神秘事件嗎?電腦沒有感染病毒,怎麼也會被加密勒索!
Alan是一家中型電商平台公司的系統管理員,由於曾遭遇過資安事件的因素而讓公司願意在資安保護上做了不小的改善投資,但是最近公司還是不幸遭遇了加密勒索事件,即使將受害的伺服主機跟員工電腦進行病毒掃描、事件調查、重新安裝、更新修補等程序,也要求公司全體人員都要小心問題郵件跟下載檔案軟體,甚至找過維護公司資安的廠商協助調查,卻仍然無法找到發生感染加密勒索的來源,難道在沒有感染病毒的情況下也能被駭客操作加密勒索嗎?
在我們與Alan公司進行訪談中,非常肯定他們在資安的作為是非常嚴謹、落實執行的程度,從他們針對這波加密勒索事件的調查作業也相當詳細,不過當我們在WiZON MDR部署監控過程中發現的一個被忽略的盲點,也是這次與各位分享的攻擊手法:遠端加密勒索(Remote Ransomware Attack) 。
讓偵測防護失去效果的攻擊方法
遠端加密勒索攻擊(Remote Ransomware Attack) 是一種被許多知名勒索病毒家族普遍採取的攻擊方式,包括最近攻擊鴻海集團旗下-京鼎半導體的的LockBit、攻擊台達電及研華的Conti、以及其他惡名昭彰的BlackCat、WannaCry、Akira、Ryuk等等都存在遠端加密勒索攻擊方式,近期以來已經有越來越多的企業單位遭遇這類攻擊方式的災害,受害單位不乏資安防護嚴謹的企業,但是受害族群還是資安意識及防護力不足的中小型企業單位為最主要。
遠端勒索攻擊所凸顯的危機在於,不需要直接注入病毒或惡意軟體、不需要特別技術規避防毒軟體,就能夠遠端發動加密勒索的攻擊行為。不同於一般加密勒索攻擊行動仍有明顯的行蹤可循,遠端勒索攻擊則幾乎是「隱形的」,因此在資安事件發生的事前探測跟事後調查上都更加困難,想要進行威脅獵捕的關鍵往往得在該種攻擊為「現行犯」當下逮住才能現形。這種攻擊方法就如同「隱形戰機」的出現,嚴重改變攻擊與防守雙方之間的戰略做法,因此有越來越多的「勒索病毒服務 (Ransomware as a Service, RaaS)」採用類似的攻擊技術,至少現今多數的防守方還沒有意識到相關的偵防應對。
駭客青睞的原因:符合犯罪行動的條件要求
「遠端加密勒索」為什麼會受到許多知名駭客團體的青睞?原因在於符合駭客犯罪行動的條件要求:方法好用、不用特別技巧就能避開偵測、還不容易被調查追蹤,符合「低調潛伏、精準攻擊」的訴求。由於新世代的端點安全系統多數具備很不錯的惡意程式攻擊偵測功能,也能對於現代的新式攻擊威脅起到防護效果,因此只要企業環境中的系統主機有部署新世代的端點安全系統,對於打算進行犯罪攻擊的駭客而言並不是一個理想的目標,因為各種攻擊階段的行動都必須小心觸發警報,甚至有被調查追蹤的風險。
不過,遠端加密勒索攻擊是一種很懂得「隔山打牛」技法的隱形攻擊,簡單來說「案發現場並不是執行犯罪的現場」,所以在受害的主機系統上是發現不到被注入加密勒索病毒或惡意程式,也不會有執行加密的動作程序,也因此能真正避開受害主機上的安全偵測跟保護措施;即使在事件後進行調查也很難發現犯罪的蹤跡,造成「神秘事件」的情況。
由於遠端加密勒索的攻擊特性,所以對於著重在受害主機本體的端點安全系統就很容易失去效果。首先是傳統的電腦防毒軟體(Anti-Virus)將完全無用,因為電腦防毒軟體的主要功能是檢測、阻止和清除已知的病毒,所以面對不認識或不存在的情況下就失去效果了。其次是一般的端點安全產品在這種情況下也會無效,因為它們專注於偵測受保護裝置上的惡意勒索軟體檔案和流程,但是遠端加密勒索的攻擊程序不是在受害的主機電腦上執行,因此也就繞過受害者設備上的惡意偵測機制。
此外,遠端加密勒索容易造成事件調查時的盲點,因為資安事件處理上會直覺先針對發生被加密的受害主機電腦為調查蒐證目標,例如開頭所提到Alan公司的事件調查就是一個常見案例,當然這也就成為符合駭客犯罪行動所期望的理想情況:繼續低調潛伏、找尋機會再次攻擊。
💡 延伸閱讀:失衡的資安策略:建置了資安防護卻怎麼就是防不住?
遠端加密勒索的攻擊條件
不過遠端加密勒索攻擊也並非能憑空行動的神奇魔術,基本上仍然需要滿足條件之下才能展開攻擊行為,就跟任何的勒索軟體攻擊一樣都需要有「可利用的攻擊據點跟攻擊管道」。
正確的說,駭客必須先攻佔企業網路環境中的至少一個「據點」,這些據點是主要感染加密勒索軟體的帶原者,駭客進一步利用企業的網路來針對網路環境中的其他電腦上的資料進行加密攻擊,所有的惡意活動(入侵、注入惡意軟體、執行加密)都是在已經被感染的「據點」主機上進行,而不是發生在被加密的受害主機上!以下針對遠端加密勒索攻擊所需要的攻擊條件分析:
攻擊據點
遠端加密勒索必須先攻佔企業網路環境中至少一個據點,這些被攻佔成為據點的系統主機多半為「不受管理(unmanaged)」或「不安全(insecure)」的情況。
根據2023年Sophos針對遠端勒索軟體的研究中指出80%遠端加密勒索事件源自於企業網路中不受管理的系統主機。比如,在企業中存在的「老大爺」設備是最常被利用的攻擊據點,這些老大爺設備往往被默許要求「不要動它」,原因包括系統版本老舊、過保沒維護、效能規格不足、或是重要服務功能等等情況下,造成這些系統主機往往在缺乏可管理、升級、維護、監控、保護等情形下而成為駭客攻擊據點的藏身所在。
而「不安全(insecure)」之所以造成遠端加密勒索攻擊據點的因素,一種是真的「不具備任何安全保護」,顧名思義是完全沒有啟用或搭載任何的端點安全保護;另一種則是「安全保護不充分」,常見的情況為防護功能薄弱、或防護技術過時、或不做防護資料的更新,造成一種假像。
攻擊管道
遠端加密勒索的攻擊管道主要是透過企業網路環境,簡單來說攻擊只需要能夠訪問到受害目標的網路利用RDP或SMB之類在企業內網常用的通訊方式,比如公司網路開啟共用硬碟或網路芳鄰、以及遠端桌面管理都能成為攻擊者利用的管道,如果再加上系統使用弱密碼或不使用密碼都會被攻擊者輕易破解。因此當企業網路成為可利用的攻擊管道時,遠端加密勒索軟體就會透過攻擊據點從遠端針對網路上各台系統主機的檔案資料進行加密。再次強調,遠端加密勒索不需要先對受害的系統主機安裝惡意程式,就可以透過遠端方式進行加密攻擊,跟傳統的加密勒索攻擊需要在受害的系統主機上想方設法直接安裝惡意軟體跟執行加密的方法上是不同的!除此之外,遠端加密勒索也不是用傳播病毒的方式來感染受害目標。
應對遠端加密勒索威脅的有效做法
從上述的攻擊條件分析,各位可以發現遠端加密勒索並不是真正完全隱形的攻擊,就像「隱形戰機」令人稱道的並非它會變不見,而是它的行動蹤跡能非常隱匿低調、難以被主要的偵測技術察覺,針對要攻擊的目標更能遠距離精準破壞,甚至執行任務後也不容易被追查發現。不過,隱形戰機還是存在被發現的方法,關鍵在於是否具備相對應的偵測跟防禦技術。
反勒索軟體的偵測技術
安裝部署在系統主機的端點安全(Endpoint Security)必須要具備「反勒索軟體的偵測技術」,這類技術有不同的做法,以WiZON MDR及WiZON CSR服務所採取的技術來說,能夠透過先進的智慧演算法分析內容來查找大量快速加密的檔案,因此即使像遠端加密勒索的惡意加密執行不是在受害主機電腦上運行的,也可以偵測發現到勒索軟體加密的企圖,進而封鎖終止攻擊行為,並且會自動風險企圖發動遠端加密攻擊的來源主機IP地址(亦即前述的攻擊據點)。
防勒索攻擊防護技術
對於加密勒索攻擊的發動時,不僅要能夠即時偵查發現,更需要能夠立即反應阻斷非法加密的行為繼續下去,否則當遠端加密勒索的攻擊行動展開時是非常迅速的,根據我們所見證的案例觀測是幾乎不到一秒就將上百個檔案完成加密,這也表示有些資料檔案會遭遇不幸,所以「備份」往往被列為防勒索攻擊的作業項目,不過遠端加密勒索攻擊也早就將「備份」存放的系統設備納入目標!
因此WiZON MDR及WiZON CSR服務不僅具有上述的準確快速偵測與阻攔外,並且能將已經被加密修改的檔案自動復原,而這樣的技術不需要用到專門的備份作法。除此之外,保護的範疇不僅只有針對電腦的檔案資料外,也會針對系統主開機紀錄(MBR)做好保護,避免駭客發動硬碟抹除的攻擊大招。
網路偵測獵捕技術
這項技術也稱為NDR (Network Detect & Respond),是一種用於補強端點安全機制不足的進階技術,從網路的層面偵測包括遠端加密勒索攻擊所發動的行逕,畢竟在端點的檢測維度有限,而結合NDR技術的話就能建構「點-線-面」更立體完整的攻擊情報景觀。
企業更應該做好的基本功
事實上,本次所討論的遠端加密勒索攻擊並不是最新的手法,就像各種攻擊方式會不斷演變進化,例如在2018年左右的知名勒索病毒WannaCry為例,不僅曾造成台積電遭受最大資安事件,也是影響全世界範圍最大的攻擊,WannaCry就是一種利用微軟SMB網路通訊協定漏洞散播的遠端加密勒索攻擊,時至今日WannaCry的危害仍舊時有所聞,並且誘發更多新型的勒索攻擊進化。雖然,遠端加密勒索攻擊的「隱形攻擊」可能正製造一波新的攻擊趨勢,各位可以檢視目前部署的資安偵查防護是否具備因應的能力之外,但是難保哪天又興起另一種不同的攻擊趨勢,因此在資安意識的宣導是必要的,企業必須不厭其煩的教育全體人員有關釣魚攻擊的風險,教導他們如何辨識和避免釣魚郵件以減少社交工程攻擊的風險。
除此之外,我們更建議企業可以參考NIST CSF資安框架所提出的五大項目:識別、保護、偵測、回應、及復原,並依循PDCA持續思考及做好資安任務的基本功。當然,您需要更立即的資安任務展開的話,尋求專家團隊的協同運作是一種更有效率的方法,WIZON資安即服務是您最佳的選擇。
💡 延伸閱讀:認識及實踐NIST CSF資安框架
コメント