FineArt News

Targeted Ransomware技術分群與減災作為

勒索病毒(軟體)一詞目前為止,2020年是最慘烈的一年,許多知名集團企業這一年過的都不平靜,就像2020年肺炎一樣搞得IT與資安十分緊張。

勒索的型態從互動模式大致可以區分成三大類:第一類是透過勒索病毒直接加密勒索;第二類是先竊取該電腦或主機的資料後,再進行加密勒索;第三類並不會加密,直接偷走資料,再告訴苦主資料被竊,如果不交付贖金,在暗網公開資料或銷售被竊資料。

經過分析與實際在封閉實驗室,驗證測試了30多個勒索軟體家族以及全球知名案例,共近200支勒索病毒,發現了一個歸納技術變化趨勢,分述如下:

  • 白名單:勒索病毒用好用滿作業系統白名單的程式來進行迴避。
  • 無檔案式:是社交攻防難以抵禦的毒蘋果,加上透過內存(記憶體)執行,無法有效攔阻。
  • 巨集型態:巨集仍是常見的模式再結合PowerShell 無檔案式,很難察覺風險因子。
  • 高度模仿:這是社交工程的惡夢,偽造供應鏈信件(第三方供應鏈相對脆弱),且易被信任而放行。
  • 竊取並加密:將電腦檔案與主機資料庫檔進行竊取與檔案加密依序進行,並傳送到C2中繼點。
  • 特殊協定:傳遞方式除了已知的TCP 443, 80,甚至某些勒索病毒會去使用特殊協定,如DNS。
  • DLL注入劫持:劫持(Hijacking)或注入內存(記憶體)方式執行,穿透防駭、防毒的防護機制,尤其是以注入exe更具威力。
  • 迴避沙箱與虛擬機:某些特殊勒索病毒或軟體,迴避沙箱或是VM檢測,以不發作方式作為對應。
  • APT行為模式:結合APT勒索型態正在成熟發展中,所以相關資料竊取以微量方式進行竊取,非持續性發作,當觸發加密勒索已經為時已晚。 

額外一提,個人對勒索病毒發展預測將延伸到Driver,這類攻擊應屬於高階國家級駭客行為,是需要關注的未來風險。

 

公司企業減災作為

並非SPAM無效,而是目標勒索越來越有針對性,讓SPAM機制啞巴吃黃連有苦說不清,所以有些企業購置高階防堵APT產品或分析設備來快速降低風險,都是一時之選,但是是否完美卻很難驗證,畢竟駭客手法越來越深化在技術應用上,防禦機制本在經費有限下,就是困難的選則。還是可以過某些手段達到降低風險與減災的效果,分述如下:

  • 透過軟體白名單機制,來限制高風險程式的執行。
  • 有效限制或有限度使用CMD/PowerShell的使用。
  • 有限度禁止一般使用者使用作業系統內建程式,如:WMIC。
  • 透過DLP與EDR的結合快速反應,例如:斷網或凍結電腦,阻斷擴散,直到IT查核後放行。
  • 有限度限縮上網的行為,查核連接網際網路的程序是否正常。
  • 強化SPAM的有效性。
  • 管控USB裝置的使用或是非特許硬體裝置使用。

 

© FineArt Technology Co., Ltd. 精品科技股份有限公司 | 台灣新竹市埔頂路18號8樓