https://newera17031.activehosted.com/index.php?action=social&chash=ba1b3eba322eab5d895aa3023fe78b9c.2767&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=ba1b3eba322eab5d895aa3023fe78b9c.2767&nosocial=1

觀點

APT攻擊手法在台灣持續翻新,跨Office文件、加文件密碼,搭配通訊錄的社交工程攻擊!

2012 / 09 / 05
本篇文章內容由廠商提供,不代表資安人科技網觀點
APT攻擊手法在台灣持續翻新,跨Office文件、加文件密碼,搭配通訊錄的社交工程攻擊!

Xecure Lab先進資安威脅研究中心發現從813號開始,出現了一波利用CVE-2012-1535 Adobe Flash Player弱點與CVE-2012-0158Excel弱點所寄發的目標式攻擊信件,據上傳至VirusTotal的多筆資料顯示,市面上42套防毒軟體都沒能在當時立即偵測此零時差漏洞攻擊。

 

201294,台北訊】  達友科技獨家代理Xecure Lab (艾斯酷博科技) 防禦進階持續性威(APT)系列解決方案,協助政府單位及企業用戶有效遏止APTAdvanced Persistent Threat,進階持續性威脅)攻擊入侵。Xecure Lab先進資安威脅研究中心發現813號開始出現一波利用CVE-2012-1535 Adobe Flash Player弱點與CVE-2012-0158Excel弱點所寄發的目標式攻擊信件,據上傳至VirusTotal的多筆資料顯示,市面上42套防毒軟體沒有一家在能偵測此零時差漏洞攻擊

 

很快地Adobe原廠在814號就發佈Flash Player的資安通報並提供更新下載,唯接下來一周持續出現的幾波APT攻擊,仍有許多防毒軟體即使更新到最新病毒碼(8/17),都被繞過無法偵測這些惡意文件。

 

此波2012-1535漏洞與早先CVE 2012-0158漏洞在國內於8月下旬又崛起一波新攻勢,其主旨、內文與附件均較國外更為細緻與複雜,精心為我國國情與目標對象的社交活動而設計,攻擊手法有三大特色:

 

1 「沒有來路不明的郵件」,受害者的通訊錄被利用為此波社交工程攻擊名單

2 「惡意行為無法被觀察」,受害者收到的附檔變成有密碼保護的Office文件

3 「附檔類型持續翻新」,受害者收到的附檔除了Word文件,亦有Excel文件

 

更由於成功躲避防毒大廠的偵測,國內已發現多起遭受有效攻擊之個案(受害者事後上傳VirusTotal確認其使用的防毒軟體無法有效偵測此惡意文件,包括國內知名大廠都無法偵測)。

 

國內使用者可上傳至Xecure Lab提供的免費惡意文件檢測平台:http://scan.xecure-lab,可快速檢查是否收到社交工程惡意郵件,輕易分析任何惡意文件的諸多細節。

 

綜觀目前市面上的APT解決方案,可分為四大類:


1. APT DNA分析技術
Xecure Lab自主研發的APT DNA分析技術,2011年獲得在全球最大駭客年會DEFCON首日公開發表的先進技術,係在閘道端即時對惡意檔案進行DNA採樣,不依賴文件格式、不依賴觸發環境、可突破文件加殼加密干擾、可突破反偵測技術,為全世界唯一有能力提供與商業版相同檢測等級的免費惡意文件上傳檢測網站,供全球駭客嚴峻測試,並服務一般廣大使用者。


2. 靜態分析引擎技術
在閘道端採用的"靜態分析引擎",雖不需等待"病毒碼更新",卻可能需等待"漏洞特徵更新",針對每個文件格式(包括PDF的各個改版)甚至每個漏洞特徵都需要撰寫一個分析模組,包括未支援的文件格式(該地區或該單位特有文書處理軟體)、未支援的CVE漏洞編號、加密碼的ZIP/RAR壓縮檔等,導致仍有很高機會錯過第一時間達到立即防護零時差攻擊的契機。


3. 動態行為沙箱技術
沙箱技術無法重現漏洞的可執行環境,容易被反偵測,包括滑鼠會不會移動、休眠數十分鐘、對外連線測試、以及與使用者互動要求輸入密碼等技巧都能輕易繞過沙箱環境。

4. 黑白名單比對技術
黑名單列舉方式如同過去防毒軟體的病毒碼一般,有涵蓋率的問題。而白名單作法則須注意APT攻擊濫用可信任的簽章與憑證,如惡名昭彰的Flame在部分地區的版本甚至是有微軟合法簽章,而Stuxnet超級病毒當初亦有兩家台灣園區廠商的簽章,以及攻陷日本三菱重工的Hunter也有某軟體大廠的合法簽章。



建議防禦方式與補充資料:
1. 盡速更新Adobe Flash Player原廠修補程式:
http://www.adobe.com/support/security/bulletins/apsb12-18.html


2. 接收到可疑附檔,請使用XecScan免費惡意文件分析平台進行檢測:http://scan.xecure-lab.com


3. 參閱CVE-2012-1535漏洞詳細資訊(首見於今年8月):http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-1535


4. 參閱CVE-2012-0158漏洞詳細資訊(首見於今年4月):http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-0158


5. 在郵件閘道端採用XecMail APT DNA分析引擎技術攔截攻擊信件,避免使用傳統靜態分析引擎或動態沙箱技術。


6. 若疑似發現遭植入惡意程式,應立即進行數位鑑識與事件處理,並詢求專業第三方Xecure Lab協助。
更新最新病毒碼,以達到最基本的防護效果,並每日排程全機掃描。