< APT 攻擊防禦 > 識別和區分網路及使用者

適當進行網路區隔是保護網路對抗「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱APT攻擊)最關鍵的主動應對措施。對組織來說,適當的識別和分類自己的使用者與其所能存取的網路也同樣的重要。

attack hacker 鍵盤攻擊

這是一項重要的任務,因為它讓管理者能夠正確的區隔使用者權限和網路流量。有些使用者會被限制存取敏感公司網路;同樣的,某些網路可能會比其他網路擁有更廣泛的資料。這可以使得保護組織最重要資料(我們經常討論的話題)的任務變得更加容易。

可以同心合作來廣泛地評估組織所面對的威脅。有些風險並非出現在所有組織 – 比方說國防承包商面對的威脅就和家庭式麵包店不同。組織需要了解自己面對的是什麼樣的風險,以及有那些已經出現在自己的網路內。後者尤其困難,甚至連大型組織也面臨到這樣的挑戰。但這很重要,在組織提高其安全態勢前,需要先了解自己的狀況。

在過去,這項任務可能比較容易,因為所有的設備都在IT部門管控之下,而且連線只有有線網路。這代表了IT部門可以負責一切 – 而IT管理者,一般來說是一組人,可以將事情有邏輯的安排好,輕鬆的將以防護。

但在今日就不是這樣了。行動設備和BYOD政策代表想要強制進行「正確」的網路區隔變得困難得多。同樣的,因為角色會不斷改變和更具備彈性,也代表員工每日所需的資料可能會經常變動。此外,企業網路內資料流動的規模也是大大的增加。

區隔使用者和網路是一項艱鉅的任務,但卻是必要的。在面對今日的針對性攻擊時,識別正常流量及使用者是必要的。能夠更加熟悉「正常」流量和使用者,在偵測可能是針對性攻擊跡象的不尋常網路活動就更加有用。

那麼,有那些標準可以用來識別和分類網路?下面是一些例子。 Continue reading “< APT 攻擊防禦 > 識別和區分網路及使用者"

< APT攻擊 > 鎖定台灣和菲律賓政府機關、軍事單位的"熱帶騎警"攻擊行動如何滲透機密單位?

台灣和菲律賓已成為一項名為 Tropic Trooper (熱帶騎警) 的「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱APT攻擊)的目標,而這項攻擊使用的只是舊的技倆:兩個 Windows 經常遭到攻擊的漏洞、社交工程(social engineering 巧以及簡單的圖像隱碼術 (Steganography)。這項攻擊從 2012 年至今一直不斷在竊取政府機關與產業的機密。

攻擊 入侵 駭客 一般 資料外洩

Tropic Trooper 攻擊行動專門鎖定台灣和菲律賓的政府機關、軍事單位以及重工業企業。值得注意的是仍有許多機構遭到這些老舊技倆的滲透,但它其實是可以利用漏洞修補、資安教育、惡意程式防護偵測等一些主動的作為和技術來事先加以防範。

在這項攻擊行動當中,歹徒對其攻擊目標的網路瞭若指掌,而且知道該用什麼誘餌來吸引受害者上鉤。歹徒精心製作了魚叉式網路釣魚(Phishing)電子郵件,並且附上炸彈攻擊預告信、履歷表、政府預算表等等吸引受害者開啟的附件檔案。這些隨附的文件當中暗藏了程式碼來攻擊 Windows 經常被利用、並可執行木馬程式的兩項漏洞:CVE-2010-3333 和 CVE-2012-0158。

[延伸閱讀:進階持續性滲透攻擊 (APT) 最常利用的漏洞 (Most Commonly Exploited Vulnerabilities Related to Targeted Attacks)]

歹徒的木馬程式 (TROJ_YAHOYAH) 最後會下載並解碼出一個惡意的圖片檔或一個誘餌文件。這個圖片檔看似無害,而且很像 Windows XP 系統內建的桌布。但其實歹徒利用了隱寫術來將 BKDR_YAHAMAM 後門程式暗藏在圖片當中,此程式會竊取系統上的資料、中止執行中的程序及服務、刪除檔案和目錄、將系統睡眠,或是執行其他的後門功能。

Tropic Trooper 攻擊行動所使用的圖片範例
Tropic Trooper 攻擊行動所使用的圖片範例

Continue reading “< APT攻擊 > 鎖定台灣和菲律賓政府機關、軍事單位的"熱帶騎警"攻擊行動如何滲透機密單位?"

< APT 攻擊>專門從事經濟和政治間諜的Pawn Storm活動激增

Pawn Storm活動激增,鎖定北大西洋公約組織 (NATO) 與美國白宮

一直長期活躍的 Pawn Storm「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱APT攻擊)行動在新的一年突然爆炸性成長,導入了新的基礎架構,同時也開始鎖定北大西洋公約組織 (NATO) 會員國,甚至是美國白宮。這是根據趨勢科技持續研究其背後駭客團體所得到的最新情報,同時也是我們眾所周知的 2014 年 10 月份 Pawn Storm 研究報告的後續補充。

通用 security

 

Pawn Storm 攻擊行動:背景

Pawn Storm 是一項專門從事經濟和政治間諜活動的攻擊行動,其目標相當廣泛,包括:軍事、政府、國防產業、媒體等等。

該團體是一群處心積慮的駭客,至少從 2007 年開始即活躍至今,其犯案模式非常固定。我們為所取的名稱,是根據歹徒聯合搭配多種工具和手法來襲擊單一目標的作法,與西洋棋中的 Pawn Storm (小兵聯合攻擊) 策略如出一轍。

該團體運用了三種非常容易辨別的攻擊手法。第一種是發送含有惡意 Microsoft® Office 文件的網路釣魚郵件,文件當中暗藏專門竊取資料的 SEDNIT/Sofacy 惡意程式;第二種是在波蘭政府的一些網站上植入某些漏洞攻擊程式,讓瀏覽者感染前述的惡意程式;最後一種則是利用網路釣魚電子郵件來將使用者重導至假冒的 Microsoft Outlook Web Access (OWA) 登入網頁。

Pawn Storm 主要攻擊對象為美國及其盟邦的軍事單位、政府機關和媒體機構。我們判斷該團體也曾攻擊俄羅斯異議團體以及那些和克里姆林宮作對的團體,此外,烏克蘭激進團體與軍事單位也在攻擊之列。因此有人揣測該團體可能跟俄羅斯政府有所關聯。

今年二月,趨勢科技觀察到 Pawn Storm 又有新的動作,並發現一個專門攻擊 Apple 使用者的 iOS 間諜程式

Continue reading “< APT 攻擊>專門從事經濟和政治間諜的Pawn Storm活動激增"

< APT 攻擊 >電腦螢幕後的敵人了解你的企業、網路、防禦措施、員工….還有更多

你的潛在敵人了解你的企業、你的網路、你的防禦措施、你的員工、你的供應鏈以及任何與你組織有互動相關的點。你會問,為什麼要做到如此透徹?這是要了找出最好的方法去躲避你的防禦措施,拿到你的資料,取回接著從中獲利。

作者:Bob Corson

 

對付 APT攻擊/目標攻擊, 必須偵測看不見的東西

如果你還沒有嘗試過「APT目標攻擊遊戲」,記得去試試。在最近,一直在我腦海中激盪思考的題目,就好似上圖中兩個物品跟目標攻擊的關係。不過,我希望經過幾段文章之後,你會得出以下結論:那些想進行「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱APT攻擊)的人不會照著預期的規則走。想贏得這場「遊戲」,你必須要能夠偵測某些你原本看不見的東西。

APT目標攻擊遊戲

 

現在,讓我們開始。在進行「APT目標攻擊遊戲」後,很有機會你會進行到最後跟Ferguson先生握手,你有什麼結論、意見和想法呢?我的話,是加強了我已經思考一段時間的想法,可以由上圖的物件來表示。 Continue reading “< APT 攻擊 >電腦螢幕後的敵人了解你的企業、網路、防禦措施、員工….還有更多"

APT 攻擊晉升 64 位元版本

Google 在6月發表 64 位元 Chrome 瀏覽器時提到,升級至 64 位元版本的主要動機就是絕大多數的 Windows 使用者現在都已使用 64 位元作業系統。儘管 64 位元 Windows 作業系統的普及率比 Microsoft 原先預期的稍慢一點,但卻一直有穩定成長,而且軟體開發廠商的支援度也有顯著提升。但不幸的是,駭客也同樣跟進,推出 64 位元惡意程式。

APT

趨勢科技已記錄了多個擁有 64 位元版本的惡意程式,包括 64 位元版本的 ZeuS 在內,而同樣的情況也出現在鎖定APT 攻擊/目標攻擊上。事實上,根據我們的「2013 年下半年鎖定APT 攻擊/目標攻擊趨勢」報告指出,在所有鎖定目標相關惡意程式當中,有 10% 僅能在 64 位元平台執行。

KIVARS:早期版本

趨勢科技所發現的64 位元惡意程式其中之一就是 KIVARS。根據我們的發現,該惡意程式的早期版本僅會影響 32 位元系統,並且是透過 TROJ_FAKEWORD.A (SHA1 218be0da023e7798d323e19e950174f53860da15) 這個惡意程式來植入系統。不過請注意,所有版本的 KIVAR 都會利用這個下載程式來安裝載入程式和後門程式。

當 TROJ_FAKEWORD.A 執行時,它會在系統植入 2 個執行檔以及一個密碼保護的 MS Word 文件,此文件的作用只是當成誘餌:

  • %windows system%\iprips.dll – TROJ_KIVARSLDR
  • %windows system%\winbs2.dll – BKDR_KIVARS
  • C:\Documents and Settings\Administrator\Local Settings\Temp\NO9907HFEXE.doc – 誘餌文件

 圖 1:TROJ_KIVARSLDR 會安裝成名為「iprip」的服務。

TROJ_KIVARSLDR 會將 BKDR_KIVARS 載入記憶體中執行。BKDR_KIVARS 具備下列能力:

  • 下載\上傳檔案
  • 操控\執行檔案
  • 列出所有磁碟機
  • 解除安裝惡意程式服務
  • 擷取螢幕畫面
  • 啟動\關閉鍵盤側錄程式
  • 操控前景視窗 (顯示、隱藏)
  • 觸發滑鼠左鍵、右鍵點選以及點兩下
  • 觸發鍵盤輸入

TROJ_FAKEWORD.A 會利用「強制由左至右書寫」(RTLO) 技巧並結合 MS Word 文件圖示來讓使用者誤以為它只是個一般的文件檔案,這兩項技巧之前就曾經出現在 PLEADContinue reading “APT 攻擊晉升 64 位元版本"

針對日本和中國,可客製化攻擊的 EvilGrab 產生器

趨勢科技最近發表對一起新攻擊活動的調查結果,這起攻擊活動稱為EvilGrab,一般針對日本和中國的受害者。這起攻擊活動仍在攻擊使用者,我們現在已經取得用來製造此次攻擊活動所用惡意程式的產生器。

hacker with hat

在現在現實世界的EvilGrab產生器

帶我們找到EvilGrab產生器的是個偽裝成Word文件檔的惡意檔案 – 最新版本的请愿书-让我们一同为书记呐喊(请修改指正).doc.exe。檔名是用簡體中文(它的MD5值是b48c06ff59987c8a6c7bda3e1150bea1,趨勢科技將其偵測為BKDR_EVILOGE.SM)。它會連到命令和控制伺服器(203.186.75.184和182.54.177.4),分別位在香港和日本。它還會將自己複製到啟動資料夾,並且對Windows註冊表做編輯。這些都是這類型惡意軟體的典型舉動。

然而,有些被加入的註冊碼有著特殊意義:

HKEY_LOCAL_MACHINE\SOFTWARE\{AV vendor}\settings

HKEY_LOCAL_MACHINE\SOFTWARE\{AV vendor}\environment

這些註冊碼似乎試圖將自己注入到防毒產品的程序內。和我們之前所討論的EvilGrab樣本類似,這惡意軟件會對騰訊QQ(一個流行的中國即時通系統)進行相同檢查。

雖然惡意軟體本身並沒有特別不尋常的地方,但是分析它讓我們找到用來產生這些惡意軟體的產生器。這個產生器被確認確實存在,而且命名為Property4.exe

我們可以看到攻擊者可以輸入好幾個欄位。其中包括了:

 

  • 指定命令和控制(C&C)伺服器(IP地址或網域名稱),端口和連接時間間隔。
  • 選擇檔案圖示(安裝檔案圖示,檔案夾圖示和文件圖示)
  • 刪除自己
  • 鍵盤記錄
  • 按鍵記錄

 

另外,在這產生器的第二選項頁內,攻擊者可以選擇試圖繞過的防毒產品:

圖二、繞過防毒軟體

 

測試EvilGrab產生器

這時候,我們決定要測試這產生器的功能,並且將其所生成的檔案和之前所看到的EvilGrab版本加以比較。

首先,我們打開產生器,輸入一些基本設定來產生測試版的EvilGrab。

圖三、EvilGrab產生器

我們的輸出選擇使用微軟Word檔案圖示,檔名為New.doc.exe,如下圖所示。請注意,這微軟Word檔案圖示描繪得很精確。

圖四、EvilGrab測試樣本

除了製造惡意檔案外,還會產生一個包含連線詳細資料的設定檔。

圖五、EvilGrab設定檔 Continue reading “針對日本和中國,可客製化攻擊的 EvilGrab 產生器"

APT目標攻擊使用JPEG檔案

趨勢科技最近看到一些來自SOGOMOT和MIRYAGO家族的惡意軟體會用不尋常的方式來更新自己:它們會下載包含加密過設定檔案/二進位程式的JPEG檔案。不僅如此,我們認為這手法至少從2010年中就開始了。我們所看到的這惡意軟體最值得注意的地方是它會隱藏自己的設定檔。這些JPEG檔案放在亞太地區的網站上,並且被用在針對這地區的APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)目標攻擊上。

APT

 分析JPEG更新

雖然JPEG檔的內容加密過,我們還是可以解密並分析這些檔案的內容。我們可以將它們分成三類:

 

  • 設定檔案(A型)
  • 設定檔案(B型)
  • 二進位內容(無論是DLL或EXE檔案)

第一種設定檔(A型)跟我們在其他惡意軟體所看到的類似。它包含讓惡意軟體可以執行來自攻擊者指令的資訊,更改設定/模組,並進行自我更新。這些設定內有其他惡意JPEG檔案的網址。此外,這些檔案顯示攻擊者可能已經成功入侵了目標組織,因為有些資料涉及特定的機器或個人。

第二種設定檔(B型)似乎和防毒軟體有關。它包含來自不同廠商的多種防毒產品程序名稱,以及目標網路內的主機名稱資料。這裡是一份B型檔案的部分,解碼後為:

Virus=*avp.exe*,*kavmm.exe*,*klserver.exe*|Kaspersky|*nod32kui*,*ekrn.exe*|ESET|*frameworkService*,

*mcshield*|McAfee|*smc.exe*,*rtvscan.exe*|Symantec|*kwatch.exe*,*kxeserv.exe*,*kxescore.exe*|Kingsoft|

*ravtask.exe*,*ravmond.exe*|Rising|*avguard*,*sched.exe*|Avira|*kvsrvxp*|jiangming|*avgrsx.exe*,

*avgwdsvc.exe*|AVG|*tmlisten*,*ntrtscan.exe*,*tmntsrv*|Trend Micro|*360sd.exe*|360sd|

*zhudongfangyu.exe*|360safe|*qqpcrtp.exe*,*qqpctray.exe*|QQPCMGR|

 

這個設定檔比遠小於A型設定檔。此設定內的某些值也證明了感染已經到了攻擊的第二階段。

除了設定檔案外,JPEG格式檔案也包含了可執行檔案,可能是惡意軟體本身的更新,或是想要安裝到受影響系統上的新惡意軟體。

JPEG檔案託管和外觀

這些JPEG檔案放在許多網站上,大多分佈在亞太地區。有某些網站看來是合法的內容,意味著可能是被入侵後託管這些檔案。

下面是我們所看到部分JPEG檔案的截圖:

APT目標攻擊使用JPEG檔案

APT目標攻擊使用JPEG檔案

趨勢科技已經獲得這些JPEG檔案的多個樣本,並且基於這些樣本,我們認為這種更新模式最早用在2010年6月,並且使用至今。更新的頻率也都大不相同:有些幾乎是每日更新,有些的更新間隔會隔了數月。

Continue reading “APT目標攻擊使用JPEG檔案"

APT 攻擊藉由惡意PDF攻擊程式碼大量增加中

在2012年裡,我們看到了各式各樣的APT攻擊活動利用Microsoft Word的漏洞 – CVE-2012-0158。這是一種轉變,之前最常被利用的Word漏洞是CVE-2010-3333。雖然我們還是繼續看到CVE-2012-0158被大量的使用,不過我們也注意到惡名昭彰的「MiniDuke」攻擊所製造針對Adobe Reader漏洞 – CVE-2013-0640的攻擊程式碼使用量的增加。這些惡意PDF檔案所植入的惡意軟體和MiniDuke並無關聯,但卻和正在進行中的APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)活動有關。

APT 攻擊藉由惡意PDF攻擊程式碼大量增加中
APT 攻擊藉由惡意PDF攻擊程式碼大量增加中

Zegost

趨勢科技所發現的一組惡意PDF檔案,藏有上述漏洞攻擊碼的誘餌文章使用的是越南文,檔案名稱也是相同的語言。

APT 攻擊藉由惡意PDF攻擊程式碼大量增加中
圖一、誘餌文件樣本

這些PDF檔案內嵌著和MiniDuke攻擊活動所使用類似的JavaScript程式碼。相似之處包括了類似的函數和變數名稱。

APT 攻擊藉由惡意PDF攻擊程式碼大量增加中
圖二、類似的JavaScript程式碼

使用Didier Steven的PDFiD工具來分析這PDF檔案,顯示出這兩個PDF檔案非常相似。雖然並非完全相同,但兩者之間的相似之處是難以否認的。有意思的地方是「/Javascript」、「/OpenAction」和「/Page」。這些地方代表著有JavaScript出現,有某種自動行為出現和頁碼。這三個項目可以幫我們確認MiniDuke和Zegost的相似之處。

Continue reading “APT 攻擊藉由惡意PDF攻擊程式碼大量增加中"

《總經理看資安趨勢》被APT攻擊後,該怎麼辦?

BOB作者:洪偉淦  趨勢科技台灣暨香港區總經理

假使企業發現遭受APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT),如何因應?不久前恰好有一份相關的統計報告出爐,歸納最常見處理方式不外下面三種,第一種是「強化傳統資安解決方案」,就現有防護工具進行全面補強;其次是將受害電腦予以Format,也就是「毀屍滅跡」;甚至有人索性「放任不管」,因缺乏專業知識,不知如何下手,只好置之不理。

綜觀上述三種方式,除了「放任不管」明顯不值得鼓勵外,另兩種做法亦存在盲點。首先,APT攻擊與一般威脅的最大不同之處,在於它是針對特定目標量身訂做的攻擊,傳統方案無法偵測其蹤影,所以「強化傳統資安解決方案」效用不大。其次,APT攻擊通常依循著攻擊、控制、擴散等步驟,企業必須瞭解其發展至哪一個階段,方知已造成或潛在的傷害有多大,才有助於對症下藥,如今好不容易有線索可還原事件原貌,卻急於「毀屍滅跡」,殊為可惜,因為那些被Format的標的,可能只是冰山一角,恐存在更多漏網之魚。

持平而論,APT是持續性的滲透攻擊,完整的防禦機制理應包含工具、流程,以及APT攻擊專家介入協助,三者缺一不可。也就是說,企業在部署偵測、分析、欄截、鑑識等APT專用解決方案之餘,另須搭配事件反應處理流程IR Process(Incident Response Process),輔以APT攻擊專家針對攻擊型態深入剖析,才足以洞察事件全貌。一方面將分析結果回饋到防禦機制,持續發揮偵查之效,遏止新的攻擊入侵,另一方面產製真正有效的解藥,針對潛伏在企業的APT暗樁,進行大規模清除。 Continue reading “《總經理看資安趨勢》被APT攻擊後,該怎麼辦?"

《總經理看資安趨勢》用客製化防禦對付APT 攻擊

BOB作者:洪偉淦  趨勢科技台灣暨香港區總經理

過去企業最關注的資安威脅,往往是全球病毒爆發事件,但從2011年起,焦點則轉向APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT),因為就連資安把關嚴密的大型企業,都能被 APT突穿防線而渾然不知,顯見此類攻擊確實可怕,難怪舉世為之震驚。

用客製化防禦對付APT
用客製化防禦對付APT

APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)是客製化的目標式攻擊,處心積慮就是要透滲攻擊目標,所以面對防毒軟體、防火牆或入侵防禦系統等傳統資安防線,早已深諳閃避之道,也擅長運用社交工程郵件以假亂真,讓員工在不疑有他的情況下,淪為駭客的禁臠,企業那怕做再多宣導與訓練,終將防不勝防。

企業如何因應APT-進階持續性滲透攻擊 (Advanced Persistent Threat, APT)?第一步即是調整心態,先假設自己已遭攻擊,然後一方面積極提高被攻擊的門檻,避免持續遭到滲透,二方面設法早期發現、儘速處理。針對「發現」與「處理」,企業亦應有所體認,面對客製化攻擊,唯有運用客製化防禦才能順利反制,莫再倚賴一體適用的工具,只因這些工具根本無效;此時企業可與資安廠商合作將因應新型攻擊的反應機制和流程在企業內部建立,方可做到客製化的防禦。

要滿足上述目標,少不得需要工具輔助。所以近年來,奠基於沙箱模擬分析技術的APT解決方案,一一現身於市場,以協助用戶揪出惡意檔案,並據此求助防毒軟體廠商,儘速清理禍害。這類方案確實擁有一定價值,但亦存在若干盲點。 沙箱模擬是必要的分析工具,但單靠此一技術難以抑止實際攻擊。首先,高達九成APT攻擊,皆以社交工程郵件為先遣部隊,企業需考慮如何在第一時間阻擋社交工程電子郵件進入內部,以減少後續災害控制的成本。單一沙箱模擬技術在時效及效能難以符合實際需求。 Continue reading “《總經理看資安趨勢》用客製化防禦對付APT 攻擊"