targeted attack trends in asia-pacific - trend micro ·...
TRANSCRIPT
TrendLabsSM 研究報告
亞太地區鎖定目標攻擊發展趨勢
趨勢科技法律免責聲明
本文之內容僅供一般資訊及教育用途。不作
為也不應視為法律諮詢建議。本文之內容可
能不適用於所有情況,也可能未反映出最新
的情勢。在未就特定事實或所呈現之情況而
徵詢法律建議之前,不應直接採信本文之所
有內容或採取行動。趨勢科技保留隨時修改
本文內容而不事先知會之權利。
所有翻譯成其他語言之內容僅供閱讀之方
便。翻譯之準確性無法保證。若有任何關於
翻譯準確性的問題,請參考本文件原始語言
的官方版本。任何翻譯上的不一致與差異皆
不具約束力,且在法規與執法上不具法律效
力。
儘管趨勢科技已盡合理之努力確保本文內容
之準確性與時效性,但趨勢科技對其準確
性、時效性與完整性不提供任何擔保或聲
明。在您存取、使用及採納這份文件內容
時,即同意自行承擔任何風險。趨勢科技不
提供任何形態之擔保,不論明示或隱含之擔
保。趨勢科技或建立、製作或供應此文件之
任何相關對象,對於存取、使用、無法使
用、因使用本文、因本文內容之錯誤或遺漏
而引起之任何後果、損失、傷害皆不承擔責
任,包括直接、間接、特殊、連帶、營利損
失或特殊損害賠償。使用本文之資訊即代表
接受本文之「原貌」。
簡介
1
威脅情勢
3
鎖定目標攻擊行動檔案
10
攻擊行動特寫:Siesta 和 ESILE
11
防止網路遭到鎖定目標攻擊
14
內容
1 1
簡介
鎖定目標攻擊 (也就是專門滲透特定目標以竊取資訊的威脅),
對企業所造成的後果相當廣泛,包括無形的品牌損失以及有形
的營業損失。最近《哈佛商業評論》(Harvard Business Review)
的一篇研究顯示,鎖定目標攻擊的三大嚴重後果分別為:潛在
的品牌損失、專業形象受損以及潛在的智慧財產損失。1
2014 上半年,我們持續監控了亞太地區的鎖定目標攻擊行動
及發展趨勢。我們見到,儘管歹徒利用的仍是各種軟體與應用
程式的舊有漏洞,但其技巧卻更加純熟。電子郵件仍是鎖定目
標攻擊最常使用的感染途徑。此外亦不時出現水坑式攻擊,
應驗了我們先前對今年的預測。2
2 2 2
鎖定目標攻擊並無制式化的解決方案。每個網路都有其獨特
性,也就是各有其不同的組態。IT 系統管理員需完全了解自
己所掌管的網路,並建置適合其環境的必要防禦措施。
—Spencer Hsieh,威脅研究員
3
威脅情勢
鎖定目標攻擊手法更加精進、更能躲避偵測
鎖定目標攻擊的主要目的之一,就是竊取企業機構的寶貴資產或機密資料。根據先前引述的《哈佛商業評
論》研究顯示,歹徒最常竊取的資料類型為:個人身分識別資訊 (PII) (28%)、帳號密碼 (21%)、智慧財產
(20%) 以及其他企業/機構敏感資訊 (16%)。
2014 上半年,歹徒不斷精進其攻擊手法以便能暗中竊取資訊而不被發現,以下是歹徒利用的幾項重要技巧:
• 利用雲端檔案儲存平台:今年六月,歹徒使用了一個以 Dropbox 為後門程式幕後操縱 (C&C) 設定下載平
台的 Type II PlugX 遠端存取工具 (RAT) 變種。3 在企業已建置網路流量監控的情況下,藉由雲端檔案儲
存平台,歹徒就更有機會躲避偵測。即使這並非 Dropbox 第一次遭駭客利用,卻是我們第一次見到歹徒
將雲端平台當成後門程式的幕後操縱設定更新下載網站。4
威脅情勢 4
TrendLabsSM 研究報告
• 利用 Windows® PowerShell 架構:利用 Windows PowerShell 工作自動化與組態管理架構的鎖定目標
攻擊手法並不常見。5 然而在今年五月發現的案例當中,某個惡意的 .LNK 電子郵件附檔 (也就是我們偵
測到的 LNK_PRESHIN.JTT) 即含有 Windows PowerShell 指令可讓它下載檔案,並略過檔案執行管制政
策,直接執行下載的檔案。6 尤其,它會下載另一個惡意的 PowerShell 程序檔 (script) 來進一步下載最終
的後門程式檔案。
縱然 PowerShell 架構僅內建在 Windows 7 或更新版本,但攻擊中使用的惡意程式卻同樣能在舊的作業
系統上執行,如 Windows XP SP2、Windows Server 2003 及 Windows Vista,只要他們安裝了
PowerShell 即可。
• 利用系統睡眠定時功能:除了利用合法平台及架構之外,我們也看到後門程式利用作業系統內建的睡眠
定時功能,如 Siesta 行動。7 該後門程式可在收到睡眠指令之後沉睡一段指定時間,然後再醒來與幕後操
縱伺服器聯絡,這很可能是為了躲避偵測。
魚叉式網路釣魚電子郵件依然是歹徒最愛的網路滲透工具
2014 上半年該地區發現的鎖定目標攻擊絕大部分
都是使用魚叉式網路釣魚電子郵件為感染途徑。事
實上,將近 80% 的鎖定目標攻擊惡意程式都是透
過電子郵件進入企業。一般來說,其收件人都是目
標企業的員工,魚叉式網路釣魚電子郵件會引誘收
件人點選某個惡意連結,或者下載某個惡意檔案來
執行。這些郵件通常使用一些能引起受害者共鳴的
標題。其中一項攻擊即利用寮國副總理罹難的消息
為誘餌。8 該攻擊使用了像「最新消息:寮國高層
官員死於空難」之類的標題。
和其他類似的攻擊一樣,此攻擊使用的魚叉式網路
釣魚電子郵件即隨附了一個挾帶惡意程式的檔案。
除了魚叉式網路釣魚郵件之外,歹徒還會入侵一些
網站然後架設水坑式攻擊來入侵目標企業。典型的
水坑式攻擊包含三個基本步驟:(1) 找出目標受害
者經常造訪的網站;(2) 讓這些網站感染惡意程
式;(3) 等候受害者上門並感染其電腦,最後一步
等於是啟動了整個鎖定目標攻擊行動。9
威脅情勢 5
TrendLabsSM 研究報告
使用 Microsoft Office 檔案為附件
2014 上半年的資料顯示,Microsoft Office 檔案是歹徒最常使用的附件檔案類型。這一點也不令人意外,
因為這些檔案在任何企業內部都流通廣泛。此外,許多企業亦無法讓 Microsoft Office 軟體隨時保持更
新,因此讓駭客有許多漏洞可利用。
鎖定目標攻擊電子郵件當中常見的附件檔案類型。
威脅情勢當中出現的新舊漏洞
零時差漏洞攻擊以及經過長時間驗證的漏洞攻擊,都曾出現在鎖定目標攻擊當中。如同 2013 下半年,歹徒
不斷利用一個 Microsoft 資訊安全公告 MS12-027 已經解決的 Windows Common Controls 漏洞
(CVE-2012-0158)。10、11 專門攻擊台灣政府機關的 PLEAD 行動正是其中之一。12
這些舊的漏洞之所以仍然有效,是因為 IT 人員有時會為了避免營運關鍵應用程式中斷而選擇不套用安全更
新。另一項可能原因是管理員還在進行修正程式的測試,以免在真正部署之後對企業環境造成不良影響。
60%
30%
0
57%
19%
8%6%
4% 4%2%
Microsoft O�ce
RAR
7-ZIP
ZIP
MIME
JPEG
Microsoft Office 檔案是歹徒最常使用的檔
案類型。
威脅情勢 6
TrendLabsSM 研究報告
80%
40%
0
CVE-2009-3129
CVE-2010-0188
CVE-2010-3333
CVE-2012-0158
CVE-2012-1856
CVE-2013-2729
CVE-2013-5990
CVE-2014-1761
Microsoft O�ce
Adobe Reader
Ichitaro
53%
46%
1%
今年四月,就在支援終止前夕,鎖定目標攻擊利用了 Windows XP 及 Windows Server® 2003 的一個零時差
漏洞。13 幾天之後,Microsoft 發布了 MS14-002 來修正這個零時差漏洞。14
今年五月,從 2008 年活躍至今的 Taidoor 行動攻擊了 Microsoft™ Office 的一個漏洞。15 此外,ANTIFULAI 行
動也攻擊了日本知名文書處理器 Ichitaro 的一個漏洞 (CVE-2013-5990)。16
CVE-2012-0158 仍是歹徒
最愛的漏洞。
鎖定目標攻擊最常利用的漏洞。
鎖定目標攻擊最常利用的軟體
漏洞。
歹徒喜歡攻擊 Microsoft Office、Adobe
Reader 及 Ichitaro 等軟體的漏洞。
威脅情勢 7
TrendLabsSM 研究報告
50%
25%
0
CAB
COM
DLL (32位元)
DLL (64位元)
DOC
EXE (32位元)
EXE (64位元)
LNK
MSIL
RTF
XLS
其他
木馬/木馬間諜程式 後門程式
駭客工具
53%
46%
1%
鎖定目標攻擊電子郵件當中的附檔文件
不意外地,文件檔案 (.DOC 和 .RTF 檔案) 經常是鎖定目標攻擊挾帶惡意程式的媒介,因為這類檔案在企業
當中相當普遍。缺乏警戒心的收件人經常會執行歹徒所挾帶的檔案,因為他們會以為檔案是來自可信賴的寄
件人。
鎖定目標攻擊當中最常利用的檔案類型。
歹徒最常偽裝成正常的
32 位元執行檔。
鎖定目標攻擊當中最常用的惡意程式為木馬程式或木馬間諜程式 (53%)、其次是後門程式 (46%)。後門程式
通常用於建立幕後操縱通訊及執行遠端指令,而木馬和木馬間諜程式則用於下載最終的惡意檔案並且將資料
外傳。
鎖定目標攻擊當中最常用的惡
意程式類型。
後門程式和木馬或木馬間諜程式是鎖定
目標攻擊最常用的惡意程式類型。
威脅情勢 8
TrendLabsSM 研究報告
日本
印度
美國
中國
義大利
其他
16%
16%
12%
9%
6%
41%
台灣
日本
美國
越南
50%
35%
14%
1%
受 DarkComet 影響最嚴重的國家。
DarkComet 半數的受害者都位於
台灣。
2014 上半年鎖定目標攻擊最常用的惡意程式包括:PASSVIEW、RIMAGE、XTREME、DarkComet 以及
HCOREPWSTL。17、18、19 DarkComet 遠端存取工具 (RAT) 亦曾出現在 2012 年的鎖定目標攻擊當中。20 它
專門透過 Skype 聊天的方式散布。Xtreme 遠端存取工具亦曾在同年出現於一些針對美國、以色列和其他國
家政府機關的鎖定目標攻擊。21
以下二圖顯示 PASSVIEW 和 DarkComet 受害者分布的地理位置。這兩個惡意程式的受害者大多集中在亞太
地區。
受 PASSVIEW 影響最嚴重的國家。
日本和印度是 PASSVIEW 肆虐最嚴
重的地區。
威脅情勢 9
TrendLabsSM 研究報告
台灣
日本
美國
印尼
中國
印度
馬來西亞
孟加拉
菲律賓
加拿大
其他
46%
20%
12%
11%
8%
6%
4%
2%
2%
2%
13%
歹徒挑選適當的工具來利用未禁止的通訊
我們在持續監控鎖定目標攻擊的過程當中,也順便觀察了一些攻擊行動,同時也發現了一些與歹徒幕後操縱
伺服器通訊的端點裝置。
美國
台灣
中國
香港
德國
其他
48%
13%
12%
9%
5%
34%
鎖定目標攻擊幕後操縱伺服器分布地點。
在我們監控的所有幕後操縱伺服器當
中,有將近半數位於美國 (數量最多的
地點)。不過請注意,這並非表示歹徒即
位於該國。畢竟,歹徒很可能利用遠端
遙控的方式來管理這些伺服器。
鎖定目標攻擊受害者分布地點。 在所有連上幕後通訊伺服器的端點裝置
當中,有將近半數位於台灣。
10
鎖定目標攻
擊行動檔案
以下是一些 2014 上半年活躍於亞太地區國家的鎖定目標攻擊:
• IXESHE:這項攻擊行動自 2009 年活躍至今,專門鎖定東亞政府機關、台灣電子廠商以及某家電信業
者。22 最值得注意的是,它會利用已遭入侵的伺服器來負責幕後操縱工作以躲避偵測。
• PLEAD:這項行動以強制使用從右至左書寫 (RTLO) 的技巧聞名,此技巧可讓受害者將惡意的螢幕保護
程式 .SCR 檔案看成 PowerPoint® 檔案。
• Taidoor:自 2009 年三月起,該行動背後的犯罪集團即一直利用一個看似無害的文件來發動攻擊,該文
件在開啟時卻會在背後執行惡意檔案。23 此外,還會使用惡意的 .DOC 檔案來攻擊 CVE-2012-0158 漏
洞,這是目前為止歹徒最常使用的漏洞。24
• ANTIFULAI:這項行動專門攻擊政府機關,並且利用日本文書處理軟體 Ichitaro 的一個漏洞暗中入侵
日本企業,該漏洞可讓歹徒執行任意惡意程式碼。該行動的惡意程式可成功隱藏其幕後操縱伺服器的網
址以躲避偵測。
11
攻擊行動特寫:Siesta 和
ESILE
Siesta 行動的幕後犯罪者可清醒得很
Siesta 行動的名稱由來 (Siesta 在西班牙文是「小
睡」的意思),是因為其惡意程式最後會收到睡眠
指令,然後在系統當中蟄伏一段時間,藉此躲避偵
測。根據報導,該攻擊行動的目標遍及下列產業:
• 消費性商品及服務
• 能源
• 金融
• 醫療
• 媒體與通訊
• 公共行政
• 安全與國防
• 運輸與交通
如同大多數的鎖定目標攻擊一樣,Siesta 行動也是
將電子郵件寄到選定目標企業的高層主管手中,並
且假冒其同事的電子郵件地址。然而,有別於其他
攻擊的是,該行動並未使用附件檔案,而是使用看
似正常的下載連結:(http://{malicious domain}/
{organization name} / {legitimate archive
name}.zip) 來試圖入侵目標企業的網路。
攻擊行動特寫:Siesta 和 ESILE 12
TrendLabsSM 研究報告
該連結下載的 .ZIP 檔案當中含有一個假冒 .PDF 檔案的可執行檔,也就是我們偵測到的 TROJ_SLOTH。25
當該檔案執行時,SLOTH 會開啟或產生一個正常的 .PDF 檔案來隱藏其背後進行的惡意活動。此外還含有
一個後門程式,也就是我們偵測到的 BKDR_SLOTH.B,該程式會開啟一個幕後操縱伺服器連結: http://
www.micro{BLOCKED}.com/index.html。26
此後門程式會等候下列指令來行動:
• sleep (睡眠):指示惡意程式沉睡一段時間,我們掌握到的樣本裡面就含了「sleep:120」(沉睡 120 分鐘)
這道指令。這告訴惡意程式等二小時之再聯絡幕後操縱伺服器。
• download (下載):指示惡意程式從某個網址下載一個檔案來執行,其指令格式如:<download_url>。
另一個我們偵測到的 SLOTH 變種是 BKDR_SLOTH.A,它用於 Siesta 行動。27 不過這個變種連上的是另一
個幕後操縱伺服器:skys{BLOCKED}com。
下表列出這兩個後門程式可接收並執行的指令。
BKDR_SLOTH.A
run 1 - 開啟一個遠端指令列介面程式 (shell)。
BKDR_SLOTH.B
sleep: - 沉睡指定的分鐘數。
run 2 - 執行來自 URL 1 的 shell 指令。 download: - 從幕後操縱伺服器下載
另一個執行檔來執行。
run3 - 執行來自 URL 2 的 shell 指令。
http - 執行來自幕後操縱伺服器的 shell 指令。
x - 沉睡指定的分鐘數。
進一步分析顯示,Siesta 行動幕後的歹徒使用「Li Ning」這個名稱來註冊 sky{BLOCKED}.com 這個幕後操
縱伺服器。而 Li Ning 的電子郵件地址應該是:xiaoma{BLOCKED}@163. com。不過除了這個幕後操縱伺服
器連結之外,此人還註冊其他 79 個網域,因此合理推測「Li Ning」應該只是個假名。
攻擊行動特寫:Siesta 和 ESILE 13
TrendLabsSM 研究報告
ESILE 行動持續鎖定亞太地區政府機關
ESILE 行動幕後的歹徒目前仍持續鎖定亞太地區的政府機關。他們從遠端利用我們所偵測到的 BKDR_ESILE
後門程式變種在遭入侵的網路上執行惡意指令。28
進一步的調查發現,ESILE 變種也是使用 Taidoor 惡意程式所用的 CVE- 2012-0158 漏洞。值的注意的
是,Microsoft 早在 2012 年就已釋出該漏洞的修補程式。然而有別於 Taidoor 惡意程式,ESILE 變種可修改文
件範本來達成各種惡意行為。其他惡意程式亦曾使用過同樣的鎖定目標攻擊技巧,如 FARFLI 和 HORSMY。
如同大多數鎖定目標攻擊一樣,ESILE 變種是透過魚叉式網路釣魚電子郵件散布,並且使用醫療、稅務等各種
社交工程誘餌。此外,其附件檔案名稱也刻意採用很普通的名稱,如「Attachment」(附件)。
IT 系統管理員可檢查下列已知的 ESILE 感染痕跡來確保其網路安全:
• 字串:
• EliseDLL.pdb
• EliseDLL
• 經常儲存成 {random}.CAB 的 BLOB 檔案
• 吻合下列規則表達式 (regex) 的幕後操縱 HTTP 請求:(POST|GET)\s /[a-f0-9]{10}/page_[0-9]
{10}.html
ESILE 和 EVORA 行動都隸屬於一個名為「APT0LSTU」的更大攻擊行動,兩者都使用遠端存取工具 (RAT)
來建立幕後操縱通訊。我們發現,其背後的犯罪集團 (LStudio) 擁有 71 個幕後操縱伺服器,分散 10 個國
家。ESILE 和 EVORA 惡意程式的二進位檔案當中含有下列 PDB 參照字串:
• d:\lstudio\projects\lotus\evora\Release\EvoraDLL\i386\EvoraDLL.pdb
• D:\work\nbkkkk\Lotus\Elise\EliseDLL\Release\EliseDLL.pdb
防止網路遭到鎖定目標攻擊,最重要的是建立威脅情報,例如建立已知的入侵指標 (Indicators of Compromise,
簡稱 IoC) 以及幕後操縱伺服器清單,藉此用來判斷一個企業機構的網路是否已遭入侵,進而中斷鎖定目標攻擊
的一連串行動。
14
防止網路遭到
鎖定目標攻擊
要防止網路遭到鎖定目標攻擊,首先必須破除一些錯誤觀念。其中一項錯誤觀念就是,鎖定目標攻擊是一次
性攻擊。事實上,鎖定目標攻擊是一種計劃周詳且一再嘗試的攻擊,直到成功入侵目標網路為止。
我們強烈建議 IT 系統管理員看看自己的網路是否有下列遭到鎖定目標攻擊的跡象來加以防制:29
• 搜尋電腦上的網域名稱系統 (DNS) 資料是否遭到篡改而被歹徒插入額外的設定以防止其暴露行蹤。
• 檢查是否有登入失敗或異常嘗試登入的記錄,因為這可能表示歹徒試圖在目標網路當中橫向移動,歹徒
經常試圖猜出系統管理員的帳號密碼以取得管理權限。
• 檢查是否有不明的大型檔案,因為這些通常是歹徒蒐集好準備外傳的資料。
• 監控網路記錄檔案和通訊協定,檢查是否有不正常的連線。
• 檢查是否有某些員工的電子郵件活動異常增加。
請務必謹記,鎖定目標攻擊並無制式化的解決方案。企業必須建立一套所謂的「客製化防禦策略」,運用進
階威脅偵測技術,並且在各防護之間共用入侵指標 (IoC) 和威脅情報資料,如此才能偵測、分析、回應這類
一般標準防護產品所無法偵測的攻擊。30
參考資料 15
TrendLabsSM 研究報告
參考資料
1. Harvard Business School Publishing。(2014 年)。「積極與毅力:運用架構來防範網路攻擊」(Aggressive and Persistent: Using
Frameworks to Defend Against Cyber Attacks)。上次存取時間 2014 年 9 月 16 日:
http://campaign.trendmicro.com/content/Harvard_Business_Review_Report_1687_TY.
2. 趨勢科技。(2013 年)。威脅百科網站 (Threat Encyclopedia)。「日漸模糊的疆界:趨勢科技 2014 年暨未來資訊安全預測」
(Blurring Boundaries: Trend Micro Security Predictions for 2014 and Beyond)。上次存取時間 2014 年 9 月 16 日:
http://about-threats.trendmicro.com/us/security-predictions/2014/blurring-boundaries/.
3. Maersk Menrige。(2014 年 6 月 25 日)。TrendLabs 資訊安全情報部落格 (Security Intelligence Blog)。「內含定時炸彈的 PlugX
RAT 程式利用 Dropbox 服務來進行幕後操縱設定」(PlugX RAT with “Time Bomb” Abuses Dropbox for Command-and-Control
Settings)。上次存取時間 2014 年 9 月 17 日:http://blog.trendmicro.com/trendlabs-security-intelligence/plugx-rat-with-time-
bomb-abuses-dropbox-for-command-and-control-settings/.
4. Softpedia。(2013 年 7 月 12 日)。Softpedia。「專家披露中國 APT 駭客如何利用 Dropbox 和 WordPress」(Experts Reveal How
Chinese APT Hackers Abuse Dropbox and WordPress)。上次存取時間 2014 年 9 月 17 日:
http://news.softpedia.com/news/Experts-Reveal-How-Chinese-APT-Hackers-Abuse-Dropbox-and-WordPress-367652.shtml.
5. Maersk Menrige。(2014 年 5 月 29 日)。TrendLabs 資訊安全情報部落格 (Security Intelligence Blog)。「黑魔法:Windows
PowerShell 再度被新式攻擊利用」(Black Magic: Windows PowerShell Used Again in New Attack)。上次存取時間 2014 年 9 月 17
日: http://blog.trendmicro.com/trendlabs-security-intelligence/black-magic-windows-powershell-used-again-in-new-attack/.
6. 趨勢科技。(2014 年)。威脅百科網站 (Threat Encyclopedia)。「LNK_PRESHIN.JTT」。上次存取時間 2014 年 9 月 17 日:
http://about-threats.trendmicro.com/us/malware/LNK_PRESHIN.JTT.
7. Maharlito Aquino。(2014 年 3 月 6 日)。TrendLabs 資訊安全情報部落格 (Security Intelligence Blog)。「Siesta 行動:新的鎖定
目標攻擊甦醒」(The Siesta Campaign: A New Targeted Attack Awakens)。上次存取時間 2014 年 9 月 17 日:
http://blog.trendmicro.com/trendlabs-security-intelligence/the-siesta-campaign-a-new-targeted-attack-awakens/.
8. Maersk Menrige。(2014 年 6 月 17 日)。TrendLabs 資訊安全情報部落格 (Security Intelligence Blog)。「多項鎖定目標攻擊利用
範本文件漏洞」(Template Document Exploit Found in Several Targeted Attacks)。上次存取時間 2014 年 9 月 17 日:
http://blog.trendmicro.com/trendlabs-security-intelligence/template-document-exploit-found-in-several-targeted-attacks/.
9. Wikimedia Foundation Inc.。(2014 年 8 月 22 日)。Wikipedia。「水坑式攻擊」(Watering Hole)。上次存取時間 2014 年 9 月 17 日:
http://en.wikipedia.org/wiki/Watering_Hole.
10. The MITRE Corporation。(2014 年)。CVE。「CVE-2012-0158」。上次存取時間 2014 年 9 月 17 日:
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0158.
11. Microsoft。(2014 年)。Security TechCenter。「Microsoft 資訊安全公告 MS12-027 – 重大」(Microsoft Security Bulletin
MS12-027 – Critical)。上次存取時間 2014 年 9 月 17 日:https://technet.microsoft.com/en-us/library/security/ms12-027.aspx.
12. Kervin Alintanahin。(2014 年 5 月 23 日)。TrendLabs 資訊安全情報部落格 (Security Intelligence Blog)。「PLEAD 鎖定台灣政
府機關發動攻擊」(PLEAD Targeted Attacks Against Taiwanese Government Agencies)。上次存取時間 2014 年 9 月 17 日:
http://blog.trendmicro.com/trendlabs-security-intelligence/plead-targeted-attacks-against-taiwanese-government-agencies-2/.
13. 趨勢科技。(2014 年 1 月 6 日)。TrendLabs 資訊安全情報部落格 (Security Intelligence Blog)。「近期 Windows 零時差漏洞攻擊
使用敘利亞新聞相關電子郵件攻擊大使館」Recent Windows Zero-Day Targeted Embassies, Used Syria-Related Email)。
上次存取時間 2014 年 9 月 17 日: http://blog.trendmicro.com/trendlabs-security-intelligence/recent-windows-zero-day-
targeted-embassies-used-syria-related-email/.
14. Microsoft。(2014 年)。Security TechCenter。「Microsoft 資訊安全公告 MS14-002 – 重要」(Microsoft Security Bulletin
MS14-002 – Important)。上次存取時間 2014 年 9 月 17 日:
https://technet.microsoft.com/en-us/library/security/ms14-002.aspx.
參考資料 16
TrendLabsSM 研究報告
15. 趨勢科技。(2014 年 5 月 12 日)。TrendLabs 資訊安全情報部落格 (Security Intelligence Blog)。「鎖定目標攻擊利用最近的
Microsoft Word 零時差漏洞攻擊台灣政府機關」(Targeted Attack Against Taiwanese Agencies Used Recent Microsoft Word Zero-
Day)。上次存取時間 2014 年 9 月 17 日: http://blog.trendmicro.com/trendlabs-security-intelligence/targeted-attack-against-
taiwanese-agencies-used-recent-microsoft-word-zero-day/.
16. Maersk Menrige。(2014 年 6 月 4 日)。TrendLabs 資訊安全情報部落格 (Security Intelligence Blog)。「ANTIFULAI 鎖定目標攻
擊利用 Ichitaro 漏洞」(ANTIFULAI Targeted Attack Exploits Ichitaro Vulnerability)。上次存取時間 2014 年 9 月 17 日: http://
blog.trendmicro.com/trendlabs-security-intelligence/antifulai-targeted-attack-exploits-ichitaro-vulnerability/.
17. 趨勢科技。(2014 年)。威脅百科網站 (Threat Encyclopedia)。「HKTL_PASSVIEW」。上次存取時間 2014 年 9 月 17 日: http://
about-threats.trendmicro.com/us/malware/HKTL_PASSVIEW.
18. 趨勢科技。(2014 年)。威脅百科網站 (Threat Encyclopedia)。「BKDR_XTREME.SMUM」。上次存取時間 2014 年 9 月 17 日:
http://about-threats.trendmicro.com/us/malware/BKDR_XTREME.SMUM.
19. 趨勢科技。(2014 年)。威脅百科網站 (Threat Encyclopedia)。「DARKCOMET」。上次存取時間 2014 年 9 月 17 日: http://about-
threats.trendmicro.com/us/malware/DARKCOMET.
20. Kevin Stevens 和 Nart Villeneuve。(2014 年 2 月 23 日)。TrendLabs 資訊安全情報部落格 (Security Intelligence Blog)。
「DarkComet 現身敘利亞衝突相關的鎖定目標攻擊」(DarkComet Surfaced in the Targeted Attacks in Syrian Conflict)。上次存取
時間 2014 年 9 月 17 日: http://blog.trendmicro.com/trendlabs-security-intelligence/darkcomet-surfaced-in-the-targeted-
attacks-in-syrian-conflict/.
21. Nart Villeneuve。(2012 年 11 月 14 日)。TrendLabs 資訊安全情報部落格 (Security Intelligence Blog)。「新的 Xtreme RAT 工具
攻擊美國、以色列及其他外國政府」(New Xtreme RAT Attacks U.S., Israel, and Other Foreign Governments)。上次存取時間
2014 年 9 月 17 日: http://blog.trendmicro.com/trendlabs-security-intelligence/new-xtreme-rat-attacks-on-usisrael-and-other-
foreign-governments/.
22. David Sancho、Jessa dela Torre、Matsukawa Bakuei、Nart Villeneuve 及 Robert McArdle。(2012 年)。趨勢科技資訊安全情
報。「IXESHE:一項進階持續性滲透攻擊行動」(IXESHE: An APT Campaign)。上次存取時間 2014 年 9 月 17 日: http://
www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp_ixeshe.pdf.
23. 趨勢科技威脅研究團隊。(2012 年)。趨勢科技資訊安全情報。「Taidoor 行動深入剖析」(The Taidoor Campaign: An In-Depth
Analysis)。上次存取時間 2014 年 9 月 17 日:http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-
papers/wp_the_taidoor_campaign.pdf.
24. The MITRE Corporation。(2014 年)。CVE。「CVE-2012-0158」。上次存取時間 2014 年 9 月 17 日:http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0158.
25. 趨勢科技。(2014 年)。威脅百科網站 (Threat Encyclopedia)。「TROJ_SLOTH.A」。上次存取時間 2014 年 9 月 17 日:
http://about-threats.trendmicro.com/us/malware/TROJ_SLOTH.A.
26. 趨勢科技。(2014 年)。威脅百科網站 (Threat Encyclopedia)。「BKDR_SLOTH.B」。上次存取時間 2014 年 9 月 17 日:
http://about-threats.trendmicro.com/us/malware/BKDR_SLOTH.B.
27. 趨勢科技。(2014 年)。威脅百科網站 (Threat Encyclopedia)。「BKDR_SLOTH.A」。上次存取時間 2014 年 9 月 17 日:
http://about-threats.trendmicro.com/us/malware/BKDR_SLOTH.A.
28. 趨勢科技。(2014 年)。威脅百科網站 (Threat Encyclopedia)。「BKDR_ESILE.SMEX」。上次存取時間 2014 年 9 月 17 日:
http://about-threats.trendmicro.com/us/malware/BKDR_ESILE.SMEX.
29. Ziv Chang。(2014 年 8 月 14 日)。TrendLabs 資訊安全情報部落格 (Security Intelligence Blog)。「檢查網路是否有鎖定目標攻擊
跡象的七個地方」(7 Places to Check for Signs of a Targeted Attack in Your Network)。上次存取時間 2014 年 9 月 17 日:http://
blog.trendmicro.com/trendlabs-security-intelligence/7-places-to-check-for-signs-of-a-targeted-attack-in-your-network/.
30. 趨勢科技。(2014 年)。趨勢科技。「趨勢科技客製化防禦:通過考驗的鎖定目標攻擊與進階持續性滲透攻擊防護」(Trend Micro
Custom Defense: Proven Protection Against Targeted Attacks and Advanced Persistent Threats)。上次存取時間 2014 年 9 月 17
日: http://www.trendmicro.com/us/business/cyber-security/index.html.
趨勢科技為資訊安全軟體及解決方案的全球領導廠商,致力創造一個安
全的資訊交換世界。如需更多資訊,請至:www.trendmicro.tw。
©2014 年版權所有。趨勢科技股份有限公司保留所有權利。Trend Micro
與 t 字球形標誌是趨勢科技股份有限公司的商標或註冊商標。所有其他
公司和產品名稱為各該公司的商標或註冊商標。
作者:
趨勢科技全球技術支援與研發中心