新型 APT 組織 2018 年，FireEye 將之前追踪的 TEMP 組織的四名攻擊者轉為進階持續威脅 APT 組織。

一旦成為目標，永遠是目標

在 2018 年，重新成為目標的客戶數量持續攀升。1 如果您曾遭遇過一次入侵，那麼您更有可能再次成為攻擊目標並遭受再次攻擊。

100

80

60

40

20

0

再次成為目標的事件回應客戶（按地區）

2017 年

56%

44%47%

91%

2018 年

64% 63%57%

78%

EMEA 亞太地區全球 美洲地區

停留時間 公司更快偵測入侵的能力逐漸加強。在全球範圍內，停留時間的中間值顯著減少，從 2011 年的 416 天減少到 2018 年的 78 天。

雖然全球和美洲地區的停留時間中間值有所下降，但 APAC 和 EMEA 的停留時間卻有所增加，安全團隊仍在努力找出過往的攻擊。

全球停留時間的中間值

600

500

400

300

200

100

02018 年2017 年

年

停留

時間（

日數

）

停留時間為攻擊者停留在受害網路的天數（自首次偵測到入侵證據起算）。

2018 年，我們所調查的入侵中，與 2017 年的 28% 相比，有 31% 的停留日數少於 30 天。這可能是由於如勒索軟體這類以財務為動機的入侵增加，這往往會對目標組織產生即時的影響，但也因此會立即被發現。

全球的停留時間中間值分佈

EMEA 亞太地區全球 美洲地區

10176

175

2016 年

99 99106

172

498

78 71

177204

停留時間（日數）

0 至 7

201 至

300

8 至 14

15 至

30

31 至

45

46 至 6

0

61 至 75

76 至

90

91 至 15

0

151 至

200

901 至 10

00

301 至

400

401 至 5

00

501 至

600

601 至 7

00

2000+

701 至

800

801 至

900

1000 至

2000

20

15

10

5

0

15%

7%

9%7% 7%

10%

6% 6%7%

3%1%

4%

2% 1%0 1%

7%

4%

2%

2018

年調

查（百

分比

）事

件回

應客

戶端（

百分

比）

11%

醫療保健 教育金融業

金融業 醫療保健 教育

13%

18%

會重新成為目標的前三名產業

20

15

10

5

0

百分

比

資安事件通知來源 自 2015 年以來，組織越來越善於自己發現入侵活動，而不是由外部來源告知。

100%

90%

80%

70%

60%

50%

40%

30%

20%

10%

02011 年 2012 年 2013 年 2014 年 2015 年 2016 年 2017 年 2018 年

外部 內部

94%

63%67% 69%

53%

47%

38%41%

6%

37%33% 31%

47%

53%

62%59%

命名日期：2018 年 12 月 19 日名稱：APT40 原籍國家或贊助國家：中國

東南亞

主要目標產業

航太

化學

國防教育

主要目標區域

東南亞 政府機關

高科技業

海事研究

APT40

12982342982639874293847293847293847293847293847293874298374298347293847293568420394820394802936293874923874293879283473847293847293847987383872384798729APT39

命名日期：2018 年 12 月 12 日名稱：APT39 原籍國家或贊助國家：伊朗

中東

伊朗

主要目標產業

高科技業

電信業

運輸業旅遊業

主要目標區域

中東

中國

3427

3894

7230

9483

0293

84

34273

89472309483029384

34273894723094830293843427389472309483029384

342738947230948302938434273894723094

83029384

APT38

命名日期：2018 年 10 月 2 日名稱：APT38 原籍國家或贊助國家：北韓

北韓

銀行間的金融系統

金融機構

主要目標產業主要目標區域

經濟發展中地區

APT37

命名日期：2018 年 2 月 19 日名稱：APT37 原籍國家或贊助國家：北韓

中東

北韓

醫療保健機構

電子產品

製造業

主要目標產業

汽車

化學

航太

主要目標區域

日本

中東

南韓越南

南韓

日本

日本

經濟發展中地區

© 2019 FireEye, Inc. 保留一切權利。FireEye 為 FireEye, Inc. 的註冊商標。所有其他品牌、產品或服務名稱分屬各擁有人之商標或服務標記。F-EXT-IG-US-EN-000187-01

1 我們定義「重新成為目標的顧客」為 FireEye 管理的偵測和回應客戶，也是 Mandiant 先前的事件回應客戶，並在過去 19 個月內，成為相同或類似動機的攻擊組織的攻擊目標。下載完整的

M-Trends 2019 報告 >

M-TRENDS 2019FIREEYE MANDIANT 特別報導

程式強化 根據我們在 2018 年企業調查期間觀察到的三個常見問題，我們建議進行三項程式更改，以改善對事件回應和修復的動作。

確保事件回應計劃，使用案例以及包含保留證據過程的教戰手冊。

建議

定期檢視事件回應計劃，使用案例與教戰手冊，並包括有關根除時間指引在內。

缺少調查事件回應教戰手冊缺乏有助於理解入侵背景或確定深入分析需求的步驟 - 造成更多未檢測到的破壞和更長的停留時間。

不合時宜的補救措施組織對入侵行為反應過快，無法根除攻擊者，使調查變得複雜並延長入侵時間。

毀滅證據事件回應的「重灌映像檔和替換」模組可能會破壞有價值的證據，使關鍵問題得不到解決。

建議

制定指引以了解已識別威脅的入侵背景，並為更有經驗的分析者建立升級程序。

建議

• 實施分層架構模式以限制帳戶存取的權限

• 針對管理功能實施指定和隔離的跳轉框/權限存取工作站（PAWS）

• 把權限和敏感帳戶放在使用保護使用者 Active Directory 安全群組

• 針對管理員使用單獨的 VPN 設定檔

帳戶權限管理

所謂預防即是積極實施以共同治理為重點的措施

預防我們在 2018 年所調查的許多事件，原本可以有效預防或被迅速遏制；前提是目標組織必須積極地實施共同治理為重點的措施。

• 調整環境的能見度和檢測機制

• 記錄以網域為基礎的服務帳號，以加速企業密碼重設

• 設計您的網路基礎架構以分割和限制系統間的通訊

一般立場

• 審視樹狀架構與信任，專注在信任及安全控制的指示

• 審視操作過程、監控及強化策略

ACTIVE DIRECTORY 強化

• 使用群組原則設定以強制執行 Microsoft O�ce 強化控制

• 使用端點上的本機管理權限檢查，並減少標準使用者的範圍

• 確保內建本機管理員帳戶在所有端點上具有唯一且隨機的密碼

• 在端點上實施區隔，以防止橫向移動

端點強化

對收購進行入侵評估，以識別任何當前或以前的入侵行動

在整合之前，在正收購和已收購的網路中都搜索潛在攻擊者活動的證據，進行主動檢視

審核以識別已訪問其他使用者電子郵件的帳戶權限

禁止在組織外部自動轉發電子郵件，或定期審核郵件服務器上的轉發規則，以檢測此技術的證據

啟用 O�ce 365 上的審核日誌

啟用 O�ce 365 上的多因素驗證

建議以下是你在進行併購（M&A）過程中需要考慮的幾種緩解和檢測策略：

1

2

3

4

5

6

併購（M&A）風險 併購（M&A）包含盡職調查和整合活動都需要在非常緊密的期限內完成。在匆忙中，領導者在未有解決安全問題的情況下整合網路，使母公司和收購產業都處於危險之中。

一旦攻擊者獲得存取權限，他們就會創造轉發器、匯出或重新導向規則。這讓他們在未獲授權的情況下，可以持續存取電子郵件。

轉發與改寄

攻擊者利用 Outlook 設定中的漏洞，故在受害者登入時，系統會將其重新導向到攻擊者的網頁上，並使用惡意軟體攻擊。

惡意軟體安裝

在 2018 年，我們觀察到攻擊者利用受感染的電郵帳戶向用戶的同事傳送網路釣魚電郵的情況有所增加。這在併購情況下尤其有效，因為員工預期組織之間會進行溝通，且有時是不請自來的。

網路釣魚

攻擊者在併購期間存取受感染的電郵帳戶，以繞過使用 SMS、電郵和軟體為主的安全領牌（軟體認證）多因素身份驗證。

繞過多因素認證

© 2019 FireEye, Inc. 保留一切權利。FireEye 為 FireEye, Inc. 的註冊商標。所有其他品牌、產品或服務名稱分屬各擁有人之商標或服務標記。F-EXT-IG-US-EN-000188-01下載完整的

M-Trends 2019 報告 >

M-TRENDS 2019 M-TRENDS 2019FIREEYE MANDIANT 特別報導