Advanced Persistent Threat - 資安趨勢部落格

《APT進階持續性威脅~主要目標攻擊侵入點:eMail》63%產品規劃藍圖 ,76%預算計畫經由 email 傳送

2012 年 10 月 29 日2012 年 10 月 22 日趨勢科技 TrendMicro

企業電子郵件流量預計會在2016年底達到1430億封

在最近幾年間，因為企業有網頁應用程式、社群媒體和消費化應用的出現，提升了商務溝通的能力。但電子郵件仍然是主要用來交換重要商業資訊的媒介。企業的電子郵件流量佔了今日全球流量的大部分。根據一項研究顯示，企業電子郵件流量預計會在2016年底達到1430億封。^註1

有73％的企業表示他們透過公司電子郵件來傳送高度機密的資料

商務溝通透過電子郵件既快速又簡單，在大多數情況下只要有網路就可以了。它可以放入足夠長度的內容，也可以用正式的格式來做資料交換。電子郵件也被認同是法律文件。

電子郵件被認為是關鍵的資訊服務。^註2 員工會認為這在工作流程中是必要的，所以零電子郵件的政策難以被落實。^註3 研究顯示，有73％的企業表示他們透過公司電子郵件來傳送高度機密的資料。^註4 有些關鍵文件包括客戶資料、產品設計，企業策略和銷售報價等等。

經由電子郵件寄送的重要資訊類別:

敏感的賠償問題 47%
併購活動 33%
可能的資遣和組織重組 45%
產品規劃藍圖 63%
預算計畫 76%

來源：PhoneFactor

電子郵件附加檔案

商務人士經常會在電子郵件內附加檔案，已經成為正常商務通訊的一部分。

微軟Word檔案：Windows 已經被企業廣泛的採用。因此，唯一和作業系統完全相容的微軟Office套件也非常的普及。^註5
PDF檔案：組織會使用PDF檔案，因為它支援多個平台，可以很容易地散布、歸檔和儲存。根據研究顯示，有90％的企業將掃描文件儲存成PDF檔案。而89％的受訪者表示，他們正在把微軟Word檔案轉成PDF檔案。^註⁶

毫無疑問的，攻擊者已經了解到利用電子郵件在目標攻擊活動裡散播攻擊工具是非常有效的作法。

目標攻擊進入點

目標攻擊或APT進階持續性威脅 (Advanced Persistent Threat, APT)是指一種威脅類型，可以長時間潛伏在網路或系統內來達到它們的目的（通常是竊取資料）而不被偵測到。

目標攻擊的幕後黑手會先利用開放的資料來源做研究，做出有效的社交工程陷阱( Social Engineering)誘餌。既然電子郵件是最常被使用的商務溝通模式，惡意威脅份子通常會經由這媒介來帶入漏洞攻擊。這些漏洞攻擊之後會下載更多的惡意軟體。

以下影片(10:22)有看似熟人寄發信件,點擊後卻引發攻擊的多則實際案例
標題包含:”看了這個文章多活 10 年”,”新年度行政機關行事曆”

繼續閱讀

《APT進階持續性威脅》APT 攻擊常用的三種電子郵件掩護潛入技巧(含多則中英文信件樣本)

2012 年 10 月 24 日2012 年 10 月 31 日趨勢科技 TrendMicro

「李宗瑞影片，趕快下載呦！」政府單位以這測試信,導致 996 名員工好奇點閱「中招」，點閱員工分十梯上2小時的資訊安全課程。在本部落格提到的這篇文章中, 69％的人每週都碰到網路釣魚,25% 高階員工被釣得逞。

老闆來信要你馬上回辦公室,開還是不開?

以下這個的寄信來源者是” Boss”老闆大人，開宗明義在標題寫著”get back to my office for more details”.(預知詳情請儘速回來到我辦公室)：

“Please read the attached letter and get back to my office for more details to proceed further”，要收件人先開info.zip 的附件，當心喔，我們一再提醒不要輕易開啟附件。經趨勢科技專家分析，解壓縮後出現 info.exe執行檔，果然是隻病毒。

有時候我們真的很難對以下這樣看似”好意”的電子郵件產生懷疑的心態,尤其寄件者來自高階主管,這就是 APT攻擊 (Advanced Persistent Threat, APT) 者,可以得逞的第一步驟,取得在電腦植入惡意程式的第一個機會。。

APT 目標攻擊中文社交工程信件樣本

APT進階持續性威脅 (Advanced Persistent Threat, APT)和目標攻擊通常會利用社交工程陷阱( Social Engineering)電子郵件作為進入目標網路的手段（註）。考慮到一般企業員工在每個工作天平均所傳送41 封和接收100封的電子郵件數量，以及製造社交工程陷阱( Social Engineering)電子郵件的容易度，企業應該要重新檢視如何確保這類型商務溝通的安全措施了。

過去的目標攻擊可以看到幾種不同類型的社交工程陷阱( Social Engineering)技術。例如：

利用常見網頁郵件服務的帳號來發送這些電子郵件
請參考:目標攻擊：Gmail 繁體中文網路釣魚信件
利用所之前入侵獲得的電子郵件帳號來發送
偽裝成特定部門或高階主管的電子郵件地址
比如經由Email 發送的＂員工滿意度調查＂附件PDF檔案含目標攻擊病毒

以下這個來自中文社交工程郵件一文中的案例,附件“企劃rcs.doc “看起來像文件檔,其實真正的檔名是”企劃cod.scr”這個螢幕保護程式駭客插了控制碼 ,讓它顯示從後顯示到前,點下去就啟動執行檔, 更讓平日對執行檔有警戒心的收件者,也無招架能力。

這些電子郵件通常會夾帶漏洞攻擊用檔案來針對常見軟體的漏洞以入侵受害者的電腦。一旦入侵成功，就會在網路裡繼續進行進階持續性威脅攻擊的其他階段。

對企業而言，尤其是負責保護網路的資安單位，需要更加了解攻擊者多麼輕易地就能夠利用電子郵件，因為電子郵件是用來做商務溝通最常見的形式。TrendLabs推出入門書 – 「你的商業通訊安全嗎？」和資料圖表 – 「掩護潛入：經由員工信箱的目標攻擊」，這兩者都介紹到電子郵件在進階持續性威脅攻擊活動裡扮演多麼危險的角色。點擊下面縮圖來下載文件：

發展並利用外部和本地威脅情報是啟動進階持續性威脅防禦策略的關鍵。Threat Intelligence Resource（威脅情報資源）提供資訊、系統和網路管理者關於進階持續性威脅最新最可靠的研究和分析。進入這頁面來瀏覽最即時的內容，讓你能夠了解目標攻擊的最新發展。

註：並不是說所有的APT進階持續性威脅 (Advanced Persistent Threat, APT)都是透過電子郵件到達，這類威脅肯定會想辦法利用許多種的進入點。

•每天的電子郵件流量有超過60%屬於企業用途

•一般企業員工平均每天會寄送41封和接收100封的電子郵件。

•收到的郵件中有16%是垃圾郵件

•在2012年，每日的企業電子郵件流量高達890億封

繼續閱讀

《APT 威脅》神不知鬼不覺的APT攻擊 — 多則APT 真實案件分享(含網路釣魚信件樣本)

2012 年 09 月 20 日2012 年 09 月 20 日趨勢科技 TrendMicro

我們現在面臨著一個不斷演變的資安威脅環境。從一開始為了用來吹噓而攻擊或是用阻斷式攻擊（ DoS ）來切斷流行網站的服務，到現在是為了經濟利益而攻擊。攻擊者透過詐騙或竊取知識產權直接獲取利益，或進行大規模資料竊取等等。除了攻擊的動機與目的的轉變外，攻擊手法也有所改變。在這樣的環境中，最大的挑戰就是APT進階持續性威脅 (Advanced Persistent Threat, APT)：

APT — Advanced Persistent Threat ，一般稱為進階持續性威脅，是針對特定組織進行複雜且多方位的攻擊。APT 不似從前的一般惡意程式攻擊：缺乏嚴格掌控；不限定目標地亂槍打鳥。APT 會花費較長的時間規劃、執行：偵查、蒐集資料；發掘目標的安全漏洞或弱點。

近兩年來遭受 APT 攻擊的著名案例：

· 2010 年 1 月 — Google：
在一起名為「極光行動」的事件中， Google 遭受 APT 攻擊。
當時一位 Google 員工點了即時通訊訊息中的一個連結，接著就連上了一個惡意網站，
不知不覺下載了惡意程式，開啟了接下來的一連串APT 事件。
在此事件中，攻擊者成功滲透 Google 伺服器，竊取部分智慧財產以及重要人士帳戶資料。

「極光行動」常用像這樣的軟體更新下載程式作為誘餌。

· 2010 年 7 月 — 西門子：
Stuxnet 是世界上第一隻攻擊西門子 SIMATIC WinCC 與 PCS 7 系統的蠕蟲病毒，
主要攻擊目標為發電廠或煉油廠等等的自動化生產與控制系統（ SCADA ）。
Stuxnet 藉由微軟 MS10-046 Windows 系統漏洞散佈，
其目的在於取得 WinCC SQL Server 登入 SQL 資料庫的權限。

· 2011 年 3 月 — Comodo：
數位簽章遭竊，憑證遭到破解，使得許多使用者及網站暴露於危險之中。

· 2011 年 3 月 – RSA：
歹徒寄了兩封標題為「 2011 Recruitment Plan 」（ 2011 年度徵才計畫）的信件給員工。
這兩封信件實為網路釣魚（Phishing），引發了後續的資料外洩事件。
Rsa01
RSA APT 事件中的網路釣魚（Phishing）
繼續閱讀

[圖表] APT攻擊的 5 個迷思與挑戰

2012 年 06 月 28 日2015 年 05 月 29 日趨勢科技 TrendMicro

一般的資安解決方案可以對抗進階APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)嗎？ APT是特別設計用來從組織內部蒐集特定檔案的嗎？資料外洩事件是APT造成的嗎？今天IT團隊所面臨的挑戰是如何保護他們的網路來對抗APT – 人所發起的電腦入侵攻擊會積極的找尋並攻陷目標。為了幫助企業制訂對抗APT的策略，趨勢科技TrendLab準備了資料圖表來說明入侵的各個階段。

通過分析攻擊的各階段，IT團隊可以了解對自己網路發動攻擊會用到的戰術和運作。這種分析有助於建立本地威脅智慧 – 利用對特定網路所發動攻擊的緊密知識和觀察所發展的內部威脅資料。這是消除由相同攻擊者所發動之攻擊的關鍵。我們的研究人員所確認的階段是情報收集、進入點、命令和控制（C＆C）通訊、橫向擴展、資產/資料發掘和資料竊取。

在現實狀況下要處理APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)A各階段的攻擊比一般的網路攻擊要更加困難。比方說，在資產發掘階段，攻擊者已經進到網路內部來找出哪些資產具有價值好加以攻擊。資料外洩防護（DLP）策略可以防止存取機密資料。然而，根據一項調查顯示，雖然公司的機密資訊佔全部資料的三分之二，但是大概只編列了一半的資安預算來加以保護。

更多詳情都會在這資料圖表內加以描述，「找出APT的全貌」。

找出APT的全貌

APT（進階持續性威脅）是攻擊者針對鎖定的公司和資源。通常會用目標員工的社交工程攻擊開啟一連串攻擊的開端

APT攻擊的六個階段

獲取目標IT環境和組織架構的重要資訊

情報收集

31%的雇主會懲處將公司機密資料貼到社群網站上的員工

進入點

利用電子郵件、即時通、社群網路或是應用程式弱點找到進入目標網路的大門

一項研究指出，87%的組織會點社交工程攻擊誘餌所帶來的連結,這些連結都是精心設計的社交工程誘餌

命令與控制 : C&C 通訊

APT攻擊活動首先在目標網路中找出放有敏感資訊的重要電腦

主要的APT攻擊活動利用網頁通訊協定來與C&C伺服器通訊,確認入侵成功的電腦和C&C伺服器間保持通訊

繼續閱讀

APT 攻擊文章懶人包

2012 年 06 月 22 日2013 年 04 月 15 日趨勢科技 TrendMicro

影片說明:APT 攻擊駭客攻擊手法模擬~社交工程攻擊(Social Engineer)過程重現

影片說明:APT 攻擊真實案例改編

淺談APT進階持續性威脅 (Advanced Persistent Threat, APT)~含中文社交工程郵件案例

《APT 攻擊》南韓爆發史上最大駭客攻擊企業及個人用戶電腦皆停擺

《APT 攻擊》韓國網路攻擊事件 FAQ
《APT 攻擊》趨勢科技Deep Discovery 成功協助南韓客戶抵抗駭客多重攻擊
 APT 攻擊者偏好的DDOS 分散式阻斷服務攻擊與密碼擷取工具，自我更新更厲”駭”

《APT進階持續性威脅~主要目標攻擊侵入點:eMail》63%產品規劃藍圖 ,76%預算計畫經由 email 傳送

木馬專門竊取圖檔/影像檔案,得手資料傳送遠端 FTP,可能為APT 攻擊布局

「李宗瑞影片，趕快下載呦！」從公僕誤開測試信,看好奇心所付出的資安代價(含APT 目標式電子郵件攻擊實際案例)

《APT 威脅》神不知鬼不覺的APT攻擊 — 多則APT 真實案件分享(含網路釣魚信件樣本)
[圖表] APT攻擊的 5 個迷思與挑戰惡意PowerPoint文件夾帶漏洞攻擊及後門程式

進階持續性威脅LURID: 入侵了61個國家1465台電腦,包含外交等單位

《 APT 進階持續性滲透攻擊》BKDR_POISON 未來將出現更多挑戰

APT 進階持續性滲透攻擊研究報告10個懶人包

＜APT進階持續性威脅＞經由Email 發送的＂員工滿意度調查＂PDF檔案含SYKIPOT，展開目標攻擊行動

< APT 目標攻擊 >知名韓國企業收到量身訂製的社交工程信件,員工開啟後遭遠端控制竊取個資

《APT攻擊》另一起電子郵件目標攻擊利用研究單位做掩護

《APT 攻擊》下載藏文輸入法至Apple iOS,竟引狼入室

《APT /MAC 攻擊》另一起和西藏相關的攻擊活動針對Windows和Mac系統

微軟控告殭屍網路ZeuS、SpyEye和Ice IX幕後黑手

時代變了 Mac使用者現在也會遭受目標攻擊

雲端安全和APT防禦是同一件事嗎？

《 APT 進階持續性滲透攻擊》16 封不能點的目標攻擊信件

傳統安全策略已經不再足以保護企業

《 APT 進階持續性滲透攻擊》病毒也愛林來瘋!!目標攻擊以林書豪傳奇故事為餌,安裝後門程式

《 APT 進階持續性滲透攻擊》BKDR_POISON 未來將出現更多挑戰

《木馬專偷 Word, Excel 文件檔,得手後放雲端》受駭IP 遍佈150 國,含政府、學術界和企業網路

APT 進階持續性滲透攻擊研究報告10個懶人包

後門程式針對國際人權組織

趨勢科技發表2012資安關鍵十二大預測

2011 金毒獎【得獎名單】與【得獎理由】

＜APT進階持續性威脅＞經由Email 發送的＂員工滿意度調查＂PDF檔案含SYKIPOT，展開目標攻擊行動

什麼是 APT？簡單的說就是針對特定組織所作的複雜且多方位的網路攻擊。

認識 APT

以往駭客發動的APT攻擊雖然以政府為主，但從2010年開始企業成為駭客鎖定竊取情資的受駭者越來越多，2011年幾個世界性的組織在目標攻擊下淪陷，付出了昂貴的成本。RSA和Sony是 2011年最大的兩個APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)的目標。幾個世界性的組織在目標攻擊下淪陷，付出了昂貴的成本。他們失去了數百萬客戶的資料，光是完成修復就花費了鉅資。

APT 攻擊的特色:

【鎖定特定目標】針對特定政府或企業，長期間進行有計劃性、組織性竊取情資行為,可能持續幾天，幾週，幾個月，甚至更長的時間。

【假冒信件】針對被鎖定對象寄送幾可亂真的社交工程惡意郵件，如冒充長官的來信,取得在電腦植入惡意程式的第一個機會。

【低調且緩慢】為了進行長期潛伏,惡意程式入侵後,具有自我隱藏能力避免被偵測,伺機竊取管理者帳號、密碼。

【客製化惡意元件】攻擊者除了使用現成的惡意程式外亦使用客制化的惡意元件。

【安裝遠端控制工具】攻擊者建立一個類似殭屍網路/傀儡網路 Botnet 的遠端控制架構攻擊者會定期傳送有潛在價值文件的副本給命令和控制伺服器（C&C Server）審查。

【傳送情資】將過濾後的敏感機密資料，利用加密方式外傳

APT 進階持續性滲透攻擊 (Advanced Persistent Threat, APT)可能持續幾天，幾週，幾個月，甚至更長的時間。APT攻擊可以從蒐集情報開始，這可能會持續一段時間。它可能包含技術和人員情報蒐集。情報收集工作可以塑造出後期的攻擊，這可能很快速或持續一段時間。

例如，試圖竊取商業機密可能需要幾個月有關安全協定，應用程式弱點和文件位置的情報收集，但當計畫完成之後，只需要一次幾分鐘的執行時間就可以了。在其他情況下，攻擊可能會持續較長的時間。例如，成功部署Rootkit在伺服器後，攻擊者可能會定期傳送有潛在價值文件的副本給命令和控制伺服器（C&C Server）進行審查。

【如何避免APT 進階性持續威脅攻擊?】

趨勢科技建議民眾應：