不被CozyDuke威脅戲弄

2015-05-12 另一個"Duke家族"的高級持續性威脅(APT)正在侵襲高層機構,目標包含美國政府機關。此次的惡意威脅為CozyDuke,又稱CozyBear、CozyCar,或依其做為誘餌的影片而稱為"辦公室猴子"。 這次的攻擊來得特別複雜,其中包含加密元件、反偵測能力,以及發展完全的惡意元件組合,其功能結構近似於早期的MiniDuke、CosmicDuke,以及Onion Duke威脅。 辦公室猴子具危險性 值得一提的是,此次攻擊源頭的滲透手法完全基於社交工具科技上。而不幸的是,對於許多攻擊目標而言,這是十分有效的途徑。 攻擊者以一段相當有趣,關於辦公室裡工作猴子的影片當做誘餌。其檔案包含一段可執行的影片檔,透過魚叉式釣魚郵件夾帶附件或網站連結傳播,該連結有時還被驗證為高信譽的合法網站。 當影片播放時,該惡意攻擊會暗中的被安裝到系統中,準備接收由指揮控制伺服器發出的指令及第二層的惡意元件。 正如網路罪犯所想一般,許多的收件者都執行了影片檔。他們不只開啟了影片,還將它分享給辦公室的同事們,因而加劇了惡意程式的傳播過程。正因為下手目標為高層機關,可能被竊取的敏感資訊數量應相當龐大。 問題是:當您信任的同事做了與您費心建立的安全機制互相違背的事情時,如何減緩該恐怖威脅的受害程度?當然,您不該低估社交工具的威力:試想,有多少忠誠的員工敢不點開老闆來信中的連結? 如何減緩辦公室猴子威脅 事實上,有幾個基礎的安全注意事項或減低受害策略,就能有效的扼止最為複雜及精心策劃的高級持續性威脅。例如,簡易的管理權限限縮加上及時修補漏洞,並限制允許安裝的應用程式數量,可減緩最多達85%的針對性網路攻擊事件。 卡巴斯基應用程式控制的動態白名單在此成為寶貴的資產。猴子影片以及CozyDuke的其他惡意元件,在系統管理者未允許之前,無法輕易的開啟執行。 有些系統管理人員每天僅能處理有效範圍內的高敏感資訊。這樣的工作情形也許能透過採用預設拒絕存取應用程式控制模式獲得解決,對於個人工作作業而言,嚴格限制允許在系統執行的元件及程式有絕對的必要性。 特別適用於政府機關或其他高度管制企業的其他有效策略如下:
  • 使用網頁控制技術,限制只有受到允許的網路資源才能存取,可以把跟業務相關內容,或至少特定的網站關鍵字設定限制。
  • 採用如卡巴斯基安全防護對於Exchange/Linux信件所提供的電子郵件內容過濾功能,排除可疑的郵件及附件(如檔案),排除規則可能取決於收件者的角色及層級。
  • 使用裝置控制技術,透過安全網路與外部連線,或甚至僅限區域網路連線,避免不請自來的轉寄資訊,並有助於避免惡意程式的傳播,這個方式能提供防護以抵禦部分形式的蓄意資料竊取。
  • 舉辦專門的員工安全訓練,例如由卡巴斯基參與以及提供的安全情報服務。使員工就算身處層層警戒的辦公室內,也將提高警覺性,並了解所面對的危險威脅。這也將教育員工如何避免許多看似無害,但可能使企業蒙受損失,甚至構成國家威脅的不安全舉動。
往大方向著眼 在發動攻擊前,APT攻擊者會先偵察目標組織,包含員工資料、業務流程、及目前實施的安全解決方案。這些資訊將用來幫助攻破目標的弱點,並避開現存的安全機制。 所以,在處理高級持續性威脅時,必須採用多層次的安全辦法,以多項的主動安全措施涵蓋在您IT網路的不同區域,擴充可信賴的防惡意程式軟體。因已具備充分的武裝及防備,對APT攻擊者而言,您將成為堅不可摧的目標。 資安知識不可少,小心謹慎保荷包!掌握個人資訊安全,湛揚科技將與您同步關心。 來源:卡巴斯基官方部落格 原文網址:https://blog.kaspersky.com/no-monkeys-for-cozyduke/ 原文標題:No monkeys for CozyDuke