從紐約時報APT攻擊裡所學到的教訓

2013 年 02 月 04 日2013 年 09 月 17 日趨勢科技 TrendMicro

紐約時報發表他們從四個月前就開始遭受APT進階持續性威脅 (Advanced Persistent Threat, APT)。該報告還提供出一定程度的細節，這其實是相當少見的,任何對資訊安全和防範APT攻擊有興趣的人都應該花點時間來讀完紐約時報全部的故事。

紐約時報還做了一件事，就是指出了他們有安裝安全產品，但是這些產品未能阻止攻擊。他們甚至將這安全廠商列名出來,讓人覺得他們將矛頭指向該美國安全廠商。紐約時報的故事和安全廠商的反應似乎都暗示集中在基於病毒碼(特徵碼)的端點安全防護方案。

有了這些資訊以及我們對這攻擊的所知訊息，我們可以學到一些教訓，關於要怎樣如何才能充分保護網路環境以對抗APT進階持續性威脅 (Advanced Persistent Threat, APT)。

鎖定特定對象電子郵件帳號,進而存取 53 名員工個人電腦

本部落格分享過這篇:《APT進階持續性威脅~主要目標攻擊侵入點:eMail》63%產品規劃藍圖 ,76%預算計畫經由 email 傳送,紐約時報陳述攻擊的進入點也是透過針對特定對象的電子郵件帳號（大概是透過適當的開放情報收集所確認得來）。獲得控制權後，他們利用帶有特定目的的惡意軟體來建立命令和控制（C＆C）通訊點。接著，開始橫向移動，先偷取企業內所有員工的密碼（透過針對網域控制（DC）伺服器的攻擊），並用來存取其他系統（包括53名員工的個人電腦，其中大多數不屬於紐約時報編輯部）。
關於APT 攻擊常用的三種電子郵件掩護潛入技巧,請參考:《這裡》含多則中英文信件樣本

45個客製化惡意軟體潛伏部署,但廠商沒有偵測到

他們說從這起攻擊中所學到的教訓是，有45個客製化惡意軟體被部署,但安全廠商未被偵測。該報告接著說明沒有重要資料被竊取，因為這次攻擊被及早的發現。調查人員也在監控這起攻擊，以了解需要做些什麼來防護網路。

以病毒碼(特徵碼)為基礎的防護,無法全面主動監控

對於像是這樣複雜的攻擊來說，很明顯地，傳統基於病毒碼(特徵碼)的端點安全防護是不夠的。攻擊者可以製作並測試出多面向的目標攻擊以特別用來閃避這些產品的偵測。他們是整體安全防護的一個重要部分，但必須包含在更整體的防護策略中，包括啟發式偵測、動態信譽評比服務和主動式網路監控。

以客製化防禦對抗針對性攻擊

如我上面所說，我們不確定紐約時報用了哪些產品以及如何部署。但是，我們可以觀察這起攻擊所提供的細節，去了解攻擊者這些天做了哪些事情，從而確認怎樣的防護策略會最有效果。答案很顯然是設計用來對抗進階威脅的主動式、多層次安全防禦：現在需要客製化的防禦去對抗針對性的攻擊。如趨勢科技的Deep Discovery，便可以防禦目標攻擊。繼續閱讀

APT 駭客工具解密

2013 年 02 月 04 日2013 年 01 月 29 日 Trend Labs 趨勢科技全球技術支援與研發中心

在趨勢科技的2013安全預測中，我們提到惡意軟體會逐漸地演變，不會有太多顯著地變化。這可以從APT進階持續性威脅 (Advanced Persistent Threat, APT)使用一些（合法）駭客工具中看得出來。

這為什麼是個問題呢？駭客工具是種灰色軟體，並不一定會被防毒軟體防毒軟體所偵測，或因為道德法律考量讓他們不這樣做。不幸的是，這意味著在APT進階持續性威脅 (Advanced Persistent Threat, APT)鑑識調查裡更難發覺它。此外，它也讓攻擊者省下自己開發工具的麻煩。常見到的駭客工具有：

密碼回復工具 – 用來將應用程式或作業系統存放在本地硬碟或註冊表內的密碼或密碼雜湊值取出的工具。通常被用來複製或偽造使用者帳號以取得管理者權限。雜湊值注入（Pass-the-hash）是種常見的方式讓攻擊者透過偷來的密碼雜湊值取得管理者權限。

使用者帳號複製工具 – 當攻擊者取得密碼後，用來複製使用者帳號的工具。一旦取得足夠權限，攻擊者就可以繞過系統的安全措施，執行惡意企圖。
檔案操作工具– 用來操作檔案（複製、刪除、修改時間標記、搜尋特定檔案）的工具。它被用來修改存取過檔案的時間標記或刪除特定組件以掩飾入侵的痕跡。它也可以讓攻擊者透過副檔名搜尋所需要的關鍵文件。
排程工具– 用來關閉或建立排程的軟體。這可以讓攻擊者透過關閉軟體更新排程以降低受感染系統的安全性。同樣地，也可以做為惡意用途。例如，攻擊者可以建立排程以在特定時間自動竊取檔案。
FTP工具 – 用來執行FTP傳輸的工具，像是將檔案上傳到特定FTP站台。因為在網路上的FTP傳輸看起來比較不那麼可疑，有些APT（進階持續性威脅）幕後黑手會偏好將竊取來的資料上傳到遠端FTP站台，而不是上傳到C＆C伺服器。要特別指出的是，有好幾個合法的FTP應用程式也被網路犯罪份子所用。
資料壓縮工具– 這些工具本身並非惡意，也不被視為入侵用的工具。在大多數情況下，這些都是合法的檔案壓縮工具，像是WinRAR，只是被攻擊者用來將多個偷來的檔案加以壓縮合併。這可以在資料竊取階段，幫攻擊者將偷來的文件合成一個單一檔案上傳。在少數情況下，我們也看到這些應用程式被組合設定來壓縮預先定義好的一組檔案。

要如何判斷APT（進階持續性威脅）使用這些駭客工具？

我們已經看到要如何使用這些工具在APT進階持續性威脅 (Advanced Persistent Threat, APT)中取得管理者權限，並且收集關鍵文件。那麼IT管理員和進階使用者該如何利用這資訊來判斷有使用這些工具的APT進階持續性威脅 (Advanced Persistent Threat, APT)？繼續閱讀

亞洲的雲端運算安全現況

2013 年 02 月 01 日2013 年 01 月 24 日 Trend Labs 趨勢科技全球技術支援與研發中心

作者：趨勢科技雲端安全副總裁Dave Asprey

一次拜訪亞洲的旋風之旅裡，我在好幾個虛擬或面對面會議上發表演說，其中包括了Cloudsec2012。我拜訪了數十位代表雲端基礎架構安全的IT高階主管，他們來自日本、新加坡和其他許多亞洲國家。這次參訪讓我有機會去真正挖掘亞洲的雲端安全資訊，足以讓我寫出一份新報告 – 「亞洲的雲端運算安全現況」。

這份報告將會深入探討雲端運算的發展是如何影響亞太地區。具體來說，我們比較了日本、澳洲、新加坡、馬來西亞、印尼和印度，利用公開的資訊和我們自己所做的大型研究，我們對全球一千多家企業的五百多名員工進行調查，以了解雲端安全的做法。此外，這份新報告還包含了亞洲IT高階主管所強調的雲端運算四個主要領域：

巨量資料
社群網路
雲端平台
消費化

這四個領域相當重要，因為它們驅動著雲端應用的普及，這可能會導致亞洲的經濟成長。但是，在亞太地區的公司擁抱雲端運算嗎？

幾乎沒有。繼續閱讀

有趣的手機與 iPad失而復得故事(找回手機只要一張辣妹照片和一把鐵鎚?)

2013 年 01 月 31 日2015 年 06 月 11 日 Trend Labs 趨勢科技全球技術支援與研發中心

Nadav Nirenberg(右)偉裝成辣妹(右)跟竊賊交手,取回 iPhone — Nadav Nirenberg(右)假裝成辣妹(右)跟竊賊交手,取回 iPhone

作者：Richard Medugno

最近，我在赫芬頓郵報上讀到一篇關於某人在計程車上掉了iPhone的故事。

簡單地說，事情的經過是這樣的：一個年輕人Nadav Nirenberg將他的手機遺失在紐約的計程車上。當他發現手機掉了，他就一直撥打遺失手機的號碼。卻都沒有回應，但他發現他的線上約會帳號已經被人偷用了。很明顯地，是那個拿他手機的人做的。這個人冒用Nadav的名義在交友網站OKCupid上和別的女人互動，還貼了些不是很酷的東西。

所以Nadav很聰明地在OKCupid上建一個假女性帳號來誘騙這冒用他名義、偷他手機的人來他公寓約會。可以讀赫芬頓郵報的文章來了解Nadav是如何拿回手機的完整故事。

編按:
失主在Google搜尋一張露乳溝的金髮美女照片，並自稱為「布魯克林的珍妮佛」，好色竊賊果然上鉤了並約好見面時間。竊賊精心打扮帶著一瓶酒赴約，沒想到迎接他的卻是憤怒的男人及一把鐵鎚。到底是失主聰明還是竊賊笨呢?

遺失在飛機上的 iPad

Nirenberg的故事讓我想起了一個朋友Jen Burns，趨勢科技的前同事。她在加州到華盛頓特區的達美航空飛行上發現了一台iPad，就出現在她的座位和牆壁間。她思考著該怎麼做：

A) 將它交給航空公司或B）打開它，看是否能夠找出失主還回去。

根據她在資安方面的背景，她覺得將iPad直接還給失主會比較好。因為交給航空公司可能會在哪個環節遺失了。當然，選項B取決於她是否能在iPad上找到資料。結果證明這iPad的主人並不是趨勢科技的粉絲，因為這設備沒有密碼保護。在這情況下，它很幸運，因為Jen可以打開iPad，找出使用者（這裡用假名Claire），還有她和她先生的電子郵件地址。

Jen隨即就發送電子郵件給這對夫婦，告知撿到了他們遺失的iPad，並會在過幾天，度假結束後寄回給他們。他們很高興收到Jen的通知，也很感謝她會寄回iPad的。他們鬆了一口氣，因為iPad上，他們兩歲大孩子的照片還沒有備份。

好心沒好報?!威脅報警

所以Jen繼續她的假期，並且很高興自己做了正確的事情。不過在幾天後，她還在度假的時候，Jen查看電話，發現四則語音留言，來自Claire和他丈夫越來越激動的留言，要求歸還還iPad。最後一個留言還威脅著要報警。繼續閱讀

詐騙份子會想用我的資料做些什麼?

2013 年 01 月 30 日2013 年 07 月 03 日 Trend Labs 趨勢科技全球技術支援與研發中心

作者：Kyle Wilhoit（威脅研究員）

順帶一提，我想起當我跟鄰居提起我在資訊安全界工作時，他的下個問題就是：「這些詐騙份子為什麼想要我的資料？」越多人問我這個問題，也就越加明顯地，使用者資料是非常有價值的。

當你知道，只要花五美元就可以在地下論壇或網站購買你所有的個人資料，會感到很驚訝嗎？有些人可能還會驚訝地發現，被販賣的資訊還遠遠不止於你的姓名和地址。

在地下論壇被提到的「Fullz」所包含的不只是信用卡號碼、姓名和出生日期。「Fullz」通常透過幾種方式傳遞。首先，可能是文字檔或CSV檔案，一個包含所有資料，用逗號分隔的檔案。所有被蒐集來的個人細節都會包含在該檔案中，方便閱覽。此外，「Fullz」也可能透過可攜式資料庫格式來傳遞，像是MDF檔案，方便輸入本地端資料庫。你還可以找到註冊帳號時的個人問題，還有駕照資訊、社會安全號碼以及其他資料。