勒索病毒/勒索軟體的威脅正不斷升級,並對我們的重要資料、隱私和財務造成嚴重風險。因此,深入了解勒索軟體可能入侵的途徑,不僅可以幫助我們更好地保護自己,還能降低成為攻擊目標的風險。
我們將探討幾種常見的入侵途徑,從社交工程到弱點利用,再到供應鏈的漏洞。這些入侵方式不僅具有挑戰性,而且攻擊者經常巧妙地運用它們,以進一步加強他們的攻擊。
常見的勒索軟體入侵的途徑如下:
1。透過社交工程、偽造網站等方式,誘騙點選惡意連結、執行惡意程式
首先來討論關於利用使用者疏忽、輕信的行為,透過誘騙的方式來達成入侵目的。這方面主要常見的手段像是透過社交工程寄送惡意電子信件、偽造成正常服務網站等等。
透過寄送附帶惡意連結和惡意附件的信件給使用者,這些信件的寄送主旨可能會是優惠活動、各項服務通知、帳單發票或金融資訊等等,在信件當中可能會要求使用者點擊信件連結到活動官網,或是可以執行附件檔案看詳細的資訊。當使用者點擊連結或執行附件的時候,就會進行下載或執行勒索軟體、惡意軟體的動作,或是開啟連結導入到偽造成正常服務網站的介面,取得機敏資訊之後再下載執行惡意檔案。
還有像是在搜索引擎投放惡意廣告,偽裝成正常軟體、軟體更新、微軟安全更新等下載的網站,引誘有需要的使用者進行下載安裝,在安裝軟體的同時,另外安裝勒索軟體、惡意軟體等,或是直接進行加密的動作。
2。對外服務、系統等的弱點利用
透過服務、系統的弱點來達成入侵目的。這方面像是設備、服務未經過適當設定、限制,有未經修補的漏洞可被利用等等。例如:利用 VPN 服務的漏洞,在沒有多重要素驗證的情況下,繞過身份驗證機制,或是利用漏洞無法限制暴力破解帳號密碼的方式來入侵到內部網路之中。
還有像是微軟曾公佈出來的一個案例,攻擊者利用尚未修補 ProxyShell 漏洞的 Exchange 伺服器,透過相關漏洞進行入侵並取得權限,部署 Web Shell 和用 Cobalt Strike Beacon 建立 C2 連線來進行控制,利用 Living Off-the-Land 的手法,透過合法的工具如 AnyDesk 、NetScan、Adfind 等進行連線和偵查的行為,推測可能使用憑證工具 Mimikatz 取得憑證資訊等,使用 ExByte 來收集和洩漏資料,最後利用 BlackByte 2.0 來進行加密的動作。
遠端桌面協定(RDP)也是常見的入侵管道,在網路上可以發現到很多開啟 RDP 協定的主機,如未經過適當的存取限制,可能會被人嘗試用暴力破解、憑證填充的方式取得帳號密碼。如協定的漏洞未經修補,可能會導致繞過身份驗證機制執行任意程式碼的情況發生,因此很多攻擊者都會嘗試從遠端桌面作為突破點。
3。透過供應鏈進行的入侵
供應鏈也可能會是入侵的途徑之一。供應商、服務商或是連帶相關的組織,每一個環節都可能有和企業網路介接的部分,或是有可能儲存著相關機敏資訊。由於供應鏈內各個環節資安防護的情況不同,因此攻擊可能會從其中一個環節開始入侵,接著有可能會順著介接的部分或取得的機敏資訊來入侵到企業的環境內。
綜合上述所提到的相關入侵途徑,WIZON 資安專家建議可以進行以下實踐來降低發生的被勒索軟體駭侵的可能性:
定期進行資安培訓,提高對社交工程的警覺性和資安意識。
在收到可疑郵件時,不要輕易點擊連結或打開附件,應先確認其真實性。
避免在非官方或不明網站下載檔案。
定期審查和設定系統服務,確保安全性設置正確且關閉不必要的服務。
評估是否有必要公開對外提供服務,並實施適當的訪問控制和多因素驗證。
定期進行弱點掃描和滲透測試,並修補發現的弱點。
避免使用相同的密碼,以降低憑證填充攻擊的風險。
考慮實施零信任架構,以提高整體安全性。
更關鍵的是可使用端點防護的方式來對主機進行監控、保護。
透過對主機進行資訊的收集,可以觀察服務狀況、是否有設定需要調整、是否有異常存取的狀況、執行過的指令等,可發現像是嘗試帳號登入、利用合法的工具執行攻擊之類的行為。
透過偵測可疑行為動作,可在事件發生前先進行處置。例如使用者下載未知的程式來執行,執行過程中出現可疑行為,偵測發現就能對其進行分析,進而採取對應的處理動作,像是進行阻擋的動作。這些機制都是能發現可能有嘗試入侵或是正在入侵的跡象,企業、組織可以根據資訊做進一步的處置。
Comments