X-FORT勒索軟體防護方案

: 精品科技技術服務黃粮皓; 2021/06/24

X-FORT勒索軟體防護方案

根據日本IPA(情報處理推進機構)發布2021年日本企業資訊安全10大威脅，勒索軟體已從去年的第五名今年大幅躍升到第一名，可見對企業進行勒索攻擊已經是駭客的主要收入來源，他們會採取攻擊有可能交付贖金的企業，已非當初的亂槍打鳥方式了。雖然企業的資安防禦在提升，但面對集團化的駭客組織他們也在精進勒索軟體攻擊的方法，導致企業防禦更加困難，面對勒索軟體企業除了被動的防守外，下面介紹勒索軟體發作四階段的應對計畫是可參考的方向。

勒索軟體發作四階段應對計畫

【階段１：攻擊前】

任何管道都有可能造成勒索軟體潛伏進電腦或伺服器，無論是網路、釣魚網站、Office 巨集、隨身碟、來路不明的Mail都可能因為人為無意的操作導致惡意程式潛伏進企業內部網路，惡意程式通常會開始掃描企業內網伺服器，若有漏洞或者取得AD帳號資訊權限等待日後攻擊使用。

預防機制：預防的方法眾多，以下舉出幾項X-FORT端點防護可協助防護的項目說明。

停用OFFICE 巨集，防止NetWalker、Spider等透過巨集攻擊的勒索軟體。
透過應用程式控管指定只能透過exe執行PowerShell與Command.exe等Windows工具，以此防堵勒索軟體透過其他執行檔帶起PowerShell與Command.exe進行攻擊。
裝置控管：禁用外接儲存裝置或藍牙等無線傳檔裝置，避免使用者透過外接隨身碟或者透過藍牙裝置將勒索軟體帶入企業。
啟用EDR的勒索軟體誘餌，在電腦適當位置各放置數個誘餌檔案，被動等待勒索軟體的攻擊。

【階段２：攻擊發作】

勒索軟體潛伏企業內網，取得所需的權限或漏洞資訊後，會鎖定目標，攻擊發作將電腦(伺服器)裡的檔案進行加密，並提出勒索贖金好讓被加密的檔案可被解密。

預防機制：

一旦EDR偵測到誘餌檔案被加密，可立刻將該電腦網際網路與內部網路的連線中斷，並強制電腦關機阻止病毒繼續運作。
透過應用程式控管機制建立好公司內部『程式白名單』，這些名單將會是允許執行的合法程式，此外的其他程式皆無法執行，以此機制來遏止使用者執行來路不明軟體或者偽裝正常程式的勒索軟體。

【階段３：移動擴散】

不同的勒索軟體在網內的擴散方式也不同，有透過網芳進行擴散的，也有透過RDP漏洞進行攻擊，此時建議企業最好要有能有效阻止病毒擴散的計畫。

預防機制：

每台電腦都需啟動EDR誘餌檔案觸發機制，以防止勒索軟體在區域網路內擴散，如同上一階段所述，假設勒索軟體真的透過內部網路開始擴散，一旦EDR偵測到誘餌檔案被異動，就會將電腦斷網並關機防止擴散，因此EDR誘餌檔案機制在攻擊發作階段與移動擴散階段，都可起到一定的效用。

【階段４：災後復原】

預防機制：備份工作基本上應該不分是否為防堵勒索軟體而做，而是平日就需進行的工作，無論是檔案備份、FAC資料夾保護+備份、系統備份等不同備份方法。以下就以『FAC(Folder Access Control) +檔案備份』進行說明

設定端點電腦與伺服器備份特定檔案至指定資料夾。
對此備份資料夾啟動FAC功能，防止勒索病毒攻擊此資料夾。
發生勒索軟體攻擊事件，因FAC資料夾被保護關係，勒索軟體無法攻擊此資料夾，等待攻擊結束，將FAC裡備份的檔案還原拿出來。

SVS虛擬碟可防止勒索軟體攻擊

近幾個月來國內數家科技大廠遭受到勒索軟體攻擊，駭客在將檔案加密前已將被害企業機密資料預先備份，受害企業因不支付贖金，駭客竟將機密資料公布。

類似這種勒索方式建議企業導入DRM產品，就是將重要機密檔案加密，例如：SVS (Secure Virtual Storage)虛擬碟，將重要檔案放至SVS虛擬碟裡，可防止勒索軟體攻擊碟內的檔案，且SVS虛擬碟本身亦有自我防護功能可防止勒索病毒的加密，利用SVS虛擬碟的方法從勒索軟體發動前到發作、擴散都可進行防禦有效保護重要資料，此種SVS虛擬碟的保護方式即使駭客事先備份也沒用，因為SVS檔案本身就是加密，要公佈機密資料駭客也需要先解密。

對付勒索軟體，最好的對策還是備份

芬安全(F-Secure防毒)資安研究長Mikko　Hypponen：說<加密和備份是資安最有效的方法>，防守方正加大防禦的城牆，攻擊方也正削尖更強力的武器，當所有的防禦措施都已佈署好時，備份或許是最有效的方法，至少在未知的新型攻擊出現時，可以有一災後復原的資源可用。

資安新知