APT Malware 外洩 網路攻擊 漏洞與弱點

  • 賽門鐵克說「防毒軟體已死」

    文/陳曉莉 | 2014-05-08發表

    雖然目前在個人裝置上安裝的防毒或安全軟體仍佔Symantec總營收的40%,但Dye指出,防毒軟體現在只能阻止約45%的網路攻擊,而且不再是資安業者的搖錢樹。

    過去幾年以來,不斷有人提出防毒軟體無用論,不過,資安大廠賽門鐵克(Symantec)資訊安全副總裁Brian Dye在接受華爾街日報的訪問時說出「防毒軟體已死」(Antivirus is dead)有著完全不一樣的意義,同時也因此在科技圈掀起一場論戰。

    雖然目前在個人裝置上安裝的防毒或安全軟體仍佔Symantec總營收的40%,但Dye指出,防毒軟體現在只能阻止約45%的網路攻擊,而且不再是資安業者的搖錢樹。

    其實Dye是要強調該公司正在研發對抗新一代網路攻擊的新技術,不過「防毒軟體已死」這句話仍然引起了資安業者的反駁。PC Magazine引述Bitdefender技術長Bogdan Dumitru的看法指出,如果單靠防毒軟體可能是死路一條,但這就好像在批評阿斯匹靈無法治癒癌症或AIDS便宣稱它已死一樣,防毒軟體現在仍扮演安全套件的一部份。

    卡巴斯基實驗室執行長Eugene Kaspersky也回應了The Inquirer的詢問,表示這幾年來多次聽見這樣的說法,但防毒軟體迄今還在,他完全同意,單層的病毒特徵掃描不再足以提供個人或企業的保護,但其實一直都是這樣。所謂的安全,應該是結合諸如啟發式、沙箱、雲端或其他技術,而這些任務都得搭配舊式的病毒偵測才有良好的成效。

    FireEye則點出了目前防毒軟體所面臨的困境。根據該公司的偵測,防毒軟體建立病毒特徵資料庫的速度完全趕不上病毒的開發周期,駭客最多花幾天來開發一款病毒,但防毒軟體通常需要幾天至幾周來建立病毒特徵。此外,分析這兩年來約50萬的病毒樣本,有82%的病毒在一小時後便消失無蹤,使得這些防毒軟體更像是抓鬼工具,而難以偵測或預防威脅。

    資安部落格KrebsOnSecurity寫了一篇名為「防毒軟體已死:防毒軟體萬歲!」的文章說明此一現象,他指出,駭客圈已發展出一種隱身服務(crypting service),他們在所有的防毒軟體上測試新出的病毒,當發現可躲過所有防毒軟體的偵測後,就將它發布到惡意程式的出版伺服器上,即使它的生命周期很可能只維持數小時到一天,但也足以讓駭客藉由感染使用者而入侵目標網路。

    總之,資安業者認為,防毒軟體並不會消失,或尚未消失,它仍能作為基本的防禦工具來抵擋一般的攻擊。只是隨著網路威脅愈來愈複雜,建議使用者不應完全仰賴防毒軟體的保護,而必須輔以其他措施來保障系統的安全。(編譯/陳曉莉)

  • 微軟資安報告:上一季病毒感染率大增3倍!

    文 ITHome /陳曉莉 | 2014-05-08

    每千台個人電腦在去年第四季受到病毒感染的比例從第三季的5.6台成長到第四季的17.8台,代表Q4的病毒感染率是Q3的3倍,也是微軟該調查以來單季感染率成長最多的一次。

    微軟發表去年下半年的安全情報報告(Microsoft Security Intelligence Report),指出每千台個人電腦在去年第四季受到病毒感染的比例從第三季的5.6台成長到第四季的17.8台,代表Q4的病毒感染率是Q3的3倍,也是微軟該調查以來單季感染率成長最多的一次。

    微軟是依據個人電腦中所安裝的微軟安全軟體來計算裝置遭遇病毒的比例,並以微軟惡意程式移除軟體Malicious Software Removal Tool(MSRT)在每千台個人電腦中所清除的病毒(Computers cleaned per mille,CCM)來計算感染數據。

    根據微軟的統計,去年第三季遭遇病毒的個人電腦比例約為20%,到第四季成長至22%;至於第三季的病毒感染數據為5.6CCM,第四季則成長至17.8CCM,感染數量為上一季的3倍。

    促使病毒遭遇比例或感染數量高升的主要元兇為Sefnit殭屍病毒,它通常利用P2P軟體或其他合法軟體散布,允許駭客利用電腦來從事各式的活動,諸如點選詐騙、挖掘比特幣,或是將搜尋引擎結果的流量導至其他網站。在2010年現身的Sefnit主要用來將流量導致廣告網站,較容易被識破,但去年中微軟發現新版的Sefnit以背景執行的方式來進行點選詐騙,還利用新技術來閃躲防毒軟體的偵測,使它在去年下半年入榜前十大最常碰到的惡意程式。

    Sefnit的家族成員還包括偽裝成瀏覽器安全軟體的Rotbrow,以及偽裝成各種合法程式安裝軟體的Brantall,其中,Rotbrow不但未能阻擋其他附加元件的安裝,還在瀏覽器中安裝更多的附加元件,而且這兩個惡意程式都會直接安裝Sefnit。

    微軟在2013年發現了Rotbrow與Sefnit之間的關聯,並認為它是導致去年第四季感染數據竄升的最大幫手,因為從2011年就存在的Rotbrow一直以來並無任何惡意行為,使得許多防毒軟體並未將它歸類為病毒,但忽然演變成惡意程式的Rotbrow在第四季遭到大量移除。在知會其他資安業者後,微軟預期之後的感染數量就會回到平常的水平。

    微軟亦列出遭遇病毒比例最高的市場排行榜,前五名依序是巴西(38.1%)、義大利(26.2%)、法國(25.9%)、俄國(25.8%)與中國(20.3%)。(編譯/陳曉莉)

  • 企業平均每年遭遇9起APT攻擊

    2013-12-25 ZDNet

      最新研究發現,在過去12個月中,企業平均遭遇9起高級持續性攻擊( APT )。根據Ponemon研究所名為“高級持續性攻擊的現狀”的報告(由IBM Trusteer委託)顯示,近一半的企業稱,攻擊者成功地從他們的內部網路竊取了機密或者敏感資訊。高級持續性攻擊( APT )可能比想像的更普遍。

      Ponemon對曾經有過預防和檢測有針對性攻擊經驗的755名IT和IT安全專業人士進行了調查。Ponemon發現受害企業需要很長一段時間才能 發現他們已經遭受這種攻擊。平均而言,這些攻擊保持不被發現的時間為225天,這是因為企業缺乏足夠的端點安全工具和內部資源。根據2013年8月份發佈的 Verizon資料洩露調查報告 (DBIR)顯示,企業通常在遭受攻擊的數月甚至數年後才發現自己被攻擊,近70%的企業是從協力廠商得知自己被攻擊的消息。

      但是與 Verizon報告的結果不同,新的Ponemon發現大多數企業表示,他們發現“投機取巧”或者隨機的非針對性攻擊在減少,而有針對性攻擊則在增加。約 有67%的受訪者稱投機式的攻擊在過去12個月沒有增長,而48%稱有針對性的攻擊正在迅速增加。該調查將投機式攻擊定義為:攻擊者對於他們想要攻擊的對象有著大概的思路,而只有當他們發現可利用的漏洞時才會對其發動攻擊。相比之下,有針對性的攻擊則是指:攻擊者專門選擇他們的目標,下定決心要攻破該目標。

      與此同時,Verizon的DBIR報告顯示,在去年確實的資料洩露事故中,75%是源自想要謀取利益的攻擊者,而20%則是網路間諜行為,即為了竊取智慧財產權或者其他用於競爭目的的資訊。

      IBM Trusteer公司高級安全戰略官George Tubin表示,網路間諜行為越來越隱蔽,例如,他們會加密其惡意軟體來逃避檢測。

      近70%的企業稱零日惡意軟體攻擊是他們面臨的最大威脅,而93%的企業稱惡意軟體是APT攻擊者採用的攻擊方法。半數的受訪者稱這些攻擊主要通過網 絡釣魚攻擊。根據該報告顯示,反惡意軟體和入侵偵測系統(IDS)大多敵不過漏洞利用和惡意軟體。約76%的受訪者稱漏洞利用和惡意軟體繞過了其殺毒軟件, 而72%的人稱它們繞過了其IDS。

      IDS、IPS和AV是這些企業用來檢測有針對性攻擊的主要工具。約有60%的受訪者稱投機式攻擊比有針對性攻擊更容易預防,而46%稱它們更容易被檢測。當涉及修復補丁時,兩個主要被利用的應用程式—Java和Adobe Reader是最難以更新補丁的。約80%的受訪者稱Java是最難以更新的,72%認為是Reader,還有65%選擇了微軟Windows。該報告 稱:“64%的受訪者稱其公司仍然在生產環境運行這些應用程式,雖然他們知道存在漏洞,以及可行的安全補丁,但是他們就是沒有部署。”73%的受訪者稱:“如果可以的話,我會停止使用Java。”

      毫不奇怪的是,這些企業面臨APT問題的根源。

  • APT已成最具威脅攻擊方式 形勢嚴峻如何應對?

    2014-03-28

      APT進攻是我們目前所能見識過的最危險的攻擊之一據國外權威資訊安全結構統計,該類型攻擊增長的趨勢呈指數級發展。從03年開始嶄露頭角,08年開始攻擊次數一路直線上升,並且目標明確、持續性強、具有穩定性。它利用程式漏洞與業務系統進行融合,不易被察覺,並且有著超常的耐心,最長甚至可達七年以上,不斷收集使用者資訊。

      發起APT攻擊所需的技術壁壘和資源壁壘,要遠高於普通攻擊行為。其針對的攻擊目標也不是普通個人使用者,而是擁有高價值敏感性資料的高級用戶,特別是可能影響到國家和地區政治、外交、金融穩定的高級別敏感性資料持有者、甚至各種工業控制系統。

      APT攻擊從2008年開始放量增長,並呈指數級上升趨勢。

    APT Trend

      多路徑攻擊需要預警平臺全方位防護

      APT攻擊的威脅已經不單單是一個病毒,經常伴有惡意程式、駭客攻擊以及垃圾郵件等多種威脅。

      透過對APT攻擊進行大量分析,我們發現絕大多數大攻擊透過3條路徑對目標發起攻擊:

      1. 透過發送帶惡意附件郵件,利用惡意附件在員工電腦種植入後門,再透過員工電腦進行進一步帶滲透

      2. 直接攻擊Web伺服器,由於Web伺服器經常存在嚴重的安全性漏洞,所以駭客經常對Web伺服器進行攻擊,然後再利用Web伺服器為跳板,對內部網路發起攻擊

      3. 使用欺騙或流量截獲對方式直接對員工伺服器發起攻擊,利用員工電腦對內部網路發起攻擊

     

       0day攻擊檢測

      在APT攻擊種, 使用0day對目標進行攻擊非常常見,由於沒有已知的特徵所這些攻擊很難被傳統對檢測手段發現。 而APT攻擊檢測設備的一個主要目標就是需要能夠檢測到0day攻擊。靜態檢測無法檢測到深度多攻擊行為,而動態檢測由於存在大量環境組合無法窮舉,無法觸發所有多行為。所以不應該使用任何一種單獨的方法對目標進行檢測。

     

      透過關聯分析應對APT攻擊是必由之路

      APT攻擊中,由於駭客可能嘗試多種路徑進行攻擊,所以無法使用一種方法就能有效的檢測出APT攻擊。我們需要利用多種檢測手段結合,並進行綜合分析發才能更有效的發現APT攻擊,常用的檢查步驟為:

      1. 針對Web、郵件、傳輸的檔案進行的攻擊檢測

      2. 綜合這些攻擊的資料分離可疑檔、攻擊流量

      3. 對Web行為模型進行建模和統計分析

      4. 對檔案進行靜態分析和動態運行分析

      5. 綜合各種攻擊路徑中對告警,進行綜合分析

      6. 最終發現APT攻擊

     

       常見的檢測方法有:

      1、深度協議解析

      利用各種檢測手段發現其中的惡意攻擊及0day攻擊。 目前解析的協議包括HTTP、SMTP、POP、FTP等。

      APT攻擊預警平臺能檢測和預警一系列的攻擊,無論是已知的或未知的,並能夠阻止那些最常見的攻擊。如:基於Web的惡意攻擊、基於文件的惡意攻擊、基於特徵的惡意攻擊等。

      2、 WEB應用攻擊檢測

      該平臺能解碼所有進入的請求,檢查這些請求是否合法或合乎規定;僅允許正確的格式或RFC遵從的請求透過。已知的惡意請求將被阻斷,非法植入到Header、Form 和URL中的腳本將被阻止,能夠阻止那些的攻擊如跨網站腳本攻擊、緩衝區溢位攻擊、惡意流覽、SQL注入等。

      3、郵件攻擊檢測

      對郵件協定進行深度分析,記錄並分析每個郵件,並對其中的附件進行分析並檢測,發現其中的安全問題。透過對附件進行對已知攻擊特徵的掃描、未知攻擊漏洞的掃描和動態分析的方式進行測試,發現其中的攻擊。

      4、檔案攻擊檢測

      透過長期的研究,總結並提權各類0day攻擊的特點。在網路流量中分析關心的檔案。透過快速檢測演算法,對目的檔案進行檢測,發現其中的0day攻擊樣本。

      透過檢測目的檔案中的shellcode以及腳本類檔案中的攻擊特徵,並結合動態分析技術可以有效檢測0day攻擊行為。

      5、流量分析檢測

      APT通常會結合人工滲透攻擊,在人工滲透攻擊中經常使用掃描或病毒擴散的過程。這些過程中,通常會產生大量的惡意流量。利用這些惡意流量特徵,能檢測攻擊行為。

            IBM QRADAR QFlow 提供Layer 7 與 Netflow 的流量異常檢測

  • 加強網路安全 抵禦有針對性APT攻擊

    2014-04-02 11:02:17 ZDNet

    高級持續威脅APT是一個“模糊”而富有爭議的術語,它指的是一種攻擊風格而不是特定的攻擊技術。應對APT需要安全專業人員的新思維,但這種攻擊形式並未改變我們保護自身所需要採取的安全措施。我們只需用深層防禦和分層控制的方法就能夠有效防止高級持續威脅。

    威脅形勢已不可逆轉地改變。安全專業人員的主要敵人不再是盯著顯示器尋找容易攻擊的社會青少年,而是試圖挖掘敏感資訊的熟練技術人員。

    定義和理解有針對性APT攻擊

    這些攻擊是現在安全專業人員面臨的典型攻擊。高級持續威脅APT是一個“模糊”而富有爭議的術語,它指的是一種攻擊風格,而不是任何特定的攻擊技術。有針對性的APT攻擊是指專業駭客使用高級攻擊技術發起的一對一的攻擊。以前的腳本小子(script kiddies)首先會選擇一個漏洞,然後掃描互聯網尋找容易攻擊的系統,而APT攻擊者首先會選定一個目標,通常是政府機構、金融機構、企業競爭對手或者其他高價值資產,然後再選擇進入的方法。儘管許多資訊安全產業觀察家因為這樣或那樣的原因不喜歡高級持續威脅這一說法,但高級持續威脅已經成為定義這種攻擊類型最常見的說法。

    應對APT需要安全專業人員展開一種新的思維。資訊安全專業人員必須假定攻擊者已經使用高級攻擊成功地滲透進入了企業網路。他們將會利用零日攻擊、社會工程學、釣魚攻擊和其他技術來想盡辦法進入我們的網路。一旦他們建立了一個虛擬操作基地,他們就能夠升級他們的特權,擴大他們的控制範圍,直到他們找到目標,即使這需要花上數周或者幾個月時間。

    加強網路安全 抵禦有針對性APT攻擊

    所幸的是,我們已經有一個成熟的戰略來幫助企業抵禦APT,這個戰略強調了很多常見的網路安全最佳做法。這個通過部署分層控制來實現深度防禦網路安全的方法已經經過驗證,它是幫助企業抵禦APT的最佳方法。

    首先,整理網路中已經存在的控制,確保這些控制是有效的且受到良好管理的。大多數企業已經部署了防火牆、入侵偵測和預防系統(IDS/IPS)、反惡意套裝軟體和其他控制。它們會受到定期審計嗎?它們有最新的簽名嗎?部署一致嗎?在考慮增加額外的防禦層前,檢查這些基礎資訊。

    其次,檢查現有的用戶教育計畫。很多APT依賴於社會工程學或者利用用戶不良的安全習慣來攻擊。例如,專家推論,Stuxnet蠕蟲病毒通過一個授權使用者的快閃記憶體驅動器來侵入伊朗核設施邊界的控制。確保最終用戶明白其在企業安全保護中的角色。

    使用APT威脅作為催化劑,這是評估現有安全控制和增加必要的額外安全保護措施的好時機。在採取這些補救措施後,考慮向網路增加額外防禦層。有三個特定控制領域值得考慮:

    1.如果沒有部署安全事故和事件管理(SIEM)系統,可以利用這次計畫進行部署。SIEM是對付APT的有效工具,因為這個系統可以從不同來源收集和關聯安全資料。它們可以幫你“海裡撈針”,找出APT攻擊滲透進入網路的蹤跡。

    2.資料丟失防護系統(DLP)是一個很好的最後防線,它能夠檢測和阻止出有人有意或無意地將敏感資訊從網路中移除。

    3.最後,內容過濾(Content Filter)可以説明進一步防止釣魚攻擊和其他web與電子郵件威脅。雖然用戶教育是防止社會工程學的最有效的方式,但內容過濾可以在使用者洩露其帳戶資訊前阻止使用者。

    APT確實給資訊安全帶來了新的威脅,但是這種攻擊形式並沒有改變我們保護自身所需要採取的安全措施。我們只需要利用安全專業人員多年來追捧的深層防禦和分層控制的方法,就能夠有效防止高級持續威脅。