Xecure Lab先進資安威脅研究中心自9月13開始陸續在國內發現又一波利用新攻擊手法的 APT 目標式攻擊惡意信件正在進行中,攻擊對象鎖定我國學術研究人員。近兩個月以來發現有不少APT攻擊目標都特別鎖定學術研究圈。使用的漏洞目前尚無法辨識出過去的CVE漏洞編號,可能是未被 CVE 公布的新發現漏洞或新變種,惡意文件偽裝成國科會專題列表與撰寫格式!並加上文件密碼避免被防毒軟體和沙箱模擬偵測!教職人員與研究助理務必要特別注意。
【2012年9月14日,台北訊】 達友科技獨家代理Xecure Lab (艾斯酷博科技) Xecure Lab先進資安威脅研究中心9月13號陸續在國內發現除了8月初初爆發的 CVE-2012-1535 Adobe Flash Player 弱點外,又一波利用新攻擊手法的 APT 目標式攻擊惡意信件正在進行中,攻擊對象鎖定我國學術研究人員。時逢928教師節將近,近兩個月以來發現有不少APT攻擊目標都特別鎖定學術研究圈。使用的漏洞目前尚無法辨識出過去的CVE漏洞,可能是未被 CVE 公布的新發現漏洞或近期CVE漏洞的新變種,惡意文件偽裝成國科會專題列表與撰寫格式,並加上文件密碼避免被防毒軟體和沙箱模擬偵測!教職人員與研究助理務必要特別注意。
Xecure Lab發現目前市面上知名的IPS與郵件閘道器都無法成功識別這些APT信件,而截至9月14日止,也並沒有看到任何人獎附件樣本上傳至VirusTotal,這表示各大防毒軟體廠商都還沒有辦法透過 VirusTotal 去下載這波 APT 樣本。
Xecure Lab的 APT DNA 檢測技術攔阻到這波新的 APT 攻擊所使用的 CVE 漏洞尚屬未知,但不論是 XecMail 郵件威脅防禦系統或 XecScan 惡意文件分析雲都可有效偵測到這些零時差攻擊。延續上個月針對學術研究人員的社交圈所發動的攻擊,這波 APT 攻擊的主旨、內文與附件依舊為我國國情與目標對象精心設計,攻擊手法有三大特色:
「 沒有來路不明的郵件」,國科會的公告與附件被作為社交工程題目
「惡意行為無法被觀察」,附檔是有密碼保護的 Excel,無法在沙箱虛擬觀察
「附檔類型持續翻新」,受害者收到的附檔夾雜多個類型的文件檔案,並且一封信之中同時正常附檔與兩個以上的 APT 惡意文件!
再次呼籲,使用者在收到信件懷疑附件可能有問題,不妨利用 Xecure Lab 提供的免費惡意文件檢測平台:http://scan.xecure-lab.com,可快速檢視是否收到社交工程惡意郵件,輕易分析任何惡意文件的諸多細節。
綜觀目前市面上的 APT 解決方案,可分為四大類:
APT DNA 分析技術 (APT DNA Extraction)
Xecure Lab 自主研發的 APT DNA 分析技術,2011年獲得在全球最大駭客年會 DEFCON 首日公開發表的先進技術,係在閘道端即時對惡意檔案進行上百道的 DNA 採樣,不依賴文件格式、不依賴觸發環境、可突破文件加殼加密干擾、可突破反偵測技術,為全世界唯一有能力提供與商業版相同檢測等級的免費惡意文件上傳檢測網站,服務一般廣大使用者。
靜態分析引擎技術 (Static Parsing Analysis)
在閘道端採用的"靜態分析引擎",雖不需等待"病毒碼更新",卻可能需等待"漏洞特徵更新",針對每個文件格式(包括 PDF 的各個改版)甚至每個漏洞特徵都需要撰寫一個分析模組,包括未支援的文件格式(該地區或該單位特有文書處理軟體)、未支援的 CVE 漏洞編號、加密碼的 ZIP/RAR 壓縮檔等,導致仍有很高機會錯過第一時間達到立即防護零時差攻擊的契機。
動態行為沙箱技術 (Dynamic Sandboxing Analysis)
沙箱技術無法重現漏洞的可執行環境,容易被反偵測,包括滑鼠會不會移動、休眠數十分鐘、對外連線測試、以及與使用者互動要求輸入密碼等技巧都能輕易繞過沙箱環境。
黑白名單比對技術 (Pattern Matching)
黑名單列舉方式如同過去防毒軟體的病毒碼一般,有涵蓋率的問題。而白名單作法則須注意 APT 攻擊濫用可信任的簽章與憑證,如惡名昭彰的 Flame 在部分地區的版本甚至是有微軟合法簽章,而 Stuxnet 超級病毒當初亦有兩家台灣園區廠商的簽章,以及攻陷日本三菱重工的 Hunter 也有某軟體大廠的合法簽章。
建議防禦方式與補充資料:
接收到可疑附檔,請使用 XecScan 免費惡意文件分析平台進行檢測:
http://scan.xecure-lab.com
在郵件閘道端採用 XecMail APT DNA 分析引擎技術攔截攻擊信件,避免使用傳統靜態分析引擎或動態沙箱技術。若疑似發現遭植入惡意程式,應立即進行數位鑑識與事件處理,並詢求專業第三方 Xecure Lab 協助。
更新最新病毒碼,以達到最基本的防護效果,並每日排程全機掃描。