《APT /MAC 攻擊》另一起和西藏相關的攻擊活動針對Windows和Mac系統

趨勢科技最近報導過的一樣,我們又看到另一起目標攻擊,攻擊者會利用親西藏言論做為社交工程陷阱( Social Engineering)誘餌來入侵目標的電腦。而且這一次也一樣地同時針對Windows和Mac系統。

攻擊是從下列電子郵件開始:

 

使用者點入電子郵件中所包含的連結會被導到一個網站,它會透過程式碼來判斷訪客是使用 Windows或Mac系統。

這個網站目前無法連上,但我們還是想辦法從Google快取中找到程式碼:

《APT 攻擊/MAC 威脅》另一起和西藏相關的攻擊活動針對Windows和Mac系統

這個腳本會載入一個Java程式來攻擊漏洞CVE-2011-3544,這是一個Java Runtime Environment元件不明的漏洞。這個Java程式已經被偵測為JAVA_RHINO.AE。一旦它攻擊成功就會安裝SASFIS後門程式(BKDR_SASFIS.EVL)到Windows作業系統,或是OLYX後門程式(OSX_OLYX.EVL)到Mac OSX作業系統。

繼續閱讀

微軟控告殭屍網路ZeuS、SpyEye和Ice IX幕後黑手

微軟控告殭屍網路ZeuS、SpyEye和Ice IX幕後黑手

作者:趨勢科技資深分析師Rik Ferguson

 

 經過允許使用bixentro的Flickr相片

 

提交給法院長達162頁的文件裡,微軟和金融服務與資訊服務分析中心(FS-ISAC) – 一個代表4400個金融機構的經貿團體,還有NACHA – 電子付款協會一起控告了ZeuS、SpyEye和Ice IX殭屍網路/傀儡網路 Botnet背後的犯罪份子。

 

ZeuS、Ice-IX和SpyEye程式在網路犯罪史上有著漫長而惡名昭著的一席之地,ZeuS從2006年開始出現(2007年被告到法院),它要為數百個殭屍網路/傀儡網路 Botnet以及從消費者和企業的銀行帳戶中被竊取的數百萬英鎊負責。SpyEye原本是ZeuS的競爭對手,甚至當它發現目標電腦上有ZeuS存在,還會去移除它。但最近這兩個程式碼已經被合併成一個單一犯罪軟體了。

  繼續閱讀

時代變了 Mac使用者現在也會遭受目標攻擊

根據趨勢科技之前的研究顯示目標攻擊所產生的後續行為會跟作業系統有關,而最近我們又看到有惡意檔案會以Mac OSX作為目標。這個被偵測為TROJ_MDROPR.LB的惡意軟體是一支木馬,被用在對西藏的目標攻擊活動裡,最初是由Alienvault所提報的。

 在調查該活動時,趨勢科技發現被用在這次特定攻擊裡的C&C伺服器,跟最近所看到被用在一系列對西藏目標攻擊裡的Gh0stRat所用的C&C伺服器之一是同一個。

 下面是一封包含惡意DOC檔案的電子郵件,它會產生Gh0stRat並且連到上述的C&C伺服器:

 

 時代變了 Mac使用者現在也會遭受目標攻擊

再回頭看TROJ_MDROPR.LB,趨勢科技發現關於一個被用在這次攻擊的特定惡意文件的詳細資訊:

 

 

其中一個TROJ_MDROPR.LB進行的行為是會產生並打開非惡意的DOC檔案,好欺騙使用者以為自己打開的是一個正常檔案。

繼續閱讀

< 網路危機 >隱私曝光,女生好駭怕 ”正妹行蹤通報器”APP-從 Girls Around Me再談新版Facebook隱私設定

除了病毒會把隱私妹的裸胸自拍 Po 上網之外,會標示所在地的應用程式也是需要特別留心的

*不知道爆紅隱私妹?請看以下插播:

 

================================================================
編按: 本文提到的臉書隱私設定為舊版,詳情請看
防臉書帳號密碼被盜,必學Facebook隱私設定大全《 2013更新版 》

作者:趨勢科技Vic Hargrave

在去年春天,我在部落格上寫了一篇文章叫做「Facebook的隱私破洞」(中文相關文章“我的老闆比王老師還會掰”你覺得讚嗎?在Facebook 上最好低調”),文章內我解釋了如何去看Facebook那其實有些難用的隱私設定。而自那時候到現在,Facebook已經在它的隱私控制上作出了許多該有的加強。現在要控制你在Facebook上的隱私設定已經容易得多了。而現在也比以往任何時候都更加需要去了解如何在Facebook或其他社群網路保護好線上隱私。

我剛剛看到一篇讓我背脊發涼的文章。一個每天報導Apple相關新聞的網站 – Cult of Mac報導了一個iPhone應用程式 – Girls Around Me,它會將你附近一定距離內的女生位置標示在Google地圖上。它的運作原理是利用Facebook和Foursquare的 API來提供女生打卡時的所在位置。

女生好駭怕 APP”正妹行蹤通報器”-從 Girls Around Me再談新版Facebook隱私設定
圖說: 應用程式Girls Around Me會將你附近一定距離內的女生位置標示在Google地圖上。它的運作原理是利用Facebook和Foursquare的 API來提供女生打卡時的所在位置。圖片來自:https://www.cultofmac.com/157925/girls-around-me-dev-we-didnt-do-anything-wrong-statement/

問題在於,很多人不知道或不想去改變他們的隱私設定預設值,預設值通常會允許將目前位置這類的資訊分享給所有人。

限制你在Facebook(還有Foursquare)上的貼文只給特定對象,最好是只給你信任的朋友,以避免被類似Girls Around Me這樣的應用程式所追踪。現在,讓我們來看看你可以利用新的Facebook隱私控制來做什麼。

從最上層開始

點選Facebook下拉式選單裡的隱私設定,會出現你最上層的隱私設定。跟之

前的版本比起來,你會發現第一個進步就是你的最上層隱私設定已經清楚地分成幾個大項:「貼文的隱私控制」、「控制你的預設隱私設定」、「你的人際關係鏈」、「動態時報與標籤」、「應用程式與網站」、「限制舊貼文的分享對象」、「封鎖用戶和應用程式」。 繼續閱讀

雲端安全和APT防禦是同一件事嗎?

作者:趨勢科技Andy Dancer

 我最近在RSA上還有許多無法趕上演說的人前講到這個主題,他們問到這兩個看似無關的領域之間有什麼關連,我答應會寫出來好讓更多人可以了解,所以就是這篇了:

進階持續性威脅 (Advanced Persistent Threat, APT)「進階」是指使用了讓人難以置信、複雜的新惡意軟體,但實際上並非如此。通常「進階」是指研究上的難度,還有社交工程陷阱( Social Engineering)的設計,讓受駭目標去做出不該做的行為,並讓他們點下攻擊者所選的連結。

一旦攻擊者掌控了一台位在企業內部的電腦,就可以當做跳板來針對那些沒有直接連上網路的電腦找出漏洞。這是一個常見的手法,當修補程式出了一段時間之後,攻擊者還是可以攻擊成功,因為許多公司都不認為位在內部「安全」網路上的機器具備風險。而這個攻擊者直接控制受感染的電腦,有著足夠的時間(持續性)來悄悄地探測,直到發現他們可以利用的漏洞。

所以,你該如何抵禦這種目標攻擊?底下是幾件我們認為最該做的事:

 減少噪音

 保持現有的外部防禦來盡可能地抵禦所有的壞東西。這給你更多的機會去發現在內部網路上發生的事情。

 建立碎型外部防禦

 碎型是種數學形狀,它跟原本的形狀一樣,只是比較小。所以,當你放大之後就會回到原本的形狀。可以利用一樣的概念來加強你的防禦,多加一或兩層的防禦在重要資料的外圍。我會強烈建議部署虛擬修補程式到所有的伺服器上,可以在真正上修補程式前就提供保護,這在有人試圖攻擊漏洞時很重要。

 利用專門軟體來監控內部網路流量 

不要只是看對外的連線或是看流量是否超出設定值。還需要利用專門的威脅偵測解決方案來監控內部網路,以確保在攻擊發生時會收到警訊。

 追蹤和清理

當外面的電腦被攻擊之後,除了加以封鎖之外通常就不能做什麼了。但是如果是一個內部伺服器被攻擊,而且攻擊是來自另一個內部的機器。那封鎖攻擊就變得很重要,不只是因為你阻止這次攻擊,更重要的是你現在知道內部有機器正在做些不該做的事,而你可以在它試圖做出更複雜而不被偵測的攻擊(或是攻擊者連上來控制)之前就修復它。

保護你的資料

如果一切防護都失敗了,攻擊者已經突破了你的防禦,直達你的重要資料,其實還不算結束。你需要由內而外的第二道防禦,也就是資料加密,再利用資料防護來追蹤被帶走了什麼資料,並了解有哪些內容被盜走了。

假設已經被入侵成功了

應該預先設定的狀況是假設你旁邊的電腦已經被入侵了,並且據此來設定對應的防禦。 

最後的重點就是前面六點的總結,同時也提供了跟雲端安全之間的連結。在一個多租戶的環境(IaaS)底下,你應該假設你附近的機器有可能會攻擊你,並據此來設定防禦措施。你的供應商會提供許多安全功能:外圍防火牆、IPS等,還有在客戶間所做的內部網路分割,這些設計都是為了你的安全,但是通常在租約裡面沒有提供SLA。利用這些功能來消除噪音是不錯的作法,但是要假設還是有人在覬覦著你的伺服器或資料。為你的伺服器建立自己的外圍防護以保護好你的供應商所遺漏的部份。加密你的雲端資料,所以就算你的供應商將之放錯地方,你也還是受到保護的。這在商業上還有另外一個好處,就是當你想要更換供應商時,不論是因為價格更低或是功能更好,也都不必擔心你會遺留下敏感資料。

 對於內部(私有)雲來說也同樣適用。因為成本和運作效率,會將服務都放在一起,這樣做也減少了它們之間的分離性。所以還是要假設已經被入侵了,在環境裡實施虛擬分割,而跟實體環境相比,利用外圍防護和加密可以保持同樣甚至更提高安全性,同時利用無代理方案也會盡可能地保持相同的效能。

 所以雲端安全和APT防禦可能不是同一件事情,但他們可以有一樣的作法!

 @原文出處:Cloud Security and APT defense – Identical Twins?

 

APT 攻擊的特色:

【鎖定特定目標】針對特定政府或企業,長期間進行有計劃性、組織性竊取情資行為,可能持續幾天,幾週,幾個月,甚至更長的時間。

【假冒信件】針對被鎖定對象寄送幾可亂真的社交工程惡意郵件,如冒充長官的來信,取得在電腦植入惡意程式的第一個機會。

【低調且緩慢】為了進行長期潛伏,惡意程式入侵後,具有自我隱藏能力避免被偵測,伺機竊取管理者帳號、密碼。

客製化惡意元件】攻擊者除了使用現成的惡意程式外亦使用客制化的惡意元件。

安裝遠端控制工具】攻擊者建立一個類似殭屍網路/傀儡網路 Botnet 的遠端控制架構攻擊者會定期傳送有潛在價值文件的副本給命令和控制伺服器(C&C Server)審查。

傳送情資】將過濾後的敏感機密資料,利用加密方式外傳

 

@延伸閱讀
認識 APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)

《目標攻擊》狡猾的銀行木馬 CARBERP始作庸者遭跨國逮捕

《 APT 進階持續性滲透攻擊》16 封不能點的目標攻擊信件

傳統安全策略已經不再足以保護企業

《 APT 進階持續性滲透攻擊》病毒也愛林來瘋!!目標攻擊以林書豪傳奇故事為餌,安裝後門程式

《 APT 進階持續性滲透攻擊》BKDR_POISON 未來將出現更多挑戰

APT 進階持續性滲透攻擊研究報告10個懶人包

 

 APT 你命名 我送禮

◎ 歡迎加入趨勢科技社群網站