2012年11月1日 星期四

APT進階持續性威脅-主要目標攻擊侵入點:電子郵件


APT進階持續性威脅-主要目標攻擊侵入點:電子郵件

企業電子郵件流量預計會在2016年底達到1430億封

在最近幾年間,因為企業有網頁應用程式、社群媒體和消費化應用的出現,提升了商務溝通的能力。但電子郵件仍然是主要用來交換重要商業資訊的媒介。企業的電子郵件流量佔了今日全球流量的大部分。根據一項研究顯示,企業電子郵件流量預計會在2016年底達到1430億封。註1



有73%的企業表示他們透過公司電子郵件來傳送高度機密的資料

商務溝通透過電子郵件既快速又簡單,在大多數情況下只要有網路就可以了。它可以放入足夠長度的內容,也可以用正式的格式來做資料交換。電子郵件也被認同是法律文件。

電子郵件被認為是關鍵的資訊服務。註2 員工會認為這在工作流程中是必要的,所以零電子郵件的政策難以被落實。註3 研究顯示,有73%的企業表示他們透過公司電子郵件來傳送高度機密的資料。註4 有些關鍵文件包括客戶資料、產品設計,企業策略和銷售報價等等。

經由電子郵件寄送的重要資訊類別:



敏感的賠償問題 47%
併購活動 33%
可能的資遣和組織重組 45%
產品規劃藍圖 63%
預算計畫 76%
來源:PhoneFactor

電子郵件附加檔案

商務人士經常會在電子郵件內附加檔案,已經成為正常商務通訊的一部分。

微軟Word檔案:Windows 已經被企業廣泛的採用。因此,唯一和作業系統完全相容的微軟Office套件也非常的普及。註5
PDF檔案:組織會使用PDF檔案,因為它支援多個平台,可以很容易地散布、歸檔和儲存。根據研究顯示,有90%的企業將掃描文件儲存成PDF檔案。而89%的受訪者表示,他們正在把微軟Word檔案轉成PDF檔案。註6
毫無疑問的,攻擊者已經了解到利用電子郵件在目標攻擊活動裡散播攻擊工具是非常有效的作法。

目標攻擊進入點

目標攻擊或APT進階持續性威脅 (Advanced Persistent Threat, APT)是指一種威脅類型,可以長時間潛伏在網路或系統內來達到它們的目的(通常是竊取資料)而不被偵測到。



目標攻擊的幕後黑手會先利用開放的資料來源做研究,做出有效的社交工程陷阱( Social Engineering)誘餌。既然電子郵件是最常被使用的商務溝通模式,惡意威脅份子通常會經由這媒介來帶入漏洞攻擊。這些漏洞攻擊之後會下載更多的惡意軟體。





圖二:在2012年四月最常被攻擊漏洞的微軟軟體

電子郵件作為感染媒介之社交工程( Social Engineering)技術

為了讓收件者可以相信誘騙用的電子郵件,攻擊者常用的三個伎倆:

1.透過常用的網頁郵件帳號(像是Yahoo!、Gmail等等)來寄送
2.利用之前入侵獲得的電子郵件帳號寄送,好讓受害者可以更相信他們的內容
3.利用偽造的電子郵件地址,像是特定部門或目標辦公室內的高階主管

在被稱為「Lurid」的目標攻擊活動中,其中一個電子郵件樣本偽造了寄件來源,讓這郵件看似來自達賴喇嘛的辦公室 註7。而另一個被稱為「Nitro」的目標攻擊,它所用的電子郵件則看似來自目標公司的資訊部門。註8

精心製作內容讓它與現實相符
RSA在2011年初所受到的攻擊中,送到少數員工的電子郵件主旨為「2011 Recruitment Plan(2011年招聘計畫)」。註9

偽造附件檔名讓它與現實相符
在Luckycat攻擊活動中,趨勢科技的研究人員發現了各式各樣的例子,例如送給印度受害者的電子郵件就偽裝成內含該國彈道導彈防禦計劃的資料。

只要用到一個或多個上述伎倆,就能夠說服收件者去下載和打開附加檔案。

漏洞攻擊載體

惡意威脅份子會利用許多其他常用軟體漏洞,像是Adobe Flash Player、微軟PowerPoint和Excel等,只要有用就行了,因為之前已經對目標公司的網路環境做好了研究。

IXESHE,一個目標攻擊利用入侵淪陷的伺服器作為命令和控制(C&C)伺服器來進行零時差漏洞攻擊,針對Adobe Reader的漏洞。其他攻擊活動像是Sykipot 註10、Lurid和Luckycat都會使用PDF檔案作為一開始進攻目標單位的誘餌。

惡意威脅份子也同樣會用微軟Word檔案作為誘餌,像是Luckycat攻擊活動就有用到。如同圖二所示,和其他同樣來自微軟的軟體相比,微軟Word在我們所觀察期間內最常被利用。不過這主要是因為攻擊者找到一個可靠的漏洞攻擊碼去針對一個有點久的漏洞 – CVE-2010-3333。這也說明了目標攻擊不會特別只使用零時差攻擊,主要還是會用有效且可靠的漏洞攻擊碼。

其他管道:社群網路平台、即時通和行動設備

惡意威脅份子同樣可以利用即時通和社群網路平台作為目標攻擊的起始點,並不僅限於電子郵件。此外,趨勢科技研究人員也發現了攻擊者想利用行動平台來進行目標攻擊的具體證據。註11



圖三:目標攻擊的進入點

保衛進入點

檢驗目標攻擊一開始可能的進入點和佈署適合的防衛措施可以讓企業護衛好自己的網路,避免關鍵、敏感和機密的資料落入攻擊者的手中。畢竟這是所有企業都想要避免的狀況。

既然目標攻擊通常會利用電子郵件作為進入點,電子郵件安全解決方案,例如趨勢科技InterScan Messaging Security Suite、ScanMail Suite for Microsoft Exchange和ScanMail Suite for IBM Lotus Domino要內入新型態的防禦。在這些解決方案裡啟用網頁信譽評比技術可以封鎖帶有惡意網址的網路釣魚(Phishing)。不過因為目標攻擊的特性,這些解決方案最好和可以識別藏有惡意軟體的惡意郵件附加檔案新技術一起配合運作。

這類產品具有新的掃描引擎可以透過分析檔案屬性和掃描已知和可能的文件漏洞攻擊碼以判斷附加檔案是否含有針對性惡意軟體。如果這附加檔案被判定可疑,可以自動送到沙箱解決方案來作進一步的分析。執行沙箱的分析能力就好像Deep Discovery Advisor內建的功能一樣,可以讓可疑檔案執行在隔離的環境內,限制並觀察它的行為。這種解決方案不僅可以提供即時防護,也能夠將新的威脅資訊反饋到其他安全防護措施以提供客製化的防禦來抵禦複雜的威脅。

企業需要更大規模的多層次安全解決方案和即時威脅管理技術來消除目標攻擊的風險。像趨勢科技 Deep Security這樣的解決方案可以讓網路管理者深入了解並掌控整體網路的全貌,以降低目標攻擊的危險性,不管它會利用什麼設備(例如智慧型手機、平板電腦等)或入侵方式(例如行動設備、電子郵件、即時通或社群網站)。


@原文出處:
註1 http://www.radicati.com/wp/wp-content/uploads/2012/04/Email-Statistics-Report-2012-2016-%20Executive-Summary.pdf
註2 http://blogs.forrester.com/stephen_mann/11-09-12-it_value_like_beauty_is_in_the_eye_of_the_beholder
註3 http://blogs.gartner.com/brian_prentice/2011/12/11/why-will-zero-email-policies-fail-%20bureaucracy/
註4 http://www.phonefactor.com/news/survey-reveals-sensitive-email-lacks-critical-security-%20controls.php
註5 http://www.gartner.com/id=2046315
註6 http://gcn.com/articles/2009/01/22/aiim-study-on-pdf-format.aspx
註7 http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp_%20dissecting-lurid-apt.pdf
註8 http://blog.trendmicro.com/the-significance-of-the-nitro-attacks/
註9 http://blogs.rsa.com/rivner/anatomy-of-an-attack/
註10 http://blog.trendmicro.com/the-sykipot-campaign/
註11 http://blog.trendmicro.com/defcon-2012-android-malware-in-luckycat-servers/

轉載自《雲端運算安全趨勢》