目標攻擊 - 資安趨勢部落格

＜APT進階持續性威脅＞經由Email 發送的＂員工滿意度調查＂PDF檔案含SYKIPOT，展開目標攻擊行動

2011 年 12 月 22 日2011 年 12 月 30 日趨勢科技 TrendMicro

又有一起APT進階持續性威脅（Advanced Persistent Threats, APT）（註）

上禮拜所報導的Adobe Reader零時差漏洞（CVE-2011-2462）已經被用在從11月開始的目標攻擊。惡意PDF檔案經由電子郵件發送給目標，而郵件內文還會引誘目標去打開看似員工滿意度調查的惡意附件檔。一旦開啟之後，惡意軟體BKDR_SYKIPOT.B就會被安裝到目標的電腦上。已知的受害目標包括美國國防工業和政府部門。

APT 進階性持續威脅:目標攻擊常用媒介之給員工的信件

目標攻擊通常是有組織有計劃的攻擊行動。這攻擊行動是從對各個目標做一連串攻擊開始，然後持續一段時間，並不是各自獨立的「破壞搶奪」攻擊。雖然每個單一事件的資料可能都不完整，但時間久了，我們也就能把每塊拼圖給組合起來（攻擊媒介、惡意軟體、工具、基礎網路架構、目標），就會對一次的攻擊行動有了全盤的了解。

Sykipot攻擊行動在這幾年來已經有了許多名稱，它的歷史可以被追溯到2007年，甚至是2006年。

一次跟這次類似的攻擊發生在2011年9月，它利用美國政府醫療給付文件做誘餌。而這次攻擊利用了Adobe Reader的零時差漏洞（CVE-2010-2883）。在2010年3月，則是利用Internet Explorer 6的零時差漏洞。所以在過去兩年內就用了三次零時差攻擊。

其他的攻擊還發生在2009年9月，利用漏洞CVE-2009–3957加上跟國防會議有關的資料，和使用一個著名的智囊團身份當做誘餌。在2009年8月，另外一次針對政府員工的攻擊用應急應變管理的劇情跟聯邦緊急事務管理總署（Federal Emergency Management Agency，FEMA）的身分當做誘餌。而這次攻擊裡所使用的命令和控制（Command and Control，C＆C）伺服器也被用在2008年的攻擊裡。

最後，則是發生在2007年2月的攻擊，它利用惡意Microsoft Excel檔案漏洞（CVE-2007-0671）來植入惡意軟體，這惡意軟體的功能跟BKDR_SYKIPOT.B很像，所以也很有可能是它的前身。而這次攻擊中所使用的C＆C伺服器的歷史則可以追溯到2006年。繼續閱讀

打開員工滿意度調查 PDF 附件,後門程式在裡面!!

2011 年 12 月 20 日2011 年 12 月 30 日趨勢科技 TrendMicro

作者：趨勢科技 Erika Mendoza（威脅反應工程師）

當我看到這篇部落格文章時，我最先想到的是：「這是另一次的目標攻擊擊嗎？」我看了一下這文章內所提到的PDF檔案，它看起來像是給某國防承包商員工的員工滿意度調查。趨勢科技產品會將這惡意PDF檔案偵測為TROJ_PIDIEF.EGG。下面是這文件的截圖。

在我看來，網路犯罪分子的目標是這間國防承包商的員工以獲得該公司的資料，甚或是它客戶的資料。趨勢科技還發現到他們的客戶包括了許多廣為人知的聯邦政府機構。

這個PDF漏洞攻擊碼跟其他常被使用的漏洞攻擊碼類似。裡面夾帶了惡意JavaScript以執行shellcode來解開並安裝內嵌在PDF內的二進位檔案。下面是被嵌入的二進位檔案，趨勢科技將其偵測為BKDR_SYKIPOT.B。

繼續閱讀

什麼是 APT 攻擊/進階持續性威脅 (Advanced Persistent Threat, APT)？

2011 年 09 月 13 日2022 年 05 月 24 日趨勢科技 TrendMicro

什麼是 APT？簡單的說就是針對特定組織所作的複雜且多方位的網路攻擊。

APT 進階持續性滲透攻擊(Advanced Persistent Threat, APT)可能持續幾天，幾週，幾個月，甚至更長的時間。APT攻擊可以從蒐集情報開始，這可能會持續一段時間。它可能包含技術和人員情報蒐集。情報收集工作可以塑造出後期的攻擊，這可能很快速或持續一段時間。

例如，試圖竊取商業機密可能需要幾個月有關安全協定，應用程式弱點和文件位置的情報收集，但當計畫完成之後，只需要一次幾分鐘的執行時間就可以了。在其他情況下，攻擊可能會持續較長的時間。例如，成功部署Rootkit在伺服器後，攻擊者可能會定期傳送有潛在價值文件的副本給命令和控制伺服器（C&C Server）進行審查。

本片為APT 攻擊(Advanced Persistent Threats) 真實案例改編,為了全方面了解目標攻擊對象,駭客鎖定目標攻擊者的財務狀況、社交活動等細節,還要列出所有部們和員工名單,甚至要知道員工會不會在網路上討論老闆。當然網路的邊界防禦措施和對外的網路連線系統,是必要的調查條件。

—————————————————————————————–

企業面對不斷演變的資安威脅環境。其中一項最大的挑戰就是APT進階持續性滲透攻擊（Advanced Persistent Threats, APT）它是針對特定組織所作出複雜且多方位的攻擊。要減輕APT的風險需要比傳統的多層次防禦更先進的作法，包括即時威脅管理。本綱要系列介紹APT的性質，它們對企業所構成的風險，以及如何去封鎖、偵測並遏制APT和其他新威脅的技術。我們先從實務面來評估APT的性質，大綱如下：

今天APT的性質
不斷變化的資安威脅環境
APT的要素
不斷變化的企業運作，讓問題更加複雜
評估控制和減輕APT風險的可能性

很顯然地，資安威脅環境變得越來越具有挑戰性。對於資訊系統進行攻擊的動機和方法正在發生變化。有決心有毅力的攻擊者正運用著多種手段去打破安全控制。企業需要透過多種安全控管來做應對，包括即時監控和快速遏制措施。

今天的APT

APT是針對一個特定組織所作的複雜且多方位的網路攻擊。不管是就攻擊者所使用的技術還是他們對於目標內部的了解來看，這種攻擊是非常先進的。APT可能會採取多種手段，像是惡意軟體，弱點掃描，針對性入侵和利用惡意內部人員去破壞安全措施。

APT是長期且多階段的攻擊。

APT攻擊的早期階段可能集中在收集關於網路設定和伺服器作業系統的的詳細資訊，接著，精力會放在安裝Rootkit或其他惡意軟體去取得控制權或是跟命令與控制伺服器（C&C Server）建立連線。再下來的攻擊可能集中在複製機密或是敏感數據來竊取知識產權。

重要的是要明白，APT不是一種新的攻擊手法，也不是可以藉由阻止或破壞一次攻擊就讓問題消失。APT可以被視為更像是一個網路攻擊活動而不是單一類型的威脅;可以想成是進行中的過程。防毒程式可能會阻止APT攻擊所使用的惡意軟體，但並不意味著停止攻擊。就其性質而言，一個APT是一段持續的攻擊。如果一個戰術行不通，就會再嘗試另外一個。實際上，我們不應該只去思考單一對策，或只是在多層次安全策略上增加更多防禦層，相反的，我們應該思考將其他例子中可能用來攔截、偵測和遏制的各種方式都組合起來。現在，很合理的我們會想問，要如何做到這一點？

繼續閱讀