apt 威脅 - 資安趨勢部落格

「李宗瑞影片，趕快下載呦！」從公僕誤開測試信,看好奇心所付出的資安代價(含APT 目標式電子郵件攻擊實際案例)

2012 年 09 月 17 日2014 年 01 月 23 日趨勢科技 TrendMicro

「李宗瑞影片，趕快下載呦！」~~~政府單位以這測試信,導致 996 名員工好奇點閱「中招」，點閱員工分十梯上2小時的資訊安全課程。如果你是 IT 部門的主管,你知道公司裡最會開啟色情附件檔的是哪些員工？那個部門是網路安全的地雷區？

在本部落格提到的這篇文章中, 69％的人每週都碰到網路釣魚,25% 高階員工被釣得逞 ,而根據趨勢科技曾經針對國內某家超過300人的企業所做的調查顯示，防毒意識最差的部門是：業務部，而最會開危險郵件的員工是：工讀生等臨時雇員。(編按:上述文章中有提到防網路釣魚四步驟,推薦閱讀)

這意味著，幫公司締造業績的部門，卻同時有可能是企業網路運作殺手。跑腿的工讀生，可能因午休時間開啟一封朋友轉寄的色情信件或網站連結，而讓公司數位資產暴露在外。這不是在叫IT部門看完本文後去把業務部門電腦搜查一遍，或解雇所有工讀生，而是要指出一個現象：在這個調查之前，該公司 IT 部門普遍不知道企業內部的安全殺手潛伏在那個部門，也不知如何隔離那些總是開啟網路釣魚（Phishing）頁面或誤開有毒色情檔案高危險群。

這是目前存在許多企業的安全管理難題，尤其是網路使用自由度高的公司， IT 部門在不干涉員工的網路連線前提下，又要有效率地執行安全守則，著實兩難。最明顯的例子是，員工開啟色情郵件或連結引狼入室。

此類郵件藉由勾起使用者的好奇心，一個郵件標題、一個附件檔名，就能讓使用者 Click滑鼠進行散播，我們稱之為社交工程陷阱( Social Engineering) 趨勢科技攔截到許多以色情為餌的病毒。它們既不是散發大量郵件的蠕蟲，也沒有透過殭屍網路/傀儡網路 Botnet來散發垃圾郵件(SPAM)，而是由人為手動轉寄木馬植入程式。究其原因，原來這封郵件樣本由群組中的某位成員散發給許多該群組的郵件，再滾雪球般地逐漸散佈出去。雖然屬於手動散播，但只要想想這封電子郵件所傳送的群組數目，加上每個群組所擁有的成員數目，也能釀成大禍。

資訊安全從「 IT 部門的事」到「全公司的事」

好的風險管理能成功教育員工為資訊安全負責，電腦中毒時不但不再衝動拿起電話開罵 IT部門，反而會為自己違反公司安全政策，影響公司網路安全而自責，讓安全意識的轉變從「千錯萬錯都是 IT 部門的錯」到「安全政策，不再只是 IT 部門的事」。有個實際案例,某公司過去網路斷線時，員工總是高分貝抗議，但是請其合作遵守資訊安全守則時，卻是得不到明顯的成效，一直到他們舉行防毒演習為止。

在演習中，首先該公司以「看似」某部門最高長官 Dave的名義發出「軟體 Beta 版搶先試用，拿大獎」測試信，結果高達98％的員工開啟附件，結果得到如下訊息：「哈哈，上當了！！你的安全警覺性待加強。」而事實上該部門最高長官的正確名字是 David，而不是Dave。凡是點閱該封信件者，都會留下紀錄，藉著測試活動結果，以統計數據說服當事人或是高層主管，企業潛在的人為因素對整體網路安全的影響。

誤點信件後果比你想像的更嚴重! APT 攻擊全球戒備

今天我們就來分享APT進階持續性威脅 (Advanced Persistent Threat, APT)的社交工程陷阱( Social Engineering)信件案例與入侵實際模擬,讓大家看看一時的好奇心,可能付出的代價不只是個人電腦中毒,還有可能失去客戶資料,付出昂貴成本與修復鉅資。

什麼是 APT？簡單的說就是針對特定組織所作的複雜且多方位的網路攻擊。

這兩年很夯讓許多組織機構聞之色變的APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT) ,其特色之一就是【假冒信件】:針對被鎖定對象寄送幾可亂真的社交工程惡意郵件，如冒充長官的來信,取得在電腦植入惡意程式的第一個機會。

以往駭客發動的APT 進階持續性滲透攻擊 (Advanced Persistent Threat, APT)攻擊雖然以政府為主，但從2010年開始企業成為駭客鎖定竊取情資的受駭者越來越多，2011年幾個世界性的組織在目標攻擊下淪陷，付出了昂貴的成本。RSA和Sony是 2011年最大的兩個APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)的目標。

幾個世界性的組織在目標攻擊下淪陷，付出了昂貴的成本。他們失去了數百萬客戶的資料，光是完成修復就花費了鉅資。趨勢科技身為全球雲端安全的領導廠商，在年度雲端資訊安全盛會 “CloudSec 2012”會中如何因應嶄新威脅APT (Advanced Persistent Threat)以守護企業重要機敏資訊的重要性。以下是:趨勢科技全球核心技術研發部技術經理翁世豪,在會議中分享的: 面對APT企業應當採取的縱深防禦防護策略。(含國內外社交工程信件案例與駭客入侵模擬)

目標式電子郵件攻擊實際案例(10:22) 駭客入侵模擬(20:20) APT 防護階段(29:16) 以下是幾個郵件樣本 1.攻擊者先收集 eMail 清單,然後寄給內部特定對象這個看起來像是excel 的附件,點開檔案只有一個空白的檔案,是寄錯檔案了嗎?

其實看到這畫面時病毒已經在背後運作了,因為該檔案是設計過的,背後插了一個 Adobe flash 物件,,即使用戶已經更新了所有的 patch 還是無法阻擋該攻擊,因為這是零時差漏洞攻擊 繼續閱讀

[圖表] APT攻擊的 5 個迷思與挑戰

2012 年 06 月 28 日2015 年 05 月 29 日趨勢科技 TrendMicro

一般的資安解決方案可以對抗進階APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)嗎？ APT是特別設計用來從組織內部蒐集特定檔案的嗎？資料外洩事件是APT造成的嗎？今天IT團隊所面臨的挑戰是如何保護他們的網路來對抗APT – 人所發起的電腦入侵攻擊會積極的找尋並攻陷目標。為了幫助企業制訂對抗APT的策略，趨勢科技TrendLab準備了資料圖表來說明入侵的各個階段。

通過分析攻擊的各階段，IT團隊可以了解對自己網路發動攻擊會用到的戰術和運作。這種分析有助於建立本地威脅智慧 – 利用對特定網路所發動攻擊的緊密知識和觀察所發展的內部威脅資料。這是消除由相同攻擊者所發動之攻擊的關鍵。我們的研究人員所確認的階段是情報收集、進入點、命令和控制（C＆C）通訊、橫向擴展、資產/資料發掘和資料竊取。

在現實狀況下要處理APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)A各階段的攻擊比一般的網路攻擊要更加困難。比方說，在資產發掘階段，攻擊者已經進到網路內部來找出哪些資產具有價值好加以攻擊。資料外洩防護（DLP）策略可以防止存取機密資料。然而，根據一項調查顯示，雖然公司的機密資訊佔全部資料的三分之二，但是大概只編列了一半的資安預算來加以保護。

更多詳情都會在這資料圖表內加以描述，「找出APT的全貌」。

找出APT的全貌

APT（進階持續性威脅）是攻擊者針對鎖定的公司和資源。通常會用目標員工的社交工程攻擊開啟一連串攻擊的開端

APT攻擊的六個階段

獲取目標IT環境和組織架構的重要資訊

情報收集

31%的雇主會懲處將公司機密資料貼到社群網站上的員工

進入點

利用電子郵件、即時通、社群網路或是應用程式弱點找到進入目標網路的大門

一項研究指出，87%的組織會點社交工程攻擊誘餌所帶來的連結,這些連結都是精心設計的社交工程誘餌

命令與控制 : C&C 通訊

APT攻擊活動首先在目標網路中找出放有敏感資訊的重要電腦

主要的APT攻擊活動利用網頁通訊協定來與C&C伺服器通訊,確認入侵成功的電腦和C&C伺服器間保持通訊

繼續閱讀

APT 攻擊文章懶人包

2012 年 06 月 22 日2013 年 04 月 15 日趨勢科技 TrendMicro

影片說明:APT 攻擊駭客攻擊手法模擬~社交工程攻擊(Social Engineer)過程重現

影片說明:APT 攻擊真實案例改編

淺談APT進階持續性威脅 (Advanced Persistent Threat, APT)~含中文社交工程郵件案例

《APT 攻擊》南韓爆發史上最大駭客攻擊企業及個人用戶電腦皆停擺

《APT 攻擊》韓國網路攻擊事件 FAQ
《APT 攻擊》趨勢科技Deep Discovery 成功協助南韓客戶抵抗駭客多重攻擊
 APT 攻擊者偏好的DDOS 分散式阻斷服務攻擊與密碼擷取工具，自我更新更厲”駭”

《APT進階持續性威脅~主要目標攻擊侵入點:eMail》63%產品規劃藍圖 ,76%預算計畫經由 email 傳送

木馬專門竊取圖檔/影像檔案,得手資料傳送遠端 FTP,可能為APT 攻擊布局

「李宗瑞影片，趕快下載呦！」從公僕誤開測試信,看好奇心所付出的資安代價(含APT 目標式電子郵件攻擊實際案例)

《APT 威脅》神不知鬼不覺的APT攻擊 — 多則APT 真實案件分享(含網路釣魚信件樣本)
[圖表] APT攻擊的 5 個迷思與挑戰惡意PowerPoint文件夾帶漏洞攻擊及後門程式

進階持續性威脅LURID: 入侵了61個國家1465台電腦,包含外交等單位

《 APT 進階持續性滲透攻擊》BKDR_POISON 未來將出現更多挑戰

APT 進階持續性滲透攻擊研究報告10個懶人包

＜APT進階持續性威脅＞經由Email 發送的＂員工滿意度調查＂PDF檔案含SYKIPOT，展開目標攻擊行動

< APT 目標攻擊 >知名韓國企業收到量身訂製的社交工程信件,員工開啟後遭遠端控制竊取個資

《APT攻擊》另一起電子郵件目標攻擊利用研究單位做掩護

《APT 攻擊》下載藏文輸入法至Apple iOS,竟引狼入室

《APT /MAC 攻擊》另一起和西藏相關的攻擊活動針對Windows和Mac系統

微軟控告殭屍網路ZeuS、SpyEye和Ice IX幕後黑手

時代變了 Mac使用者現在也會遭受目標攻擊

雲端安全和APT防禦是同一件事嗎？

《 APT 進階持續性滲透攻擊》16 封不能點的目標攻擊信件

傳統安全策略已經不再足以保護企業

《 APT 進階持續性滲透攻擊》病毒也愛林來瘋!!目標攻擊以林書豪傳奇故事為餌,安裝後門程式

《 APT 進階持續性滲透攻擊》BKDR_POISON 未來將出現更多挑戰

《木馬專偷 Word, Excel 文件檔,得手後放雲端》受駭IP 遍佈150 國,含政府、學術界和企業網路

APT 進階持續性滲透攻擊研究報告10個懶人包

後門程式針對國際人權組織

趨勢科技發表2012資安關鍵十二大預測

2011 金毒獎【得獎名單】與【得獎理由】

＜APT進階持續性威脅＞經由Email 發送的＂員工滿意度調查＂PDF檔案含SYKIPOT，展開目標攻擊行動

什麼是 APT？簡單的說就是針對特定組織所作的複雜且多方位的網路攻擊。

認識 APT

以往駭客發動的APT攻擊雖然以政府為主，但從2010年開始企業成為駭客鎖定竊取情資的受駭者越來越多，2011年幾個世界性的組織在目標攻擊下淪陷，付出了昂貴的成本。RSA和Sony是 2011年最大的兩個APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)的目標。幾個世界性的組織在目標攻擊下淪陷，付出了昂貴的成本。他們失去了數百萬客戶的資料，光是完成修復就花費了鉅資。

APT 攻擊的特色:

【鎖定特定目標】針對特定政府或企業，長期間進行有計劃性、組織性竊取情資行為,可能持續幾天，幾週，幾個月，甚至更長的時間。

【假冒信件】針對被鎖定對象寄送幾可亂真的社交工程惡意郵件，如冒充長官的來信,取得在電腦植入惡意程式的第一個機會。

【低調且緩慢】為了進行長期潛伏,惡意程式入侵後,具有自我隱藏能力避免被偵測,伺機竊取管理者帳號、密碼。

【客製化惡意元件】攻擊者除了使用現成的惡意程式外亦使用客制化的惡意元件。

【安裝遠端控制工具】攻擊者建立一個類似殭屍網路/傀儡網路 Botnet 的遠端控制架構攻擊者會定期傳送有潛在價值文件的副本給命令和控制伺服器（C&C Server）審查。

【傳送情資】將過濾後的敏感機密資料，利用加密方式外傳

APT 進階持續性滲透攻擊 (Advanced Persistent Threat, APT)可能持續幾天，幾週，幾個月，甚至更長的時間。APT攻擊可以從蒐集情報開始，這可能會持續一段時間。它可能包含技術和人員情報蒐集。情報收集工作可以塑造出後期的攻擊，這可能很快速或持續一段時間。

例如，試圖竊取商業機密可能需要幾個月有關安全協定，應用程式弱點和文件位置的情報收集，但當計畫完成之後，只需要一次幾分鐘的執行時間就可以了。在其他情況下，攻擊可能會持續較長的時間。例如，成功部署Rootkit在伺服器後，攻擊者可能會定期傳送有潛在價值文件的副本給命令和控制伺服器（C&C Server）進行審查。

【如何避免APT 進階性持續威脅攻擊?】

趨勢科技建議民眾應：

· 養成良好的電腦使用習慣，避免開啟來路不明的郵件附件檔
· 安裝具有信譽的資訊安全軟體，並定期進行系統更新與掃毒

另一方面，為預防員工成為駭客攻擊企業內部的跳板，建議企業也應：

· 建立早期預警系統,監控可疑連線及電腦
· 佈建多層次的資安防禦機制,以達到縱深防禦效果
· 對企業內部敏感資料建立監控與存取政策
· 企業內部應定期執行社交工程攻擊演練

趨勢科技PC-cillin 雲端版採用最新雲端截毒掃描功能，能隨時蒐集最新威脅資訊，隨時協助電腦於最新最佳防護病毒與惡意程式的狀態，30天免費試用版下載，即刻免費下載。

◎ 歡迎加入趨勢科技社群網站

< APT 目標攻擊 >知名韓國企業收到量身訂製的社交工程信件,員工開啟後遭遠端控制竊取個資

2012 年 06 月 21 日2012 年 06 月 22 日趨勢科技 TrendMicro

特製的HWP文件檔在韓國發動 APT 目標攻擊

幾個禮拜前，趨勢科技發現有一個特製的韓國文書處理軟體檔案（HWP）會攻擊Hancom Office文書處理系統內的應用程式漏洞。這個副檔名HWP是在韓國很普及的文書處理軟體檔案格式，使用針對韓國潛在受害者所使用的格式，或許就是他們的目的。

這個被偵測為TROJ_MDROP.ZD的特製文件檔是以電子郵件附檔的方式到達受害者的手上，它用韓國最近發生的謀殺案做為社交工程陷阱( Social Engineering)誘餌。這封電子郵件送給一間知名的韓國企業的眾多員工。

這個被偵測為TROJ_MDROP.ZD的特製文件檔是以電子郵件附檔的方式到達受害者的手上，它用韓國最近發生的謀殺案做為社交工程陷阱( Social Engineering)誘餌。這封電子郵件送給一間有名韓國企業的眾多員工

打開惡意附件檔後，TROJ_MDROP.ZD會攻擊一個目前仍不明的漏洞來植入並在背景執行後門程式BKDR_VISEL.FO。這個後門程式可以讓潛在攻擊者來做遠端存取，能在受感染機器做出其他惡意行為。根據我們的分析，BKDR_VISEL.FO也能夠停掉特定的防毒程式，讓它更難被偵測和清除。這個後門程式也會下載並執行其他惡意檔案，讓受感染系統被進一步的感染和或竊取資料。

執行之後，TROJ_MDROP.ZD會用另一個非惡意HWP文件檔取代自己以防使用者懷疑。這個被當做誘餌的文件包含以下的韓文內容：

執行之後，TROJ_MDROP.ZD會用另一個非惡意HWP文件檔取代自己以防使用者懷疑。這個被當做誘餌的文件包含以上的韓文內容

替將來的攻擊進行偵察

從這目標公司的狀況來看，一次成功的感染可能會導致大量客戶個人資料被竊取。加上HWP是韓國政府文書處理時的標準格式，所以現在的攻擊很可能只是偵察階段，為了以後更大更廣泛攻擊做準備。

從這起事件中，我們可以看到攻擊者會使用區域性應用程式的弱點。Hancom Office也不是第一個被攻擊者攻擊漏洞的區域性應用程式。我們之前報導過另一起事件，惡意攻擊者攻擊日文文書處理軟體Ichitaro。攻擊成功之後會導致安裝後門程式。這兩起事件證明了使用區域性應用程式並不能保證沒有惡意攻擊發生。所以，文書處理軟體廠商如果使用了可能有漏洞的特定第三方模組，就需要注意業界的漏洞資訊，並準備加以更新。

這凸顯出了安全性的重要，特別是那些服務包括儲存客戶資料的公司。一旦公司被入侵成功，不僅讓他們的客戶處在危險中，也會很快就毀了他們的聲譽。這起事件裡幸運的是，很快的就執行了適當的消除步驟。然而，我們也必須保持警覺，因為這不會是我們最後一次看到這類威脅。

趨勢科技的使用者可以透過趨勢科技主動式雲端截毒服務 Smart Protection Network來偵測和刪除相關的惡意檔案。它也在惡意郵件抵達使用者信箱前就加以封鎖。

補充資料

根據趨勢科技的分析，TROJ_MDROP.ZD會造成一個外掛程式 – HNCTextArt.hplg的緩衝區溢位，這是HWP.EXE用來處理HWP檔案的程式。HNCTextArt.hplg有一個程式碼會將寬字元字串（包含空白結尾字元）從來源複製到目的地。來源的字串必須要包含空白結尾字元。而這起事件裡的惡意HWP檔案中，這個被複製的寬字元字串並沒有包含上述的空白結尾字元，導致了無限迴圈。

也因為如此，HNCTestArt.hplg會不停的複製資料直到發生異常。這會觸發惡意HWP文件檔內的惡意程式碼。這個程式碼會解開、植入和執行PE檔案和用來做為誘餌的非惡意HWP文件。

＠原文出處：Specially Crafted .HWP File Used for Korean Targeted Campaign

@延伸閱讀

什麼是 APT進階持續性威脅 (Advanced Persistent Threat, APT)？

進階持續性威脅LURID: 入侵了61個國家1465台電腦,包含外交等單位

《 APT 進階持續性滲透攻擊》BKDR_POISON 未來將出現更多挑戰

APT 進階持續性滲透攻擊研究報告10個懶人包

＜APT進階持續性威脅＞經由Email 發送的＂員工滿意度調查＂PDF檔案含SYKIPOT，展開目標攻擊行動