APT攻擊 - 資安趨勢部落格

防禦APT 攻擊不只需要防火牆,IPS和防毒軟體

2013 年 05 月 06 日2013 年 04 月 29 日 Trend Labs 趨勢科技全球技術支援與研發中心

攻擊者利用合法使用者的身分認證和信任關係，持續待在你最敏感網路內很長一段時間，可以自由自在地去通過鬆散的安全技術。防火牆告訴我一切正常，IPS告訴我一切正常，防毒軟體告訴我一切乾淨；所以一切就都正常，對吧？錯了，這種短視的安全作法就是讓APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)/目標攻擊在世界各地如此成功的原因之一。

作者：趨勢科技資深安全分析師Rik Ferguson

曾經，安全技術所必須避免的重點就是產生一連串的事件通知。將系統調整到只會去通報已經確定的惡意攻擊事件是首要任務。你的防火牆必須非常肯定這些流入封包不屬於已建立的網路連線，或是入侵防禦系統（IPS）需要能夠明確指出這些封包是在嘗試做漏洞攻擊才能提出警報。

在廿世紀，甚至是廿一世紀初，我們習慣防禦就是將一切弄得清清楚楚；防火牆告訴我一切正常，IPS告訴我一切正常，防毒軟體告訴我一切乾淨；所以一切就都正常，對吧？錯了，這種短視的安全作法就是讓針對性攻擊在世界各地如此成功的原因之一。

在現實裡，那句見樹不見林的古諺說得再生動不過了。我們太過於注重「已知的惡意」，因為想要更加精簡和集中分析而對「正常」的處理，讓我們忽略脈絡而陷於危險中。

想像一下，在你伺服器機房外的走廊上一個安全監視器照到一個人，讓我們叫他戴夫。利用步態辨識和臉部識別都可以確認戴夫的身分，系統甚至可以指出他穿著清潔工的制服，這很不錯，因為戴夫是名清潔工。戴夫接近伺服器機房大門，使用他的NFC卡去開門，因為安全監視器和門禁系統已經進行連線，所以可以打開。在伺服器機房內的第二個監視器也確認的確是戴夫走進門來，一切都很好。

根據短視模型，這些事件都將被棄用，放進即將被清除的日誌資料夾內，因為「這裡沒什麼可看的」，但是這些事件所呈現出的脈絡對我們想監視的事情非常珍貴……

分隔線

如果戴夫在伺服器機房內不是在做清潔地板這類已知良好的行為，而是坐在一台伺服器前開始敲鍵盤呢。這顯然不是件好事，應該在某處敲響警鐘。但如果我們去掉我們聰明的大腦所記得和關連出的所有脈絡，那還剩下什麼？一個人在伺服器機房使用電腦？警備隊退下，這事件當然也屬於「這裡沒什麼可看的」資料夾。繼續閱讀

企業APT 攻擊事件頻傳趨勢科技客製化防禦策略奏效

2013 年 04 月 22 日2013 年 04 月 19 日 Trend Labs 趨勢科技全球技術支援與研發中心

趨勢科技首創APT事件處理小組 透過專業顧問剖析內幕 強化企業黑魔法防禦力

【台北訊】繼美國紐約時報 (New York Times)、華爾街日報 (Wall Street Journal) 與美國聯邦準備銀行 (US Federal Reserve)遭到大規模網絡攻擊之後，Facebook、Apple、Twitter也接連遭駭，南韓多家銀行及媒體遭駭客入侵導致網路癱瘓的事件更引起全球注目，多起攻擊案例顯示在不斷演變的資安威脅環境下，傳統企業防禦措施已不足以抵擋 APT 與針對式攻擊。

趨勢科技宣布新年度的《客製化防禦策略》 (Custom Defense Strategy，CDS)將提供創新的技術，專門偵測並攔截APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)與鎖定目標攻擊的幕後操縱通訊 (C&C)。趨勢科技《客製化防禦策略》(CDS)是業界第一套能夠防範進階威脅的解決方案，不僅讓企業偵測及分析針對性目標攻擊，還能迅速調整其安全防護來回應駭客的攻擊。

根據最近一份針對ISACA會員的調查(註1)，有 21% 的受訪者表示其企業曾經遭受 APT 攻擊，另有 63% 的受訪者消極的認為其企業遭受攻擊是遲早的事。而 APT 攻擊或鎖定目標攻擊會不斷滲透並躲過傳統的資訊安全機制，包括：防毒、新一代防火牆以及入侵防護系統，最近南韓各大銀行及媒體所遭受的攻擊正是如此。此類攻擊通常是由駭客透過幕後操縱通訊伺服器（Command-and-control (C&C) server (註2)）從遠端對已滲透的電腦下達指令。趨勢科技 TrendLabs℠ 研究人員在追蹤這類幕後操縱通訊時發現了 1500 多個有效的幕後操縱通訊伺服器，每一網站所操縱的受害者從 1 到 25,000 個不等。

繼續閱讀

《APT 攻擊駭客攻擊手法模擬》原來駭客就是這樣跟我一起上班的!!

2013 年 04 月 19 日2013 年 04 月 22 日趨勢科技 TrendMicro

社交工程攻擊(Social Engineer)過程重現

影片說明:APT 攻擊駭客攻擊手法模擬~社交工程攻擊(Social Engineer)過程重現繼續閱讀

APT攻擊真實案例模擬(影片):受駭者也可能成為加駭者?

2013 年 04 月 18 日2013 年 04 月 08 日趨勢科技 TrendMicro

什麼樣的攻擊讓受害/駭者也可能成為加害/駭者?

本片為APT 攻擊(Advanced Persistent Threats) 真實案例改編,為了全方面了解目標攻擊對象,駭客鎖定目標攻擊者的財務狀況、社交活動等細節,還要列出所有部們和員工名單,甚至要知道員工會不會在網路上討論老闆。當然網路的邊界防禦措施和對外的網路連線系統,是必要的調查條件。

片中2:37 駭客刻意在鎖定目標的辦公大樓前,刻意丟置一個動過手腳的 USB,猜猜看會發生什麼事?

繼續閱讀

《 APT 攻擊》從南韓 DarkSeoul大規模 APT 攻擊裡學到的三個教訓

2013 年 04 月 15 日2013 年 04 月 29 日 Trend Labs 趨勢科技全球技術支援與研發中心

前言:

在 3 月 20 日下午，多家南韓民間企業遭受數次攻擊(也一說為 DarkSeoul 大規模 APT 攻擊事件)，業務運作嚴重中斷。此次事件的開始是受害企業內部數台電腦黑屏，網路凍結，造成電腦無法使用。

4月中事件調查出爐，報導說北韓至少策畫了8個月來主導這次攻擊，成功潛入韓國金融機構1千5百次來部署攻擊程式，受駭電腦總數達4萬8千臺,這次攻擊路徑涉及韓國25個地點、海外24個地點，部分地點與北韓之前發動網路攻擊所使用的地址相同。駭客所植入的惡意程式總共有76種，其中9種具有破壞性，其餘惡意程式僅負責監視與入侵之用,相關報導:
韓國320駭客事件調查出爐，北韓花8個月潛入企業千次部署攻擊

作者：Christopher Budd（威脅溝通經理）

趨勢科技在本部落格貼出一些關於二〇一三年三月廿日針對韓國許多系統進行MBR破壞攻擊的細節。

今天，我想藉著這些和一些從這事件裡獲得的額外資訊來帶出我們可以從這攻擊裡學到什麼。

當我們在看這起針對韓國的攻擊時，會看到三個具體的教訓：

後PC時代的攻擊並不只是針對設備
自動更新基礎設施是個可能的目標
安全和基礎設施產品也是目標之一

這些經驗教訓裡有個最重要的主題：當我們提到目標攻擊，並不僅是指透過針對性魚叉式網路釣魚（Phishing）郵件寄送所啟動的攻擊。目標攻擊同時也指會針對所選擇的受害者去了解基礎設施，想辦法盡可能去閃避或利用。最重要的是，這也適用在安全防護和控制措施上。

後PC時代的攻擊並不只是針對設備

這些攻擊裡有件特別引人注目的事情，就是出現針對Unix和Linux作業系統的攻擊程式碼。我們在過去一年已經看到攻擊者開始將注意力轉向Mac OS X，所以惡意軟體去攻擊非Windows作業系統並非新玩意。然而，Unix和Linux通常是駭客入侵的對象，而非惡意軟體的目標，所以這也代表了一種新的趨勢，將這些作業系統放入後PC攻擊的狙擊線內。

大多數組織會將這些版本的Unix用在高價值系統上，所以將它們包含在這攻擊程式碼內，似乎也表示將目標放在這些高價值系統上。而Linux往往被用在基礎設施和商品化作業系統，所以我們知道這些也都成為了目標。

這裡的關鍵教訓是，如果我們要找出目目標攻擊，就必須將所有的平台和設備都視為可能的目標。所以盡可能去將端點安全的最佳實作延伸到所有的平台和設備上是合理的作法，並且要實施其他層的防護以保護那些無法使用客戶端安全解決方案的平台和設備（如iOS）。

繼續閱讀