FineArt News

資安新知

勒索軟體發作,從減災做起

必須談勒索軟體(病毒)v.s.防護機制的對抗

勒索病毒並不是一個新穎的話題,可是它對企業組織的傷害所造成的損失遠超過大家的想像。先前媒體報導是被加密者哀求勒索駭客的降低贖金過程當趣談,一轉眼國內某世界知名運動穿戴裝置大廠付出高額贖金,來取回資料,讓人眼睛一亮原來「黑產」的獲利是如此有價值。

仔細分析過數百種勒索病毒的運作技術原理,再去深思國內外資安防毒各大家所推出的防護技術手段,其實攻守雙方都一直在推進迴避與穿透技術。前段時間針對勒索病毒或惡意程式,大張旗鼓提出軟體白名單機制,也從簡陋模式進展到多樣檢合標準,都因為勒索病毒或惡意程式穿透迴避機制不斷推陳出新。

話說Windows 10- 2004版本已經對Disable Windows Defender提供自動恢復運作的技術模式,人為手動停用亦然,但允許第三方防毒軟體可以中止Defender服務,也是因為勒索病毒或其惡意程式,首先對防護機制進行「斬首」中止資安防護機制的運作,成為首要程序,讓所建立「檔案安全區」的失序防護機制,進而對其目錄與檔案進行勒索加密。

 

勒索病毒的技術行為態樣

歸納一下2019年~2020年底勒索病毒的技術行為態樣,大致有以下幾個行為特徵:

  1. Spread & Pay Technics (支付技術應用)
  2. Encrypt & Mining Technics (加密與挖礦技術)
  3. OS Whitelist Technics (利用OS白名單程式技術)
  4. File-less Technics (無檔案式技術)
  5. Service Control Technics (對服務進行控管技術)
  6. Bypass Technics (穿透略過技術)
  7. Boot Technics (開機啟動技術)
  8. DLL Hijacking Technics (DLL注入技術)

 

而在Bypass Technics技術應用上,可以細分成五種勒索病毒對自身防禦的機制:

  1. Anti-Disassembly 防止被反組譯解析
  2. Anti-Debugger 防止被儲存中斷
  3. Anti-VM 反虛擬機器監控技術
  4. Anti-Sandbox 防護被「沙箱」分析
  5. Anti-Backup (vss) 阻斷系統備份機制

 

勒索病毒被傳遞的媒介

大致可以細分成:

  1. 透過HID裝置,例如:USB結合勒索病毒,尤其是被武器化BadUSB
  2. 透過Internet URL,例如:使用者開啟惡意網頁,內嵌無檔案連結
  3. 透過郵件所夾帶的附件檔案或是信件中的URL 連結,引誘使用者開啟附件或是點選連結。例如:郵件附件中帶有巨集或是PowerShell
  4. 透過設備或OS服務漏洞,所形成的傳遞管道,例如:利用VPN設備的漏洞,或遠端桌面服務

 

勒索病毒的加密對象 

勒索病毒在「加密」施行上是下過功夫的,大致可以分成幾個:

  1. 對檔案進行加密,要談一下勒索病毒新的發展趨勢,因防毒系統會進行保護干擾,讓勒索加密效果變得不好,已將技術提升到對Window OS 中exe DLL注入,換言之,不論是無檔案式或本地端惡意程序,透過對explorer.exe DLL注入,就讓防護機制失效。
  2. 對登入環境與桌面進行加密鎖定,讓使用者無法登入。這類狀態會在開機時求使用者輸入解密密碼,與提供勒索付款資訊。
  3. 對開機磁區進行加密,在Windows XP與Windows 7時代硬碟格式是MBR格式,就有勒索病毒對其Boot磁區進行加密,讓電腦開機出現已加密及付款訊息;同樣的原理也有BitLocker勒索加密。
  4. 對手機行動裝置加密勒索。
  5. IoT裝置或車用系統進行勒索加密。

 

防不勝防,必須從減災做起

勒索病毒持續在精進穿透、迴避資安防護的機制,稍微疏忽可能造成個人與組織重大損失,常見對策說帖不外乎多次持續的備份重要檔案。

另一方面從上述的特徵、媒介、對象及勒索病毒自身設計,可以群組出幾個有效內部安全控管對策,搭配既有的備份或新穎DLP保護,將可以大幅降低感染勒索病毒的危險,以下針對內控安全管理提出減災對策:

  1. 企業組織對於郵件巨集使用,應進行限縮,只放行特殊的人員使用,自然大幅降低感染機會。
  2. 對於無檔案式風險對策,在企業組織員工,鮮少有員工會將PowerShell當成日常工作活動。軟體開發人員除外,應全面禁用PowerShell,但是要注意勒索病毒會透過提權方式,再度啟用PowerShell,所以透過第三方DLP進行管制PowerShell效果最好。
  3. 對於使用USB為媒介的勒索病毒,可對USB裝置進行管控,只放行組織內註冊放行的USB裝置。
  4. 透過第三方DLP機制,來保護個人電腦重要的目錄與檔案,利用第三方自定義開發程序取代exe,讓勒索病毒無法透過DLL注入expolorer.exe方式,穿透防護機制。
  5. 郵件系統需要仰賴郵件防護過濾技術做為第一道過濾機制,在放行透搭配其他防護機制,達成降低感染勒索病毒的機會。
  6. 建立更嚴格的軟體白名單機制,區分可以碰觸開啟目錄與檔案的程序。

 

讓在面對勒索病毒對抗中,站穩有利的位置,就可以達減災的效果。