M-TRENDS 2019 FIREEYE MANDIANT SERVICES | 特別報導 1298234298263987 4293847293847293 8472938472938472 9387429837429834 7293847293568420 3948203948029362 9387492387429387 9283473847293847 2938479129823429 8263987429384729 3847293847293847 2938472938742983 3847293847293847 2938472938742983 特別報導 | M-TRENDS 2019 2019 1298234298263987 4293847293847293 8472938472938472 9387429837429834 7293847293568420 3948203948029362 9387492387429387 9283473847293847 2938479129823429 8263987429384729 3847293847293847 2938472938742983 3847293847293847 2938472938742983 2 目錄 執行摘要 3 隱藏在合併和併購活動期間的網路釣魚風險 35 數字會說話 5 案例研究 39 5 40 停留時間 全球的停留時間中間值 依來源偵測 已調查的產業 一旦成為目標，便難再翻身 6 9 9 10 APT 11 2018 年新命名的 APT 組織 各地區 APT 活動的演變 12 22 錯誤身份憑證的例子 ​在攻擊者發現前找出弱點 攻擊者屬性或秘密敲門 43 58 防禦趨勢 61 預防：來自前線事件回應的最佳預防方法 來自前線事件回應的強化程式  62 70 結論 74 特別報導 | M-TRENDS 2019 執行摘要 在過去 10 年來，我們在 M-Trends® 報告中討論過許多不同的主題，包括探討攻擊生命週期的入門 讀物、攻擊者如何隱藏本身的活動、惡意軟體趨勢和案例研究，而我們進行的調查為以上主題提供了 很多技術細節。 表面來看，在過去 10 年間並沒有太多的改變。2018 跟 2017 年沒什麼兩樣，而 2017 年跟前幾年 也沒什麼差別。我們持續看到具影響力的大型事件，雖然其中被公開揭露的知名機構變少了。在加密 貨幣和無法歸類的其他支付形式的幫助下，勒索案件正在增加。加密貨幣也透過錢包、支付系統與挖 礦成為直接的目標。 我們在 2018 年看到的重大趨勢與變遷包含： • 由  政府向公眾公布的攻擊顯著增加。近年來，私營部門公布的攻擊活動顯著增加，但過去一年中， 我們看到美國、英國、荷蘭和德國以起訴書公開了大量的攻擊行動。其中有些是由私營公司，如 FireEye 所提供的資料協助找出的攻擊行動。政府並未更改他們參與的作業規則，但卻透過起訴 書公開對抗威脅。 • 隨著越來越多的客戶轉為使用服務和雲端這類軟體，攻擊者也關注這些數據。對於雲端供應商、電 信業界和其他可存取大量數據的組織之攻擊亦有所增加。 3 特別報導 | M-TRENDS 2019 4 在 2018 年宣布的幾項起訴： M-Trends 2019 透過 FireEye Mandiant 進行的 FireEye 事件回應調查所揭示的一些最新趨勢。這些趨勢包 含不同地區的進階持續性攻擊 (Advanced Persistent Threat, APT) 活動演變、合併與併購期間的網路釣魚風險 以及我們覺得是最佳作法的一些防禦趨勢。 我們也回答了大家都在問的一個問題：作為資安產業，我們在 偵測資安事件方面是否較為敏銳？ 我們可以很高興的大聲說， 是的。自 2017 年 10 月 1 日至 2018 年 9 月 30 日，全球 停留時間中間值為 78 天。這代表攻擊者在他們的攻擊行動被 偵測到之前，平均來說只能作業不到三個月的時間。較去年全 三月：伊期蘭革命衛隊 在一項起訴中，美國司法部和財政部指控伊朗竊取了 300 12 名俄國情報官員 球停留時間中間值101 天大約減少了四分之一 — 實際是一個 領域中所見所聞，從而讓我們可以提供報告內容的資料，那就 34273894723094830293842039840 34273894723094830293842039840 8,000 較少見以及新興威脅所需的知識，而這個目標到今日仍未改變。 本報告中的資訊已經過處理，以保護受害者的身份及資料。 1 2 3 4 5 美國司法部（2018 年 紐約時報（2018 年 7 美國司法部（2018 年 美國司法部（2018 年 美國司法部（2018 年 選活動的來往電子郵件，以及針對選舉基礎設施和地方選舉 烏克蘭國民被指控參與一個名為 FIN7 的活躍的網路犯罪集 生的攻擊事件，其起因是攻擊者傳送一封勒索電子郵件給執行 當我們在 10 年前首度推出 M-Trends 報告時，我們只有一 個主要的目標：賦予安全團隊對抗今日最常使用的網路攻擊與 行包括竊取並隨後洩露民主黨全國委員會和希拉蕊科林頓競 團。他們被指控從事高度複雜的惡意軟體活動，導致數百萬客 FIN7 長的工作帳號。 美國司法部宣布起訴 12 名俄羅斯情報官員在 2016 年總統 選舉之前對民主黨進行大規模網路行動。這些官員涉及的罪 八月：FIN7 網路犯罪集團 不是 M-Trends 了。今天，我們會透過深入探討涉及現在已屬 性為 TEMP.Demon 威脅組織的事件，來顯示早期識別的關 鍵地位。我們也會討論一個以東南亞為主的國際電信公司所發 七月：俄國情報官員 官員，企圖干擾選舉。2 不錯的改進。 如果我們無法包含各種不同的案例研究，以確切證明我們在該 多所大學以及政府機構和金融服務公司的知識產權。1 萬客戶 戶信用卡和簽帳金融卡的卡號遭竊。3 九月：金融機構遭駭 美國司法部宣布起訴和引渡一名俄羅斯駭客，該駭客被控參 與 2014 年摩根大通的駭客行為，導致超過 8,000 萬客戶 資料遭竊， 「這是美國歷史上單一金融機構最大的客戶數據遭 竊事件。」4 九月：北韓索尼遭駭 美國司法部宣布起訴 Park Jin Hyok，他是一名涉嫌參 與 2014 年索尼駭客行為、2016 年從孟加拉國銀行竊取 8,100 萬美元以及 WannaCry 勒索軟體攻擊的駭客。5 。九名伊朗人代表伊斯蘭革命衛隊進行大規模網路竊盜活動。 3 月 23 日） 月 13 日） 。12 名俄國特工在穆勒調查案中遭到起訴。 月 日） 。 惡名昭彰的國際網路犯罪集團 「Fin7」中的三名成員因攻擊 100 多家美國公司而受到拘留。 8 1 。曼哈頓美國檢察官宣布引渡被指控負責美國金融機構、經紀公司、主要新聞出版社和其他公司大規模網路入侵的俄國駭客。 9 月 7 日） 。北韓政權支持的程式人員被控陰謀進行多次網路攻擊和入侵。 9 月 6 日） 特別報導 | M-TRENDS 2019 數字會 說話 5 停留時間的計算方式為攻擊者 停留在受害網路的天數（自首 次偵測到入侵證據起算） 。中間 值表示排序資料組中間點的值。 M-Trends 2019 報告的統計資料，來源於 FireEye Mandiant 的調查， 在 2017 年 10月 1 日至 2018 年 9 月 30 日期間進行的有針對性的攻擊活動。 129823429 429384729 847293847 938742983 729384729 394820394 938749238 928347384 2938479129 826398742 384729384 293847293 384729384 293847293 特別報導 | M-TRENDS 2019 6 公司因更快偵測到入侵而獲得較好的結果。在過去八年以來，停留時間 已大大減少 — 從 2011 年的 416 天到 2018 年的 78 天。 停留時間中間值 416 78 天（2011 年） 天（2018 年） 全球停留時間的中間值 入侵通知 2011 年 2012 年 2013 年 2014 年 2015 年 2016 年 2017 年 2018 年 416 243 229 205 146 99 101 78 外部 320 107 186 184 內部 56 80 57.5 50.5 全部 全球停留時間中間值的分佈 20 15% 10% 9% 7% 6% 7% 7% 4% 2018 年，Mandiant 調查的入侵中，31% 的停留天數少於 30 天，2017 年則有 28% 的入侵少於此天數。2018 年的調查中，12% 的入侵天數高於 700 天，與 2017 年的 21% 相比已有下降。在30 天內被偵測到的入侵有所增加，我們歸因於更多勒索軟 體和加密貨幣挖礦的加入，它們能更快被偵測到。另外，客戶也透過更好的工具整體提升 了數據的能見度，因此能更快回應。 2018 年調查的百分比 + 90 0 90 1至 0 80 80 1至 70 0 關鍵 70 1至 60 0 60 1至 0 50 50 1至 0 40 40 1至 30 0 30 1至 20 0 20 1至 1至 15 0 15 至 91 至 90 75 76 61 至 至 60 45 46 31 至 30 至 14 15 8 至 7 至 0 停留時間（天數） 1% 0 0 1% 0 20 0 2% 1% 0 0 2% 20 3% 0 4% 至 5 7% 6% 10 0 7% 0 10 10 0 2018 年調查的百分比 15 特別報導 | M-TRENDS 2019 7 美洲停留時間中間值 140 137.5 124.5 120 停留時間（天數） 100 104 99 80 75.5 71 60 40 通知 46 42.5 全部 35 外部 20 內部 0 2016 年 2017 年 2018 年 美洲的停留時間中間值從 2017 年的 75.5 天，下降到 2018 年的 71 天。雖然停留時間僅輕微下 降，但接觸的停留時間卻有相當大程度的分別。我們看到以金融為動機的入侵增加，