セキュリティ インテリジェンス レポート (SIR) 第 19 版公開 | MSRC Blog
Japan Security Team / January 07, 2016 / 7 min read
2016/1/8 更新: Key Findings Summary 的日文版已发布。「微软安全情报报告 第19版 主要调查结果概要」
2015年11月18日(美国时间),微软发布了总结2015年上半年威胁趋势的「微软安全情报报告(SIR)第19版」。 报告下载链接
安全情报报告每半年发布一次,基于全球超过10亿台系统收集的数据,分析全球范围内的漏洞趋势、漏洞利用(恶用)趋势、恶意软件趋势以及各国/地区的威胁趋势。
此外,第19版特别专题详细论述了进行针对性攻击的组织STRONTIUM。同时还介绍了Exchange Online的功能Advanced Threat Protection,本博客将对这些内容进行简要说明。
攻击组织STRONTIUM
Microsoft Malware Protection Center (MMPC) 的猎人团队持续监控新兴威胁和威胁组织。STRONTIUM(微软代号)是使用新漏洞利用和技术进行针对性攻击的组织之一,其手法和漏洞利用后来被其他攻击者广泛采用。
STRONTIUM自2007年左右(或更早)开始活动,擅长针对零日漏洞的攻击。2015年上半年,有5个零日漏洞被STRONTIUM首次恶意利用。该组织以政府、军事、金融等重要机构为目标,通过鱼叉式网络钓鱼等手法利用文档文件或浏览器插件等漏洞潜入企业和机构,随后有时花费数年时间执着且周密地窃取企业和机构的重要信息。
上图:STRONTIUM实际发送给目标的鱼叉式网络钓鱼邮件。使用实际时事新闻伪装成真实团体,诱导点击利用零日漏洞的URL
以上仅是部分内容,SIR第19版详细论述了STRONTIUM的攻击手法和特征。希望您能了解敌人的手法,思考组织所需的应对措施,并将其作为提高类似攻击防御能力的参考。
阻止攻击邮件的Office 365“Advanced Threat Protection”
特别是在针对性攻击中,攻击者确认主要防病毒软件无法检测后,会发送恶意软件的变种或新种以绕过企业防御。安全供应商方面会迅速应对这些未确认的新威胁,但基于定义文件的防护在即时性方面确实存在局限。
Exchange Online一直以来使用多个供应商的病毒防护引擎来阻止恶意的“已知”文件,以实现更高的检测率。今年初实施的Advanced Threat Protection新增了有效应对定义文件中没有的“未知”威胁和恶意链接的防御层(虚拟沙箱)。
当接收到的消息包含可疑附件时,Exchange Online会在沙箱中运行它,并监视是否出现恶意行为,如注册表重写、内存转储访问、权限提升等通常恶意软件会进行的操作。这使得检测和阻止以往未确认且“定义文件”中不存在的威胁成为可能。管理员可以设置阻止消息传递或通知管理员等,还可以查看哪些用户点击了哪些链接。
安全情报报告下载
报告下载可通过以下英文网页进行。Key Findings Summary的日文版将于日后发布,请稍作等待(发布后将在本博客宣布)。请查看「微软安全情报报告 第19版 主要调查结果概要」。