《APT攻擊》 2013年目標攻擊的三個預測

趨勢科技 TrendMicro

作者:Nart Villeneuve(資深威脅研究員)

APT

現在對於目標攻擊的認識,包括APT進階持續性威脅 (Advanced Persistent Threat, APT)已經在廣大的安全社群內成為主流。我預計到了2013年,我們的認知將會面臨到挑戰。我們在過去幾年間看到所謂「技術上不複雜」的攻擊是如何被成功的運用,我認為他們也將會繼續這樣做。他們的伎倆會盡可能的發揮在人的因素上,其次才是技術部分。

 

趨勢科技技術長 – Raimund Genes的2013年預測中,他認為惡意軟體攻擊將會變得越來越複雜,這並不一定是指惡意軟體本身的技術部分,而是如何去佈署攻擊。此外,他認為這類攻擊將會有越來越多具備破壞能力,使得做屬性分析時更加困難。基於這些觀點,以下是我對於2013年的趨勢預測:

  1.  越來越多針對性地區性目標攻擊尤其是有些知名的APT進階持續性威脅 (Advanced Persistent Threat, APT)活動日漸公開。我們將會看到本地化攻擊的增加,像是除非符合一定條件,不然惡意軟體不會執行。比方說語言設定,或是只會影響某些地區,甚至特定網段的水坑攻擊(Watering Hole )攻擊。
  2. 更多帶有破壞性的間諜活動:我們現在都認為目標攻擊的動機是間諜活動,但在2013年將會看到有更多攻擊帶有破壞性質。將會有越來越多目標攻擊所使用的惡意軟體具備破壞能力。無論這是它的主要企圖(即破壞),或是作為清理攻擊者蹤跡的手段。這功能很可能是時間性攻擊的一部分,運用在明確的政治(或是軍事)目的上。
  3. 故佈疑陣,讓判斷更困難: 繼續閱讀

2012年目標攻擊/ APT 攻擊回顧

趨勢科技 TrendMicro

作者:Nart Villeneuve(趨勢科技資深威脅研究員)

經過了整個2012年,我們研究了各式各樣的目標攻擊,包括好幾個APT進階持續性威脅 (Advanced Persistent Threat, APT)攻擊活動(像LuckyCatIxeshe),也更新了一些已經運行一段時間的攻擊活動(像Lurid/Enfal和Taidoor)。資安社群在今年有許多關於目標攻擊的精采研究發表,我將這些有意思的研究集結起來,分成六個我認為可以代表2012年目標攻擊趨勢的主題:

 

  • 目標和工具 –
    雖然在2011年,目標攻擊幾乎就等同於APT進階持續性威脅 (Advanced Persistent Threat, APT)。在2012年出現了各式各樣的攻擊,特別是在中東地區,包括沙烏地阿拉伯的ShamoonMahdi攻擊活動GAUSSWiper/Flame,這些都被卡巴斯基所記錄起來。還有一些攻擊和中東地區衝突有關,最顯著的是敘利亞以色列和巴勒斯坦(參考Norman的研究分析)。APT活動在2012年仍然是個重大的問題,Dell SecureWorks發表了一份集結各種APT活動的報告,還有關於MirageSinDigoo的報告來闡述問題的影響範圍。彭博社發表了一系列關於「Comment Crew」的文章,詳細介紹了APT攻擊活動的廣度和影響。還有針對俄羅斯台灣韓國越南印度和日本的活動也相當活躍。除了目標地理位置的擴張之外,我們也看到了所針對技術的擴展,包括Android行動設備和Mac平台。來自Citizen Lab的Seth Hardy在SecTor上作了一場很棒的演講,介紹了今年所新興的各種Mac相關遠端存取木馬(RAT)(SabPubMacControlIMULER/RevirDokster)。雖然我們在過去看過智慧卡的相關攻擊,不過感謝來自Sykipot和AlienVault的精采分析,提供蓄意用智慧卡做目標攻擊的技術細節。
  • 隱匿性和持久性 –
    這些是主要的趨勢之一,根據Mandiant在2012年的文件,APT活動之所以不只是惡意軟體,正因為確保持久存取會使用正常應用程式(例如VPN)。此外,雖然許多進行中的APT攻擊活動所用的惡意軟體可以經由網路流量分析而偵測,微軟發現一個舊惡意軟體組件會在NDIS(網路驅動程式介面規範)層建立一個隱蔽的後門,讓偵測變得更加困難。除了隱身在網路層,我們也看到在某些案例中,出現有數位簽章的惡意軟體讓檔案系統層級的偵測變得更加困難。有數位簽章的惡意軟體當然不是新伎倆,還有個大量被用在目標攻擊上的遠端存取木馬(被稱為PlugX),使用一種DLL搜尋路徑劫持(這技術本身也不是新的)。
    另一個出現在Mandiant報告中的HiKit工具也會利用DLL搜尋路徑隱藏在檔案系統層級,同時會在網路層竊聽進入流量(像是早期的遠端存取木馬),而非只是對外連接到命令和控制伺服器。Flame惡意軟體則會利用MD5碰撞攻擊劫持Windows Update功能來散播。將隱匿性及持久性帶到另一個境界。
  • 社交工程陷阱( Social Engineering) 
    毫無意外地,魚叉式網路釣魚郵件仍然是目標攻擊主要用來傳遞惡意軟體的機制。但其他技術,像是「Watering Hole」攻擊也讓人極為注目。Shadowserver發表了被他們稱之為「策略性網站入侵(Strategic Web Compromises)」的研究分析,利用了Java和Flash的漏洞攻擊碼,而RSA報告中所提到的VOHO攻擊活動,也使用了相同的技術。但在2012年,另一個有趣的社交工程伎倆就是利用安全廠商對惡意軟體的分析做為誘餌,來傳播惡意軟體。不過,魚叉式網路釣魚郵件和淪陷網站並不是唯一的攻擊途徑。即時通(被認為用在針對Google的Aurora攻擊)也提供了另一條攻擊路線。Skype也被報導提到用在敘利亞衝突的DarkComet RAT攻擊內。
  • 攻擊是最好的防禦 –
    在2012年,有個新興資安公司 – Crowdstrike提出了「攻擊是最好的防禦」概念,雖然這概念常被狹隘地理解為「駭回去」,但我卻想從David Dittrich所謂的「 主動回應連續(Active Response Continuum)」背景下來理解這件事。有各種戰術可以應用,滲透,強迫下線(不管是通過技術手段回報濫用行為策反點名和羞辱法律機制和執法單位合作)或是欺敵行動,好來進行反擊,而不是只能「駭回去」。這些都是經常用來對付犯罪份子的行動,但也可以應用在這裡。在一定程度上,針對基礎設施的攻擊,通常都是國家默許或國家資助的。所以這些措施以外的反擊作法也很吸引人,因為有國家資助的案例通常是不適用於法律途徑的,所以我們也開始看到這樣的行動出現。在2012年的一個案例中,CERT-GOV-GE不僅取得存取「Georbot」殭屍網路命令和控制伺服器的能力,還誘使殭屍網路運營者去偷取一個惡意檔案。執行之後,就讓CERT-GOV-GE可以遠端錄下運營者的影像。
  • 「超限」武器交易 
    這個備受爭議的話題 – 販賣零時差漏洞攻擊碼搭配的惡意軟體,在2012年已經是個公開的祕密。美國公民自由聯盟的Christopher Soghoian在VB2012大會上用這題目做了主題演講。除了會買賣漏洞和攻擊碼之外,也有惡意軟體的交易是在政府授意下。Morgan Marguis-Boire發表了被稱為FinFisher的產品(也可用來偵查智慧型手機)是如何被英國政府散播的相關資料。還有被義大利公司所散播的後門程式,據報導是被政府用來監控異議份子。另外Dell SecureWorks的Joe Stewart發現「一個由位在某亞洲國家(非中國)的私營電腦安全公司所經營的龐大網路間諜活動針對國外軍事單位」,進一步說明了問題的嚴重程度。 繼續閱讀

從IE最新零時差漏洞看水坑技術(Watering Hole )為何仍有效?

趨勢科技 TrendMicro


hacker with mask2

一月初美國外交關係協會的網站被入侵放置一個針對微軟IE瀏覽器的零時差漏洞攻擊碼。經過分析發現,這次攻擊只針對特定的族群。只有當使用者瀏覽器語言設定為英文(美國)、簡體中文(中國)、繁體中文(台灣)、日本、韓國或俄羅斯才會被影響。

微軟已經針對該漏洞發布一個安全公告,微軟已經釋出安全修補程式來解決這問題。建議使用者馬上更新。趨勢科技趨勢科技的用戶可以經 Deep Security的下列規則來受到保護:

 

  • 1005297 – Microsoft Internet Explorer CDwnBindInfo Object Use-After-Free Vulnerability (CVE-2012-4792)
  • 1005301 – Identified Suspicious JavaScript Encoded Window Location Object
  • 1005298 – Microsoft Internet Explorer CDwnBindInfo Object Use-After-Free Vulnerability (CVE-2012-4792) Obfuscated

 

上述規則可以偵測所有已知變種的攻擊。

微軟IE瀏覽器的使用釋放後(use-after-free)漏洞可以讓遠端攻擊者執行任意程式碼。正如微軟部落格中所描述的,趨勢科技也觀察到至今被回報的目標攻擊都是透過編碼過或混淆化的JavaScript Window Location Object來觸發,這通常是被用來改變目前視窗的的位置。這漏洞是在CButton Object被釋放後,當頁面重新載入時,它的引用會被再次使用並指向無效的記憶體位置,讓當前使用者執行任意程式碼。微軟的IE6、IE7,IE8都會受到影響,但新版本 – IE9、IE10則沒有這個漏洞。

 

舊卻有效

水坑攻擊(Watering Hole )並不算新,事實上,早在二〇〇九年就有出現過這種技術,不過他們同時也認為水坑攻擊在未來將會更加普遍,並且將專門用在目標攻擊上。為什麼呢?

Raimund對二〇一三年的預測裡提供了一個可能的答案,他說,攻擊者將更加著重於如何去佈署威脅,而非開發惡意軟體。攻擊者在進行攻擊前會盡可能的收集關於目標的資訊,以設計出更加有效進入目標的方法。

如果我們檢視水坑攻擊是如何運作的,我們會發現所使用的方法都非常熟悉。然而,這種威脅本身所採用的策略佈署讓跟其他類似網站入侵或零時差攻擊等威脅看來是在不同層級上,就好像魚叉式網路釣魚(Phishing)郵件會比一般垃圾郵件(SPAM)威脅來得更有效率一樣。攻擊者可以利用對於目標資料的了解來建立強大的社交工程陷阱( Social Engineering)手法,因此也就不需要去開發非常複雜的工具。使用者必須要完全認清這一點,攻擊者所利用的不再僅僅是軟體漏洞,還有使用者本身。 繼續閱讀

2013年雲端預測

趨勢科技 TrendMicro

作者:趨勢科技雲端安全副總裁Dave Asprey

資料在哪裡,網路犯罪份子就會出現在哪裡。有越來越多的資料搬到雲端去,也讓更多攻擊轉移到雲端。這並不是說行動設備不是攻擊雲端的好方式,它的確是。然而,隨著有更多重要的資料搬到雲端,我們也將看到更多雲端安全方面的發展。

雲端反衝

隨著企業越來越有能力去鑑別公共雲的優勢和缺點,私有雲(或只是簡單的虛擬化)將繼續成為大型企業需要穩定運作時,具成本效益的選擇。而將新的、使用量具變動性的、需要面對外部網路的應用程式放在公共雲。

效率驅動著雲端安全

由於雲端環境的成本管理和衡量工具變得更加成熟,雲端安全解決方案的效能將成為企業考量的一個主要因素。沒有人希望雲端解決方案是安全卻非常昂貴而低效的,讓人無法負擔執行它的成本。會大量消耗伺服器和網路資源的雲端安全產品將會變得沒有競爭力。

多租戶的安全

多租戶雲端安全將在2013年成為現實。我們將會常常看到雲端安全代管主控台運行在多數主要的雲端服務供應商,讓每個雲端使用者可以設定自己基於代理和無代理的安全設定,而且可以橫跨公共雲和私有雲。

可拋棄雲

可拋棄雲的時代來臨了。企業將開始接受低成本雲端備援陣列模型,就像是Pirate Bay一樣。令人驚訝的是,它會讓一般雲端服務供應商做出區隔化的運行時間服務水平協議變得不再重要。也讓用策略驅動的安全變得更加重要。

超快速雲

我們將會看到有更多高密度、高性能的雲端運算產品提供給專門用途。有些資料中心產品(SSD等)會出現在市場上,將會在2013年帶來跟2012年相比十倍以上的效率。而這些高性能雲端產品將會非常實惠,它們也將讓安全分析提升到一個新的境界。不過大多數企業在2013年還不會享受到這些。

追踪OpenStack

OpenStack將會持續取得進展,尤其是有些公共雲供應商會想要用來挑戰亞馬遜網路服務(AWS),還有一些具有前瞻性的企業會體認到OpenStack是實現混合雲的一條途徑。我們可以預見到有OpenStack專用安全方案可以運作在OpenStack、私有雲和公共雲之間。 繼續閱讀

警察勒索軟體謊稱與防毒廠商簽署國際條約,惡意鎖定受害者電腦勒索贖金

趨勢科技 TrendMicro

勒索軟體ransomware

2012年假冒執法警察的勒索攻擊持續蔓延在歐洲 ,警察勒索軟體 Ransomware的幕後黑手不再只是利用執法單位的權威來替自己的騙局建立可信度,他們現在也會開始利用安全廠商。

趨勢科技發現到一個警察勒索軟體 Ransomware變種,提到了所謂執法單位和防毒廠商間的「條約」。它甚至出現這些安全廠商的圖示以強調其合法性。趨勢科技將這個新的勒索軟體變種偵測為TROJ_REVETON.IT

根據我們的調查顯示,這惡意軟體變種裡的DLL檔案內有一張螢幕鎖定圖檔,其中包含多家防毒廠商的標誌。文字敘述為:

為了讓警察工作更有效率,已與防毒軟體開發公司簽署一項國際條約,用於識別網路犯罪分子。

當然,這只是用來誘騙人們相信其合法性的詭計。一旦這惡意軟體被執行,它會鎖住使用者電腦,並顯示假訊息:

「你已觸犯法律,電腦已被鎖定,你的行為非法且會導致刑事責任。」

警察勒索軟體為人所知的就是會宣稱使用者違反法律,進而鎖住系統。他們必須支付一大筆罰款以再次使用自己的電腦。我們還觀察到勒索警告頁面或圖形使用者界面(GUI)常常會改變。這可能是惡意軟體社交工程陷阱( Social Engineering)伎倆的一部分。

新警察勒索軟體謊稱防毒廠商與警方簽署國際條約,惡意鎖定受害者電腦勒索贖金
新警察勒索軟體謊稱防毒廠商與警方簽署國際條約,惡意鎖定受害者電腦勒索贖金

繼續閱讀