APT攻擊 - 資安趨勢部落格

《APT 攻擊》南韓爆發史上最大駭客攻擊企業及個人用戶電腦皆停擺

2013 年 03 月 22 日2013 年 09 月 04 日趨勢科技 TrendMicro

3 月 20 日當天，南韓三家大型銀行和兩家最大電視台因為遭到目標式攻擊而陷入癱瘓，造成許多南韓人無法從 ATM 提款，電視台人員無法作業。

【2013 年03月21日 台北訊】駭客針對南韓主要銀行、媒體，以及個人電腦發動大規模攻擊，截至目前為止，趨勢科技已經發現多重攻擊。駭客主要針對南韓主要銀行與媒體的補丁更新伺服器（patch management server）佈署惡意程式，造成受攻擊企業內部的電腦全面無法開機，作業被迫停擺；另一攻擊則針對南韓的企業網站，有的網站遭攻擊停擺，有的網站則是使用者造訪該網站都會被導向位於海外的假網站，並被要求提供許多個人資訊；此外，駭客並針對個人用戶發動電子郵件釣魚攻擊，假冒南韓銀行交易記錄名義，誘騙使用者下載內含木馬程式TROJ_KILLMBR.SM的執行檔，使用者電腦開機區遭到覆蓋，導致使用者無法開機。

趨勢科技內部偵測到的針對企業內部的目標攻擊，目前已知受影響的企業主要為銀行以及媒體。這波攻擊以企業補丁更新伺服器（Patch Management Server）為標的，駭客成功入侵受害企業的補丁更新伺服器佈署惡意程式，該惡意程式會隨著企業員工電腦定期下載補丁(Patch) 而散佈至企業內部，造成企業內部電腦全面停擺，無法進行作業。

另一個攻擊則針對企業網站進行攻擊，目前已知南韓知名企業網站遭到入侵，並恐有被植入不明惡意程式之可能。除了企業之外，駭客並針對銀行使用者展開一波社交工程陷阱( Social Engineering)郵件攻擊。駭客透過一封假冒南韓銀行的信件，信件內容表示為使用者的交易記錄，要求使用者打開附件，附件內容其實為一個執行檔，一旦使用者下載執行後，將被下載一個名為TROJ_KILLMBR.SM的惡意程式，電腦開機區的所有資訊將被覆蓋，導致電腦無法開機。繼續閱讀

當 APT 攻擊者擁有很大程度的控制權時，該怎麼辦？

2013 年 03 月 20 日2013 年 03 月 26 日 Trend Labs 趨勢科技全球技術支援與研發中心

一封假冒銀行交易的信件,導致南韓爆發史上最大駭客攻擊企業及個人用戶電腦皆停擺企業該思考的是,當我們的傳統防禦失敗後，接下來有什麼方法來防止APT進階持續性威脅 (Advanced Persistent Threat, APT)/目標攻擊？比較好的態度就是假設攻擊已經進到在內部網路裡，因為這會迫使我們去重新思考目前的保護措施。

了解目標攻擊：我們要如何防禦？

作者：Martin Roesler（威脅研究總監）

在上一篇的文章(了解目標攻擊：我們真正對抗的是什麼？)裡，我談到在APT進階持續性威脅 (Advanced Persistent Threat, APT)/目標攻擊裡攻擊者所掌握到的優勢。還有接受這事實，好正確地處理攻擊是如何的重要。現在來到困難的部分：當我們認識到攻擊者擁有很大程度的控制權時，我們現在該怎麼辦？

請記住，即使我們認知到攻擊者掌握更大的控制能力時，並不代表我們沒有任何控制能力。我們的確有，而且要記住，如何善用我們所擁有的控制能力去處理目標攻擊是非常重要的關鍵。

控制外圍網路

當然，想要讓任何形式的控制能力真正發揮作用，我們就必須完全瞭解自己到底掌控什麼。牢牢控制誰和什麼東西可以存取網路，和擁有什麼層級的權限可能會犧牲掉大部份員工的便利性，但是想到APT進階持續性威脅 (Advanced Persistent Threat, APT)/目標攻擊的危險性，還是把安全性放在第一位比較重要。

確認網路的部分工作就是要有深入的了解，具體化我們認為正常的作業、流程、事件和行為。知道什麼是真正的正常，將有助於更快也更正確地識別出異常來。

一旦確認好網路範圍，另個關鍵是要有監控網路的措施，這裡所談的是對於任何網路進出的能見度和控制能力。可以幫助網路管理員這樣做的技術之一是DNS Response Policy Zone（RPZ）。DNS RPZ提供一個可擴展的方式來管理對於網路的連結。如果加上網域黑名單，就會建立一個更加安全的網路環境。

部署由內到外的防護

傳統的防禦重點在於強化防火牆和透過黑名單來過濾壞份子。而在今日，這個「由外到內」的策略對抗一般的簡單攻擊是很有效，但在面對APT進階持續性威脅 (Advanced Persistent Threat, APT)/目標攻擊時就幫不上忙了。傳統防禦是用來對抗那些形式和來源都很容易識別的攻擊，但非目標攻擊。

傳統的防禦

一個更佳防禦的典範是魔戒裡的剛鐸首都 – Minas Tirith。這座城堡的設計是將主城放在中心，四周環繞著七層高牆。每一個層都比前一層還高，最外圍的牆壁最低矮，但也最堅固。每層牆壁都有城門，但門與門之間沒有辦法直接通過，每個城門都位在城堡的不同方位。這也是軍事戰略中被稱為「縱深防禦」的策略。它非常有效，因為不僅提供對外部攻擊的防護，還可以防止由內發起的攻擊。套用在網路防禦上，就好像部署多層次防護，並對關鍵資料進行加密。

繼續閱讀

《APT攻擊/威脅》水坑攻擊: 不是去攻擊目標，而是去埋伏在目標必經之路

2013 年 03 月 19 日2013 年 03 月 20 日 Trend Labs 趨勢科技全球技術支援與研發中心

「水坑（Watering hole）」攻擊和我們一般認為的網路攻擊相反。並不是去攻擊目標，而是去埋伏在他們知道目標可能會去的地方。

跟你在老西部片裡會看到的一種策略類似，壞人會在沙漠裡的一個水坑盯哨，因為他們知道目標會在這停下來取水，就可以在此時展開攻擊。因為最終每個人都還是要到水坑喝水的……

作者：Christopher Budd

如果你最近有看新聞，那可能會注意到有許多大公司被駭了，就好像在看富士比排行榜一樣：紐約時報、華爾街日報、臉書、推特、蘋果和微軟。

這是起非常成功的駭客攻擊，同時也會讓人感到非常不安：我從不記得曾經有過如此多大型而重要的公司宣布被成功地攻擊。在一些討論裡清楚地顯示出這是起目標攻擊。APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)或目標攻擊就是駭客會針對特定公司或個人來獲取資料。除非你在這樣的公司工作，或本身是個名人，不然就不大可能成為這種攻擊的受害者。

但這些故事聽起來還是很令人心生恐懼，不僅讓人想問：到底發生了什麼事？這是怎麼發生的？

另一種類型的攻擊

當我們想到駭客對某家公司進行攻擊時，浮在腦海裡的印象往往是入侵者會去試探網路，找尋可以入侵的地方。但我們現在看到的並不一樣，因為有這麼多公司受到影響。因為其目標的大小和攻擊的規模在在顯示出這和之前不同。

一般的共識是，最近所發生的這許多起APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)攻擊是被稱為「水坑（Watering hole）」攻擊的結果。「水坑」攻擊事實上和我們一般認為的網路攻擊相反。並不是去攻擊目標，而是去埋伏在他們知道目標可能會去的地方。

一旦目標出現，他們就會展開攻擊。這是一種被稱為「水坑」的攻擊方式，因為它跟你在老西部片裡會看到的一種策略類似，壞人會在沙漠裡的一個水坑盯哨，因為他們知道目標會在這停下來取水，就可以在此時展開攻擊。因為最終每個人都還是要到水坑喝水的……

網路水坑：行動開發者網站被入侵？

最近的這些攻擊很可能是因為行動開發人員所經常瀏覽的網站被入侵淪陷了。在接近二〇一二年底，趨勢科技TrendLabs看到一起水坑（Watering hole）針對美國外交關係委員會的網站。

水坑（Watering hole）的另一個共同特徵是會使用零時差漏洞，就像上個月我所提到的Java零時差漏洞。事實上，最近的這些攻擊也可能是Java的另一個問題所造成的。

最終，這些攻擊的目的都是為了要進入這些公司的網路來竊取資料或其他資產。進行破壞也有可能是針對政府設施和機構時的目的。你可以將這認為是一起複雜有計劃的專業攻擊第一步。

繼續閱讀

Mandiant APT報告被當作社交工程信件誘餌

2013 年 03 月 18 日2013 年 03 月 22 日 Trend Labs 趨勢科技全球技術支援與研發中心

作者：JM Hipolito

在趨勢科技研究威脅的過程裡，我們看過了不同類型的社交工程陷阱( Social Engineering)，好用來帶起不同的情緒，像是害怕或高興。這些誘餌往往很有效，因為我們過去看過好幾個成功的事件。然而，它們也很容易辨認，因為往往都使用類似的主題，就是最近發生的事件或節慶。

還有些則利用了不同的、更為低調的作法。這些伎倆不是為了引起注意，而是盡可能的避免。它們試圖融入目標受害者的日常生活，或利用他們的興趣來引他們入局。雖然這些伎倆相較於他們所帶來的攻擊來說非常安靜，它們很難被偵測，但往往更加險惡。

其中一個例子是水坑技術，被用在最近一次影響了Facebook和Apple等公司的攻擊裡。選擇使用行動開發者論壇當做水坑，這誘餌幾乎是完全被動的，並不施展任何手段來吸引受害者訪問該網站。這網站是被精心挑選過的，因為它已經被確認是目標攻擊受害者平常會去逛的網站。

早些時候，趨勢科技也看到最近所公佈的Mandiant報告被當做誘餌。這攻擊開始於寄件者建議去閱讀聲稱是該報告的PDF檔案（當然，這實際上是個惡意PDF檔案，被我們偵測為TROJ_PIDIEF.VEV）。

繼續閱讀

六成受訪者表示可能是APT攻擊的目標,但不到一成認同客製化攻擊需要不同的解決方案

2013 年 03 月 04 日2013 年 02 月 27 日 Trend Labs 趨勢科技全球技術支援與研發中心

為何在看Mandiant報告前要先讀ISACA APT研究報告？

作者：Christopher Budd

這是出現在紐約時報上的另一起重大資訊安全新聞。在三個禮拜前，他們詳述了關於網路遭受APT進階持續性威脅 (Advanced Persistent Threat, APT)。今天他們報導了另一個故事，關於正在攻擊世界各地公司和組織的間諜活動和企業間諜活動。

但對於一般客戶來說，雖然這故事很吸引人，但上週由ISACA所發表的2012進階持續性威脅（APT）安全意識研究報告更為重要，因為它提供更多關於如何保護你公司或組織的資訊。紐約時報的文章是很好的閱讀材料，但ISACA報告可以幫你不落入紐約時報所提到的故事內。

63%的受訪者表示他們可能是APT攻擊的目標,僅僅9.6%的受訪者認同客製化攻擊需要以不同的方法來解決

我們從這問卷調查中所看到的重要事情是，人們在擔心APT進階持續性威脅 (Advanced Persistent Threat, APT)和知道它們如何進行之間的嚴重脫節。

有63%的受訪者表示他們可能是APT攻擊的目標。但同時，幾乎有一樣多的人（53.4%）認為APT攻擊和傳統威脅「類似」。這意味著，僅僅略低於10%（正確來說是9.6%）的受訪者認為這是一種威脅，並且了解到這是個不同類型的威脅，需要用在根本上不同的方法來解決。

出現這類的故事時，經常會有客戶問：「我可以防護這種攻擊嗎？」他們大部份時候的真正意思是「你的病毒碼/特徵碼可以抓到這攻擊嗎？」對這問題的正確答案是：這其實並不重要，這些攻擊的設計就是用來避過基於病毒碼/特徵碼的客戶端安全防護偵測。我們可以從對紐約時報的攻擊裡看出這一點。事實上，我們相信這些攻擊通常會經過基於病毒碼/特徵碼的客戶端安全產品測試，以確保它們不會被偵測到。

是的，我們的確可以防護這篇報告裡所提到的多數惡意軟體，也會對新惡意軟體建立新防護。但這也強調了被動的、基於病毒碼/特徵碼的客戶端安全防護只是你面對APT攻擊整體防護的一部分。面對客製化的攻擊，需要有不同的方法來進行防禦。一個客製化的防禦會利用進階的偵測技術，在真正傷害造成前發現攻擊。

如果你擔心APT攻擊，重要的是要真正了解威脅的本質，以能夠更好地加以防禦。ISACA問卷調查結果顯示出許多會擔心的人卻不真的了解這威脅，並可能使用錯誤的工具，讓他們的組織陷入危險。

繼續閱讀