APT 進階持續性滲透攻擊研究報告10個懶人包

趨勢科技 TrendMicro 56 筆留言

作者:趨勢科技Nart Villeneuve (資深威脅研究員)

 

2011年,我相信你已經聽說過RSA被入侵了,而且偷走RSA Secure ID的相關資料,然後用在後續的攻擊事件裡。除了RSA之外,還有許多其他類似的受害者。你可能也聽說過ShadyRAT,它證明了殭屍網路/傀儡網路 Botnet可以有多麼長壽,還有NitroNight Dragon顯示出有些攻擊者的目標會鎖定在特定產業上。

 

你大概也看過趨勢科技關於Lurid攻擊的研究報告,它說明了攻擊者對非美國的目標也是有興趣的。而更重要的是,這樣的事件應該被視為「系列攻擊」,而非獨立事件。

 

但還有些了不起的APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)相關研究可能是你所不知道的。這是我個人所排出的前11名:

部落格「Contagio Dump」和「Targeted Email Attacks」:Mila ParkourLotta Danielsson-Murphy已經在這方面發表過許多相關的研究報告。我們通常拿得到惡意程式碼做進一步的分析,但社交工程陷阱所用的電子郵件內容卻不容易拿到。這些部落格在目標攻擊的領域裡有許多獨特的見解。

 

 

1.      部落格CyberESICyberESI的團隊發表過一些變種龐大惡意軟體家族的詳細分析報告(是真的非常詳細)。在我看來,他們的分析報告為這方面的逆向工程設立了標準。

 

2.      HtranJoe StewartsHtran方面的研究成果被ShadyRAT研究報告的光芒給掩蓋了,但我認為這是今年最具有創新性的一份研究報告,因為它著眼在根本問題,尋找攻擊來源IP以找出幕後攻擊者的實際位置。

 

3.      透過對系列攻擊的分析來啟動智慧型電腦網路防禦系統」:HutchinsCloppertAmin說明如何追蹤一次攻擊的多個階段,並將多次事件串成一次「系列攻擊」。這是任何想要追蹤APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)的人都不可不看的報告。

 

4.      1.php: 這份來自Zscaler的報告,對一次特定的系列攻擊及所用的命令與控制基礎架構(CC)做出徹底的解構和分析,並且在結論裡提出了確實可行的防禦方法。另外,它對於在這方面的資訊披露也提出了相當獨到的見解。

 

5.      APT解密在亞洲Xecure在今年的黑帽大會上展示他們對惡意軟體以共同屬性作群集分類的研究。我真的很喜歡他們在群集分類上所下的功夫,還有他們所提出的名詞「NAPT(非進階持續性威脅)」。 繼續閱讀

手機應用程式Sexy Ladies-2.apk是益智遊戲,還是廣告點鈔機?

趨勢科技 TrendMicro

 

 

將搜尋貨幣化是行動平台上的新威脅

 

 

 

 

一份報告,提到許多內嵌Plankton變種的應用程式出現在Android market上。趨勢科技的研究樣本之一是個益智遊戲 – Sexy Ladies-2.apk,它跟許多相關的應用程式都被偵測為ANDROIDOS_PLANKTON.P

 

其他的外部報告則表示有數百萬份被下載的應用程式裡含有類似的可疑程式碼,所以稱它為「有史以來最嚴重的Android惡意軟體擴散」。這份報告裡所分析的應用程式是一個益智遊戲。它會啟動一個服務來建立捷徑,取得/設定書籤,將手機資料送回它的伺服器(包括IMEI、品牌、設備型號、作業系統、作業系統版本、解析度、語系),設定通知,還有設定瀏覽器首頁。

 

趨勢科技認為可以將這應用程式歸類為廣告軟體,因為它看來是用以散佈廣告的。更合適的稱呼可能是「行動應用程式廣告軟體(Mobile App Adware)」。一開始它還提供軟體開發套件(SDK),讓人可以從各種手機軟體發佈網站來合法下載。這個應用程式的基本功能正如同它所聲稱的:安裝搜尋捷徑,透過這應用程式來提供廣告。並不會發送任何個人資料到外部伺服器。總之,它原本是個用來賺錢的廣告服務,讓應用程式開發人員可以從他們的免費軟體賺到更多的錢。這是最基本的將搜尋貨幣化模式。

 

「行動應用程式廣告軟體」

 

從這點來看,它是「行動應用程式廣告軟體」的最佳例子。它的運作模式就是將SDK整合到應用程式裡,好讓合法下載也可以帶來收入。在今日的內容服務業務和行銷模式裡,這和在桌上平台所做的事情是幾乎一模一樣的。

 

趨勢科技威脅回應工程師Erika Mendoza補充說:「想到廣告網路,我覺得現在很多應用程式都含有類似的程式碼,這種手機廣告軟體算是有侵略性,但是要認定這類惱人行為是否為惡意,仍然取決於使用者。」

 

Lookout Mobile Security研究人員則不認為這種行為是種惡意軟體攻擊,它比較算是「侵略性的廣告網路。」我們同意他們所說的,這本身並不是惡意軟體。但是,這問題牽扯到行動資訊被如何收集和儲存。而且還有潛在的隱私問題。這些使用者在今日或許並不清楚,而很久以後才出現影響的。

 

對於安裝應用程式來說,保留安裝時所取得的權限,還有跟社群網路或其他互動的能力都是很常見的。這些設定即使應用程式被刪除後都還會被保留,好作為重裝時的預設值。在現實裡,有太多應用程式被下載,有各種不同的下載目的,有著各種不同的使用者設定,所以要追查的話實在有太多變數了。

 

趨勢科技會繼續地提供相關潛在威脅的資訊。不過還是要靠使用者自己可以小心的判斷是否要去下載應用程式 繼續閱讀

手機毒窟!!德伺服器驚見1351個網站鎖定Android和Symbian的惡意應用程式

趨勢科技 TrendMicro

趨勢科技最近發現了一個伺服器上代管了大量提供行動惡意軟體的網站,目標針對Android和Symbian作業系統(特別是J2ME平台)。

 這個位在德國的伺服器由一個代管服務供應商所管理,它也是眾所皆知的網路犯罪分子常用服務商。

 趨勢科技總共在這伺服器上發現了1351個網站,而且根據他們散布惡意軟體的手法可以將這些網站分成五大類:

 Android Market應用程式

  • Opera Mini/Phone最佳化應用程式
  • 色情應用程式(這些網站在檢查時無法使用)
  • 應用程式儲存網站
  • 其他(這些網站在檢查時無法使用)

 那些無法使用的網站可能是因為攻擊者還在建置中或是已經停掉了。那些應用程式儲存網站是用來提供其他類網站裡應用程式的功能,所以無法存取。但是那些應用程式還是在的,可以透過Android Market應用程式跟Opera Mini/Phone最佳化應用程式這兩類網站來下載。

 Android Market應用程式的網站看起來就像是個正常的合法網站。會出現流行的應用程式像是:WhatsApp、Facebook、Facebook Messenger,條碼掃描器、Skype、Google地圖、Gmail、YouTube和一些其他的軟體。從這些網站所下載的檔案目前已經被偵測為ANDROIDOS_FAKENOTIFY.A繼續閱讀

《點擊劫持(clickjacking)》攻擊想更換Facebook情人節專屬布景嗎?小心上網被監視

趨勢科技 TrendMicro 55 筆留言

 

有個標榜可以幫 Facebook 換張「臉」的應用程式「Install Facebook Valentines Theme!:D」,正在準備擄獲想嘗鮮的臉書用戶(如下圖 趨勢科技表示該點擊劫持(clickjacking攻擊,會自動地幫你加入幾個Facebook粉絲頁面,也會自動發訊息在中毒使用者的塗鴉牆上,邀請朋友們在他們的Facebook個人檔案安裝情人節佈景主題。該木馬病毒TROJ_FOOKBACE.A 還會監控中毒者網路活動。  

 

有個標榜可以幫 Facebook 換張「臉」的應用程式「Install Facebook Valentines Theme!:D」,正在準備擄獲想嘗鮮的臉書用戶。(

   使用者一旦點了這留言,就會被重新導向到另一個網頁,並要求他們安裝佈景主題。值得注意的是,這次攻擊只針對Google ChromeMozilla Firefox這兩種瀏覽器。

  

 點擊頁面上的「INSTALL」按鈕,會出現惡意檔案(趨勢科技偵測為TROJ_FOOKBACE.AFacebookChrome.crx)的下載視窗。開啟後,TROJ_FOOKBACE.A會執行一個腳本來顯示從某些網站來的廣告。 繼續閱讀

電腦病毒與手機/平板電腦病毒的五個共通點

趨勢科技 TrendMicro 65 筆留言

 行動裝置威脅情勢:十年後的今日

  電腦病毒與手機/平板電腦病毒的五個共通點

大家都知道,使用平板電腦和智慧型手機的人越來越多,不過,最近發表的二份新的調查數據更強調了這項趨勢。根據 Google/Ipsos 的民調顯示,智慧型手機普及率在所有調查的 5 個國家當中都出現成長。在美國,智慧型手機的普及率在 2011 年9/10月已從原先總人口的 31% 成長至 38%,而在歲末佳節期間,另一項 Pew 所做的民調也發現,擁有電子書閱讀器和平板電腦的人口已倍增

電腦病毒與手機/平板電腦病毒的五個共通點

因此,使用者所面對的資訊安全威脅,也自然而然逐漸「行動化」。行動裝置威脅情勢自從第一隻概念驗證 Palm 木馬程式出現之後,已成長數倍。行動裝置和平板電腦使用者已經開始遭遇和個人電腦一樣的威脅了。以下是一些二者情況雷同之處:

 

  1. 都愛讓受害者收到意外的帳單:網路犯罪者常用的手法之一是修改數據機的設定,讓它外撥昂貴的付費服務或長途電話。今日,行動惡意程式也經常幫使用者註冊一些昂貴的定閱服務。有時候,他們會嘗試將偷來的登入帳號密碼和資料傳送給駭客,不管使用者採用何種資費方案,或是使用不安全的 Wi-Fi 熱點,也或許採用昂貴的漫遊資費方案。
  2. 都愛以木馬延長壽命:以木馬過去有二十多年的時間,病毒一直是惡意程式威脅的主流,後來,主角換成了蠕蟲,今日,則大多是用過就丟的惡意下載木馬程式。這一切都只為了同一個目的,那就是盡可能讓您系統維持在被感染和被入侵的狀態來延長威脅活動的時間。在行動裝置平台上,趨勢科技已經發現偽裝成各種實用手機應用程式的木馬程式,能夠暗中在背後側錄並傳輸您的資料。
  3. 電腦與手機交互感染:多重階段的跨平台 (從個人電腦到行動裝置,再回到個人電腦) 的威脅已經出現。某些 ZeuS 銀行惡意程式的變種會監視您的個人電腦和線上交易,當它偵測到第二階段驗證的要求時,它會傳送一個 Facebook 連結到您的手機來擷取資料,因而取得您完整的網路金融交易。
  4. 都愛用網路釣魚伎倆:在我認識的人當中,幾乎每個人都會在手機上使用某種電子郵件,基本上大概就是和電腦上所用的一樣。因此,他們也會遭遇和電腦平台上相同的網路釣魚(Phishing)以及詐騙問題。
  5. 都愛鑽漏洞:漏洞攻擊等威脅,例如中間人攻擊和遭破解的 SSL 連線,都是電腦上曾經出現的威脅。然而,今日的智慧型手機的效能是 1980 年代個人電腦的十倍以上。再加上螢幕較小,而且缺乏功能完善的工具來查看裝置背後執行的應用程式,使得手機/平板電腦的使用者更難察覺自己可能遭到攻擊或已經成為受害者。

然而這些裝置正逐漸進入企業,而且企業也慢慢開始允許員工使用個人裝置來提高生產力。但許多企業對這些「行動個人電腦」卻並未以同樣謹慎的態度來看待,也未按照和個人電腦相同的政策和原則來處理。

手機應用程式有辦法側錄並竊取使用者的資訊,甚至能躲過最嚴格的檢查程序,就證明了行動裝置威脅的時代已正式來臨。隨著科技持續整合,而且網路隨時隨地都能連線,每一個人都應該多認識一下電腦安全使用守則,不論使用的是何種平台。

使用者如何避免自己成為下一個受害者呢?即使是行動裝置也有適合的惡意程式防護與內容過濾解決方案。若再配合一些電腦安全常識,就能多一層保障,讓您對抗外界各種常見的威脅。此外也別忘了一有新的裝置韌體或行動裝置應用程式,就應盡速升級/更新。這些更新並非只是為了好看,而是用來修正許多已知的問題。

您可參考一下我們先前有關行動裝置惡意程式的文章:

 @原文來源: Mobile Threat Landscape: A Decade Later Jamz Yaneza (威脅研究經理)

 @延伸閱讀
Android智慧型手機的惡意程式,半年內增加14.1倍
 2011年回顧:手機病毒
惡意Android應用程式:看成人影片不付費,威脅公布個資
安裝手機應用程式前要注意的三件事
深入探討中國的Android第三方軟體商店
中國第三方應用商店提供下載的手機間諜軟體
專門設計給手機瀏覽的惡意網站:偽裝成 Opera Mini 瀏覽器的行動裝置惡意程式
日本色情業者利用行動條碼(QR Code)誘騙付費Android智慧型手機的惡意程式,半年內增加14.1倍
Android木馬應用程式 :木馬幫你手機申購加值服務

保護你的Android智慧型手機5步驟
Android app 惡意程式:愛情測試、電子書閱讀器、GPS 定位追蹤等應用程式夾帶病毒
手機成竊聽器!!冒充Google+ 圖示,駭你全都露
<看更多手機病毒/行動威脅>