大型跨國網路攻擊「Cloud Hopper」蔓延至亞洲, 以滲透IT代管服務供應商為跳板

四月初國外安全媒體爭相報導,一個大型的跨國網路攻擊,由英國國家網絡安全中心(NCSC)等單位公布的資安研究報告,指出以發動「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱 APT攻擊)惡名昭彰的中國駭客集團 APT10,正入侵全球企業並竊取機密資訊。
向來以魚叉式釣魚攻擊(SPEAR PHISHING)來攻擊目標企業或政府機關的 APT10,這波攻擊從供應鏈入手,藉由滲透 IT代管服務供應商(Managed IT Service Providers,MSPs)間接入侵目標攻擊的對象,該攻擊行動被命名為「Cloud Hopper」。
攻擊行動一旦入侵一家MSP,就可能獲得數千家的潛在攻擊對象,根據趨勢科技的初步分析和偵測顯示,這項攻擊行動至少使用了 70 種不同的後門程式家族和木馬程式。
本文將分享為了持續躲在受感染的系統當中,駭客做了哪些布局?
為避免 IT 系統管理員起疑,APT10 駭客組織用了哪些障眼法?

關於 Cloud Hopper 攻擊行動,企業該如何防範?

資安研究人員最近發現了一波影響範圍極廣的網路間諜行動,其背後是一個名為「APT10」的駭客集團 (又名:MenuPass、POTASSIUM、Stone Panda、Red Apollo 或 CVNX)。駭客瞄準的目標為 IT 代管服務廠商 (Managed Service Provider,簡稱 MSP),但這只不過是個跳板,其真正目標為 MSP 客戶的智慧資產和商業機密。以下整理了有關這項最新威脅企業該知道的訊息以及該如何防範。

受害對象已延伸到亞洲

該攻擊行動原本的受害目標主要是北美、歐洲、南韓及亞洲的企業機構,但最近也蔓延到以下地區的 MSP:英國、美國、日本、加拿大、巴西、法國、瑞士、挪威、芬蘭、瑞典、南非、印度、泰國、南韓以及澳洲。 Continue reading “大型跨國網路攻擊「Cloud Hopper」蔓延至亞洲, 以滲透IT代管服務供應商為跳板”

< APT 攻擊 > ” 有本事就來抓我啊~” 駭客平均躲藏天數 205 天

APT 駭客如何在你周圍四處遊走而不被發現

Internet Security System
I

 

曾經遭遇資料外洩駭客事件的企業,通常都有一個同樣的疑惑:「駭客是如何在我的環境當中長期躲藏而不被發現?」根據 Mandiant 的一份報告,在所有資料外洩事件當中,駭客平均躲藏的天數是 205 天。每一起資料外洩駭客事件背後都有一位或多位主謀,而且現在越來越難逮到這位幕後的主謀。

APT攻擊駭客團體特別擅長隱匿行蹤

在所有駭客攻擊當中,最有能力在企業網路內部四處躲藏及遊走的,應該是「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱APT攻擊)。這些攻擊之所以被稱為「進階」,是因為駭客運用了零時差漏洞;之所以能夠「持續滲透」,是因為駭客有著強烈的動機。其高超的技巧,對全球的企業來說都是一項嚴重威脅。這些APT攻擊駭客團體就如同一般的犯罪集團一樣,有著組織性犯罪的特質,而且特別擅長隱匿行蹤。

他們有統一的指揮管道,而且要擒拿這些行動背後的首腦相當困難,尤其是當他們躲藏在國外的時候。事實上,許多政治取向的APT攻擊團體通常都有政府在背後支援,而這些政府當然不可能配合執行違反其意志的政策。即使我們可以從攻擊行動所使用的網址來追溯到某個地區,但該網址註冊的 DNS 和 IP 服務廠商通常也不願配合國外的執法機關,因為他們向來聽命於當地政府。正因如此,那些由政府在背後撐腰的駭客,就能一再發動惡意攻擊而不會遭到任何懲罰。在低風險、高報酬的條件下,他們會不斷從過去的失敗當中記取教訓,因此每一次都比上一次的行動更加小心謹慎。

APT攻擊共有六個階段,每一階段由一組專門的駭客負責

資料圖表 Info graphic: Connecting The APT dots

有一點很重要是我們必須知道的,企業網路內的橫向移動只是APT攻擊的其中一個階段而已。事實上,典型的APT攻擊共有六個階段:(1) 情報蒐集、(2) 突破防線、(3) 幕後操縱 (C&C)、(4) 橫向移動、(5) 搜尋資產、(6) 資料外傳。有組織的APT攻擊團體通常會將工作依照行動階段來分工合作,每一階段由一組專門的駭客負責,並有其獨特的工具和技巧。這樣的作法在大型犯罪集團已行之有年,目前也開始運用到網路犯罪領域。

人們通常會過於執著在技術上的細節,而忘了其實 APT攻擊團體跟傳統非電腦犯罪的專業集團有許多相似之處。就以持槍搶劫銀行的例子來說,不同的搶匪會依據個人的專長而分別擔任不同的工作,藉此提高行動的速度和效率。同樣的策略應用到 APT攻擊,其效果甚至更好,因為這樣可以讓不同階段之間彼此不互相重疊,如此一來,系統管理員在事後分析網路時就無法察覺其不同階段之間的關聯。雖然APT攻擊行動的每一個階段都是達成最後目標的關鍵,但仍有些階段所占的比重較高。

駭客會在整個網路上設置多個不同的後門,以便能夠輕易進出目標網路

第四階段的橫向移動需要隱密和觀察的技巧。這階段需要同時具備社交工程(social engineering )技巧與駭客能力,才能在目標環境當中迅速移動而不被察覺。橫向移動對於安排最後資料外傳階段的布局至關重要。不斷地在不同端點裝置之間移動,可以讓駭客完整掃瞄整個網路,並且找到最珍貴的資料。此外,這個階段通常需要一直不斷重覆,因此,駭客會在整個網路上設置多個不同的後門,以便能夠輕易進出目標網路,必要時進一步竊取更多資料。

企業通常會有系統管理員和資安軟體來持續監控內送及外送網路流量,因此,歹徒的 C&C 機制必須融入目標網路才行。想要暗藏在網路流量當中偷偷進出企業,歹徒必須結合惡意程式、駭客技能以及進階社交工程技巧。歹徒不只要知道如何駭入,還要知道何時駭入。大型的犯罪集團會在發動攻擊之前,先對目標進行長期的觀察和研究。為了使 C&C 伺服器不讓人起疑,駭客通常會使用一般常見的 IT 工具,如「PSExec」(一個用來取代 telnet 的遠端執行工具) 來執行其檔案,並在企業的營業時間連上 C&C 伺服器,如此,其網路連線才不會讓人起疑。除此之外,駭客還會利用惡意程式來將其連線偽裝成 HTTP 或 HTTPS 通訊以隱藏其行動,因為系統管理員不可能有時間檢查每一個觀察到流量,而資安軟體通常也無法偵測零時差攻擊。 Continue reading “< APT 攻擊 > ” 有本事就來抓我啊~” 駭客平均躲藏天數 205 天”

數據會說話:產業測試的真相

如同任何分析評比一樣,NSS Labs 最新一份入侵偵測系統 (Breach Detection System,簡稱 BDS) 評比測試所提供的並不只有分數、偵測率及整體持有成本 (TCO) 等數據而已。經由透明公開的評比測試,不論現有客戶、合作夥伴、潛在客戶,或是產業和金融分析師,都能獲得公正公開的參考資訊。

簡單講,NSS Labs 最新的 BDS 測試呈現的是:

NSS Labs BDS 這類公開測試很單純地卸下了產品的神秘面紗,為決策者提供更可靠的參考依據。任何需要採購入侵偵測系統的人,都能經由這樣的分析來形成自己的想法,並且擬定一套策略來因應 APT 的挑戰。

大家都同意,對付APT攻擊並無所謂的萬靈丹。在這樣的情況下,最好的作法就是根據您網路的實際狀況來評估及挑選一套適合您的解決方案。

比方說,能在 NSS Labs 之類的產業測試當中取得優異成績,就是偵測能力和解決方案價值的重要指標。不過,當您在將某家產品列入候選名單之前,您務必要了解測試的背景。也就是說,NSS Labs 測試結果僅代表當時的狀況,同時也取決於測試方法所蒐集到的進階惡意程式類型與攻擊手法。正因如此,我們很高興 NSS Labs 採取了一種開放、透明的測試程序從網路上蒐集實際的攻擊樣本,因為這些都是傳統或當今防毒技術無法立即偵測的。

很榮幸趨勢科技連續第二年榮獲「推薦」(Recommended) 的評價,而且是所有 NSS Labs 推薦的入侵偵測系統當中整體分數最高、最有成效的解決方案。

持續提供效能優異而穩健的解決方案,是我們對客戶的承諾,也是一切行動的基石。NSS Labs 的 BDS 測試結果證明我們已經履行了承諾,而我們的整個團隊也都為這樣的成果感到驕傲。

如需更多有關為何您應該將趨勢科技 Deep Discovery 列入考慮,以及美國芝加哥 Rush University Medical Center 醫療中心如何發揮該產品的動態偵測能力,請看這裡

 

原文出處: Just the Facts – The Truth About Industry Tests作者:Bob Corson
▍想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 ▍

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。

 

 

< APT 攻擊防禦 > 識別和區分網路及使用者

適當進行網路區隔是保護網路對抗「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱APT攻擊)最關鍵的主動應對措施。對組織來說,適當的識別和分類自己的使用者與其所能存取的網路也同樣的重要。

attack hacker 鍵盤攻擊

這是一項重要的任務,因為它讓管理者能夠正確的區隔使用者權限和網路流量。有些使用者會被限制存取敏感公司網路;同樣的,某些網路可能會比其他網路擁有更廣泛的資料。這可以使得保護組織最重要資料(我們經常討論的話題)的任務變得更加容易。

可以同心合作來廣泛地評估組織所面對的威脅。有些風險並非出現在所有組織 – 比方說國防承包商面對的威脅就和家庭式麵包店不同。組織需要了解自己面對的是什麼樣的風險,以及有那些已經出現在自己的網路內。後者尤其困難,甚至連大型組織也面臨到這樣的挑戰。但這很重要,在組織提高其安全態勢前,需要先了解自己的狀況。

在過去,這項任務可能比較容易,因為所有的設備都在IT部門管控之下,而且連線只有有線網路。這代表了IT部門可以負責一切 – 而IT管理者,一般來說是一組人,可以將事情有邏輯的安排好,輕鬆的將以防護。

但在今日就不是這樣了。行動設備和BYOD政策代表想要強制進行「正確」的網路區隔變得困難得多。同樣的,因為角色會不斷改變和更具備彈性,也代表員工每日所需的資料可能會經常變動。此外,企業網路內資料流動的規模也是大大的增加。

區隔使用者和網路是一項艱鉅的任務,但卻是必要的。在面對今日的針對性攻擊時,識別正常流量及使用者是必要的。能夠更加熟悉「正常」流量和使用者,在偵測可能是針對性攻擊跡象的不尋常網路活動就更加有用。

那麼,有那些標準可以用來識別和分類網路?下面是一些例子。 Continue reading “< APT 攻擊防禦 > 識別和區分網路及使用者”

< APT攻擊 > 鎖定台灣和菲律賓政府機關、軍事單位的”熱帶騎警”攻擊行動如何滲透機密單位?

台灣和菲律賓已成為一項名為 Tropic Trooper (熱帶騎警) 的「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱APT攻擊)的目標,而這項攻擊使用的只是舊的技倆:兩個 Windows 經常遭到攻擊的漏洞、社交工程(social engineering 巧以及簡單的圖像隱碼術 (Steganography)。這項攻擊從 2012 年至今一直不斷在竊取政府機關與產業的機密。

攻擊 入侵 駭客 一般 資料外洩

Tropic Trooper 攻擊行動專門鎖定台灣和菲律賓的政府機關、軍事單位以及重工業企業。值得注意的是仍有許多機構遭到這些老舊技倆的滲透,但它其實是可以利用漏洞修補、資安教育、惡意程式防護偵測等一些主動的作為和技術來事先加以防範。

在這項攻擊行動當中,歹徒對其攻擊目標的網路瞭若指掌,而且知道該用什麼誘餌來吸引受害者上鉤。歹徒精心製作了魚叉式網路釣魚(Phishing)電子郵件,並且附上炸彈攻擊預告信、履歷表、政府預算表等等吸引受害者開啟的附件檔案。這些隨附的文件當中暗藏了程式碼來攻擊 Windows 經常被利用、並可執行木馬程式的兩項漏洞:CVE-2010-3333 和 CVE-2012-0158。

[延伸閱讀:進階持續性滲透攻擊 (APT) 最常利用的漏洞 (Most Commonly Exploited Vulnerabilities Related to Targeted Attacks)]

歹徒的木馬程式 (TROJ_YAHOYAH) 最後會下載並解碼出一個惡意的圖片檔或一個誘餌文件。這個圖片檔看似無害,而且很像 Windows XP 系統內建的桌布。但其實歹徒利用了隱寫術來將 BKDR_YAHAMAM 後門程式暗藏在圖片當中,此程式會竊取系統上的資料、中止執行中的程序及服務、刪除檔案和目錄、將系統睡眠,或是執行其他的後門功能。

Tropic Trooper 攻擊行動所使用的圖片範例
Tropic Trooper 攻擊行動所使用的圖片範例

Continue reading “< APT攻擊 > 鎖定台灣和菲律賓政府機關、軍事單位的”熱帶騎警”攻擊行動如何滲透機密單位?”

< APT 攻擊 >電腦螢幕後的敵人了解你的企業、網路、防禦措施、員工….還有更多

你的潛在敵人了解你的企業、你的網路、你的防禦措施、你的員工、你的供應鏈以及任何與你組織有互動相關的點。你會問,為什麼要做到如此透徹?這是要了找出最好的方法去躲避你的防禦措施,拿到你的資料,取回接著從中獲利。

作者:Bob Corson

 

對付 APT攻擊/目標攻擊, 必須偵測看不見的東西

如果你還沒有嘗試過「APT目標攻擊遊戲」,記得去試試。在最近,一直在我腦海中激盪思考的題目,就好似上圖中兩個物品跟目標攻擊的關係。不過,我希望經過幾段文章之後,你會得出以下結論:那些想進行「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱APT攻擊)的人不會照著預期的規則走。想贏得這場「遊戲」,你必須要能夠偵測某些你原本看不見的東西。

APT目標攻擊遊戲

 

現在,讓我們開始。在進行「APT目標攻擊遊戲」後,很有機會你會進行到最後跟Ferguson先生握手,你有什麼結論、意見和想法呢?我的話,是加強了我已經思考一段時間的想法,可以由上圖的物件來表示。 Continue reading “< APT 攻擊 >電腦螢幕後的敵人了解你的企業、網路、防禦措施、員工….還有更多”

< APT >企業資料是網絡罪犯的金礦 ,新型APT 目標攻擊手法威脅網絡安全

 檢視APT 攻擊趨勢:2014 年度報告

「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱APT攻擊)(以下簡稱APT)是一種專門以竊取目標系統上的資料為主的威脅。APT攻擊包含六個階段:情報蒐集、突破防線、幕後操縱 (C&C)、橫向移動、搜尋資產/資料、資料外傳。有別於一般的認知,這些階段並非單向線性執行的,而是各階段不斷重複且並行重疊的。同樣地,資料外傳的動作也不會只有一次,其幕後操縱通訊和橫向移動則是整個行動當中一直持續在進行。最後,鎖定目標攻擊會進入一個維護階段,此時駭客會執行某些動作來讓資安人員的因應措施以及其他駭客企圖霸占的行為無法成功。

APT 攻擊行動很難找到幕後黑手和犯罪集團

 

這份年度報告討論了趨勢科技在 2014 年當中所分析的APT案例,以及所監控的相關幕後操縱伺服器。此外,這份報告也詳細討論了趨勢科技所調查過的攻擊行動,以及我們對APT攻擊手法、技巧與程序發展趨勢的觀察:

  • 鎖定目標攻擊行動很難找到幕後的黑手和犯罪集團。 

歹徒會盡可能不在目標網路內留下可追溯的痕跡,因此很難找到其幕後的黑手。2014 年,我們發現一些由政府在背後支援以及非政府支援的攻擊,後者的案例如 Arid Viper 和 Pitty Tiger。根據趨勢科技網路安全長 Tom  Kellermann 指出,有越來越多的網路犯罪者利用毀滅性攻擊來宣揚其激進主義或者反制資安應變措施。

APT攻擊行動的各個階段

圖 1:APT攻擊行動的各個階段

除了外部攻擊之外,企業可能還得面對內賊的威脅,如去年的 Amtrak 資料外洩事件,該案洩漏了將近 20 年的旅客個人身分識別資訊 (PII)。

APT攻擊行動的各個階段

圖 2:歹徒的身分和動機

  • 環境的特殊性不一定能防止歹徒的覬覦。

除了鎖定一般商用及熱門的軟體與工具之外,歹徒也會利用一些特殊領域的應用程式、作業系統及環境來發動攻擊,其中一個例子就是利用奇異公司智慧型平台 (GE Intelligent Platform) CIMPLICITY 軟體的攻擊。Apple 的裝置也成了歹徒滲透目標網路、進而從事間諜活動的工具,例如 Pawn Storm 攻擊行動。

  • 鎖定目標攻擊手法持續突破、技巧不斷翻新。

新的鎖定目標攻擊手法在 2014 年不斷出現。這些手法運用了一些正當的工具 (如 Windows® PowerShell) 以及雲端儲存平台 (如 Dropbox)。此外趨勢科技也發現針對 64 位元系統所開發出來的惡意程式越來越普遍。

[您的企業有能力防範網路攻擊嗎?《APT攻擊:遊戲》邀請您來擔任公司的資訊長]

  • 經過長期試驗成功的漏洞與新發現的零時差漏洞依然是歹徒的最愛。

根據證據顯示,歹徒不僅會利用零時差漏洞,也會利用一些已經存在多年的舊漏洞來發動APT

  • 鎖定目標攻擊仍是一項全球問題。

根據我們在 2014 年所監控的案例,澳洲、巴西、中國、埃及和德國是APT幕後操縱伺服器分布最多的前五大國家。監控的過程當中我們也發現,APT幕後操縱伺服器的通訊對象分散許多國家,美國、俄羅斯和中國不再是歹徒唯一的最愛。

  • 網路犯罪集團也開始採用鎖定目標攻擊技巧,讓這類攻擊的界定變得模糊。

網路犯罪集團現在也開始模仿APT經常使用的技巧,因為這些技巧確實能為他們開發更多受害者,進而帶來更豐厚的利潤。例如,Predator Pain 和 Limitless 兩項攻擊就專挑中小企業下手,在短短的六個月當中就獲利高達 7,500 萬美元。

若想進一步了解過去一年的APT發展趨勢,請參閱我們的完整報告:鎖定APT目標攻擊趨勢:2014 年度報告

 

 

原文出處:Targeted Attack Campaigns and Trends: 2014 Annual Report

2015 台灣資訊安全大會- 4/2(四)上午09:40 趨勢科技專家分享:重大資料竊案,現場忠實呈現

趨勢科技資安核心技術部門資深協理明天 4/2(四)上午09:40 將出席2015 台灣資訊安全大會,分享的主題是”重大資料竊案,現場忠實呈現”

若您還只是聚焦在APT攻擊,您的企業還是暴露在很大的風險之中。因為寶貴的資料才是駭客不斷改變竊取手段的動力。趨勢科技資安核心技術部門資深協理張裕敏,將從企業、銀行到政府,剖析還原2013 ~ 2015 國內外重大駭客竊取資料的真實案例和手法精采呈現;透過實際案例為您的企業做最完整的防禦規劃。請勿錯過,精彩議程!

地點:台北市國際會議中心 – 台北市信義路五段 1 號

時間: 4/2(四)上午09:40 

以下為趨勢科技業務部協理楊肇謙今日在活動現場接受訪談, 談 APT攻擊

 

 

現場活動:

  • 現場趨勢攤位填寫完整活動問券, 可以換可口可樂一瓶 , 再抽 7-11 商品卡 (200元)
  • 趨勢科技Facebook 粉絲頁按讚,經現場攤位工作人員確定,即可獲得3M 標籤螢光筆一隻。 (不指定顏色,數量有限送完為止)。
  • 11086034_10203999134207418_703666782_n
    11132135_10203999134447424_1368673772_n

Continue reading “2015 台灣資訊安全大會- 4/2(四)上午09:40 趨勢科技專家分享:重大資料竊案,現場忠實呈現”

索尼影視(Sony Pictures)被駭始末

  • 索尼高層的薪資資料
  • 索尼員工的個人資料
  • 好萊塢明星的聯絡資料與旅行用的別名

上述資料已經被署名#GOP( Guardians of Peace)的駭客公諸於世

索尼所製作《名嘴出任務》(The Interview)內容描寫了刺殺北韓領袖金正恩的情節,外界推測索尼很可能是因為此片而惹來北韓的報復。但北韓政府已經否認,而索尼與FBI迄今仍未確認公布攻擊來源。

一個索尼影視(Sony Pictures)遭受到毀滅性駭客攻擊的禮拜,一連串外洩的內部文件和試算表將公司員工和高層人員的資料公諸在外。根據一開始的報導,索尼在收到威脅訊息(骷顱頭圖案出現在他們的電腦螢幕上)後關閉了整個企業網路。訊息來自一個自稱為「Guardians of Peace(和平守護者,#GOP)」的駭客團體,警告說這只是個開始,他們會持續到要求被滿足為止。在新聞爆發出這起駭客事件後不久,開始有許多人認為是曾經用過「wiper」惡意軟體的北韓參與此事件。

[更多資訊:駭客如何將警告性桌布放入索尼公司電腦?到趨勢科技部落格閱讀分析美國聯邦調查局警訊背後的「破壞性」惡意軟體]

跟大多數入侵外洩事件一樣,我們會隨著時間過去而瞭解更多關於入侵事件的性質,進行中的調查提供了一些可靠的細節,而大多數關於駭客攻擊的頭條新聞都集中在是誰做的而非被取走了什麼。同時,研究人員也已經確認發起攻擊的破壞性惡意軟體。從安全角度來看,最重要的是要記錄此一事件的各個方面和緊急而相應地作出反應。關於此次攻擊,我們已經整理出關鍵日期和事件來提供發生何事,什麼被偷及誰是幕後黑手的概述。

11月25日 –首篇關於索尼影視(Sony Pictures)企業網路被駭事件報導

11月28日 – 科技新聞網站 Re/code報導北韓被調查是否與此攻擊有關

11月29日 – 未發行電影的試映片,出現在檔案分享網站上

12月1日 – 索尼影視(Sony Pictures高階主管薪資遭曝光

12月2日 – 索尼員工的個人資料以及其他公司內部文件(更多酬勞細節、姓名、出生日期、社會安全號碼等資訊)被公開。

12月2日 – 美國聯邦調查局發出破壞性惡意軟體警告

12月3日 – Re/code聲稱北韓正式被點名為攻擊幕後黑手

12月5日 –  – Sony Pictures員工收到威脅郵件,若不支持駭客行動全家都會有危險!中文報導

12月6日 – 北韓發表聲明,稱這次攻擊彰顯了「正義」,但否認參與

12月 10 日-好萊塢明星遭池魚之殃,個人資料被公布(中文報導)

12 月 15 日-索尼要求媒體別再公布外洩文件,並銷毀副本(中文報導)

Continue reading “索尼影視(Sony Pictures)被駭始末”