RATANKBA入侵攻擊目標經常瀏覽的合法網站,針對企業發動大規模水坑攻擊,台灣也受影響

在二月初,有多家金融機構通報出現惡意軟體感染,而且顯然來源是合法網站。這些攻擊以入侵受信任的網站來感染各產業內被鎖定企業的系統, 是大規模攻擊活動的一部分。這種策略通常被稱為「水坑(watering hole)」攻擊。

最近對波蘭銀行進行的連串惡意軟體攻擊據報會在終端機跟伺服器上出現未知的惡意軟體,還有可疑、加密的程式/可執行檔,更加引人注意的是不尋常的網路活動。中毒系統會連到不尋常的位置,可能是要暗渡陳滄將入侵單位的機密資料送至該處。

趨勢科技發現備受關注的惡意軟體RATANKBA,不僅跟對波蘭銀行的惡意軟體攻擊有關,而且還涉及墨西哥、烏拉圭、英國和智利金融機構所發生的類似事件。它如何感染受害者?有沒有其他惡意軟體參與其中?這攻擊活動是否真的跟俄羅斯網路犯罪集團有關?不過根據我們在惡意軟體內所看到的俄文,我們認為這只是用來混淆攻擊者真面目的偽裝手法。

台灣也受到影響

銀行並不是唯一的目標;也有電信、管理諮詢、資訊技術、保險、航太、教育等企業受害。此外,攻擊活動並非僅局限於北美和歐洲,一些亞太地區,特別是台灣、香港和中國也受到影響。

在此提供進一步的分析和見解,可以補充其他關於此一威脅的研究。

 

圖1、關於RATANKBA的可能感染流程

Continue reading “RATANKBA入侵攻擊目標經常瀏覽的合法網站,針對企業發動大規模水坑攻擊,台灣也受影響"

何謂魚叉式網路釣魚 (Spear Phishing )?

一起鎖定某跨國企業法務部門三名員工的「魚叉式網路釣魚(Spear Phishing)」郵件能逞嗎?

針對性攻擊要能成功,很重要的一點是歹徒必須根據受害者的防禦機制而調整及改進其攻擊方法,其中包含「魚叉式網路釣魚(Spear Phishing)」

魚叉式網路釣魚通常鎖定特定個人或某機構的特定員工及其社群媒體帳號 (如 Twitter、Facebook 和 LinkedIn),它們會精心製作出很有說服力的電子郵件內容,並且在電子郵件當中挾帶可造成感染的附件檔案和連結。一旦開啟檔案或連結,就會執行惡意程式或將使用者導向某個網站。接下來,駭客就能建立其祕密通訊網路,然後朝攻擊的下一階段邁進。

 

》魚叉式網路釣魚 (Spear Phishing )是勒索軟體 Ransomware攻擊企業的主要手法
》醫療保險公司 Anthem Inc. 大規模資料外洩的主因:魚叉式網路釣魚 (Spear Phishing )
南韓爆發最大駭客攻擊事件因魚叉式網路釣魚 (Spear Phishing )而起
91%的APT 目標攻擊來自:魚叉式網路釣魚 (Spear Phishing )

檢視「防範魚叉式網路釣魚:保護電子郵件如何能夠防止針對性攻擊」

2015年稍早,醫療保險公司 Anthem Inc. 發出聲明表示自己發生了一起大規模的資料外洩,導致 8,000 萬名客戶受到影響。根據媒體報導,駭客經由一項精密的針對性攻擊/鎖定目標攻擊(Targeted attack ) 取得了進入 Anthem 公司 IT 系統的權限,進而竊取系統上儲存的個人資料。有些人對於企業資料外洩事件或許略知一二,但很少有人知道實際發生的經過以及網路犯罪集團所用的手法。

PHISHING 網路釣魚 網路銀行 木馬

在所謂的「針對性攻擊/鎖定目標攻擊(Targeted attack ) 」當中,駭客必須擁有相當高的專業技能以及充裕的資源來進行這類長期的計謀。針對性攻擊要能成功,很重要的一點是歹徒必須根據受害者的防禦機制而調整及改進其攻擊方法。

駭客會利用各種最新時事、業務相關內容,以及攻擊目標可能有興趣的資訊來從事社交工程(social engineering )攻擊。此外,後門程式、零時差或軟體漏洞攻擊、水坑式攻擊、魚叉式網路釣魚等等,也是歹徒經常用來竊取資訊的技巧。

雖然一般的網路釣魚(Phishing)和魚叉式網路釣魚所使用的技巧類似,但兩者之間還是有所差別。網路釣魚基本上是一種針對大量目標的亂槍打鳥式攻擊,但魚叉式網路釣魚則是專門針對特定目標。兩者的差異在於,一般的網路釣魚(Phishing)相對單純,歹徒一旦偷到受害人的資料 (如網路銀行登入資訊),就算達到目的。但對於魚叉式網路釣魚來說,取得登入資訊或個人資訊通常只是攻擊的開端,這是歹徒進入目標網路的手段,只能算是的跳板而已針對性攻擊/鎖定目標攻擊(Targeted attack )

何謂魚叉式網路釣魚攻擊?

前面提到,魚叉式網路釣魚是專門針對特定對象的網路釣魚(Phishing),其對象通常是某個機構,其最終目標是取得機密資訊,其技巧則包括:假冒他人名義、使用迷人的誘餌、避開安全機制 (如電子郵件過濾及防毒) 等等。預算和一般網路釣魚(Phishing)的都會誘騙目標對象開啟郵件中的附件檔案或點選郵件中的連結。 Continue reading “何謂魚叉式網路釣魚 (Spear Phishing )?"

針對性攻擊/鎖定目標攻擊(Targeted attack ): 了解你要面對什麼樣的攻擊 !!

幾年前如果公司發生資安事件,系統管理員或是中階主管將被追究責任甚至解僱。現在是資訊長和資訊安全長會因為資料外洩事件而被解僱。公司現在認真看待這件事是好事,但如果你是資訊長或資訊安全長,這對你來說可能就不大妙了。

攻擊,APT,目標攻擊

每當人們想到「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱APT攻擊)針對性攻擊/鎖定目標攻擊(Targeted attack ),都不禁要問:是誰做的?他們想要什麼?雖然這些問題都很有意思,我們認為更重要的是要問:關於攻擊者的哪些資訊可以更好的幫助企業保護自己?

讓我們從網路管理者捍衛自己組織的觀點來看這件事情。如果有人想確認誰是攻擊自己組織的幕後黑手,第一步或許會用IP地址來嘗試鎖定攻擊者的位置。但是,就好比追查攻擊追到位在韓國的網頁伺服器。有什麼理由說服我們攻擊者並沒有同時入侵了這伺服器?是什麼讓你認為網站負責人會配合你進行調查?

在複雜的攻擊中,常常可以看到攻擊者從一台被入侵機器連到另一台。你可以嘗試盡可能的追查下去,但幾乎很難追查到關於攻擊者的蛛絲馬跡。我們真的沒辦法取得像情報單位那樣多關於攻擊者的資料。我們可以使用開放的資料庫但有其極限。有時攻擊者會犯錯 – 在這時候我們可以討論他們是誰,他們針對誰等等。但如果你需要防護組織,就不能指望這一點。

了解你要面對什麼樣的攻擊

這不是說你該完全忽略誰在攻擊你。而是不管他們是誰,更加重要的是他們會做什麼。比方說,如果有人用任何腳本小子(script kiddie)都可以從網路上取得的工具來攻擊你,這可能並非嚴重的威脅。如果有人用新的漏洞和精心設計的惡意軟體來攻擊你,那就要注意了。 Continue reading “針對性攻擊/鎖定目標攻擊(Targeted attack ): 了解你要面對什麼樣的攻擊 !!"

< APT 攻擊 > " 有本事就來抓我啊~" 駭客平均躲藏天數 205 天

APT 駭客如何在你周圍四處遊走而不被發現

Internet Security System
I

 

曾經遭遇資料外洩駭客事件的企業,通常都有一個同樣的疑惑:「駭客是如何在我的環境當中長期躲藏而不被發現?」根據 Mandiant 的一份報告,在所有資料外洩事件當中,駭客平均躲藏的天數是 205 天。每一起資料外洩駭客事件背後都有一位或多位主謀,而且現在越來越難逮到這位幕後的主謀。

APT攻擊駭客團體特別擅長隱匿行蹤

在所有駭客攻擊當中,最有能力在企業網路內部四處躲藏及遊走的,應該是「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱APT攻擊)。這些攻擊之所以被稱為「進階」,是因為駭客運用了零時差漏洞;之所以能夠「持續滲透」,是因為駭客有著強烈的動機。其高超的技巧,對全球的企業來說都是一項嚴重威脅。這些APT攻擊駭客團體就如同一般的犯罪集團一樣,有著組織性犯罪的特質,而且特別擅長隱匿行蹤。

他們有統一的指揮管道,而且要擒拿這些行動背後的首腦相當困難,尤其是當他們躲藏在國外的時候。事實上,許多政治取向的APT攻擊團體通常都有政府在背後支援,而這些政府當然不可能配合執行違反其意志的政策。即使我們可以從攻擊行動所使用的網址來追溯到某個地區,但該網址註冊的 DNS 和 IP 服務廠商通常也不願配合國外的執法機關,因為他們向來聽命於當地政府。正因如此,那些由政府在背後撐腰的駭客,就能一再發動惡意攻擊而不會遭到任何懲罰。在低風險、高報酬的條件下,他們會不斷從過去的失敗當中記取教訓,因此每一次都比上一次的行動更加小心謹慎。

APT攻擊共有六個階段,每一階段由一組專門的駭客負責

資料圖表 Info graphic: Connecting The APT dots

有一點很重要是我們必須知道的,企業網路內的橫向移動只是APT攻擊的其中一個階段而已。事實上,典型的APT攻擊共有六個階段:(1) 情報蒐集、(2) 突破防線、(3) 幕後操縱 (C&C)、(4) 橫向移動、(5) 搜尋資產、(6) 資料外傳。有組織的APT攻擊團體通常會將工作依照行動階段來分工合作,每一階段由一組專門的駭客負責,並有其獨特的工具和技巧。這樣的作法在大型犯罪集團已行之有年,目前也開始運用到網路犯罪領域。

人們通常會過於執著在技術上的細節,而忘了其實 APT攻擊團體跟傳統非電腦犯罪的專業集團有許多相似之處。就以持槍搶劫銀行的例子來說,不同的搶匪會依據個人的專長而分別擔任不同的工作,藉此提高行動的速度和效率。同樣的策略應用到 APT攻擊,其效果甚至更好,因為這樣可以讓不同階段之間彼此不互相重疊,如此一來,系統管理員在事後分析網路時就無法察覺其不同階段之間的關聯。雖然APT攻擊行動的每一個階段都是達成最後目標的關鍵,但仍有些階段所占的比重較高。

駭客會在整個網路上設置多個不同的後門,以便能夠輕易進出目標網路

第四階段的橫向移動需要隱密和觀察的技巧。這階段需要同時具備社交工程(social engineering )技巧與駭客能力,才能在目標環境當中迅速移動而不被察覺。橫向移動對於安排最後資料外傳階段的布局至關重要。不斷地在不同端點裝置之間移動,可以讓駭客完整掃瞄整個網路,並且找到最珍貴的資料。此外,這個階段通常需要一直不斷重覆,因此,駭客會在整個網路上設置多個不同的後門,以便能夠輕易進出目標網路,必要時進一步竊取更多資料。

企業通常會有系統管理員和資安軟體來持續監控內送及外送網路流量,因此,歹徒的 C&C 機制必須融入目標網路才行。想要暗藏在網路流量當中偷偷進出企業,歹徒必須結合惡意程式、駭客技能以及進階社交工程技巧。歹徒不只要知道如何駭入,還要知道何時駭入。大型的犯罪集團會在發動攻擊之前,先對目標進行長期的觀察和研究。為了使 C&C 伺服器不讓人起疑,駭客通常會使用一般常見的 IT 工具,如「PSExec」(一個用來取代 telnet 的遠端執行工具) 來執行其檔案,並在企業的營業時間連上 C&C 伺服器,如此,其網路連線才不會讓人起疑。除此之外,駭客還會利用惡意程式來將其連線偽裝成 HTTP 或 HTTPS 通訊以隱藏其行動,因為系統管理員不可能有時間檢查每一個觀察到流量,而資安軟體通常也無法偵測零時差攻擊。 Continue reading “< APT 攻擊 > " 有本事就來抓我啊~" 駭客平均躲藏天數 205 天"

< 病毒警訊 > 針對銀行及金融機構的目標式攻擊—Carbanak的防護策略

趨勢科技於上週稍早收到一份最新的目標式攻擊報告(攻擊活動命名為Carbanak),此波攻擊事件主要針對銀行,使駭客能夠滲透公司網路修改銀行相關紀錄從而竊取高額鉅款。根據報告指出,攻擊者能夠滲透100間位於不同國家的銀行,包括:俄羅斯、德國、中國、烏克蘭、美國。

Target attack

Carbanak攻擊事件讓我們重新檢視銀行業所面臨的威脅,此類型的威脅雖然不會以釣魚信件或是網銀惡意程式直接攻擊使用者,但是仍然十分危險。銀行本身的內部網路十分複雜,但卻握有十分重要的資料,因此成為網路攻擊的絕佳目標。

下面我們列出了部分Carbanak攻擊手法:

  • 寄送魚叉式網路釣魚信件給員工,信件內含漏洞CVE-2012-0158CVE-2013-3906CVE- 2014-1761,或是在信件內夾帶惡意CPL檔案。
  • 不論是攻擊漏洞或是直接執行惡意CPL檔案,都會植入Carbanak惡意程式到作業系統中。Carbanak本身是一個後門程式,可以執行各種指令,包括:鍵盤側錄程式、擷取螢幕快照、檢查某些特定銀行應用程式(例如銀行轉帳軟體)。
  • 駭客透過遠端管理工具利用Carbanak在內網中流竄直到找到可進行銀行交易的目標電腦為止,一旦成功入侵目標電腦,透過錄影方式記錄受害者銀行的交易流程,待竊取到所需資訊後,駭客即可進行銀行交易竊取金錢而不被發現。

Continue reading “< 病毒警訊 > 針對銀行及金融機構的目標式攻擊—Carbanak的防護策略"

APT 目標攻擊:不要再以為只有大咖會被攻擊

花一分鐘想想「APT攻擊/目標攻擊」。

當你想到它們時,你認為誰會是這類攻擊的目標?

也許你會想到大國的政府機構。像是美國國防部。

或許你第一個會想到的是國際金融巨擘,像是JP Morgan。

我敢說你不會想到一間小型或是中型企業會成為這類複雜攻擊的目標。

你應該要想到的。

因為在趨勢科技最新的研究報告 – 「Predator Pain和Limitless攻擊工具」裡,趨勢科技的研究人員秀出那些被磨練和精製以用來對付世界各國政府和國際金融公司的針對性攻擊工具,現在如何被網路犯罪分子用在攻擊中小型企業。

使用相對便宜的現成惡意軟體和公開資訊,攻擊者可以利用相同的魚叉式釣魚技術來將目標瞄準較小、較不複雜也較少防護組織內的人員。

當市場力量讓針對性攻擊變得更加便宜和更加容易進行,網路犯罪分子正在擴大著潛在受害者的數量。攻擊者現在不需要花上百萬美元來讓攻擊成功,以好好地回收投資成本:現在只要花上幾千美元來攻擊許多較小的目標,也能達到一樣的效果。

中小型組織還有其他的弱點。首先是很多都還在用Windows XP,即便微軟已經結束對它的安全支援超過七個月了。隨著日子一天天過去,Windows XP只會變得更脆弱,面對更多攻擊,也成為一個更容易得手的攻擊對象。第二,這類組織通常缺乏專門的內部安全知識或專長。

這次研究要傳遞的訊息是,惡意軟體和戰略的研究進展已經到一定地步,攻擊者可以將針對性攻擊技術加上垃圾郵件和網路釣魚攻擊打包成為工具箱的一部份。

如果你是中小型的企業,你不能指望免於這類型的攻擊。除了要確保員工的安全教育,中小型組織應該要找到結合郵件安全和終端防護的組合方案。如同這項研究所顯示,這些帶來更佳安全性的作法對每個人來說都至關重要,不僅僅是那些典型的大咖組織。

 

@原文出處:Targeted Attacks: Not just for “too big to fail” any more

變更密碼和移除惡意軟體並不足以化解 APT 目標攻擊

APT

說到APT攻擊-進階持續性滲透攻擊 (Advanced Persistent Threat, APT) /目標攻擊,攻擊者並非無所不知。他們需要在早期階段收集資料來了解目標,他們會從各種情報來源收集資料,像是Google、Whois、Twitter和Facebook。他們可能會收集電子郵件地址、IP位址範圍和連絡人列表等資料。然後將其來製造釣魚郵件的誘餌,最終可以讓他們滲透入目標組織的網路。

一旦進入,攻擊者會開始橫向移動階段。在此階段,攻擊者會進行端口掃描、服務掃描、網路拓撲映射、密碼嗅探、鍵盤記錄和安全政策滲透測試。目標是找到更加機密的資料以及更加隱密的存取方式。

橫向移動讓攻擊者可以取得對自己有利的資料。他們現在知道了有哪些安全弱點、防火牆規則設定缺陷和錯誤的安全設備部署。他們現在也擁有了最新的網路拓撲、密碼設定和安全性政策。 Continue reading “變更密碼和移除惡意軟體並不足以化解 APT 目標攻擊"

 Sandworm 鎖定使用SCADA 企業,展開目標攻擊

10 月 14 日,網路上出現一則有關 Sandworm team (沙蟲小隊) 駭客團體的報導。在初步研究過相關的惡意程式樣本和網域之後,趨勢科技很快就發現該團體的主要對象應該是使用 SCADA (監控與資料擷取) 系統的企業,尤其專門鎖定奇異公司智慧型平台 CIMPLICITY HMI 解決方案套裝軟體的使用者。   我們發現該團體使用 .cim.bcl 檔案為攻擊工具,兩者都是 CIMPLICITY 軟體所使用的檔案。另一項證明其專門鎖定 CIMPILICITY 的證據是,其惡意程式會透過 %CIMPATH% 這個環境變數找到 CIMPLICITY 在目標系統上的安裝目錄,然後將其檔案複製到該目錄內。

圖 1:內含環境變數的字串。

CIMPLICITY 是一個搭配 SCADA 系統使用的套裝軟體。HMI 是任何一個 SCADA 系統都必備的主要元件之一,HMI 代表人機介面 (Human-Machine Interface),基本上就是操作主控台,用來監視及控制工業環境中的各項裝置,這些裝置可能負責自動化控制或安全控管。

圖 2 示範電力輸送系統的 HMI 所在位置。此外,您也可以在企業網路中看到設計、開發和測試用的 HMI。

圖 2:監控與資料擷取 (SCADA) 系統範例。

值得注意的一點是,我們目前已看到歹徒利用 CIMPLICITY 為攻擊途徑,但尚未發現惡意程式實際操弄任何 SCADA 系統或資料。但由於 HMI 在企業總部和控制網路當中都有,因此這項攻擊可用於攻擊特定網段或者從企業總部橫跨至控制網路。 Continue reading " Sandworm 鎖定使用SCADA 企業,展開目標攻擊"

八種駭客用來竊取企業資料的後門程式技巧(內有白皮書)

駭客 蒙面

白皮書 鎖定目標攻擊所使用的後門程式技巧 (Backdoor Use in Targeted Attacks)

八種駭客用來竊取企業資料的後門程式技巧

後門程式可讓駭客從任何網路遙控缺乏防護的電腦,包括公共網路、家用網路或辦公室網路。透過一些所謂的後門程式技巧 (也就是後門程式所做的工作),駭客就能暗中下令電腦竊聽使用者線上聊天內容、連上受感染的網站、複製密碼等等。

當 IT 系統管理員在電腦系統上發現後門程式時,很可能歹徒早已暗中蒐集有關其網路的重要資訊。此外,也代表駭客早已準備進入鎖定目標攻擊流程的第三階段,也就是建立其幕後操縱 (C&C) 通訊。若照這樣繼續發展下去,駭客最後將偷到一些可讓他們販賣或用於其他惡意用途的資訊。

下載完整的研究報告:鎖定目標攻擊所使用的後門程式技巧 (Backdoor Use in Targeted Attacks)

延伸閱讀:幾可亂真的 UPS 快遞電子郵件暗藏後門

為此,趨勢科技研究人員特別觀察駭客使用後門程式來操控目標網路的方式,截至目前為止,我們發現駭客最常使用的後門程式技巧有八項:

  1. 將後門程式綁定某個通訊埠。

若網路上沒有架設防火牆,駭客就能輕易透過電腦的某個通訊埠來進行後門通訊,也就是連接埠綁定。一旦後門程式綁定某個連接埠,駭客就能自由地與該電腦通訊,進而輕易加以掌控。

  1. 透過後門程式穿越防火牆。

若網路上架設了防火牆,駭客可利用反向連線的技巧來通訊。駭客會修改後門程式來檢查可用及沒有保護的連接埠以進行通訊。如此,後門程式就能穿越防火牆和防護軟體的封鎖。一旦後門程式找到一個可用的連接埠,就能連回駭客的幕後操縱 (C&C) 伺服器。

  1. 後門程式檢查可用的連線以傳輸檔案。

通常,駭客還會利用後門程式來搜尋可用的連線,以躲避入侵防護系統 (IDS) 的偵測。駭客一旦找到可用連線,就能經由後門程式暫時連上系統並進行其他惡意活動,例如傳輸檔案。

  1. 後門程式透過社群網路連上幕後操縱伺服器。

Continue reading “八種駭客用來竊取企業資料的後門程式技巧(內有白皮書)"

針對性攻擊/鎖定目標攻擊(Targeted attack ) 所用的後門技術

後門程式是針對性攻擊/鎖定目標攻擊(Targeted attack ) 重要組成部分,因為它們讓外部的攻擊者可以去控制任何已經入侵的電腦。這讓攻擊者可以收集資料,並且在目標組織內做橫向移動。

我們對各種針對性攻擊/鎖定目標攻擊(Targeted attack ) 進行的調查顯示,後門程式會利用各種不同戰術來進行自己的行為,以及保持不被網路管理者或安全產品發現。隨著時間的過去,這些技術已經發展成更加複雜以防範網路管理者。

最初,攻擊者所需要做的只是連上一台已入侵電腦的開放TCP/IP端口。然而,因為防火牆變得更加普遍,其它技術也變成必需。技術繼續發展,變成是由客戶端來初始連線到伺服器,因為早期封鎖對外流量比較少見。

隨著時間過去,各種防禦也越來越加進步,所以會使用其他的技術。比方說,公開的部落格也可以成為某種指揮和控制(C&C)伺服器:

開的部落格也可以成為某種指揮和控制(C&C)伺服器
開的部落格也可以成為某種指揮和控制(C&C)伺服器

圖1、用作指揮和控制伺服器的部落格(點入以看大圖)

Continue reading “針對性攻擊/鎖定目標攻擊(Targeted attack ) 所用的後門技術"