APT攻擊有何變化？

2014年是“高階持續性威脅”（Advanced Persistent Threat，以下簡稱APT攻擊）攻擊手法更加精進的一年。隨著越來越多企業升級到新版的 Windows 作業系統，我們發現有些攻擊行動也開始採用更多的 64 位惡意軟體。這類 64 位惡意軟體的範例包括：HAVEX（一種專門針對工業控制系統的遠端訪問木馬）以及 WIPALL （Sony Pictures 遭黑客事件的主角）。

隨著不法分子轉進新的 Windows 版本，他們也開始在攻擊當中利用一些正常的工具和功能,例如Windows PowerShell®，這是 Windows 7 開始提供的一個功能，系統管理員不需透過圖形使用者介面（GUI）就能作業系統的一些功能。不法分子使用 PowerShell 指令來下載惡意檔案，並且越過檔案執行管制原則來執行下載的惡意檔案。

 此外，還有一個檔案漏洞攻擊範本 TROJ_MDROP.TRX 也出現在多起APT攻擊當中。此漏洞攻擊範本很可能已在地下市場上販賣及散佈，因為它曾出現在多項攻擊行動當中，不法分子只需修改這個漏洞攻擊模板來配合其目的即可。

趨勢科技發現，富文字格式 和word文件是最常被使用的電子郵件附件，這很可能是因為在任何企業及機構都會用到Microsoft Word®。

（2014 年APT攻擊最常用的電子郵件附件檔案型別）

攻擊所使用的新舊漏洞

2014年的APT攻擊使用了多個零時差漏洞。例如，兩個針對 CVE-2014-1761 漏洞的 Taidoor 相關零時差漏洞攻擊，襲擊了臺灣的一些政府機關和某個教育機構，其修補空檔期維持了15天。攻擊新的漏洞比攻擊舊的漏洞效果更好，因為廠商尚未提供修補程式，零時差漏洞經常讓廠商及一般受害者手忙腳亂。

然而，不法分子並未因攻新漏洞而放棄攻擊舊的漏洞，畢竟只需利用一些輕易買到且經過長期驗證的漏洞攻擊工具就能夠得到固定的成效。

儘管MS12-027資訊保安公告已修正了CVE-2012-0158漏洞，但此漏洞仍是黑客的最愛。不但如此，它還是2014上半年APT 攻擊最常利用的漏洞，PLEAD和Pawn Storm這兩項攻擊行動都是利用這個漏洞來入侵目標網路。

 全球問題

2014年度APT攻擊最愛的物件依然是政府機關，不過在下半年，軟硬體公司、消費性電子產品製造商以及醫療照護機構遭到APT攻擊的次數也突然提升。

此外，我們也統計了APT攻擊幕後操縱伺服器通訊的受害目標在全球的分佈狀況。如圖顯示，美國、俄羅斯和中國不再是不法分子唯一的最愛，其他熱門的目標還有臺灣、南韓、法國與德國。

（2014 年與APT攻擊幕後操縱伺服器通訊最多的國家）

跟上威脅的腳步

有鑑於APT攻擊數量不斷增加、發動攻擊的困難度不斷下降、防禦的困難度不斷上升，網路安全人員最重要的是從預防到偵測的心態轉變。也就是說，企業必須接受APT攻擊勢必攻陷其網路的事實，因此，任何黑名單的機制都將無法遏止有心的黑客。

建立威脅情報是對抗APT攻擊的重要關鍵，透過外界的各種報告以及內部的歷史記錄和實時監控資料來了解歹徒所用的工具、技巧及手法，能有助於建立強大的入侵指標（Indicators of Compromise，簡稱IoC）資料庫，這將成為企業採取行動的基礎。但企業不應僅僅瞭解這類攻擊而已，還應建立及訓練一些事件應變團隊，並且教育員工、合作伙伴以及有關聯的廠商認識社交工程技巧與資訊保安的概念，以降低APT 攻擊的相關風險。