Advanced Persistent Threat - 資安趨勢部落格

< APT 攻擊防禦 > 識別和區分網路及使用者

2015 年 07 月 02 日2015 年 07 月 03 日趨勢科技 TrendMicro

適當進行網路區隔是保護網路對抗「進階持續性滲透攻擊」（Advanced Persistent Threat，以下簡稱APT攻擊）最關鍵的主動應對措施。對組織來說，適當的識別和分類自己的使用者與其所能存取的網路也同樣的重要。

這是一項重要的任務，因為它讓管理者能夠正確的區隔使用者權限和網路流量。有些使用者會被限制存取敏感公司網路；同樣的，某些網路可能會比其他網路擁有更廣泛的資料。這可以使得保護組織最重要資料（我們經常討論的話題）的任務變得更加容易。

可以同心合作來廣泛地評估組織所面對的威脅。有些風險並非出現在所有組織 – 比方說國防承包商面對的威脅就和家庭式麵包店不同。組織需要了解自己面對的是什麼樣的風險，以及有那些已經出現在自己的網路內。後者尤其困難，甚至連大型組織也面臨到這樣的挑戰。但這很重要，在組織提高其安全態勢前，需要先了解自己的狀況。

在過去，這項任務可能比較容易，因為所有的設備都在IT部門管控之下，而且連線只有有線網路。這代表了IT部門可以負責一切 – 而IT管理者，一般來說是一組人，可以將事情有邏輯的安排好，輕鬆的將以防護。

但在今日就不是這樣了。行動設備和BYOD政策代表想要強制進行「正確」的網路區隔變得困難得多。同樣的，因為角色會不斷改變和更具備彈性，也代表員工每日所需的資料可能會經常變動。此外，企業網路內資料流動的規模也是大大的增加。

區隔使用者和網路是一項艱鉅的任務，但卻是必要的。在面對今日的針對性攻擊時，識別正常流量及使用者是必要的。能夠更加熟悉「正常」流量和使用者，在偵測可能是針對性攻擊跡象的不尋常網路活動就更加有用。

那麼，有那些標準可以用來識別和分類網路？下面是一些例子。繼續閱讀

< APT攻擊 > 鎖定台灣和菲律賓政府機關、軍事單位的”熱帶騎警”攻擊行動如何滲透機密單位?

2015 年 05 月 29 日2015 年 08 月 28 日趨勢科技 TrendMicro

台灣和菲律賓已成為一項名為 Tropic Trooper (熱帶騎警) 的「進階持續性滲透攻擊」（Advanced Persistent Threat，以下簡稱APT攻擊）的目標，而這項攻擊使用的只是舊的技倆：兩個 Windows 經常遭到攻擊的漏洞、社交工程（social engineering ）巧以及簡單的圖像隱碼術 (Steganography)。這項攻擊從 2012 年至今一直不斷在竊取政府機關與產業的機密。

Tropic Trooper 攻擊行動專門鎖定台灣和菲律賓的政府機關、軍事單位以及重工業企業。值得注意的是仍有許多機構遭到這些老舊技倆的滲透，但它其實是可以利用漏洞修補、資安教育、惡意程式防護偵測等一些主動的作為和技術來事先加以防範。

在這項攻擊行動當中，歹徒對其攻擊目標的網路瞭若指掌，而且知道該用什麼誘餌來吸引受害者上鉤。歹徒精心製作了魚叉式網路釣魚（Phishing）電子郵件，並且附上炸彈攻擊預告信、履歷表、政府預算表等等吸引受害者開啟的附件檔案。這些隨附的文件當中暗藏了程式碼來攻擊 Windows 經常被利用、並可執行木馬程式的兩項漏洞：CVE-2010-3333 和 CVE-2012-0158。

[延伸閱讀：進階持續性滲透攻擊 (APT) 最常利用的漏洞 (Most Commonly Exploited Vulnerabilities Related to Targeted Attacks)]

歹徒的木馬程式 (TROJ_YAHOYAH) 最後會下載並解碼出一個惡意的圖片檔或一個誘餌文件。這個圖片檔看似無害，而且很像 Windows XP 系統內建的桌布。但其實歹徒利用了隱寫術來將 BKDR_YAHAMAM 後門程式暗藏在圖片當中，此程式會竊取系統上的資料、中止執行中的程序及服務、刪除檔案和目錄、將系統睡眠，或是執行其他的後門功能。

繼續閱讀

< APT 攻擊>專門從事經濟和政治間諜的Pawn Storm活動激增

2015 年 05 月 07 日2015 年 10 月 14 日趨勢科技 TrendMicro

Pawn Storm活動激增，鎖定北大西洋公約組織 (NATO) 與美國白宮

一直長期活躍的 Pawn Storm「進階持續性滲透攻擊」（Advanced Persistent Threat，以下簡稱APT攻擊）行動在新的一年突然爆炸性成長，導入了新的基礎架構，同時也開始鎖定北大西洋公約組織 (NATO) 會員國，甚至是美國白宮。這是根據趨勢科技持續研究其背後駭客團體所得到的最新情報，同時也是我們眾所周知的 2014 年 10 月份 Pawn Storm 研究報告的後續補充。

Pawn Storm 攻擊行動：背景

Pawn Storm 是一項專門從事經濟和政治間諜活動的攻擊行動，其目標相當廣泛，包括：軍事、政府、國防產業、媒體等等。

該團體是一群處心積慮的駭客，至少從 2007 年開始即活躍至今，其犯案模式非常固定。我們為所取的名稱，是根據歹徒聯合搭配多種工具和手法來襲擊單一目標的作法，與西洋棋中的 Pawn Storm (小兵聯合攻擊) 策略如出一轍。

該團體運用了三種非常容易辨別的攻擊手法。第一種是發送含有惡意 Microsoft® Office 文件的網路釣魚郵件，文件當中暗藏專門竊取資料的 SEDNIT/Sofacy 惡意程式；第二種是在波蘭政府的一些網站上植入某些漏洞攻擊程式，讓瀏覽者感染前述的惡意程式；最後一種則是利用網路釣魚電子郵件來將使用者重導至假冒的 Microsoft Outlook Web Access (OWA) 登入網頁。

Pawn Storm 主要攻擊對象為美國及其盟邦的軍事單位、政府機關和媒體機構。我們判斷該團體也曾攻擊俄羅斯異議團體以及那些和克里姆林宮作對的團體，此外，烏克蘭激進團體與軍事單位也在攻擊之列。因此有人揣測該團體可能跟俄羅斯政府有所關聯。

今年二月，趨勢科技觀察到 Pawn Storm 又有新的動作，並發現一個專門攻擊 Apple 使用者的 iOS 間諜程式。

繼續閱讀

< APT 攻擊 >電腦螢幕後的敵人了解你的企業、網路、防禦措施、員工….還有更多

2015 年 05 月 06 日2015 年 04 月 27 日趨勢科技 TrendMicro

你的潛在敵人了解你的企業、你的網路、你的防禦措施、你的員工、你的供應鏈以及任何與你組織有互動相關的點。你會問，為什麼要做到如此透徹？這是要了找出最好的方法去躲避你的防禦措施，拿到你的資料，取回接著從中獲利。

作者：Bob Corson

對付　APT攻擊/目標攻擊， 必須偵測看不見的東西

如果你還沒有嘗試過「APT目標攻擊遊戲」，記得去試試。在最近，一直在我腦海中激盪思考的題目，就好似上圖中兩個物品跟目標攻擊的關係。不過，我希望經過幾段文章之後，你會得出以下結論：那些想進行「進階持續性滲透攻擊」（Advanced Persistent Threat，以下簡稱APT攻擊）的人不會照著預期的規則走。想贏得這場「遊戲」，你必須要能夠偵測某些你原本看不見的東西。

現在，讓我們開始。在進行「APT目標攻擊遊戲」後，很有機會你會進行到最後跟Ferguson先生握手，你有什麼結論、意見和想法呢？我的話，是加強了我已經思考一段時間的想法，可以由上圖的物件來表示。繼續閱讀

APT 攻擊晉升 64 位元版本

2014 年 08 月 07 日2014 年 08 月 07 日趨勢科技 TrendMicro

Google 在6月發表 64 位元 Chrome 瀏覽器時提到，升級至 64 位元版本的主要動機就是絕大多數的 Windows 使用者現在都已使用 64 位元作業系統。儘管 64 位元 Windows 作業系統的普及率比 Microsoft 原先預期的稍慢一點，但卻一直有穩定成長，而且軟體開發廠商的支援度也有顯著提升。但不幸的是，駭客也同樣跟進，推出 64 位元惡意程式。

趨勢科技已記錄了多個擁有 64 位元版本的惡意程式，包括 64 位元版本的 ZeuS 在內，而同樣的情況也出現在鎖定APT 攻擊/目標攻擊上。事實上，根據我們的「2013 年下半年鎖定APT 攻擊/目標攻擊趨勢」報告指出，在所有鎖定目標相關惡意程式當中，有 10% 僅能在 64 位元平台執行。

KIVARS：早期版本

趨勢科技所發現的64 位元惡意程式其中之一就是 KIVARS。根據我們的發現，該惡意程式的早期版本僅會影響 32 位元系統，並且是透過 TROJ_FAKEWORD.A (SHA1 218be0da023e7798d323e19e950174f53860da15) 這個惡意程式來植入系統。不過請注意，所有版本的 KIVAR 都會利用這個下載程式來安裝載入程式和後門程式。

當 TROJ_FAKEWORD.A 執行時，它會在系統植入 2 個執行檔以及一個密碼保護的 MS Word 文件，此文件的作用只是當成誘餌：

%windows system%\iprips.dll – TROJ_KIVARSLDR
%windows system%\winbs2.dll – BKDR_KIVARS
C:\Documents and Settings\Administrator\Local Settings\Temp\NO9907HFEXE.doc – 誘餌文件