Forcepoint™ (原為 Raytheon | Websense) 威脅殺傷鏈 7階段防禦 有效阻擋APT攻擊

2015-07-01 全球知名APT及DLP解決方案大廠Forcepoint™(原為 Raytheon | Websense),發現近期有大量惡意廣告攻擊行動,每個月至少有5000萬人受害。目前影響範圍大多集中在歐洲及北美地區,包括布拉格機場官方網站、印尼CNN、克羅埃西亞的RTL Televizija、知名Facebook遊戲Bejewled Blitz等都成為被攻擊對象。Forcepoint™(原為 Raytheon | Websense) TRITON APX提供威脅殺傷鏈7階段防禦,有效阻擋進階攻擊,保障企業資料安全。 網路犯罪者一般使用七個階段來提升自身成功率,此流程稱為威脅殺傷鏈。但並非所有威脅攻擊都會使用到每個階段,且各階段之間可不斷重複循環,大幅延伸威脅殺傷鏈的攻擊週期:
  • 偵查:利用個人、專業或社交媒體網站來研究目標受害者。尋找資訊以便協助建立背景資訊,分析何種「誘餌」能引起受害者興趣點擊閱讀。
  • 誘餌:利用在第一階段收集的資訊,透過電子郵件、社交媒體貼文建立看似無害的誘餌,欺騙使用者點擊連結至已被入侵的網站。
  • 重新導向:利用誘餌將使用者「重新導向」至看似安全或隱藏的網頁,這些網頁中包含漏洞攻擊套件、漏洞攻擊程式碼或難以讀解的程式碼。重新導向可分析目標系統或公開提示使用者進行軟體更新。
  • 利用弱點:當使用者按下連接至已遭入侵網站的連結時,漏洞攻擊套件軟體將掃描受害者的系統本身有無安全漏洞或零時差威脅。
  • 植入檔案:一旦漏洞攻擊套件發現系統有機可趁,將隨即「植入檔案」感染受害者的系統,以尋找並取得有價值的資料。
  • 回傳資料:植入檔案在感染目標系統後,將會「回傳資料」(call home) 連接至指令與控制伺服器以下載其他程式、工具或指令。
  • 竊取資料:大多數網路攻擊的最終目標就是竊取資料,這是威脅攻擊鏈的最後一環。網路犯罪者竊取智慧財產、個人身分資訊或其他有價值的資料以獲得財務利益或用於其他攻擊。
此次大規模惡意廣告攻擊行動,網路犯罪者使用到威脅殺傷鏈中的第二到第七項階段,利用被感染的網路廣告開放程式Revive Adserver,不定期重新導入連結到其他網站,再利用Angler漏洞掃描程式透過Adobe Flash Player漏洞,散布Bunitu木馬程式感染目標,被感染的使用者將下載並安裝更多的惡意威脅。Forcepoint™(原為 Raytheon | Websense) TRITON APX提供的威脅殺傷鏈(Kill Chain)七階段防禦,透過ACE先進分類引擎技術,採用綜合風險評估和預測分析技術,提供即時安全防護,有效阻擋並截斷犯罪者在各個階段的威脅與攻擊,防止犯罪者達成APT攻擊最終的目的–-資料竊取。 Forcepoint™(原為 Raytheon | Websense) TRITON APX可偵測零時差(Zero-day)、無特徵碼的威脅以及APT攻擊的即時in-line防護,同時結合Web、Email、Data以及Endpoint的完整安全防護,採用進階的外送資料內容感知技術,有效防阻企業遭到資料竊取及資料外洩事件的發生。了解更多Forcepoint™(原為 Raytheon | Websense)產品列表及詳細功能說明,請參閱湛揚科技官網Forcepoint™(原為 Raytheon | Websense)專區:http://www.t-tech.com.tw/EnterpriseCategory.php?planNo=2&idA=72。 選擇Forcepoint™(原為 Raytheon | Websense)有效降低資料遺失及遭竊風險,勇敢面對嶄新世界。 資安知識不可少,小心謹慎保荷包!掌握個人資訊安全,湛揚科技將與您同步關心。 來源:Forcepoint™(原為 Raytheon | Websense)官方部落格 原文網址:http://community.websense.com/blogs/securitylabs/archive/2015/06/10/large-malvertizing-campaign-leads-to-angler-ek-amp-bunitu-malware.aspx 原文標題:Large Malvertising Campaign Leads to Angler EK & Bunitu Malware