APT攻击有何变化?

2014年是“高级持续性威胁”(Advanced Persistent Threat,以下简称APT攻击)攻击手法更加精进的一年。随着越来越多企业升级到新版的 Windows 操作系统,我们发现有些攻击行动也开始采用更多的 64 位恶意软件。这类 64 位恶意软件的范例包括:HAVEX(一种专门针对工业控制系统的远程访问木马)以及 WIPALL (Sony
Pictures 遭黑客事件的主角)。

随着不法分子转进新的 Windows 版本,他们也开始在攻击当中利用一些正常的工具和功能,例如Windows PowerShell?,这是 Windows 7 开始提供的一个功能,系统管理员不需透过图形用户界面(GUI)就能操作系统的一些功能。不法分子使用 PowerShell 指令来下载恶意文件,并且越过文件执行管制原则来执行下载的恶意文件。

此外,还有一个文件漏洞攻击范本 TROJ_MDROP.TRX 也出现在多起APT攻击当中。此漏洞攻击范本很可能已在地下市场上贩卖及散布,因为它曾出现在多项攻击行动当中,不法分子只需修改这个漏洞攻击模板来配合其目的即可。

趋势科技发现,富文本格式 和word文档是最常被使用的电子邮件附件,这很可能是因为在任何企业及机构都会用到Microsoft Word?。

(2014 年APT攻击最常用的电子邮件附件文件类型)

攻击所使用的新旧漏洞

2014年的APT攻击使用了多个零时差漏洞。例如,两个针对 CVE-2014-1761 漏洞的 Taidoor 相关零时差漏洞攻击,袭击了台湾的一些政府机关和某个教育机构,其修补空档期维持了15天。攻击新的漏洞比攻击旧的漏洞效果更好,因为厂商尚未提供修补程序,零时差漏洞经常让厂商及一般受害者手忙脚乱。

然而,不法分子并未因攻新漏洞而放弃攻击旧的漏洞,毕竟只需利用一些轻易买到且经过长期验证的漏洞攻击工具就能够得到固定的成效。

尽管MS12-027信息安全公告已修正了CVE-2012-0158漏洞,但此漏洞仍是黑客的最爱。不但如此,它还是2014上半年APT 攻击最常利用的漏洞,PLEAD和Pawn Storm这两项攻击行动都是利用这个漏洞来入侵目标网络。

 全球问题

2014年度APT攻击最爱的对象依然是政府机关,不过在下半年,软硬件公司、消费性电子产品制造商以及医疗照护机构遭到APT攻击的次数也突然提升。

此外,我们也统计了APT攻击幕后操纵服务器通讯的受害目标在全球的分布状况。如图显示,美国、俄罗斯和中国不再是不法分子唯一的最爱,其他热门的目标还有台湾、南韩、法国与德国。

(2014 年与APT攻击幕后操纵服务器通讯最多的国家)

跟上威胁的脚步

有鉴于APT攻击数量不断增加、发动攻击的困难度不断下降、防御的困难度不断上升,网络安全人员最重要的是从预防到侦测的心态转变。也就是说,企业必须接受APT攻击势必攻陷其网络的事实,因此,任何黑名单的机制都将无法遏止有心的黑客。

建立威胁情报是对抗APT攻击的重要关键,透过外界的各种报告以及内部的历史记录和实时监控数据来了解歹徒所用的工具、技巧及手法,能有助于建立强大的入侵指标(Indicators of Compromise,简称IoC)数据库,这将成为企业采取行动的基础。但企业不应仅仅了解这类攻击而已,还应建立及训练一些事件应变团队,并且教育员工、合作伙伴以及有关联的厂商认识社交工程技巧与信息安全的概念,以降低APT
攻击
的相关风险。

 

时间: 2024-10-16 01:56:26

APT攻击有何变化?的相关文章

变更密码和移除恶意软件并不足以化解APT攻击

说到APT攻击--高级持续性威胁 (Advanced Persistent Threat,APT) /目标攻击,攻击者并非无所不知.他们需要在早期阶段收集数据来了解目标,他们会从各种情报来源收集资料,还可能会收集电子邮件地址.IP地址范围和联系人列表等数据,然后将其用来制造钓鱼邮件的诱饵,最终可以让他们渗透进入目标组织的网络. 一旦进入,攻击者会开始横向移动阶段.在此阶段,攻击者会进行端口扫描.服务扫描.网络拓扑映像.密码嗅探.键盘记录和安全政策渗透测试.目标是找到更加机密的数据以及更加隐密的存

APT攻击

APT简介: 高级长期威胁(英语:advanced persistent threat,缩写:APT),又称高级持续性威胁.先进持续性威胁等,是指隐匿而持久的电脑入侵过程,通常由某些人员精心策划,针对特定的目标.其通常是出于商业或政治动机,针对特定组织或国家,并要求在长时间内保持高隐蔽性.高级长期威胁包含三个要素:高级.长期.威胁.高级强调的是使用复杂精密的恶意软件及技术以利用系统中的漏洞.长期暗指某个外部力量会持续监控特定目标,并从其获取数据.威胁则指人为参与策划的攻击.[1] APT发起方,

< APT 攻击>看起来是 .PPT 附件,竟是 .SCR !!

趋势科技曾经在2013年下半年度目标攻击综合报告里指出,发现了好几起APT攻击-高级持续性渗透攻击 (Advanced Persistent Threat, APT) /目标攻击相关的攻击活动. 趋势科技目前正在监视一起专门针对行政单位的攻击活动.趋势科技将这起特定攻击活动命名为PLEAD,来自于其相关恶意软件所发出后门指令的字母. 此次攻击活动的进入点是通过电子邮件.在PLEAD攻击活动里,攻击者利用RTLO(从右至左覆盖)技术来欺骗目标收件者将被解开的档案误认成非执行档.(编按:比如将文件名

水坑式攻击-APT攻击常见手段

所谓“水坑攻击”,是指黑客通过分析被攻击者的网络活动规律,寻找被攻击者经常访问的网站的弱点,先攻下该网站并植入攻击代码,等待被攻击者来访时实施攻击. 水坑攻击属于APT攻击的一种,与钓鱼攻击相比,黑客无需耗费精力制作钓鱼网站,而是利用合法网站的弱点,隐蔽性比较强.在人们安全意识不断加强的今天,黑客处心积虑地制作钓鱼网站却被有心人轻易识破,而水坑攻击则利用了被攻击者对网站的信任.水坑攻击利用网站的弱点在其中植入攻击代码,攻击代码利用浏览器的缺陷,被攻击者访问网站时终端会被植入恶意程序或者直接被盗取

从白宫遭袭击事件看APT攻击

Pawn Storm活动激增,锁定北大西洋公约组织(NATO)与美国白宫 一直长期活跃的Pawn Storm"高级持续性威胁"(Advanced PersistentThreat,以下简称APT攻击)活动在新的一年呈现爆炸性成长,植入了新的基础架构,同时也开始锁定北大西洋公约组织(NATO)会员国,甚至是美国白宫.这是趋势科技持续研究其背后黑客组织得到的最新情报,同时也是2014年10月份Pawn Storm研究报告的后续补充. Pawn Storm 攻击活动:背景 PawnStorm

带你走进二进制-一次APT攻击分析

原文:https://osandamalith.com/2017/06/04/apt-attack-in-bangladesh/ 由prison翻译整理,首发i春秋 引言; 这是一次来自遥远国度的APT攻击分析样本范例,本文作者将带领你体验二进制漏洞分析的乐趣. 过程非常详细,附带所需样本,适合新手.难度三颗星. 目标文件: http://mozillatm.com/A0Jst6jAd7CYerrqFmwb4wqDLa5XHPW_May_2017.doc VirusTotal: https://

七个迹象说明你可能受到APT 攻击

APT攻击,即进阶持续性渗透攻击 (Advanced Persistent Threat, APT)或目标攻击,被设计用来在目标网络里躲避现有的管理政策和解决方案,因此要侦测它们是一大挑战.正如我们在之前关于APT 攻击常见五个误解的文章中所强调过的,没有放诸四海皆准的解决方案可以用来对付它:企业需在所需要的地方都放置传感器好加以防护,同时IT也要有足够的设备来识别网络的异常情况,并采取相应的措施. 然而,要及早发现异常状况,IT管理者需要知道首先要看到什么.由于攻击通常会设计成只有很少或几乎没

APT攻击:91%的攻击是利用电子邮件

一封假冒的"二代医疗保险补充保险费扣费说明",导致上万家中小型企业的资料被窃;一封伪装银行交易纪录的钓鱼信件,让韩国爆发史上最大黑客攻击. APT攻击一般会以电子邮件的形式出现,邮件中可能会附加文件或网址来引诱收件者打开.一旦用户打开邮件里的文件或链接,那么攻击者就能取得用户的所有个人信息.商业秘密或无价的知识产权. 高级持续性攻击 (Advanced Persistent Threat,简称 APT) ,是如今企业所面临的最大威胁之一.如果企业不能解决利用电子邮件攻击的问题,将会带来

饼干怪兽和APT攻击

APT攻击就像儿时你为了偷吃饼干绞尽脑汁想出的各种办法,对恶意攻击的防范疏忽正如母亲未能发现和防止饼干窃贼一样,因为她只监视厨房椅子.衣柜门或烤箱门的开启.建立起有效防御目标攻击与APT攻击的重点之一是必须监控广泛的攻击范围.饼干窃贼有着贪婪的欲望和顽强的坚持,那些想入侵你的网络并窃取你资料的人也是,你只要那边稍不注意,那么"饼干"就会从那里消失. 小孩子常常会去偷吃妈妈刚烤好的饼干,这个回忆和现在的目标攻击与APT-高级持续性渗透攻击 (Advanced Persistent Thr