解構Target Ransom & Malware Steal的技術手法

這幾年Ransomware的新聞頻傳，雖然各個企業也因此提出相當多的對策與防範機制，但Ransomware還是日益猖獗且不斷的進化。Ransomware從一開始的加密受害者的資料，進而勒索贖金；到竊取受害者的資料，再對受害者勒索贖金否則就公開資料進而威脅受害者；到現在Ransomware不只是加資料加密還另外將資料竊取走，再對受害者進行贖金的勒索。不管中那一種勒索病毒，都會讓受害者損失慘重。

Targeted Ransomware這兩年開始出現，更是讓企業氣得牙癢癢的Ransomware攻擊模式，Targeted Ransomware是高度客製化的Ransomware，專門針對被鎖定的企業，對該企業製造客製化的Ransomware，進行嗅探偵測找出脆弱點，潛伏在企業的系統中伺機透過漏洞進行攻擊，進而勒索該企業，若不付贖金就會公布機密資訊的方式，讓各個大企業乖乖就範。

大企業都對勒索病毒做了防護?

既然各大企業都對勒索病毒做了防護，那勒索病毒到底是如何進入企業的環境呢?到底是如何突破企業的防護，難道是防毒與防Spam的機制出了問題嗎?我們統計近幾年上百隻的Ransomware，做了分群歸類，研究勒索病毒的攻擊方式與行為，大致分為

• Targeted Ransomware DLL Injector
• 無檔案式攻擊(Fileless)
• APT攻擊方式
• 宰殺防毒與備份檔案
• 利用系統白名單進行惡意行為

這些攻擊模式往往無法只靠單純的防毒與Anti-Spam是無法防範的。且除了上述的攻擊方式外，人員往往是在資訊安全最重要的一環，駭客也最常使用社交工程的方式，透過Mail夾帶惡意連結或是檔案，讓防毒與Anti-Spam偵測不出來進行攻擊，再配合上述的攻擊方式，輕易的製造企業內的後門漏洞，進而讓勒索病毒可以大肆的入侵。

Mail社交工程來看，駭客往往會寄發釣魚信件

我們就從Mail社交工程來看，駭客往往會寄發釣魚信件來到各大企業的信箱，而這些Mail往往都會夾帶附件或是在內文中嵌入惡意連結，而這些附件已經不是壓縮檔或是執行檔了，因為這些檔案都會被Spam輕易的擋下來，而Mail附件就會以Office的檔案為主，而這些Office檔案看似無害，但只要企業點擊打開，那就會讓駭客可以直接植入後門、病毒…等。而這些駭客到底如何植入這些惡意連結呢?其實很簡單，是利用了Office Macro的功能，Office Macro可以寫入VBA的程式，VBA程式可以呼叫PowerShell或CMD來進行許多的攻擊。最常見的手法是VBA程式中，呼叫PowerShell或CMD，在PowerShell或CMD的指令中進行指令混淆，混淆的Code就是從網路上下載具有惡意攻擊的PS1腳本，而這些腳本內容當然也進行了多層的混淆，這些腳本透過PowerShell的指令直接進入電腦中的記憶體執行，過程中不殘留任何的檔案，這種攻擊方式就是「無檔案式攻擊」。

而腳本的攻擊內容大致分為3大類，第一直接宰殺該電腦的防護機制(防毒)，第二刪除該電腦中所有的備份，第三下載Ransomware病毒直接進行加密與竊取。這些腳本是利用Windows的程式(一般稱為白名單)，例如:vssadmin.exe、wmic.exe、bcdedit.exe、taskkill.exe等等，用這些Windows程式做攻擊方式，甚至更高深的Ransomware會使用到DLL Injector技術，直接注入到這些程式中，最知名的例子就是Netwalker Ransomware，這支病毒是直接DLL Injector到Explorer.exe中，透過Explorer進行竊取加密，由於Explorer.exe是一般企業不能也不會阻擋的應用程式，剛好駭客就利用這點直接DLL Injector到Explorer.exe。

在面對多樣化的勒索病毒威脅要如何防護呢?

現今從勒索病毒的攻擊方式著手，勒索病毒進入公司內部系統後所產生的行為，如同上述的Targeted Ransomware DLL Injector、無檔案式攻擊(Fileless)、APT攻擊方式、宰殺防毒與備份檔案、利用系統白名單進行惡意行為…等。要阻擋這些惡意的攻擊方式，可以使用X-FORT的應用程式控管機制，只有了解Ransomware攻擊與發作的模式，從中進行阻斷，才有辦法阻擋惡意程式，就算Ransomware進入到電腦中，也會因為X-FORT的應用程式控管機制，讓Ransomware無法發作攻擊，以大幅達到預防的效果，甚至搭配FAC(資料夾防護)與安全備份的功能，資料能完全保護住，讓企業達到預防、止災的效果。