This page looks plain and unstyled because you're using a non-standard compliant browser. To see it in its best form, please visit upgrade to a browser that supports web standards. It's free and painless.

雲端運算與網路安全趨勢:防毒、防駭、防木馬、防殭屍網路、防網路釣魚攻擊和資料外洩防護 會員登入 會員註冊

.

[推到Plurk]            [推到Twitter]           [推到 Facebook]

« 上一篇 | 下一篇 »

20 元月, 2010 07:23

Google 被駭攻擊事件,象徵著目標攻擊即將當道

由 崔嘻 發表於 [ 話題病毒 , 企業網路安全 , 目標攻擊 , 漏洞攻擊 ]
(1344) 閱讀(0) 引用(0) 回應 推文( 1 )

修正程式發佈/部署完成前,如何減輕零時差攻擊風險?

 

Google112主動透過部落格揭露該公司和其他同業受到來自中國的攻擊,幾位人權運動者的Gmail帳號被入侵。後來紛紛傳出北京外國記者的Gmail信箱也被駭 最新的消息是,Google網路攻擊事件美國打算提出正式的外交照會 。新聞事件愈滾愈大,各種事件原委的推測紛紛出籠甚至說Google中國員工可能有內賊 路透社報導說Google正在調查,該公司中國辦公室可能涉嫌的員工。

這項攻擊似乎專門鎖定特定人士,因此目前並未廣泛流傳。稍早Google 對外宣布其電腦系統遭到駭客攻擊,受害的目標為一些位於美國、歐洲與中國境內中國人權人士的 Gmail 帳號。這起事件也引發該搜尋引擎巨擘發表聲明表示考慮徹出中國市場。其他大型企業,如 YahooDow Chemicals Northrop Grumman 也傳出類似的攻擊案例。

根據獨立研究機構的推測,目前至少有 34 家公司已經遭到這項「極精密的鎖定目標攻擊」。這項攻擊呼應了我們先前的預測,那就是全球性的攻擊正在勢微當中,反倒是特定人口族群才是線上攻擊最新鎖定的對象。

後門程式一旦執行,就會從被感染的系統上竊取資訊

這項攻擊所安裝的後門程式一旦執行,就會從被感染的系統上竊取資訊。搜集到的相關資料,會傳送至遠端的駭客,因此可能用於其它後續的惡意活動。

根據觀察,這項攻擊運用了多重管道。在某些案例中,使用者會收到含有惡意附件檔案的電子郵件,其目的是要引誘使用者下載附件檔案。不過,最值得注意的是,此攻擊利用了一個先前所有已知 Internet Explorer 瀏覽器版本 ( 5.01 版之外) 都不曾發現的零時差攻擊漏洞,讓駭客能在感染的系統上安裝一個後門木馬程式。Microsoft 也在最近的聲明中證實了 Google 和其他企業遭受的攻擊的確用到了這項漏洞。為了解決此一問題,他們建議客戶在 Windows Vista 上的 IE 7 啟用「受保護模式」並且啟用系統的「資料執行防止」(DEP) 功能。(詳細資訊請按這裡)。除此之外,該項攻擊也用到了 Adobe Reader Acrobat 的漏洞。

趨勢科技 TrendLabs 經過進一步分析之後發現,這些鎖定目標的攻擊運用了好幾種管道。在某些案例中,使用者會收到含有惡意附件檔案的電子郵件,其目的是要引誘使用者下載附件檔案;而其他案例則是利用 Adobe Reader Acrobat 不久前才修補的漏洞 (CVE-2009-4324) 在受害的系統中安裝惡意程式。針對上述兩項攻擊漏洞,趨勢科技 DeepSecurity 都能提供安全防護。採用 OfficeScan 並搭配 Intrusion Defense Firewall 外掛套件的趨勢科技 用戶只要更新至最新的 IDF 過濾規則 (IDF10003) 就能防止上述漏洞攻擊。

五隻木馬遭鎖定

最值得注意的是,此攻擊利用了一個先前所有已知 Internet Explorer 瀏覽器版本 ( 5.01 版之外) 都不曾發現的漏洞 (CVE-2010-0249)Microsoft 在最近的安全性摘要報告中證實了 Google 與其他企業所遭受的攻擊確實用到了這項漏洞,並且提出了幾個因應措施來降低此問題對 IE 用戶的衝擊。

趨勢科技已偵測出好幾個與該項攻擊相關的惡意檔案:

  • TROJ_HYDRAQ.A
  • TROJ_AGENT.PIDG
  • TROJ_DLOAD.COB
  • TROJ_COSSTA.DV
  • TROJ_PIDIEF.SHK

專家憂心由於該漏洞影響多個IE版本,且攻擊Google的程式碼曝光,很可能在微軟修復該漏洞之前,爆發大規模網路攻擊。相關應變措施也開始出招,甚至出現法、德政府呼籲民眾勿用 IE ITIC分析師迪迪歐(Laura DiDio)發人深省的說,「如果Google會被入侵,任何人都無法倖免。」

跟台灣比較相關的報導,根據華爾街日報的這篇報導《White House, Beijing Joust Over Censorship 》指出國內兩大知名集團是甚至被中國駭客當作攻擊跳板。美國國土安全顧問委員會成員、世界駭客年會Black Hat創辦人摩斯(Jeff Moss)說:「安全部門吵著要更多防護措施,企業主總會質疑其必要性。Google揭露這些攻擊事件,給爭取安全防護經費的人強有力的理由。」這可能是 IT 管理者少數比較正面的消息。

每年企業界動輒投資上千萬防毒防駭,但企業防禦失效的另一個容易被忽略的問題是:來自合法使用系統者的內部濫用,或因為社交工程 ( Social Engineering ) 手法,點選利用 IE 漏洞攻擊的惡意連結或誤入釣魚網站陷阱,而被植入木馬等惡意程式。然後,透過位於台灣的C&C將竊取的資料上傳到駭客指定的伺服器。

在漏洞攻擊愈來愈快速的今日,有可能因為一個內部未能即時修補漏洞的電腦而癱瘓幾千萬資安設備。誰能及時告訴管理者網路未爆彈在哪裡並給予拆除?

如何減輕零時差攻擊風險?

病毒樣本蒐集不易,加上木馬、後門程式的運作具隱匿性,且攻擊目標有針對性,而Rootkit隱形技術難以察覺及DLL Injection的偵測困難。有生產廠房的管理者在安裝修正程式時,為避免上hotfix 問題更多,引起瞬斷(一秒瞬斷,可能引發好幾千萬損失)得分時派送、逐步更新,因而形成安全上的空窗期。

更讓管理者頭痛的是要是在廠商發佈修補程式之後,又出現了另一個零時差攻擊呢.

接下來需要做什麼?

         增強防禦能力

        儘速更新 Patch & Hotfix.

        更即時的更新病毒碼及掃毒引擎.

         使用雲端技術以達到即時更新

        加強 Email true file type 的偵測

        加強 HTTP true file type 的下載偵測

瞭解網路內部真正存在的漏洞及隱患,並提出解決方案

以下是趨勢科技 即將發表的Threat Discovery Appliance–TDA,所提出解決安全空窗期的方案:

         探勘現況

        偵測內部網路層至應用層的惡意活動.

         透過網路封包探勘解析找出可疑活動

        偵測向外傳送機密資料或接收遠端遙控指令的僵屍電腦.

         加強對於未知病毒的偵測能力

        發掘影響營運的網路應用程式及服務.

         針對自身網站程式碼的檢查

         建立資料外洩的防護


延伸閱讀:

Google 與其他企業遭到網路攻擊:個人用戶與中小企業也是高危險群

Google 被駭事件,談內部主動監控的重要

(以下為英文,中文版稍後公布)

 http://us.trendmicro.com/us/trendwatch/current-threat-activity/zero-day-attacks/index.html?WT.seg_2=2009HP_TW_ZeroDay

http://threatinfo.trendmicro.com/vinfo/web_attacks/Zero-Day_Internet_Explorer_Bug_Downloads_HYDRAQ.html


加入趨勢科技 Trend Micro 粉絲團 

@原文來源:Google 等企業所遭受的攻擊,象徵著全球性威脅的終結 (Attacks on Google et al. Seen as End to Global Threats)

@在網路威脅擴散前予以阻止 TDA讓安全變得更智慧

趨勢科技 即將發表的Threat Discovery Appliance–TDA可以從網路資料流裡,探勘出可疑的惡意程式活動。在惡意程式開始佈局的早期活動,便可便可預防惡意程式大量擴散。

@欲第一手取得中英文版最新網路安全資安訊息,請找崔嘻一起噗浪

 
 
發表回應

 暱稱 (必填)

 標題

 個人網頁

 電子郵件

authimage 
 認證碼 (必填)