Skip to content

解構Target Ransom & Malware Steal的技術手法

這幾年Ransomware的新聞頻傳,雖然各個企業也因此提出相當多的對策與防範機制,但Ransomware還是日益猖獗且不斷的進化。Ransomware從一開始的加密受害者的資料,進而勒索贖金;到竊取受害者的資料,再對受害者勒索贖金否則就公開資料進而威脅受害者;到現在Ransomware不只是加資料加密還另外將資料竊取走,再對受害者進行贖金的勒索。不管中那一種勒索病毒,都會讓受害者損失慘重。

Targeted Ransomware這兩年開始出現,更是讓企業氣得牙癢癢的Ransomware攻擊模式,Targeted Ransomware是高度客製化的Ransomware,專門針對被鎖定的企業,對該企業製造客製化的Ransomware,進行嗅探偵測找出脆弱點,潛伏在企業的系統中伺機透過漏洞進行攻擊,進而勒索該企業,若不付贖金就會公布機密資訊的方式,讓各個大企業乖乖就範。

 

大企業都對勒索病毒做了防護?

既然各大企業都對勒索病毒做了防護,那勒索病毒到底是如何進入企業的環境呢?到底是如何突破企業的防護,難道是防毒與防Spam的機制出了問題嗎?我們統計近幾年上百隻的Ransomware,做了分群歸類,研究勒索病毒的攻擊方式與行為,大致分為

  • Targeted Ransomware DLL Injector
  • 無檔案式攻擊(Fileless)
  • APT攻擊方式
  • 宰殺防毒與備份檔案
  • 利用系統白名單進行惡意行為

這些攻擊模式往往無法只靠單純的防毒與Anti-Spam是無法防範的。且除了上述的攻擊方式外,人員往往是在資訊安全最重要的一環,駭客也最常使用社交工程的方式,透過Mail夾帶惡意連結或是檔案,讓防毒與Anti-Spam偵測不出來進行攻擊,再配合上述的攻擊方式,輕易的製造企業內的後門漏洞,進而讓勒索病毒可以大肆的入侵。

 

Mail社交工程來看,駭客往往會寄發釣魚信件

我們就從Mail社交工程來看,駭客往往會寄發釣魚信件來到各大企業的信箱,而這些Mail往往都會夾帶附件或是在內文中嵌入惡意連結,而這些附件已經不是壓縮檔或是執行檔了,因為這些檔案都會被Spam輕易的擋下來,而Mail附件就會以Office的檔案為主,而這些Office檔案看似無害,但只要企業點擊打開,那就會讓駭客可以直接植入後門、病毒…等。而這些駭客到底如何植入這些惡意連結呢?其實很簡單,是利用了Office Macro的功能,Office Macro可以寫入VBA的程式,VBA程式可以呼叫PowerShell或CMD來進行許多的攻擊。最常見的手法是VBA程式中,呼叫PowerShell或CMD,在PowerShell或CMD的指令中進行指令混淆,混淆的Code就是從網路上下載具有惡意攻擊的PS1腳本,而這些腳本內容當然也進行了多層的混淆,這些腳本透過PowerShell的指令直接進入電腦中的記憶體執行,過程中不殘留任何的檔案,這種攻擊方式就是「無檔案式攻擊」。

而腳本的攻擊內容大致分為3大類,第一直接宰殺該電腦的防護機制(防毒),第二刪除該電腦中所有的備份,第三下載Ransomware病毒直接進行加密與竊取。這些腳本是利用Windows的程式(一般稱為白名單),例如:vssadmin.exe、wmic.exe、bcdedit.exe、taskkill.exe等等,用這些Windows程式做攻擊方式,甚至更高深的Ransomware會使用到DLL Injector技術,直接注入到這些程式中,最知名的例子就是Netwalker Ransomware,這支病毒是直接DLL Injector到Explorer.exe中,透過Explorer進行竊取加密,由於Explorer.exe是一般企業不能也不會阻擋的應用程式,剛好駭客就利用這點直接DLL Injector到Explorer.exe。

 

在面對多樣化的勒索病毒威脅要如何防護呢?

現今從勒索病毒的攻擊方式著手,勒索病毒進入公司內部系統後所產生的行為,如同上述的Targeted Ransomware DLL Injector、無檔案式攻擊(Fileless)、APT攻擊方式、宰殺防毒與備份檔案、利用系統白名單進行惡意行為…等。要阻擋這些惡意的攻擊方式,可以使用X-FORT的應用程式控管機制,只有了解Ransomware攻擊與發作的模式,從中進行阻斷,才有辦法阻擋惡意程式,就算Ransomware進入到電腦中,也會因為X-FORT的應用程式控管機制,讓Ransomware無法發作攻擊,以大幅達到預防的效果,甚至搭配FAC(資料夾防護)與安全備份的功能,資料能完全保護住,讓企業達到預防、止災的效果。

關於Version 2
Version 2 是亞洲最有活力的IT公司之一,公司發展及代理各種不同的互聯網、資訊科技、多媒體產品,其中包括通訊系統、安全、網絡、多媒體及消費市場產品。透過公司龐大的網絡、銷售點、分銷商及合作夥伴,Version 2 提供廣被市場讚賞的產品及服務。Version 2 的銷售網絡包括中國大陸、香港、澳門、臺灣、新加坡等地區,客戶來自各行各業,包括全球1000大跨國企業、上市公司、公用機構、政府部門、無數成功的中小企及來自亞洲各城市的消費市場客戶。

關於精品科技
精品科技(FineArt Technology) 成立於1989年,由交大實驗室中,一群志同道合的學長學弟所組合而成的團隊,為一家專業的軟體研發公司。從國內第一套中文桌上排版系統開始,到投入手寫辨識領域,憑藉著程式最小、速度最快、辨識最準等優異特性,獲得許多國際大廠的合作與肯定。歷經二十個寒暑,精品科技所推出的產品,無不廣受客戶好評。

×

Hello!

Click one of our representatives below to chat on WhatsApp or send us an email to wordpress@version-2.com.hk

×