手機用戶有80%的時間花在遊戲、新聞、生產力、工具程式、社交網路及其他各種應用程式上。
安全和高風險應用程式
到2014年10月為止,趨勢科技已經看到1100萬個樣本,這些樣本裡,有64%被視為安全,而有23%被視為高風險或廣告軟體。這類型應用程式被授與的權限可能會導致有害的後果。在我們發現的所有惡意應用程式中,有13%是完全惡意或歸類為惡意軟體。這類型的應用程式通常來自第三方應用程式商店,或簡單地說,非來自Google Play商店。
圖1、到2014年10月為止累積的不重複惡意軟體和高風險/廣告軟體應用程式樣本
在10月,我們看到超過532,000個新Android樣本。有幾乎三分之一(29%)是惡意軟體,同時有三分之一(30%)是廣告軟體。不到一半(41%)被檢查的應用程式被判定為安全。
圖2、2014年10月所偵測到的不重複惡意軟體和高風險/廣告軟體應用程式
這些威脅屬於我們所知的七種惡意應用程式類型,如下所示:
圖3、Android惡意軟體類型 繼續閱讀
對於今日的許多組織來說,問題不再是他們會否成為APT攻擊-進階持續性滲透攻擊 (Advanced Persistent Threat, APT) /目標攻擊APT 目標攻擊的受害者,而是什麼時候。在這種情況下,組織如何應對會決定它會演變成嚴重的事件,或保持在小麻煩狀態。
這需要資訊安全人員改變心態。過去的技術和許多最佳做法都是以攻擊者可以擋住為前提。
然而今日不再如此。用於APT 目標攻擊的惡意軟體往往無法被偵測(因為它是為特定組織所客製化)。精心製作的社交工程攻擊可以看起來就像是個正常商業郵件的引人誘餌。
簡言之,有足夠資源的攻擊者總是可以找到方法進入目標,不管部署了哪些防禦。防禦措施可以增加進入的難度,但無法完全防止。
SANS組織提供了一些組織該該如何應對資安事件的指南。不過在廣義上來說,回應可以分為四個階段:
做好準備。
這涉及在APT 目標攻擊實際發生前的回應措施。安全專家需要對於如何應對自家網路內的APT 目標攻擊做好規劃。就好比系統管理員需要固定的為應對停機相關事件(如資料中心離線)做好規劃。
同樣地,瞭解組織每日所面對到的一般正常威脅也很重要。資訊安全專家不僅必須在攻擊事件發生時加以處理,還應該瞭解一般「正常」的問題,才能夠快速地發現不正常的威脅。像是APT 目標攻擊。威脅情報和分析在這一階段非常珍貴,可以引導安全專家瞭解目前的情況。
安全專家還必須計畫去取得正確的技能來有效地處理APT 目標攻擊。所該學會最重要的技能之一是數位鑑識能力,好從被入侵設備上適當的採集和分析資料。
這些技術有許多和一般IT日常工作比起來都比較陌生,但學習這些技術可以幫助組織取得資訊和更佳地準備好去處理任何攻擊。
回應。
一旦判斷有APT 目標攻擊在進行中,下一步是要果斷回應。回應APT 目標攻擊有幾個部分:控制威脅、加以消除和確認損害範圍。第一步是立即隔離或控制威脅規模。這裏可以進行的步驟包括隔離受感染機器或將被入侵的服務離線。最終目標是防止攻擊進一步的擴展。
要確認所發生的威脅,和瞭解常見APT 目標攻擊工具及灰色軟體的安全廠商攜手合作對於找到組織內部威脅是很有幫助的。同樣地,持續監控現有的網路活動可以幫助確定現有攻擊的規模和範圍。 繼續閱讀
趨勢科技 之前討論了「破壞性」美國聯邦調查局安全通報和關於WIPALL惡意軟體家族的分析及其對索尼影視(Sony Pictures)大規模駭客攻擊的直接關聯。
在此篇文章中,我們將進一步討論其他 WIPALL惡意軟體變種和它們與索尼影視(Sony Pictures)員工受感染電腦內所見#GOP警告相關的主要行為。下面是對此文章所要討論感染鏈的概述:
BKDR64_WIPALL.F停用McAfee服務
WIPALL變種BKDR_WIPALL.C和之前所討論的變種BKDR_WIPALL.B共用程式碼。在BKDR_WIPALL.C案例中、植入的複本命名為igfxtrays{2隨機字元}.exe和用指定參數(-a、-m、-d、-s)執行數個自身複本,其中包含其主要行為。
圖1、BKDR_WIPALL.C的主要惡意軟體行為
趨勢科技 T rendLabs 最近取得美國聯邦調查局(FBI)在12月2日警告美國公司之報告中所述的「破壞性」惡意軟體樣本。根據路透社報導,在最近的索尼影視(Sony Pictures)攻擊事件後,美國聯邦調查局發出警訊通知企業對這新的「破壞性」惡意軟體保持警覺。在本文撰寫時,索尼影視(Sony Pictures)入侵外洩事件和美國聯邦調查局所提惡意軟體間的關聯尚未得到確認。
美國聯邦調查局的備忘「#A-000044-mw」描述了惡意軟體的行為,據報其有能力去覆蓋電腦硬碟的所有資料(包括開機磁區),這會讓電腦無法開機。
下面是趨勢科技的調查分析結果:
BKDR_WIPALL惡意軟體分析
我們將美國聯邦調查局報告中介紹的惡意軟體偵測為BKDR_WIPALL。下面是這攻擊感染鏈的快速概覽。
這裡的主要程式為diskpartmg16.exe(檢測為BKDR_WIPALL.A)。BKDR_WIPALL.A的overlap有一組加密的使用者名稱和密碼,如下圖所示:
圖1、BKDR_WIPALL.A的overlap包含加密的使用者名稱和密碼
這些使用者名稱和密碼被發現在惡意軟體樣本的overlap內用XOR 0x67加密,然後用來登入共享網路。一旦登入,惡意軟體會嘗試授予所有人完全的存取權限來存取系統根目錄。
圖2、惡意軟體登入到網路的程式碼片段 繼續閱讀
最近一起新發現的網路間諜活動被大肆的報導著,由被稱為「Sandworm Team」的團體所發動。這起攻擊的核心是能夠影響所有現行支援中的微軟Windows版本和Windows Server 2008及2012的零時差漏洞。
根據趨勢科技的分析,該漏洞讓攻擊者能夠透過微軟Windows和Server上的OLE封裝管理程式漏洞來執行另一個惡意軟體。之前的報告說明該漏洞被用在針對幾個組織和產業的針對性攻擊中。趨勢科技研究人員的分析顯示,這攻擊和資料蒐集與監控系統(SCADA)有關目標有著密切關連。此外,這個漏洞很快就被用在另一起採用新規避技術(將惡意檔案嵌入PPSX檔案)的攻擊。
有時舊,有時新
並不是只有零時差漏洞會被用在針對性攻擊上。在2014年上半年,趨勢科技看到攻擊者仍然重度的使用較舊的漏洞。最好的例子莫過於CVE-2012-0158,這是跟Windows公共控制項有關的漏洞。儘管自2012年初就有了修補程式,但這漏洞已被證明是APT攻擊 /目標攻擊中不可或缺的工具,包括了PLEAD攻擊活動。
當然,這並不代表零時差漏洞沒有在2014年造成威脅。一個針對好幾個大使館的APT攻擊 /目標攻擊被發現會利用一個Windows零時差漏洞。這個漏洞在幾天後被修補 –值得注意的是這發生在Windows XP停止支援前,而Windows XP也是受影響的平臺。另一個零時差漏洞也被Taidoor攻擊活動的幕後黑手重度的使用在攻擊中。這個零時差漏洞在三月後期被發現,修補程式在四月的禮拜二更新推出。
各擅勝場
漏洞幾乎都會被廠商加以修補,尤其是被認為是關鍵性的漏洞。但儘管有修補程式存在,也不是所有的使用者和組織都會加以更新或立即更新。原因之一是更新修補程式可能會中斷營運。或者是會經過較長的延遲時間才更新修補程式,因為在企業環境中更新修補程式需要先經過測試。
從這角度上,攻擊者會因為「可靠性」而使用舊漏洞。有些已經充分測試過的漏洞可以在目標網路和組織中發現。並且因為這些漏洞已經存在多年,讓攻擊者更能夠去產生完美的惡意軟體或威脅來利用此漏洞。
在另一方面,新的漏洞可以讓攻擊者取得上風。零時差漏洞可以讓所有人都措手不及,包括了安全廠商。供應商要不斷地去建立必要的安全措施和對應的修補程式,零時差漏洞可以利用「安全空窗期」來攻擊,甚至能夠影響最安全的環境。在這個意義上,零時差漏洞可以被認為更有效也更具危險性。
如果受影響平臺或應用程式已經過時或超過支援期限,那麼零時差漏洞會更加有效。因為沒有修補程式可用,可以進行零時差漏洞攻擊的安全空窗期就會變成無限長。
一個很好的例子是一個 目標攻擊利用了IE瀏覽器漏洞。這個漏洞(CVE-2014-1776)受到大量的關注,因為最初報導指出微軟不會發表Windows XP上的修補程式。不過很快就有修補程式釋出在該平臺上。