之前的分享中,提過木桶理論:組織裡每個人都有資安責任、要對資安有概念,避免因為某個人的疏忽,造成安全漏洞,讓整個組織的資料陷於不安全的狀態。
勒索軟體(Ransomware),不只是一個軟體,更是一個(黑色)產業。資料勒索是電腦中毒後的最後一哩路,拿到資料後、將之加密,跟組織或個人勒索要錢。甚至組織如果有網站,可能透過 DoS 阻斷服務攻擊,再勒索一次。
組織如何應對資安事件?
資安事件發生時,要從 6W2H 來分析。
駭客駭到的受害者資料,可以互相交換成為一種資產。而市佔率越高的系統或軟體,越會吸引黑帽駭客製作惡意軟體(產業鍊的概念)。例如,建議大家不要再使用已不提供更新維護的 Windows XP,停止安全性的技術支援後,是非常不安全的;另外,使用 Mac 的人越來越多,可預見未來相關的病毒也會增多。
Why 為什麼要攻擊我?
有需求就有市場。一般來說,最多是「感情糾紛」而起,第二名是拿回遊戲帳號,這些都是黑色產業的市場。譬如遊戲公司不能讓線上遊戲因攻擊而被中止,所以時常被勒索,曾有被勒索一千萬,可惜該公司沒選擇把這筆錢拿去做資安防護。
What 攻擊者要的是什麼?
Why 為什麼要攻擊我?
有需求就有市場。一般來說,最多是「感情糾紛」而起,第二名是拿回遊戲帳號,這些都是黑色產業的市場。譬如遊戲公司不能讓線上遊戲因攻擊而被中止,所以時常被勒索,曾有被勒索一千萬,可惜該公司沒選擇把這筆錢拿去做資安防護。
What 攻擊者要的是什麼?
- 可以販賣的資料
- 台灣選舉前的攻擊是最多的,特別是政黨相關的秘書、助理的帳號。
- 販賣信用卡資料的網站
- 使用者的帳號密碼:可拿來交換、買賣
- 可以利用的資源
- 做為跳板:把他人的主機拿來作為攻擊的中繼站。有些會跳兩次或好幾次,讓來源不清楚,加上跨國調查耗時而困難,增加了許多被查輯難度。
- 作為「肉機」、殭屍網路:病毒一次可以撒在上百或上千台電腦,進行癱瘓或攻擊
Who 為什麼是我?
- 軟柿子:有明顯漏洞的網站,比較好下手
- 從網頁設計談資安風險
- 網站看起來很舊,可能套件或程式從未更新,比較好下手
- 例Wordpress 的 plugin 是很多漏洞的地方
- 核彈式爆場:最近出現的新漏洞、新的攻擊手法
- 看起來有錢人
- Ex:過去比特幣幣值很高,就引來駭客攻擊交易中心
- 正面迎擊:如果網站有人管,大多沒問題
- 側面襲擊:攻擊同一主機的不同網站、或公司有其他部門或子網站,所謂的「旁注」。
- 背後突擊:以社交工程方式,滲透組織內部,從內部來加以攻擊。特別很多時候,內部帳密還是共用的。
- 勒索軟體最常使用這種方式
- 防火牆應該保護從內到外、外到內,不能只單純抵禦外侮
- 勒索方式
- 預測未來新的勒索方式:把網站加密,讓持有者得贖回網站
- 有重大漏洞出現時,所以要多留意資安相關新聞
How 怎麼攻擊的?
- 針對不同階段、目標,採取不同攻擊方式
- 駭客只要投入一點資源,就可能把組織的資料都拿走;但當組織的防禦資源投入到一定程度,相對的,駭客也需要投入很多成本而可能放棄
- APT 進階持續性威脅:駭客會花數月甚至數年的時間準備,對組織進行滲透,往往組織無法維持長久的注意力來防禦
- 最早的勒索軟體,因為付款方式不方便,沒有盛行,但現在比特幣很方便,所以勒索盛行
- 常見的惡意程式
- Virus 病毒
- Worm 蠕蟲
- 早期 Windows 系統,一上網就會被感染
- 進行自我複製,對某個網絡進行掃描來加以攻擊
- Trojan 木馬:自動與攻擊者連線
- Backdoor 後門
- Rootkit:隱藏程式行為的工具
- HackTool 駭客工具包
- 間諜程式
- Macro 巨集病毒:Ex. 病毒 Taiwan No. 1,只要開 doc 檔就會中毒
- 如果被勒索,需要會基本的分析
- 惡意程式的行為:「加密」就是破壞的一種
- 感染途徑
- IE 6 是很危險的,譬如某個網頁讓瀏覽器當機重開,取而代之的就是惡意程式
- 惡意檔案:過去是文字檔,現在是 .js 檔(Windows 會用 javascript 打開,一打開可能就會上網下載惡意程式)導向有問題的網頁
- USB、記憶卡:現在比較少,影印店和沖洗相片店最多
- 即時通訊軟體
- 惡意程式希望永續經營,會隨系統自動啟動
- 譬如 AD:user 透過帳密登入網域,另外還可以執行工作排程。所以 AD 會成為被攻擊的目標,有大家的帳密,又可隱藏在工作排程中
- 偵測的工具包:因為每個軟體會有簽章。駭客會去偷某些企業所買的軟體簽章來偽裝
- 勒索軟體有潛伏期
- 惡意軟體做的事越多,被偵測到的機率越高
- 勒索軟體只會隨開機啟動,並在某個時間進行檔案讀寫,所以最難被抓到
- 檢測工具包:微軟 Windows Sysinternals(可參考:搶救Windows疑難雜症 Windows Sysinternals Suite | iThome)
- 影片示範被勒索軟體勒索的過程(略)
- 加密的方式:試圖破解加密的方式
- 一般加密 XOR :容易破解,可以窮盡列舉的方式
- 對稱式金鑰:金鑰(1024 bit)字串比密碼長。key 會在勒索軟體裡面,只要找到就可以解密。
- 非對稱式金鑰:先用 public key 加密,再用 private key 解密
- 原本是正當的方式進行文件遞送
- 算法夠強很難解開
- 最早的勒索軟體 “AIDS Information Trojan” (1989)
- 顯示:授權過期,要user付錢。這個木馬可以控制印表機,還會印出訂單
- 2013 年開始,勒索軟體因為比特幣有突破性進展
- Synolocker:台灣本土的勒索軟體,會攻擊公司的 NAS 系統
- 被勒索的畫面:嘗試破解會加倍贖金
- 追蹤比特幣的金流,得知受害的產值約 12 億台幣
- 今年出現 Mac 電腦版本:攻擊軟體網站,讓 user 下載到惡意軟體
- 出現 Ransomware-as-a-Service:勒索軟體也可以雲端加入、進行分紅,來招募新血加入
- 示範被勒索的畫面和過程(如果要測試中毒的畫面,可用 VM 虛擬主機)(略)
- 不能連到外面網路
- 不能有共享資料夾
- 檔案不管在本機或雲端,只要能讀寫,就可能被加密。
該如何解決?
- 發生當下:中斷網路/強制斷電
- 平時要進行「離線備份」
- Windows 陰影複製:保留以前的版本。最新的勒索軟體會把這些備份先砍掉
- 系統還原
- 防毒軟體:主動式行為偵測,設定白名單
預防措施
- 勤於離線備份
- 使用安全的作業系統
- 內網盡量把不同人員的權限切割
- 在軟體中,把檔案勾勾拿掉,就不會在開機中啟動
- 按右鍵可以到根目錄刪除。刪除之後電腦要重開機,避免也被惡意軟體勒索
- 上傳 virus-total:會把軟體丟到已知防毒軟體掃描。但可能內部有病毒產生器,所以每次都是不同的病毒變身,無法被偵測(可參考:VirusTotal 免費 Google 線上掃毒、網站安全檢測服務,透過各種防毒引擎掃描檔案安全性 )
- 目前勒索軟體無法被解決(無法解密被勒索的檔案),只能靠好的資安觀念勤做預防
- 硬碟救援公司,有可能救援一部份。
- 目前只有量子電腦的運算速度可解 RSA 的 2,048 bit 加密方式。
- 可能只加密檔案內的1K,所以無法使用巨大的檔案來拖延加密時間
- 目前有手機記憶卡因為連線電腦而被加密
- 勒索軟體不執行的話,是沒問題的。
- 如果要「蒐集病毒」來研究的話:記得把病毒加密起來,避免被防毒軟體掃描。
0 意見:
張貼留言