這幾年Ransomware的新聞頻傳,雖然各個企業也因此提出相當多的對策與防範機制,但Ransomware還是日益猖獗且不斷的進化。Ransomware從一開始的加密受害者的資料,進而勒索贖金;到竊取受害者的資料,再對受害者勒索贖金否則就公開資料進而威脅受害者;到現在Ransomware不只是加資料加密還另外將資料竊取走,再對受害者進行贖金的勒索。不管中那一種勒索病毒,都會讓受害者損失慘重。
Targeted Ransomware這兩年開始出現,更是讓企業氣得牙癢癢的Ransomware攻擊模式,Targeted Ransomware是高度客製化的Ransomware,專門針對被鎖定的企業,對該企業製造客製化的Ransomware,進行嗅探偵測找出脆弱點,潛伏在企業的系統中伺機透過漏洞進行攻擊,進而勒索該企業,若不付贖金就會公布機密資訊的方式,讓各個大企業乖乖就範。
大企業都對勒索病毒做了防護?
既然各大企業都對勒索病毒做了防護,那勒索病毒到底是如何進入企業的環境呢?到底是如何突破企業的防護,難道是防毒與防Spam的機制出了問題嗎?我們統計近幾年上百隻的Ransomware,做了分群歸類,研究勒索病毒的攻擊方式與行為,大致分為
- Targeted Ransomware DLL Injector
- 無檔案式攻擊(Fileless)
- APT攻擊方式
- 宰殺防毒與備份檔案
- 利用系統白名單進行惡意行為
這些攻擊模式往往無法只靠單純的防毒與Anti-Spam是無法防範的。且除了上述的攻擊方式外,人員往往是在資訊安全最重要的一環,駭客也最常使用社交工程的方式,透過Mail夾帶惡意連結或是檔案,讓防毒與Anti-Spam偵測不出來進行攻擊,再配合上述的攻擊方式,輕易的製造企業內的後門漏洞,進而讓勒索病毒可以大肆的入侵。
Mail社交工程來看,駭客往往會寄發釣魚信件
我們就從Mail社交工程來看,駭客往往會寄發釣魚信件來到各大企業的信箱,而這些Mail往往都會夾帶附件或是在內文中嵌入惡意連結,而這些附件已經不是壓縮檔或是執行檔了,因為這些檔案都會被Spam輕易的擋下來,而Mail附件就會以Office的檔案為主,而這些Office檔案看似無害,但只要企業點擊打開,那就會讓駭客可以直接植入後門、病毒…等。而這些駭客到底如何植入這些惡意連結呢?其實很簡單,是利用了Office Macro的功能,Office Macro可以寫入VBA的程式,VBA程式可以呼叫PowerShell或CMD來進行許多的攻擊。最常見的手法是VBA程式中,呼叫PowerShell或CMD,在PowerShell或CMD的指令中進行指令混淆,混淆的Code就是從網路上下載具有惡意攻擊的PS1腳本,而這些腳本內容當然也進行了多層的混淆,這些腳本透過PowerShell的指令直接進入電腦中的記憶體執行,過程中不殘留任何的檔案,這種攻擊方式就是「無檔案式攻擊」。
而腳本的攻擊內容大致分為3大類,第一直接宰殺該電腦的防護機制(防毒),第二刪除該電腦中所有的備份,第三下載Ransomware病毒直接進行加密與竊取。這些腳本是利用Windows的程式(一般稱為白名單),例如:vssadmin.exe、wmic.exe、bcdedit.exe、taskkill.exe等等,用這些Windows程式做攻擊方式,甚至更高深的Ransomware會使用到DLL Injector技術,直接注入到這些程式中,最知名的例子就是Netwalker Ransomware,這支病毒是直接DLL Injector到Explorer.exe中,透過Explorer進行竊取加密,由於Explorer.exe是一般企業不能也不會阻擋的應用程式,剛好駭客就利用這點直接DLL Injector到Explorer.exe。
在面對多樣化的勒索病毒威脅要如何防護呢?
現今從勒索病毒的攻擊方式著手,勒索病毒進入公司內部系統後所產生的行為,如同上述的Targeted Ransomware DLL Injector、無檔案式攻擊(Fileless)、APT攻擊方式、宰殺防毒與備份檔案、利用系統白名單進行惡意行為…等。要阻擋這些惡意的攻擊方式,可以使用X-FORT的應用程式控管機制,只有了解Ransomware攻擊與發作的模式,從中進行阻斷,才有辦法阻擋惡意程式,就算Ransomware進入到電腦中,也會因為X-FORT的應用程式控管機制,讓Ransomware無法發作攻擊,以大幅達到預防的效果,甚至搭配FAC(資料夾防護)與安全備份的功能,資料能完全保護住,讓企業達到預防、止災的效果。