什麼是針對性攻擊/鎖定目標攻擊 ( Targeted attack )?

networks網路 通用 ioe

針對性攻擊/鎖定目標攻擊(Targeted attack )可說是今日網路環境中對組織最大的網路威脅之一。對於任何規模的任何公司來說都屬於最糟的狀況,被鎖定目標的公司不僅會損失商譽,也可能造成數以百萬計的損失。

這些針對性目標攻擊(Targeted attack )在新聞中都會作為資料外洩事件被報導,就如同影響Sony被駭Target資料外洩Ashley Madison偷情網站入侵事件一樣。

就如它們在新聞中所聽起來的那樣驚人跟破壞性,資料外洩本身並不足以描繪整個故事。 針對性目標攻擊(Targeted attack )所做的比扳倒大公司還要多,就像它們也用在對付國家及其政府機構的網路間諜活動。

所以什麼是針對性攻擊/鎖定目標攻擊(Targeted attack )?它們跟我們經常在新聞中所聽到的其他威脅有何不同?我們將會在這系列文章的第一部中回答這些問題,這系列文章將會探討這些能夠輕易將百貨業者搞得天翻地覆,也將政府搞得人仰馬翻的威脅。

什麼時候會將攻擊認定是針對性攻擊/鎖定目標攻擊 (Targeted attack )

當攻擊滿足三個主要條件時,可以被認為是針對性攻擊/鎖定目標攻擊(Targeted attack ):

  • 攻擊者有個具體的目標,也顯然花費相當長的時間、資源和精力來設置或進行針對性攻擊/鎖定目標攻擊 ( Targeted attack )
  • 針對性攻擊/鎖定目標攻擊 ( Targeted attack )的主要目的是滲透目標網路和竊取其伺服器資訊
  • 攻擊是持久的,攻擊者花費相當大的努力確保攻擊在一開始滲透網路並取出資料後能夠繼續下去。

針對性攻擊/鎖定目標攻擊 ( Targeted attack )往往過了數年才被發現,且通常那時已經有數千甚至數百萬的客戶紀錄或資料被竊。

針對性攻擊/鎖定目標攻擊(Targeted attack )跟激進駭客主義(hacktivism)有何不同?

激進駭客主義(hacktivism)或激進主義相關的駭客攻擊跟針對性攻擊/鎖定目標攻擊(Targeted attack )不同,因為前者有著一次性與破壞性質。他們往往更像是非法騷擾 — 不那麼有害而比較容易處理,就像是在牆壁塗鴉一樣。激進駭客攻擊往往不會出現網路滲透,很少或沒有出現資訊竊取。

他們也會以誇張的做法來追求最大的能見度 — 目的是被看見,而非針對性目標攻擊(Target attack )那樣設計成不被注意到。

針對性攻擊/鎖定目標攻擊 ( Targeted attack )跟網路犯罪活動有何不同?

針對性攻擊/鎖定目標攻擊(Targeted attack )跟網路犯罪活動的最大區別是範圍。網路犯罪活動的目的是在最短時間(在資安公司反應前)內盡可能找到最多受害者。

而另一方面, 針對性攻擊/鎖定目標攻擊(Targeted attack )行動的範圍十分限縮 — 通常將目標限制在一家公司或組織。有時範圍甚至會進一步縮小到組織中的特定員工或一小撮員工。所有的工作、努力跟研究都是為了確保目標上鉤落入他們的圈套 — 然後讓他們得以進入目標網路。 Continue reading “什麼是針對性攻擊/鎖定目標攻擊 ( Targeted attack )?”

< APT 攻擊 > ” 有本事就來抓我啊~” 駭客平均躲藏天數 205 天

APT 駭客如何在你周圍四處遊走而不被發現

Internet Security System
I

 

曾經遭遇資料外洩駭客事件的企業,通常都有一個同樣的疑惑:「駭客是如何在我的環境當中長期躲藏而不被發現?」根據 Mandiant 的一份報告,在所有資料外洩事件當中,駭客平均躲藏的天數是 205 天。每一起資料外洩駭客事件背後都有一位或多位主謀,而且現在越來越難逮到這位幕後的主謀。

APT攻擊駭客團體特別擅長隱匿行蹤

在所有駭客攻擊當中,最有能力在企業網路內部四處躲藏及遊走的,應該是「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱APT攻擊)。這些攻擊之所以被稱為「進階」,是因為駭客運用了零時差漏洞;之所以能夠「持續滲透」,是因為駭客有著強烈的動機。其高超的技巧,對全球的企業來說都是一項嚴重威脅。這些APT攻擊駭客團體就如同一般的犯罪集團一樣,有著組織性犯罪的特質,而且特別擅長隱匿行蹤。

他們有統一的指揮管道,而且要擒拿這些行動背後的首腦相當困難,尤其是當他們躲藏在國外的時候。事實上,許多政治取向的APT攻擊團體通常都有政府在背後支援,而這些政府當然不可能配合執行違反其意志的政策。即使我們可以從攻擊行動所使用的網址來追溯到某個地區,但該網址註冊的 DNS 和 IP 服務廠商通常也不願配合國外的執法機關,因為他們向來聽命於當地政府。正因如此,那些由政府在背後撐腰的駭客,就能一再發動惡意攻擊而不會遭到任何懲罰。在低風險、高報酬的條件下,他們會不斷從過去的失敗當中記取教訓,因此每一次都比上一次的行動更加小心謹慎。

APT攻擊共有六個階段,每一階段由一組專門的駭客負責

資料圖表 Info graphic: Connecting The APT dots

有一點很重要是我們必須知道的,企業網路內的橫向移動只是APT攻擊的其中一個階段而已。事實上,典型的APT攻擊共有六個階段:(1) 情報蒐集、(2) 突破防線、(3) 幕後操縱 (C&C)、(4) 橫向移動、(5) 搜尋資產、(6) 資料外傳。有組織的APT攻擊團體通常會將工作依照行動階段來分工合作,每一階段由一組專門的駭客負責,並有其獨特的工具和技巧。這樣的作法在大型犯罪集團已行之有年,目前也開始運用到網路犯罪領域。

人們通常會過於執著在技術上的細節,而忘了其實 APT攻擊團體跟傳統非電腦犯罪的專業集團有許多相似之處。就以持槍搶劫銀行的例子來說,不同的搶匪會依據個人的專長而分別擔任不同的工作,藉此提高行動的速度和效率。同樣的策略應用到 APT攻擊,其效果甚至更好,因為這樣可以讓不同階段之間彼此不互相重疊,如此一來,系統管理員在事後分析網路時就無法察覺其不同階段之間的關聯。雖然APT攻擊行動的每一個階段都是達成最後目標的關鍵,但仍有些階段所占的比重較高。

駭客會在整個網路上設置多個不同的後門,以便能夠輕易進出目標網路

第四階段的橫向移動需要隱密和觀察的技巧。這階段需要同時具備社交工程(social engineering )技巧與駭客能力,才能在目標環境當中迅速移動而不被察覺。橫向移動對於安排最後資料外傳階段的布局至關重要。不斷地在不同端點裝置之間移動,可以讓駭客完整掃瞄整個網路,並且找到最珍貴的資料。此外,這個階段通常需要一直不斷重覆,因此,駭客會在整個網路上設置多個不同的後門,以便能夠輕易進出目標網路,必要時進一步竊取更多資料。

企業通常會有系統管理員和資安軟體來持續監控內送及外送網路流量,因此,歹徒的 C&C 機制必須融入目標網路才行。想要暗藏在網路流量當中偷偷進出企業,歹徒必須結合惡意程式、駭客技能以及進階社交工程技巧。歹徒不只要知道如何駭入,還要知道何時駭入。大型的犯罪集團會在發動攻擊之前,先對目標進行長期的觀察和研究。為了使 C&C 伺服器不讓人起疑,駭客通常會使用一般常見的 IT 工具,如「PSExec」(一個用來取代 telnet 的遠端執行工具) 來執行其檔案,並在企業的營業時間連上 C&C 伺服器,如此,其網路連線才不會讓人起疑。除此之外,駭客還會利用惡意程式來將其連線偽裝成 HTTP 或 HTTPS 通訊以隱藏其行動,因為系統管理員不可能有時間檢查每一個觀察到流量,而資安軟體通常也無法偵測零時差攻擊。 Continue reading “< APT 攻擊 > ” 有本事就來抓我啊~” 駭客平均躲藏天數 205 天”

數據會說話:產業測試的真相

如同任何分析評比一樣,NSS Labs 最新一份入侵偵測系統 (Breach Detection System,簡稱 BDS) 評比測試所提供的並不只有分數、偵測率及整體持有成本 (TCO) 等數據而已。經由透明公開的評比測試,不論現有客戶、合作夥伴、潛在客戶,或是產業和金融分析師,都能獲得公正公開的參考資訊。

簡單講,NSS Labs 最新的 BDS 測試呈現的是:

NSS Labs BDS 這類公開測試很單純地卸下了產品的神秘面紗,為決策者提供更可靠的參考依據。任何需要採購入侵偵測系統的人,都能經由這樣的分析來形成自己的想法,並且擬定一套策略來因應 APT 的挑戰。

大家都同意,對付APT攻擊並無所謂的萬靈丹。在這樣的情況下,最好的作法就是根據您網路的實際狀況來評估及挑選一套適合您的解決方案。

比方說,能在 NSS Labs 之類的產業測試當中取得優異成績,就是偵測能力和解決方案價值的重要指標。不過,當您在將某家產品列入候選名單之前,您務必要了解測試的背景。也就是說,NSS Labs 測試結果僅代表當時的狀況,同時也取決於測試方法所蒐集到的進階惡意程式類型與攻擊手法。正因如此,我們很高興 NSS Labs 採取了一種開放、透明的測試程序從網路上蒐集實際的攻擊樣本,因為這些都是傳統或當今防毒技術無法立即偵測的。

很榮幸趨勢科技連續第二年榮獲「推薦」(Recommended) 的評價,而且是所有 NSS Labs 推薦的入侵偵測系統當中整體分數最高、最有成效的解決方案。

持續提供效能優異而穩健的解決方案,是我們對客戶的承諾,也是一切行動的基石。NSS Labs 的 BDS 測試結果證明我們已經履行了承諾,而我們的整個團隊也都為這樣的成果感到驕傲。

如需更多有關為何您應該將趨勢科技 Deep Discovery 列入考慮,以及美國芝加哥 Rush University Medical Center 醫療中心如何發揮該產品的動態偵測能力,請看這裡

 

原文出處: Just the Facts – The Truth About Industry Tests作者:Bob Corson
▍想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 ▍

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。

 

 

< APT 攻擊防禦 > 識別和區分網路及使用者

適當進行網路區隔是保護網路對抗「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱APT攻擊)最關鍵的主動應對措施。對組織來說,適當的識別和分類自己的使用者與其所能存取的網路也同樣的重要。

attack hacker 鍵盤攻擊

這是一項重要的任務,因為它讓管理者能夠正確的區隔使用者權限和網路流量。有些使用者會被限制存取敏感公司網路;同樣的,某些網路可能會比其他網路擁有更廣泛的資料。這可以使得保護組織最重要資料(我們經常討論的話題)的任務變得更加容易。

可以同心合作來廣泛地評估組織所面對的威脅。有些風險並非出現在所有組織 – 比方說國防承包商面對的威脅就和家庭式麵包店不同。組織需要了解自己面對的是什麼樣的風險,以及有那些已經出現在自己的網路內。後者尤其困難,甚至連大型組織也面臨到這樣的挑戰。但這很重要,在組織提高其安全態勢前,需要先了解自己的狀況。

在過去,這項任務可能比較容易,因為所有的設備都在IT部門管控之下,而且連線只有有線網路。這代表了IT部門可以負責一切 – 而IT管理者,一般來說是一組人,可以將事情有邏輯的安排好,輕鬆的將以防護。

但在今日就不是這樣了。行動設備和BYOD政策代表想要強制進行「正確」的網路區隔變得困難得多。同樣的,因為角色會不斷改變和更具備彈性,也代表員工每日所需的資料可能會經常變動。此外,企業網路內資料流動的規模也是大大的增加。

區隔使用者和網路是一項艱鉅的任務,但卻是必要的。在面對今日的針對性攻擊時,識別正常流量及使用者是必要的。能夠更加熟悉「正常」流量和使用者,在偵測可能是針對性攻擊跡象的不尋常網路活動就更加有用。

那麼,有那些標準可以用來識別和分類網路?下面是一些例子。 Continue reading “< APT 攻擊防禦 > 識別和區分網路及使用者”

技術長觀點:防範來自企業內部人員的攻擊

Raimund Genes (趨勢科技技術長,CTO)

若您讀過不少犯罪小說,或者看過不少動作影片,您對這樣的情節應該不會感到陌生:一位內部人員因為多年前所受到的屈辱而對企業展開報復,導致企業蒙受重大損失。企業內部人員通常站在正義的一方,但有時也會站在邪惡的一方。

這道理不難理解,因為內部人員非常清楚企業的做事方法、寶貴資料,以及遭受攻擊時的因應方式。誰能比內部人員更知道該如何攻擊企業本身?

上網 攻擊 駭客 一般

 

然而這是假設「內部人員的威脅」無可避免。所幸,大多數人都不會想要毀掉自己所任職的企業。大多數人都希望自己所屬的機構能夠成長、茁壯。因此,除非您待的是國防單位,否則這點通常不是您要擔心的問題。

不過問題是,並非所有「內部人員的威脅」都是來自蓄意。內部人員也有可能因為不小心而造成資料外洩。社群網站為人們提供了許多新鮮有趣的溝通方式,但不幸的是,有時候也會讓一些「不該」透露的機密資訊外流。

若人們已經將資訊洩漏在網路上,那麼您還能利用社交工程(social engineering 從別人身上套出什麼更多資料?所謂的社交工程技巧,就是利用一些人際之間手段來讓別人照著您的意思去做。這是數千年來流傳已久的一門藝術,因此歹徒擅長這門藝術也就不令人訝異。

幾乎所有「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱APT攻擊)一開始都是利用某種形態的社交工程技巧。因此,儘管不易,您應該盡可能防範這類攻擊。 Continue reading “技術長觀點:防範來自企業內部人員的攻擊”

< APT 攻擊 >「熱帶騎警攻擊行動」強勢攻台  62%鎖定政府單位與重工業

【台北訊】趨勢科技發佈「熱帶騎警攻擊行動」觀察報告,指出台灣與菲律賓一直是此項「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱APT攻擊)的首要目標,在過去三個月內,62%的攻擊行為都是針對台灣的政府單位與重工業,菲律賓的軍事單位則是另一個目標。根據趨勢科技病毒防治中心最新研究,駭客攻擊火力以今年3月份最為密集,連最常被利用的c&c伺服器也位於台灣!報告中詳述攻擊行動的目標、階段與手法,趨勢科技也表示,如同其他APT攻擊一樣,「熱帶騎警攻擊行動」已帶來重大危險,建議政府單位和企業都應有一套完整的監控策略與進階威脅防護工具,才能確切掌握並修補其網路的安全漏洞。

APT

 

趨勢科技資深技術顧問簡勝財表示:「『熱帶騎警攻擊行動』自2012年起即現出蹤影,但在今年3月份對台灣的攻擊火力大幅增強,並仍持續進行中。被利用的C&C伺服器中,有43%位於台灣,其次則分別位於美國、香港和阿拉伯聯合大公國

 

簡勝財指出,這項攻擊行動之所以能夠成功,是綜合了許多因素,例如利用兩個至今最常遭到攻擊的 Windows漏洞:CVE-2010-3333 和CVE-2012-0158 來入侵目標網路,並且採用了基本的圖像隱藏術 (steganography) 來將惡意程式碼隱藏在圖片當中,再搭配社交工程(social engineering 技巧騙取收件者的信任,而不小心開啟洩漏資訊給駭客的後門。此外,截至目前為止,台灣仍有17%的系統還在使用微軟Windows XP作業系統,而許多企業對於如何防禦 APT攻擊這種長期持續滲透的攻擊仍不熟悉、防護架構也不完整。
【延伸閱讀】
堅持上工的Windows XP ,讓DOWNAD 登上第二季垃圾毒王寶座
第一個 Windows XP 系統終止支援後出現的重大IE漏洞
十二年了,Windows XP時代終結:如果你還在用它怎麼辦

本次事件的攻擊手法,是先使用社交工程(social engineering 釣魚郵件、挾帶惡意附件檔案,進一步攻擊一些既有的漏洞,透過與收件者業務有關聯的郵件主旨、內容以及配合該情況的附件檔案名稱,趨勢科技曾發現的有:「關於104年中央政府總預算」或「實驗室電話表」等檔名,讓收件人不疑有他,進而下載並開啟郵件中所附的檔案。

社交工程釣魚郵件樣本

圖一、社交工程釣魚郵件樣本

Continue reading “< APT 攻擊 >「熱帶騎警攻擊行動」強勢攻台  62%鎖定政府單位與重工業”

< APT 攻擊>專門從事經濟和政治間諜的Pawn Storm活動激增

Pawn Storm活動激增,鎖定北大西洋公約組織 (NATO) 與美國白宮

一直長期活躍的 Pawn Storm「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱APT攻擊)行動在新的一年突然爆炸性成長,導入了新的基礎架構,同時也開始鎖定北大西洋公約組織 (NATO) 會員國,甚至是美國白宮。這是根據趨勢科技持續研究其背後駭客團體所得到的最新情報,同時也是我們眾所周知的 2014 年 10 月份 Pawn Storm 研究報告的後續補充。

通用 security

 

Pawn Storm 攻擊行動:背景

Pawn Storm 是一項專門從事經濟和政治間諜活動的攻擊行動,其目標相當廣泛,包括:軍事、政府、國防產業、媒體等等。

該團體是一群處心積慮的駭客,至少從 2007 年開始即活躍至今,其犯案模式非常固定。我們為所取的名稱,是根據歹徒聯合搭配多種工具和手法來襲擊單一目標的作法,與西洋棋中的 Pawn Storm (小兵聯合攻擊) 策略如出一轍。

該團體運用了三種非常容易辨別的攻擊手法。第一種是發送含有惡意 Microsoft® Office 文件的網路釣魚郵件,文件當中暗藏專門竊取資料的 SEDNIT/Sofacy 惡意程式;第二種是在波蘭政府的一些網站上植入某些漏洞攻擊程式,讓瀏覽者感染前述的惡意程式;最後一種則是利用網路釣魚電子郵件來將使用者重導至假冒的 Microsoft Outlook Web Access (OWA) 登入網頁。

Pawn Storm 主要攻擊對象為美國及其盟邦的軍事單位、政府機關和媒體機構。我們判斷該團體也曾攻擊俄羅斯異議團體以及那些和克里姆林宮作對的團體,此外,烏克蘭激進團體與軍事單位也在攻擊之列。因此有人揣測該團體可能跟俄羅斯政府有所關聯。

今年二月,趨勢科技觀察到 Pawn Storm 又有新的動作,並發現一個專門攻擊 Apple 使用者的 iOS 間諜程式

Continue reading “< APT 攻擊>專門從事經濟和政治間諜的Pawn Storm活動激增”

< APT 攻擊 >電腦螢幕後的敵人了解你的企業、網路、防禦措施、員工….還有更多

你的潛在敵人了解你的企業、你的網路、你的防禦措施、你的員工、你的供應鏈以及任何與你組織有互動相關的點。你會問,為什麼要做到如此透徹?這是要了找出最好的方法去躲避你的防禦措施,拿到你的資料,取回接著從中獲利。

作者:Bob Corson

 

對付 APT攻擊/目標攻擊, 必須偵測看不見的東西

如果你還沒有嘗試過「APT目標攻擊遊戲」,記得去試試。在最近,一直在我腦海中激盪思考的題目,就好似上圖中兩個物品跟目標攻擊的關係。不過,我希望經過幾段文章之後,你會得出以下結論:那些想進行「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱APT攻擊)的人不會照著預期的規則走。想贏得這場「遊戲」,你必須要能夠偵測某些你原本看不見的東西。

APT目標攻擊遊戲

 

現在,讓我們開始。在進行「APT目標攻擊遊戲」後,很有機會你會進行到最後跟Ferguson先生握手,你有什麼結論、意見和想法呢?我的話,是加強了我已經思考一段時間的想法,可以由上圖的物件來表示。 Continue reading “< APT 攻擊 >電腦螢幕後的敵人了解你的企業、網路、防禦措施、員工….還有更多”

< APT 攻擊 >趨勢科技發佈進階持續性滲透攻擊(APT)趨勢報告

APT手法持續突破 政府機關、軟硬體公司、消費性電子製造商成目標

 

【2015年4月30日台北訊】全球雲端安全領導廠商趨勢科技發佈最新進階持續性滲透攻擊(APT)發展趨勢:2014 年度報告。根據報告指出,過去一年,進階持續性滲透攻擊(簡稱 APT) 技巧不斷翻新,威脅變得更為多元複雜,而情報蒐集與竊取資料是所有APT的共通目的。趨勢科技呼籲,政府、企業皆需全面了解最新APT發展情勢以調整防禦策略,降低遭遇攻擊的風險。

趨勢科技資深技術顧問簡勝財指出:「由於其高破壞性與高成功率,讓網路犯罪集團越來越常採用APT的攻擊技巧。要反制這類攻擊,企業必須隨時保持警戒,並且採取有效的解決方案來因應不斷演變的網路安全情勢。建議企業必須建立一套客製化防禦,運用進階威脅偵測技術與共享的威脅情報來偵測、分析、回應一般標準資安解決方案所無法偵測的攻擊。」

根據報告預測,APT目前依然難以防範,其不著痕跡的攻擊方式讓有心人士蒐集情報、竊取機密資料的軌跡無法立即偵測,且技巧和手法皆不斷翻新。APT已成為全球問題,網路犯罪者最愛的目標不再僅侷限於美國、俄羅斯與中國。依據趨勢科技於 2014 年所監控的案例,澳洲、巴西、中國、埃及和德國是APT幕後操縱(C&C)伺服器分布最多的前五大國家,台灣也名列前十五名之一。雖然,政府機關依然是此類攻擊最愛的對象,不過趨勢科技也發現,軟硬體公司、消費性電子產品製造商以及醫療照護機構遭到APT的次數也突然攀升。

Continue reading “< APT 攻擊 >趨勢科技發佈進階持續性滲透攻擊(APT)趨勢報告”