2014年是“高级持续性威胁”(Advanced Persistent Threat,以下简称APT攻击)攻击手法更加精进的一年。随着越来越多企业升级到新版的 Windows 操作系统,我们发现有些攻击行动也开始采用更多的 64 位恶意软件。这类 64 位恶意软件的范例包括:HAVEX(一种专门针对工业控制系统的远程访问木马)以及 WIPALL (Sony
Pictures 遭黑客事件的主角)。
随着不法分子转进新的 Windows 版本,他们也开始在攻击当中利用一些正常的工具和功能,例如Windows PowerShell?,这是 Windows 7 开始提供的一个功能,系统管理员不需透过图形用户界面(GUI)就能操作系统的一些功能。不法分子使用 PowerShell 指令来下载恶意文件,并且越过文件执行管制原则来执行下载的恶意文件。
此外,还有一个文件漏洞攻击范本 TROJ_MDROP.TRX 也出现在多起APT攻击当中。此漏洞攻击范本很可能已在地下市场上贩卖及散布,因为它曾出现在多项攻击行动当中,不法分子只需修改这个漏洞攻击模板来配合其目的即可。
趋势科技发现,富文本格式 和word文档是最常被使用的电子邮件附件,这很可能是因为在任何企业及机构都会用到Microsoft Word?。
(2014 年APT攻击最常用的电子邮件附件文件类型)
攻击所使用的新旧漏洞
2014年的APT攻击使用了多个零时差漏洞。例如,两个针对 CVE-2014-1761 漏洞的 Taidoor 相关零时差漏洞攻击,袭击了台湾的一些政府机关和某个教育机构,其修补空档期维持了15天。攻击新的漏洞比攻击旧的漏洞效果更好,因为厂商尚未提供修补程序,零时差漏洞经常让厂商及一般受害者手忙脚乱。
然而,不法分子并未因攻新漏洞而放弃攻击旧的漏洞,毕竟只需利用一些轻易买到且经过长期验证的漏洞攻击工具就能够得到固定的成效。
尽管MS12-027信息安全公告已修正了CVE-2012-0158漏洞,但此漏洞仍是黑客的最爱。不但如此,它还是2014上半年APT 攻击最常利用的漏洞,PLEAD和Pawn Storm这两项攻击行动都是利用这个漏洞来入侵目标网络。
全球问题
2014年度APT攻击最爱的对象依然是政府机关,不过在下半年,软硬件公司、消费性电子产品制造商以及医疗照护机构遭到APT攻击的次数也突然提升。
此外,我们也统计了APT攻击幕后操纵服务器通讯的受害目标在全球的分布状况。如图显示,美国、俄罗斯和中国不再是不法分子唯一的最爱,其他热门的目标还有台湾、南韩、法国与德国。
(2014 年与APT攻击幕后操纵服务器通讯最多的国家)
跟上威胁的脚步
有鉴于APT攻击数量不断增加、发动攻击的困难度不断下降、防御的困难度不断上升,网络安全人员最重要的是从预防到侦测的心态转变。也就是说,企业必须接受APT攻击势必攻陷其网络的事实,因此,任何黑名单的机制都将无法遏止有心的黑客。
建立威胁情报是对抗APT攻击的重要关键,透过外界的各种报告以及内部的历史记录和实时监控数据来了解歹徒所用的工具、技巧及手法,能有助于建立强大的入侵指标(Indicators of Compromise,简称IoC)数据库,这将成为企业采取行动的基础。但企业不应仅仅了解这类攻击而已,还应建立及训练一些事件应变团队,并且教育员工、合作伙伴以及有关联的厂商认识社交工程技巧与信息安全的概念,以降低APT
攻击的相关风险。