呼籲我國學術人員應注意APT目標式攻擊 (APT Targeting Academic Researchers)

呼籲我國學術研究單位與教職人員應更加注意APT目標式攻擊惡意信件

艾斯酷博科技 Xecure Lab 先進資安威脅研究中心昨日9月13號陸續在國內發現一波利用新攻擊手法的 APT 目標式攻擊惡意信件 (不是上個月初爆發的 CVE-2012-1535 Adobe Flash Player 弱點)。攻擊對象鎖定我國學術研究人員(月底就是教師節...這兩個月好幾波 APT 攻擊都特別針對學術研究圈)， 使用的漏洞目前尚無法辨識出過去的CVE漏洞編號，可能是未被 CVE 公布的新發現漏洞或新變種，惡意文件偽裝成國科會專題列表與撰寫格式！並加上文件密碼避免被防毒軟體和沙箱模擬偵測！教職人員與研究助理務必要特別注意 。

This new wave of APT email attacks we detected in Taiwan are targeting academic researchers, the APT email is disguised as NSC (National Science Council) notifying professors and assistants of the latest list of NSC projects as well as the template format and guidelines they should follow! The attachments in the email include one .tif (the scanned version of the original hard-copy announcement), one .pdf, and two .xls document. The Excel files are encrypted with password mentioned in the email!

圖1：Xecure Lab 首發現新一波利用未知 CVE 漏洞的 APT 惡意郵件

資料來源：http://www.xecure-lab.com

我們發現這些 APT 信件都沒有被現有的知名 IPS 與知名郵件安全閘道器攔阻下來，非常高度危險。而且過去這兩天並沒有任何受害者上傳至 VirusTotal (可能意味收到這些收件者都沒有起疑心)，所以各大防毒軟體廠商都還沒有辦法透過 VirusTotal 去下載這波 APT 樣本。

We did not find any matching MD5 on VirusTotal, indicating most recipients are not aware of the attacks, and they don't find the "template document" suspicious enough for them to try out VirusTotal.

圖2：VirusTotal 上面並沒有這波 APT 攻擊的樣本

資料來源：http://www.virustotal.com

我們的 APT DNA 檢測技術攔阻到這波新的 APT 攻擊所使用的 CVE 漏洞尚屬未知，但不論是 XecMail 郵件威脅防禦系統或 XecScan 惡意文件分析雲都可有效偵測到這些零時差攻擊。延續上個月針對學術研究人員的社交圈所發動的攻擊，這波 APT 攻擊的主旨、內文與附件依舊為我國國情與目標對象精心設計，攻擊手法有三大特色：

1. 「 沒有來路不明的郵件」，國科會的公告與附件被作為社交工程題目 
2. 「惡意行為無法被觀察」，附檔是有密碼保護的 Excel，無法在沙箱虛擬觀察 
3. 「附檔類型持續翻新」，受害者收到的附檔夾雜多個類型的文件檔案，並且一封信之中同時正常附檔與兩個以上的 APT 惡意文件！ 

再次呼籲，使用者在收到信件懷疑附件可能有問題，不妨利用 Xecure Lab 提供的免費惡意文件檢測平台：http://scan.xecure-lab.com，可快速檢視是否收到社交工程惡意郵件，輕易分析任何惡意文件的諸多細節。 

However, at least one recipient had tried scanning it using our free XecScan service, one of the two Excel files was uploaded and the MD5 matched our internal study of this wave of APT attack.

圖3：XecScan 上面有一筆上傳檔案與我們發現的這波攻擊有相同 MD5

資料來源：   http://scan.xecure-lab.com     

綜觀目前市面上的 APT 解決方案，可分為四大類：

1. APT DNA 分析技術 (APT DNA Extraction)
   Xecure Lab 自主研發的 APT DNA 分析技術，2011年獲得在全球最大駭客年會 DEFCON 首日公開發表的先進技術，係在閘道端即時對惡意檔案進行上百道的 DNA 採樣，不依賴文件格式、不依賴觸發環境、可突破文件加殼加密干擾、可突破反偵測技術，為全世界唯一有能力提供與商業版相同檢測等級的免費惡意文件上傳檢測網站，服務一般廣大使用者。 
2. 靜態分析引擎技術 (Static Parsing Analysis)在閘道端採用的"靜態分析引擎"，雖不需等待"病毒碼更新"，卻可能需等待"漏洞特徵更新"，針對每個文件格式（包括 PDF 的各個改版）甚至每個漏洞特徵都需要撰寫一個分析模組，包括未支援的文件格式(該地區或該單位特有文書處理軟體)、未支援的 CVE 漏洞編號、加密碼的 ZIP/RAR 壓縮檔等，導致仍有很高機會錯過第一時間達到立即防護零時差攻擊的契機。 
3. 動態行為沙箱技術 (Dynamic Sandboxing Analysis)
   沙箱技術無法重現漏洞的可執行環境，容易被反偵測，包括滑鼠會不會移動、休眠數十分鐘、對外連線測試、以及與使用者互動要求輸入密碼等技巧都能輕易繞過沙箱環境。
4. 黑白名單比對技術 (Pattern Matching)
   黑名單列舉方式如同過去防毒軟體的病毒碼一般，有涵蓋率的問題。而白名單作法則須注意 APT 攻擊濫用可信任的簽章與憑證，如惡名昭彰的 Flame 在部分地區的版本甚至是有微軟合法簽章，而 Stuxnet 超級病毒當初亦有兩家台灣園區廠商的簽章，以及攻陷日本三菱重工的 Hunter 也有某軟體大廠的合法簽章。 

建議防禦方式與補充資料：  

• 接收到可疑附檔，請使用 XecScan 免費惡意文件分析平台進行檢測：
  http://scan.xecure-lab.com
• 在郵件閘道端採用 XecMail APT DNA 分析引擎技術攔截攻擊信件，避免使用傳統靜態分析引擎或動態沙箱技術。
• 若疑似發現遭植入惡意程式，應立即進行數位鑑識與事件處理，並詢求專業第三方 Xecure Lab 協助。
• 更新最新病毒碼，以達到最基本的防護效果，並每日排程全機掃描。