括隔離被入侵的設備,關閉伺服器和收集資料以作鑑識分析之用。 萬一攻擊發生了,能夠儘快偵測到攻擊和遏制它所造成的影響才是最主要的目的。

註:近兩年來遭受 APT 攻擊的著名案例:

· 2010 年 1 月 — Google:
在一起名為「極光行動」的事件中, Google 遭受 APT 攻擊。
當時一位 Google 員工點了即時通訊訊息中的一個連結,接著就連上了一個惡意網站,
不知不覺下載了惡意程式,開啟了接下來的一連串APT 事件。
在此事件中,攻擊者成功滲透 Google 伺服器,竊取部分智慧財產以及重要人士帳戶資料。

Googleaurora
「極光行動」常用像這樣的軟體更新下載程式作為誘餌。

· 2010 年 7 月 — 西門子:
Stuxnet 是世界上第一隻攻擊西門子 SIMATIC WinCC 與 PCS 7 系統的蠕蟲病毒,
主要攻擊目標為發電廠或煉油廠等等的自動化生產與控制系統( SCADA )。
Stuxnet 藉由微軟 MS10-046 Windows 系統漏洞散佈,
其目的在於取得 WinCC SQL Server 登入 SQL 資料庫的權限。

· 2011 年 3 月 — Comodo:
數位簽章遭竊,憑證遭到破解,使得許多使用者及網站暴露於危險之中。

· 2011 年 3 月 – RSA:
歹徒寄了兩封標題為「 2011 Recruitment Plan 」( 2011 年度徵才計畫)的信件給員工。
這兩封信件實為網路釣魚(Phishing),引發了後續的資料外洩事件。�
Rsa01
RSA APT 事件中的網路釣魚(Phishing)

· 2011 年 4 月 — 洛克希德馬丁:
在 RSA 遭到攻擊後隔月,駭客以從 RSA 竊得的 SecureID 通過身分認證,侵入武器製造商洛克希德馬丁。

· 2011 年 4 月 – Sony:
Sony PSN 資料庫遭侵入,部分用戶資料未經加密遭竊,
另有信用卡資料、購買歷程明細、帳單地址等等。
官方說法為商未修補的已知系統漏洞遭攻擊。
到了 10 月又遭攻擊者冒名登入,並取得 9 萬多筆用戶資料。
遭竊的信用卡資料在地下網站上拍賣。

以下影片(10:22)有看似熟人寄發信件,點擊後卻引發攻擊的多則實際案例
標題包含:”看了這個文章多活 10 年”,”新年度行政機關行事曆”

想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚

延伸閱讀

什麼是 APT進階持續性威脅 (Advanced Persistent Threat, APT)?

「李宗瑞影片,趕快下載呦!」從公僕誤開測試信,看好奇心所付出的資安代價(含APT 目標式電子郵件攻擊實際案例)

《APT 威脅》神不知鬼不覺的APT攻擊 — 多則APT 真實案件分享(含網路釣魚信件樣本)

[圖表] APT攻擊的 5 個迷思與挑戰惡意PowerPoint文件夾帶漏洞攻擊及後門程式

[圖表] APT攻擊的 5 個迷思與挑戰

 惡意PowerPoint文件夾帶漏洞攻擊及後門程式

進階持續性威脅LURID: 入侵了61個國家1465台電腦,包含外交等單位

《 APT 進階持續性滲透攻擊》BKDR_POISON 未來將出現更多挑戰

APT 進階持續性滲透攻擊研究報告10個懶人包

<APT進階持續性威脅>經由Email 發送的"員工滿意度調查"PDF檔案含SYKIPOT,展開目標攻擊行動

< APT 目標攻擊 >知名韓國企業收到量身訂製的社交工程信件,員工開啟後遭遠端控制竊取個資

《APT攻擊 》另一起電子郵件目標攻擊利用研究單位做掩護

《APT 攻擊》下載藏文輸入法至Apple iOS,竟引狼入室

《APT /MAC 攻擊》另一起和西藏相關的攻擊活動針對Windows和Mac系統

微軟控告殭屍網路ZeuS、SpyEye和Ice IX幕後黑手

時代變了 Mac使用者現在也會遭受目標攻擊

雲端安全和APT防禦是同一件事嗎?

一週十大熱門文章排行榜:<影音> 防毒小學堂: 躲在社交網路/社群網路後面的威脅 Social Media Threats

《 APT 進階持續性滲透攻擊》16 封不能點的目標攻擊信件

傳統安全策略已經不再足以保護企業

《 APT 進階持續性滲透攻擊》病毒也愛林來瘋!!目標攻擊以林書豪傳奇故事為餌,安裝後門程式

《 APT 進階持續性滲透攻擊》BKDR_POISON 未來將出現更多挑戰

《木馬專偷 Word, Excel 文件檔,得手後放雲端》受駭IP 遍佈150 國,含政府、學術界和企業網路

APT 進階持續性滲透攻擊研究報告10個懶人包

後門程式針對國際人權組織

趨勢科技發表2012資安關鍵十二大預測

2011 金毒獎【得獎名單】與【得獎理由】

<APT進階持續性威脅>經由Email 發送的"員工滿意度調查"PDF檔案含SYKIPOT,展開目標攻擊行動

◎ 歡迎加入趨勢科技社群網站

「李宗瑞影片,趕快下載呦!」從公僕誤開測試信,看好奇心所付出的資安代價(含APT 目標式電子郵件攻擊實際案例)

「李宗瑞影片,趕快下載呦!」~~~政府單位以這測試信,導致 996 名員工好奇點閱「中招」,點閱員工分十梯上2小時的資訊安全課程。如果你是 IT 部門的主管,你知道公司裡最會開啟色情附件檔的是哪些員工?那個部門是網路安全的地雷區?

在本部落格提到的這篇文章中,   69%的人每週都碰到網路釣魚,25% 高階員工被釣得逞 ,而根據趨勢科技曾經針對國內某家超過300人的企業所做的調查顯示,防毒意識最差的部門是:業務部,而最會開危險郵件的員工是:工讀生等臨時雇員。(編按:上述文章中有提到防網路釣魚四步驟,推薦閱讀)

認識駭客(Hacker),Cracker(破壞者),激進駭客(Hacktivist)網路犯罪份子(Cybercriminal),白帽(White Hat),黑帽(Black Hat),灰帽(Grey Hat) 這意味著,幫公司締造業績的部門,卻同時有可能是企業網路運作殺手。跑腿的工讀生,可能因午休時間開啟一封朋友轉寄的色情信件或網站連結,而讓公司數位資產暴露在外。 這不是在叫IT部門看完本文後去把業務部門電腦搜查一遍,或解雇所有工讀生,而是要指出一個現象:在這個調查之前,該公司 IT 部門普遍不知道企業內部的安全殺手潛伏在那個部門,也不知如何隔離那些總是開啟網路釣魚(Phishing)頁面或誤開有毒色情檔案高危險群。

這是目前存在許多企業的安全管理難題,尤其是網路使用自由度高的公司, IT 部門在不干涉員工的網路連線前提下,又要有效率地執行安全守則,著實兩難。 最明顯的例子是,員工開啟色情郵件或連結引狼入室。

此類郵件藉由勾起使用者的好奇心,一個郵件標題、一個附件檔名,就能讓使用者 Click滑鼠進行散播,我們稱之為社交工程陷阱( Social Engineering) 趨勢科技攔截到許多以色情為餌的病毒。它們既不是散發大量郵件的蠕蟲,也沒有透過殭屍網路/傀儡網路 Botnet來散發垃圾郵件(SPAM),而是由人為手動轉寄木馬植入程式。究其原因,原來這封郵件樣本由群組中的某位成員散發給許多該群組的郵件,再滾雪球般地逐漸散佈出去。雖然屬於手動散播,但只要想想這封電子郵件所傳送的群組數目,加上每個群組所擁有的成員數目,也能釀成大禍。

資訊安全從「 IT 部門的事」到「全公司的事」

 

好的風險管理能成功教育員工為資訊安全負責,電腦中毒時不但不再衝動拿起電話開罵 IT部門,反而會為自己違反公司安全政策,影響公司網路安全而自責,讓安全意識的轉變從「千錯萬錯都是 IT 部門的錯」到「安全政策,不再只是 IT 部門的事」。 有個實際案例,某公司過去網路斷線時,員工總是高分貝抗議,但是請其合作遵守資訊安全守則時,卻是得不到明顯的成效,一直到他們舉行防毒演習為止。

在演習中,首先該公司以「看似」某部門最高長官 Dave的名義發出「軟體 Beta 版搶先試用,拿大獎」測試信,結果高達98%的員工開啟附件,結果得到如下訊息:「哈哈,上當了!!你的安全警覺性待加強。」而事實上該部門最高長官的正確名字是 David,而不是Dave。凡是點閱該封信件者,都會留下紀錄,藉著測試活動結果,以統計數據說服當事人或是高層主管,企業潛在的人為因素對整體網路安全的影響。

誤點信件後果比你想像的更嚴重! APT 攻擊全球戒備

今天我們就來分享APT進階持續性威脅 (Advanced Persistent Threat, APT)社交工程陷阱( Social Engineering)信件案例與入侵實際模擬,讓大家看看一時的好奇心,可能付出的代價不只是個人電腦中毒,還有可能失去客戶資料,付出昂貴成本與修復鉅資。

什麼是 APT?簡單的說就是針對特定組織所作的複雜且多方位的網路攻擊。

這兩年很夯讓許多組織機構聞之色變的APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT) ,其特色之一就是【假冒信件】:針對被鎖定對象寄送幾可亂真的社交工程惡意郵件,如冒充長官的來信,取得在電腦植入惡意程式的第一個機會。

以往駭客發動的APT 進階持續性滲透攻擊 (Advanced Persistent Threat, APT)攻擊雖然以政府為主,但從2010年開始企業成為駭客鎖定竊取情資的受駭者越來越多,2011年幾個世界性的組織在目標攻擊下淪陷,付出了昂貴的成本。RSA和Sony是 2011年最大的兩個APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)的目標。

幾個世界性的組織在目標攻擊下淪陷,付出了昂貴的成本。他們失去了數百萬客戶的資料,光是完成修復就花費了鉅資。 趨勢科技身為全球雲端安全的領導廠商,在年度雲端資訊安全盛會 “CloudSec 2012”會中如何因應嶄新威脅APT (Advanced Persistent Threat)以守護企業重要機敏資訊的重要性。以下是:趨勢科技全球核心技術研發部技術經理翁世豪,在會議中分享的: 面對APT企業應當採取的縱深防禦防護策略。(含國內外社交工程信件案例與駭客入侵模擬)

 

目標式電子郵件攻擊實際案例(10:22) 駭客入侵模擬(20:20) APT 防護階段(29:16) 以下是幾個郵件樣本 1.攻擊者先收集 eMail 清單,然後寄給內部特定對象這個看起來像是excel 的附件,點開檔案只有一個空白的檔案,是寄錯檔案了嗎? APT社交工程信件攻擊案例

其實看到這畫面時病毒已經在背後運作了,因為該檔案是設計過的,背後插了一個 Adobe flash 物件,,即使用戶已經更新了所有的 patch 還是無法阻擋該攻擊,因為這是零時差漏洞攻擊   繼續閱讀

Google 和 VirusTotal?資安產業的一大勝利

趨勢科技執行長 陳怡樺

 雲端

就跟你們一樣,看到了Google宣布收購VirusTotal的新聞。我有一些想法想跟大家分享。

 非常簡單,我認為這對趨勢科技來說是個很好的消息,對整個產業和每個人來說也是。

 你或許會想問:「為什麼?」

 原因有二:

 首先,Google絕對不是想單獨從安全業務裡賺錢。Google在2007年以6.25億美金收購了Postini,一家電子郵件安全公司。但他們最近宣布將會讓Postini走入歷史,而從明年開始,將它的安全及歸檔功能放進Google Apps應用服務。

 其次,從產業角度來看,我們現在有了Google的大規模雲端基礎設施來收集病毒樣本。Google的大規模基礎設施會比現有獨立的VirusTotal基礎設施要來的穩定許多,我們相信這讓它變成更可靠的來源,對整體產業來說也有好處。

 也就是說,像趨勢科技這樣的安全廠商可以直接從Google取得樣本。在現今的系統裡,安全廠商會從防毒測試群組中取得樣本,它們的樣本也是來自於其他防毒軟體廠商。而問題是,誰提出更多的樣本就會有更高的偵測率,同時也讓這系統的結果有所傾斜。整體而言,我認為對大家來說,更好的作法是安全廠商都直接從Google取得樣本。

 從趨勢科技的角度來看,客戶購買我們的安全產品,他們所買的並不僅僅是威脅偵測,他們還買了之後所帶來的好處 – 清除、服務以及有人可以幫忙的安心感覺。這些是趨勢科技的專業領域。

 所以,我對這個消息感到非常興奮!防毒產業需要有另一個收集所有威脅的來源,這來源並不身在這個產業或並不單獨銷售安全產品。Google會是一個很棒的候選人!就像美國疾病控制中心(CDC)一樣,他們是收集和提供疾病綜合資訊的中心,而醫院、診所和醫生則提供解決方案和服務給病人!

 防毒廠商可以競爭於如何服務客戶,如何提供安全解決方案,而不是可以收集多少病毒樣本。

 

 原文出處:Google and VirusTotal? A big win for the security industry.

 

想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚

◎延伸閱讀

·       駭客入侵FBI探員電腦,1200萬蘋果用戶個資外洩!!快來檢查你的手機是否出現在外洩清單中

·       雲端有多安全?7 個雲端數位生活自保守則

·       會攻擊VMware虛擬機器的新病毒:Crisis(又稱為Morcut) 繼續閱讀