幾年前，在一個項目中，由於是有針對性的惡意軟體攻擊，我研究了被捲入僵屍網路的超過10,000台的電腦。這些電腦存在的主要問題是安全措施極其薄弱，如沒有漏洞測試，以及對傳統殺毒軟體過度依賴等。另外還發現在安全團隊、PC支持團隊、IT管理員和其他相關方之間的溝通出現中斷。這是非常致命的。

“傀儡終端設備”和它們的指令控制(C&C)伺服器被歸類為先進的惡意軟體。隨著我們更多地瞭解這些先進惡意軟體的複雜程度以及問題可能的複雜性和廣泛性，很顯然，僵屍網路的清理並不是一件簡單的事情。不幸的是，在企業遇到這種問題時，管理員是無法簡單地通過關閉系統，重新安裝鏡像(Mirror)來避免的。

正如我遇到過的一樣，傀儡終端設備感染可能是作為一名IT專業人士處理過的最討厭的事情之一，但它並不會對你現有的工作產生巨大影響。

對於如何應對這些惡意軟體感染，以及傀儡終端設備移除，作為企業的IT管理員，以下是需要注意的五個關鍵步驟。

1.文件化

如果你要有效地管理IT風險，需要有完善的事件回應流程。行動計畫的缺失可以說是有效安全回應的最大障礙。馬上開始制定積極的預防措施來儘量減少惡 意軟體攻擊的潛在影響。如果要讓你的組織具備處理被僵屍網路劫持的能力，那麼一個對不同終端，網路存取，資料管理以及未知使用者都有詳細定義的好的計畫是相當有必要的。

2.診斷

俗話說，治病一半的功勞在於診斷。所以，感染點在哪裡?這是一個對於惡意軟體來說價值 $ 64,000的問題。

使用加密，快速DNS變更的方式進行攻擊稱之為“Fast Flux服務網路”，很多典型的僵屍網路和C&C代碼都是使用這種方式穿梭在傳統的安全控制雷達之下的。這就是為什麼沒有合適的工具就難以檢測僵屍網路。但如果你能找到惡意軟體發起的主機，一定要加緊調查並儘量控制範圍。提示：Windows用戶端被感染的可能性比較大，但也可能是你的 Windows伺服器。

使用微軟的Sysinternals工具是一個好的開端。需要特別小心的是注意在有嫌疑的機器上輸入的任何密碼，以及從這裡存取的其它系統等。對於 像Wireshark之類的網路分析工具，OmniPeek還可以提供額外的視圖以查看網路層面發生的事情，這種更高級別的視圖將讓管理員受益匪淺。

此外，你最終可能需要從Damballa和FireEye這樣的供應商那裡獲取更先進的技術，以有效地追蹤惡意軟體感染和進行傀儡終端設備移除。

3.限制

如果你足夠瞭解惡意軟體的感染，可以運用一些應急的網路存取控制清單或防火牆規則來阻止惡意軟體的入站或出站網路流量，直到將它們清理掉。

你還可以採用白名單的方法，加上本地策略或群組原則作為基本工具來對抗惡意軟體感染，更可以使用Bit9提倡的“積極安全控制策略”作為高級工具進行對抗。

4.清除

只是運行一個簡單的防病毒掃描是無法將傀儡終端設備移除的。你甚至無法檢測到惡意軟體的異常行為。即使可以檢測，惡意程式碼也往往與作業系統/註冊表相互交織，使主流的殺毒軟體不知道如何進行處理。

你所能做的最好的措施之一就是運行多個反惡意軟體工具，尤其是像Webroot和Malwarebytes這樣的對更高級威脅相對瞭解的工具。你也可能除了重新安裝作業系統之外毫無選擇。

此外，在重新安裝作業系統時，還要注意資料丟失的風險。在我處理過的專案中，幾乎沒有任何內部安全評估，也沒有找到位於工作站上的敏感資訊的備份副本。

5.補丁更新

對於惡意軟體的感染，最大的敵人莫過於用戶沒有對Java、Adobe和相關的協力廠商軟體進行定期更新。其次是Windows XP即將退休。

問題是，對企業的系統進行更新可以消除威脅，至少可以防止惡意軟體的傳播。所以現在需要開始考慮協力廠商軟體的補丁管理問題，以至於在真正出現問題時你可以有所防備。

當所有這一切都沒有奏效時，你只能尋求專家的幫助。僵屍網路非常難以應付。因為我發現在我的項目裡，以及從其它事件瞭解的資訊來看，僵屍網路很像身 體的癌症病變。即使網路中還殘存一點僵屍資訊，很可能就會遭遇第二波感染。應急事件措施以及讓專業人士定期對疑似特徵的終端進行處理將會讓整個組織處於 IT安全的保護之中。

去除終端上的惡意軟體是儘量減少風險的一個方面。威脅情報(知道要尋找什麼，並有足夠的資訊支援決策)非常關鍵。這又回到一個基本的管理原則：瞭解你的網路。雖然它聽起來有些無聊，但是當你真正知道什麼是“ 正常”時，你就會對異常活動做出正確的判斷。

如果你沒有工具或流程來獲取相應的資訊，那就從今天開始吧。要獲得終端的控制權，你需要有好的網路分析工具和事件監控工具來同僵屍網路進行對抗。就像我最喜歡的一句話：“知己知彼，百戰不殆”。

惡意軟體的問題並不會隨著時間的流逝有任何好轉的跡象。所以對於桌面和網路系統管理員來說，現在需要提高他們的技能，使之成長為威脅分析師，資料科學家和事件回應者。即使目前這些領域還不會影響他們的工作，但是有朝一日，他們一定會派上用場的。

過去APT攻擊鎖定的對象以政府機關為主，但觀察發現，愈來愈多的非政府單位也受到攻擊，政府單位受害比例降至74%，而非政府單位受害比例提高至將近1/4，遭APT攻擊鎖定的產業包括電子製造、PC、醫療等等。且APT攻擊並不限於政府機關、大型企業，也有中小企業遭遇攻擊的案例。

ITHOME 文/蘇文彬 | 2015-04-30發表

2014年APT幕後操縱伺服器最多的國家，台灣（紫色）名列前15。
圖片來源:

趨勢科技

趨勢科技發佈2014年APT觀察報告顯示，APT攻擊目標正從政府單位轉向非政府組織，甚至連中小型企業也成為攻擊目標。

過去APT攻擊鎖定的對象以政府機關為主，但觀察發現，愈來愈多的非政府單位也受到攻擊，政府單位受害比例降至74%，而非政府單位受害比例提高至將近1/4，遭APT攻擊鎖定的產業包括電子製造、PC、醫療等等。

另外，APT攻擊並不限於政府機關或大型企業，也有中小企業遭遇攻擊的案例，曾有駭客長期潛伏竊取中小企業及其客戶的郵件通訊內容，在下單時提供假的匯款帳戶，使中小企業蒙受鉅額損失。

而攻擊者也產生變化，從封包格式、樣本分析，過去多為政府支持的APT攻擊，攻擊對象也以他國政府機關為主。現在則發現，非政府單位或是離職員工發起的APT攻擊案例增加，攻擊目的為竊取有價值的情報、資料。

趨勢認為，APT攻擊也不再像過去侷限於美國、俄羅斯、中國，而逐漸蔓延到全球。2014年前5大被攻擊裝置最多的地區是阿爾及利亞、澳洲、巴西、加拿大及中國，台灣雖不在前10名，但排名在前20名。

若以APT幕後操縱伺服器數量分佈來看，澳洲、巴西、中國、埃及、德國較多，台灣排名前15名以內。不論被攻擊的裝置數量或是幕後操縱的伺服器，顯示台灣都是APT攻擊的主要地區之一。

剖析APT攻擊模式，趨勢將攻擊過程歸納為6個階段，首先蒐集鎖定對象信箱等相關情報資訊，發送社交工程郵件突破防線，幕後操縱C&C伺服器通訊，在目標對象內橫向擴大，竊取有價值的情報及資料，再將資料外傳，每個階段都設法隱匿攻擊跡象，使管理者難以察覺。

↓　趨勢分析APT攻擊6個階段：1.情報蒐集。2.突破防線。3.幕後操縱C&C通訊。4. 橫向移動。5.搜尋資產。6.資料外傳。各階段連接且不斷循環。（圖片截取自報告內容）

趨勢資深技術顧問簡勝財表示，攻擊可能利用已知或新發現的漏洞，突破鎖定目標的防線後，可能利用半夜連線傳送資料，或利用員工普遍使用的OneDrive、Dropbox、Google Drive等將資料向外送出。

由於APT攻擊手法不斷翻新，攻擊朝向精緻化難以防範，趨勢認為企業也需與時俱進，瞭解最新APT攻擊趨勢發展，同時採取對應措施，不斷調整以因應APT攻擊的風險。

2015-04-30 15:32:03 聯合報 記者彭慧明╱即時報導

全球雲端安全廠商趨勢科技發佈最新進階持續性滲透攻擊 (APT)發展趨勢的2014年度報告。根據報告指出，過去一年，進階持續性滲透攻擊(簡稱APT)技巧不斷翻新，威脅變得更為多元複雜，而情報蒐集與竊取資料是所有APT的共通目的。

趨勢科技呼籲，政府、企業皆需全面了解最新APT發展情勢以調整防禦策略，降低遭遇攻擊的風險。

趨勢科技資深技術顧問簡勝財指出，網路犯罪集團越來越常採用APT的攻擊技巧。要反制這類攻擊，企業必須隨時保持警戒，並且採取有效的解決方案來因應不斷演變的網路安全情勢。建議企業必須建立一套客製化防禦，運用進階威脅偵測技術與共享的威脅情報來偵測、分析、回應一般標準資安解決方案所無法偵測的攻擊。

根據報告預測，APT目前依然難以防範，其不著痕跡的攻擊方式讓有心人士蒐集情報、竊取機密資料的軌跡無法立即偵測，且技巧和手法皆不斷翻新。APT已成為全球問題，網路犯罪者最愛的目標不再僅侷限於美國、俄羅斯與中國。

依據趨勢科技於2014年所監控的案例，澳洲、巴西、中國、埃及和德國是APT幕後操縱 (C&C)伺服器分布最多的前五大國家，台灣也名列前十五名之一。雖然，政府機關依然是此類攻擊最愛的對象，不過趨勢科技也發現，軟硬體公司、消費性電子產品製造商以及醫療照護機構遭到APT的次數也突然攀升。

來源 網路資訊 業務部 / 整理

網路犯罪日益猖獗，攻擊手法及技巧亦不斷進化。為了因應這樣的情況，具有危機意識的企業應採取適應性的防護來快速偵測及回應每天面臨的威脅。全球資安軟體領導廠商趨勢科技在今年度的RSA Conference 2015 大會上展示能讓客戶防禦並回應APT(進階持續性滲透攻擊)的解決方案。

趨勢科技執行長陳怡樺表示：「根據身分竊盜研究中心(Identity Theft Research Center)的資料，在去年所有資料外洩事件當中，駭客攻擊事件就占了29%，為該機構所知資料外洩事件的頭號主因。這類精心策劃的攻擊具有強烈的針對性，因此我們必須為客戶提供一種能隨時根據其特殊威脅而強化其對應防護能力的解決方案。」

此外，趨勢科技也經常協助「醫療產業」─ 這個網路犯罪頭號攻擊目標，來提供解決方案防範最新威脅。例如，美國東南部最大教學醫療中心 University of Florida Health Shands Healthcare，包括旗下的 University of Florida Health Science Center 以及 UF Health Shands 和 UF Health Jacksonville醫院與服務體系，即採用趨勢科技解決方案 ( Deep Discovery) 來提供完整的APT防禦。有了趨勢科技解決方案，UFHSH 就能在雲端及企業內 IT 基礎架構上更有效保護病患的個人資料。此外，從行動裝置到桌上型電腦，病患資料不論在任何端點上都能得到安全保障，讓醫師能夠隨時隨地迅速解決病患的需求，也大大降低資料外洩的風險。

UF Health Shands Healthcare 資訊安全經理 Tim Nance表示：「醫療產業是網路犯罪集團很大的一個目標，而且越來越嚴重，因為該產業擁有大量的病患資料，而這些資料在地下黑市的價格不菲。有了 Deep Discovery 之後，現在我們就能全面偵察可能的資料外洩情況，而且它還能搭配趨勢科技的其他解決方案，提供全企業的集中掌握能力。不論從端點、行動裝置到資料中心，我們都能隨時掌握偵測到的威脅，獲得更優異的防護。」

趨勢科技 Deep Discovery可提供完整的監控與偵測能力，讓企業快速偵測、分析及回應APT與最先進的威脅。這套解決方案能在偵測到可疑活動時主動自我更新，將發現到的結果整合至其他趨勢科技解決方案，進而不斷提升防護能力。

趨勢科技 Deep Discovery 可藉由下列方式來偵測並清除威脅：

• 監控所有網路流量、所有網路連接埠以及80種以上的通訊協定與應用程式，不單只有網站和電子郵件流量。
• 採用與客戶桌面系統環境相同的客製化沙盒模擬分析系統影像來提升進階威脅與APT的偵測率。
• 利用多層次的進階威脅偵測來發掘網路上任何角落的鎖定目標攻擊與進階威脅，廣泛涵蓋各種平台，包括 Microsoft Windows、Mac OS X、Android以及 Linux。

IDC資安產品與服務計劃副總裁 Chris Christiansen 指出：「為了防範日益增加的針對性網路威脅，企業應考慮採用彼此同步的解決方案，藉由全平台的情報共享來偵測、分析及預防威脅。Deep Discovery 能與趨勢科技所有解決方案共享情報，因此有利於達成這項目標，進而提供一種適應性的威脅偵測與清除能力，隨時因應威脅情勢的演變。」

不僅如此，趨勢科技客戶還能享受到與 IBM QRADAR 等策略合作夥伴解決方案整合的效益，讓合作夥伴的平台與 Deep Discovery 的威脅防禦能力結合。

各國間的間諜活動不斷，而資安服務供應商 FireEye 日前就發表報告指在調查中發現，名為 APT 30 的組織在近十年間不斷向亞洲各國進行網路間諜活動。整合調查數據所得，APT 30 的幕後發動人非常大機會為中國。

APT 30 間諜工具複雜，疑為國家級組織

據 FireEye 日前的報告分析指，被 FireEye 稱為 APT 30 的攻擊目標多為政府機構、十大產業企業或報道與中國事務相關的媒體；而其活動範圍則集中於東南亞。APT 30 的特別之處為其目標非與利益相關的資訊：反而是區域性政治、軍事、經濟、領土紛爭等議題，研究人員估計 APT 30 至少自 2005 年起就專門針對東南亞各國的政府與企業進行網路間諜活動，現時已持有相關地區的政治、經濟與軍事等重要資訊。

研究人員指，APT 30 至少投入 10 年開發與改良一套整合工具及可被重覆使用的基礎架構，並會針對特定目標而修改程式碼：工具包括自動下載工具、後門程式、中央控制器，多種感染可移除式儲存裝置及跨越網路以竊取資料的元件。按 APT 30 紮實、長期而有計畫的行動推測，此組織大概為有國家於背後支持的行動，而可能性較大的則為中國政府。

日前有研究人員發現，除網路長城外，中國另外亦開發出「中國巨砲」，可見中國目前對網絡的重視程度逐漸加強，其活躍程度亦不斷攀升。

來源:unwire.pro , Source：FireEye