apt 攻擊 - 資安趨勢部落格

七個APT 攻擊跡象

2014 年 09 月 04 日2014 年 09 月 04 日趨勢科技 TrendMicro

APT攻擊-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)/目標攻擊被設計來在目標網路裡躲避現有的管理政策和解決方案，因此要偵測它們是一大挑戰。正如我們在之前關於APT 攻擊常見五個誤解的文章中所強調過的，沒有放諸四海皆準的解決方案可以用來對付它；企業需要在所需要的地方都放置感應器好加以防護，同時IT也要有足夠的設備來識別網路的異常情況，並採取相應的措施。

然而，要及早發現異常狀況，IT管理者需要知道首先要看到什麼。由於攻擊通常會設計成只有很少或幾乎沒有痕跡可循，重要的是要知道哪裡可以找到入侵的可能指標。在這篇文章中，我們將列出IT管理者所需要密切監視的網路部分以發覺任何入侵的跡象。

一.檢查被注入的DNS記錄

攻擊者經常會篡改DNS記錄以確保到他們的C&C連線不會被封鎖。IT管理者可以檢查記錄中可能被攻擊者注入的跡象如下：

未知網域加入IP地址如127.0.0.1、127.0.0.2、255.255.255.254、255.255.255.255、0.0.0.0和1.1.1.1。這些IP地址通常被攻擊者用來保留給尚未使用的C&C
最近註冊的未知網域，像是3天前（可以透過whois來判斷）
看起來像是隨機字元的網域（例如：aeeqvsfmtstjztqwlrqknoffmozu.com或zxcmpfwqwgqnbldzhdqsrqt.com）
出現模仿知名網域的網域名稱（例如：microsoft-dot.com或goooogle.com）

二.稽核登入失敗/不規則的帳號

一旦攻擊者能夠進入網路和建立與其C＆C的通訊，下一步通常是在網路內橫向移動。攻擊者會去找出Active Directory、郵件或檔案伺服器，並攻擊伺服器漏洞來加以存取。然而，因為管理者會修補並防護重要伺服器的漏洞，攻擊者可能會嘗試暴力破解管理者帳號。對於IT管理者來說，登入記錄是此一行為最好的參考資料。檢查失敗的登入嘗試，以及在不尋常時間內的成功登入，可以顯示攻擊者試圖在網路內移動。

三.研究安全解決方案的警報

有時候，安全解決方案會標示看來無害的工具為可疑，而使用者會忽略這警報，因為該檔案可能對使用者來說很熟悉或無害。然而，我們在許多案例中發現出現警報意味著網路中有攻擊者。攻擊者可能使用惡意設計的駭客工具，甚至是來自Sysinternals套件的合法工具像是PsExec等來執行系統或網路檢查作業。有些安全解決方案會標示這些非惡意工具，如果它們並非預先安裝在使用者電腦裡。IT管理者必須問，為什麼使用者會使用這些工具，如果沒有充分的理由，IT管理者可能撞見了攻擊者的橫向移動。

四.檢查是否有奇怪的大檔案

在系統內發現未知的大檔案需要加以檢查，因為裏面可能包含了從網路中竊取的資料。攻擊者通常在將檔案取出前會先儲存在目標系統內，往往透過「看起來正常」的檔案名稱和檔案類型來加以隱藏。IT管理者可以透過檔案管理程式來檢查。繼續閱讀

“我的公司沒有重要到會被攻擊 ?” IT 管理員對 APT 攻擊常見五個誤解

2014 年 08 月 25 日2014 年 08 月 25 日趨勢科技 TrendMicro

在趨勢科技努力解決APT攻擊-進階持續性滲透攻擊 (Advanced Persistent Threat, APT) /目標攻擊時，經常會和不同公司的IT管理者一起處理攻擊他們的網路威脅。從合作的過程中，我們瞭解到一些IT管理者對於APT攻擊常有的誤解（或該說企業普遍都有）。本文介紹其中一部分，希望可以啟發IT管理員如何去制訂打擊APT攻擊的策略。

1.處理APT攻擊只需一次性努力?
事實:追踪並攔截一次攻擊意圖不代表解決了威脅

一些IT管理者認為處理APT 攻擊是一次性的努力 – 也就是說偵測和阻止一次惡意活動就會結束整個攻擊。但事實是，APT攻擊，因為這個詞很好地描述了它的特性：進階和持久。這些攻擊往往經過精心策劃和能夠靈活地去適應目標網路內的變化。能夠追踪並攔截一次攻擊意圖不代表解決了威脅。如果要說，它可能代表還可能有許多其他沒被發現的攻擊意圖，需要不斷地監控。

2.APT攻擊有一體適用的解決方案 ?
事實:所有的網路都不相同，這意味著每一個都需要不同配置

對於完整而有效的APT攻擊解決方案的需求相當高，但想想 APT攻擊的本質，就知道這樣的解決方案並不存在。攻擊者花費許多時間去偵察和了解目標企業 – 它的 IT 環境和它的安全防禦 – IT 管理者在制訂安全策略時需要去考慮到這種想法。所有的網路都不相同，這意味著每一個都需要不同配置。IT管理者需要充分了解網路，並實施必要的防禦措施以配合他們的環境。
3.你的企業沒有重要到會被攻擊 ?
事實:攻擊者可用你認為不重要的資料,發動社交工程（social engineering ）攻擊

另一個企業談到APT攻擊時的常見想法是，他們不太可能成為目標，因為他們的系統內沒有重要資料。不幸的是，資料的重要性可能取決於想獲取人的意圖。例如，公司的人力資源可能不會覺得過去的應徵資料有多重要，但攻擊者可能會用它來作為社交工程（social engineering ）的參考資料。如趨勢科技 CTO Raimund在今年早些時候的影片中所說，企業需要確定自己的核心資料，並加以足夠的保護。

4.APT攻擊都只跟零時差漏洞有關 ?
事實:只要一個系統錯過一個更新，就可能危害到整個網路
毫無疑問地，零時差漏洞對企業和一般使用者都造成很大的危害。然而，根據過去所看到的APT攻擊分析，陳年漏洞也很頻繁地被使用。根據我們對於2013年下半年的APT 攻擊趨勢報告，最常被利用的弱點不僅是在2012年被發現，也是在該年就被修補。這種趨勢讓部署安全更新到網路內所有系統變得更加重要性 – 只要一個系統錯過一個更新，就可能危害到整個網路。

5.APT攻擊是惡意軟體問題?
事實:專注於惡意軟體將只解決問題的一部分
我要談論的最後一個誤解有點特殊之處，因為從某方面來說是真的。IT管理者大多只是關心要有解決方案來防止惡意軟體進入他們的網路。雖然這樣並沒有錯，但專注於惡意軟體將只解決問題的一部分。APT 攻擊不僅跟端點有關，而是跟整個IT環境有關。比方說，用來進行橫向移動的許多工具都是合法的管理工具。如果解決方案只集中在偵測惡意軟體，那它就無法偵測到惡意活動。IT管理員需要考慮能夠覆蓋網路各方面的解決方案。

想了解更多防止APT 攻擊的專家意見和防禦措施，請參考我們的APT 攻擊入口網站。

@原文出處：Common Misconceptions IT Admins Have on Targeted Attacks作者：Spencer Hsieh（威脅研究員）

將你的頭抬出沙堆！單靠沙箱技術並無法完全地對抗APT 攻擊

2014 年 08 月 21 日2014 年 08 月 21 日趨勢科技 TrendMicro

先前本部落格這篇「啟發式掃描和沙箱防護：雙劍合壁」文章說出了關於APT針對性攻擊和的實情。這文章點出為什麼單靠沙箱技術並無法完全地對抗APT攻擊。

它是一個重要部分，當然沒錯。然而不管是號稱獨門技術或額外特製，不要讓任何供應商說服你相信沙箱分析可以解決一切。它雖然有效，但單靠沙箱解決不了APT 攻擊。因為有過度簡化的風險，這裡有三個原因：

跟任何安全技術一樣，沙箱有自己的弱點。沒有兩家廠商的產品是一樣的；但總的來說，沙箱技術可以被攻擊者透過先進的偵察和攻擊準備來閃避掉。
正如TrendLabs的文章所說，攻擊者會在他們的進階惡意軟體中建立檢查點，尋找特定的Windows作業系統許可證、語言和其他設定，包括檢查虛擬環境。成熟的廠商會開發對策；然而，很少會提供建立客製化沙箱來模擬攻擊者試圖攻擊的目標桌面環境。
由於流量和攻擊載體的數量，很少組織具備足夠的財力和安全資源來建立可擴展的沙箱服務而不會影響到最終使用者的工作效率。

除了有嚴謹的研究來保持領先於攻擊者的沙箱迴避技術，趨勢科技也獨一無二的使用啟發式掃描在網路流量上。透過監視所有的網路端口，超過八十種協定和應用程式，我們可以提供獨特的先進分流技術來偵測進階惡意軟體和零時差漏洞而不用依賴沙箱技術。結合了這兩種技術，會更加有效率的偵測和回應針對性攻擊和進階威脅。

不用只聽我們講，實測是最好的證明：

最近零時差漏洞攻擊碼的部分名單

NSS實驗室入侵外洩偵測系統測試結果

@原文出處：Get Your Head out of the Sand! 作者：Bob Corson

啟發式掃描和沙箱防護：雙劍合壁對抗 APT 攻擊

2014 年 08 月 20 日2014 年 08 月 21 日趨勢科技 TrendMicro

趨勢科技一直都在對抗APT攻擊-進階持續性滲透攻擊 (Advanced Persistent Threat, APT) /目標攻擊，所以很清楚並沒有單一技術可以有效地防護組織網路來對抗這些造成嚴重影響的攻擊活動。這很可悲，沒錯，但它也意味著有許多安全技術可以加以利用，像是沙箱和啟發式掃描。它們協同工作就能夠合成強大的武器來提供防護。

採用啟發式掃描和沙箱技術這樣互補的技術可以補全對方的弱點，有效而快速地提早識別未知的威脅。啟發式掃描採用基於規則的系統以快速識別可能的惡意檔案。它的有效性在很大程度上依賴於規則如何定義。而另一方面，沙箱技術是種在受保護環境（通常是虛擬機）內安全地執行可疑檔案的方法，所以可以看到它會做些什麼而不會感染到主機。

效率和準確度

實際上，啟發式掃描可以做為檔案送至沙箱前的過濾器。這樣做可以降低成本和提高系統的承受量。啟發式掃描也可以判斷檔案的類型，這樣當你將兩樣技術配合使用時，舉個例子，啟發式掃描可以告訴沙箱一個Office檔案是Word 2003、Word 2007或Word1.0。這樣沙箱就可以利用適當/預期的環境下執行該檔案。

此外，即使一家公司有足夠的資源讓沙箱用各種可能條件來執行每一個檔案，還是有惡意軟體可以分辨自己是否運行在沙箱中，進而不會表現出任何惡意行為。對IT管理員來說，最好的辦法就是先用啟發式掃描來偵測這個檔案，以獲得更好的偵測覆蓋率。

解決方案與零時差攻擊

如前面所提到，啟發式掃描加上沙箱技術的有效性在很大程度上依賴於定義好的啟發式規則。這些規則需要足夠的前瞻性才能識別全新的威脅，但同時要夠具體才能避免誤判。

檢查這些規則有效性的好方法就是看這些規則如何處理零時差漏洞攻擊。本質上來說，零時差漏洞攻擊就是利用未修補漏洞的惡意軟體，但對於相似的漏洞攻擊技術，足夠「聰明」的啟發式規則就可以抓到它們。

比方說，趨勢科技進階威脅掃描引擎內就算是已經開發好幾年的舊啟發式規則也可以偵測到最近的零時差攻擊：

2014年5月的CVE-2014-05155被2014年所開發的規則所偵測 – HEUR_SWFJIT.B
2014年4月的CVE-2014-1761被2012年所開發的規則所偵測 – HEUR_RTFEXP.A/ HEUR_RTFMALFORM。
2014年2月的CVE-2014-0496被2010年所開發的規則所偵測 –HEUR_PDFEXP.A
2013年11月的CVE-2013-3346被2010年所開發的規則所偵測 –HEUR_PDFEXP.A

協助早期偵測

假設已被入侵：企業現在應該明白，越晚察覺到進行中的針對性攻擊活動，就越難減輕損害，甚或偵測到攻擊。因此，早期發現是網路防禦者的首要任務，而多層次防禦則是長期的作法。

@原文出處：Heuristic Scanning and Sandbox Protection: Best of Both Worlds作者：Chingo Liao和Kuanyu Chen（威脅分析師）

調查顯示：「企業領導者需要知道針對性目標攻擊(APT 攻擊)」

2014 年 08 月 12 日2014 年 07 月 31 日趨勢科技 TrendMicro

針對性目標攻擊攻擊和APT攻擊-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)對你組織的信譽、智慧產權、通訊和資料來說都是種不斷成長的風險。原因很簡單，發動針對性攻擊所需的武器和專業知識都是現成的。就跟你今天在線上購買一本書或你喜愛的歌曲一樣，攻擊者只需要一張信用卡和滑鼠來設計和執行針對性攻擊，同時使用支援的基礎設施和專業知識。

擔憂尚未明確

最近趨勢科技委託的哈佛商業評論分析服務所做的深入調查發現，有60%的企業管理階層非常關心針對性攻擊，有70％認為高層決策者在攻擊發生時需要瞭解影響程度。此外，根據研究，有三分之一不知道在這樣的攻擊下有什麼類型的資料會受到影響。

訊息很清楚：除非資深管理階層更了解問題的本質，和知道他們的組織哪裡容易受到進階攻擊，不然安全預算所解決的問題也有限。作為背景資料，有三分之一受訪者回應哈佛商業評論研究時指出，他們目前正被當作目標。更重要的是，調查中所提出的最主要安全擔憂包括了品牌形象受損（56％），損害專業信譽（54％），智慧產權損失（52％）和營收損失（49％）。更加迫切的是需要有辦法去遵循越來越多的規範和法律。

然而，「不知道」是當受訪者被問到他們的組織遇到這樣的攻擊時被竊取了什麼資料時的頭號答案，對針對性攻擊和進階威脅的性質及意圖缺乏深刻的瞭解。

是時候採取行動

那我們該如何建立IT和業務主管間的橋樑，以增加對攻擊的認知和排定安全投資的優先順序？嗯，這份報告建議了很棒的第一步，分類和識別哪些企業資料最有危險。然後安全團隊可以開始用更有效的投資回報名詞來介紹網路防禦技術。易於部署並能阻止廣泛攻擊卻又不會增加管理和支援成本的工具將會最受到青睞。

很清楚的是，針對性攻擊是一個日益嚴重的威脅，像趨勢科技屢獲殊榮的Deep Discovery樣的解決方案可以幫助企業偵測和回應針對性攻擊。

趨勢科技委託哈佛商業評論分析服務所做的調查可以在這裡下載。

＠原文出處：Survey Says: “What Business Leaders Need to Know about Targeted Attacks” 作者：Bob Corson