近期國內外大型企業遭勒索攻擊事件頻傳,像是擎昊科技遭勒索七千萬美金、波音公司資料外洩與中國工商銀行-美國子公司遭勒索攻擊擾亂了美國國債市場等,皆由LockBit所發動。根據統計,LockBit是目前攻擊數量最多的勒索軟體,並且已被多個資安組織,以及美國網路安全暨基礎設施安全局(CISA)、英國與紐西蘭等多國網路安全機構共同發布的報告中,列為頭號勒索軟體組織!你,不能不注意
高組織性的勒索軟體軍火商
具俄羅斯背景LockBit 前身為專門針對『ABCD』勒索軟體,首次被發現於2019年,2020年更名為『LockBit』。2020年初LockBit組織 開始了以『勒索軟體即服務(Ransomware-as-a-Service,RaaS)』為營運模式的聯盟計畫,提供LockBit技術給犯罪者(分支)。這些分支只需支付費用(加盟),就能使用勒索軟體進行攻擊,而LockBit組織則是提供技術支援和基礎設施,以及從這些犯罪者得手的勒索贖金中獲取一部分分潤,分支甚至能先取得贖金後再付費,這種營運結構讓LockBit組織能專注於更新攻擊技術。2021年推出的『Lockbit 2.0』更提供Tor系統管理員介面,分支能透過介面管理受駭者資料、產生新的勒索軟體版本與進行解密功能自動測試等,這一連串配套措施使更便於非技術性犯罪者使用。
2022年LockBit 組織釋出『LockBit3.0』(又名 LockBit Black)的同時,也推出了勒索軟體界首個『漏洞回報獎勵計畫(Bug Bounty)』,從勒索軟體漏洞回報、官網漏洞回報到軟體建議等,都能獲得獎金。此版本中還增加『加價延長功能』,以時間壓力來施加心理戰術,這種情況下,受駭者可能更願意支付贖金。聯盟式的營運策略,透過吸收不同分支,並且積極優化產品與服務,讓LockBit不斷擴大攻擊範圍,成為2021年至今最具活躍的勒索軟體。
積極進化的LockBit
初展身手的『LockBit 1.0』
『『LockBit 1.0』主要以Windows為攻擊目標,加密過程採RSA+AES,能進行高效加密。早期的『LockBit 1.0』較不成熟,容易遭安全防護軟體識別阻殺,相較於當年的Revil 與Conti並無知名的攻擊事件, 較為無名
利用合法掩飾非法的『LockBit 2.0』
2021年LockBit組織先後推出了『LockBit 2.0』與『LockBit Linux-ESXi Locker 1.0』- 專門針對Linux 和 VMware ESXi 系統的變種。 『LockBit 2.0』相較於前一代有更優異的「加密與竊密速度」,其StealBit模組能在短短的4分半鐘可加密100GB的文件,在20分鐘內下載100GB資。此外,積極進化的『LocBit 2.0』改善了「規避」與「擴散」能力。除了利用清除受感染設備日誌這種常見的規避偵測的手法外,也利用了合法工具來執行非法行為,例如:
在執行時,能自動産生新的群組原則設定檔並禁用 Microsoft Defender 即時防護功能。
使用Process Hacker 與 PC Hunter 等合法工具來終止受駭系統的程序和服務。
利用Windows Server AD 群組原則(Group Policy),只要取得網域控制器的存取權限,需執行額外腳本,便可自動快速地加密整個網域的設備。甚至具備網路喚醒 (Wake-on-LAN ) 功能,能喚醒休眠或關機狀態的電腦,擴大感染範圍。
利用合法掩飾非法的『LockBit 2.0』在釋出後引發一連串的攻擊事件,包括全球最大IT顧問公司Accenture、法國司法部、加拿大公民間軍事航空公司Top Aces、鴻海墨西哥廠與泰國曼谷航空公司等大廠輪番成為受駭者。
狡猾的合法工具操縱高手『LockBit 3.0』
不斷改進的LockBit在2022年釋出『LockBit 3.0』,今年初則是推出變種版本-加入Conti原始碼的『LockBit Green』。以『Make Ransomware Greate Again』為口號而推出的『LockBit 3.0』,除了繼承『LockBit 2.0』的「規避」與「擴散」能力外,更具備「反分析」能力,每個惡意檔案在執行時,都需要輸入唯一密碼才能執行啟動,更具加密性以及反逆向分析能力。
『LockBit 3.0』亦擁有更強大的「反偵察」能力,攻擊鏈利用開源軟體、系統內建工具以及紅隊演練工具等多達三十種合法工具,躲避偵測安全解決方案, 達成惡意目標。例如:
利用檢測身份驗證漏洞的工具Mimikatz獲得合法憑證(像是系統管理員憑證),接著以系統管理員身份使用遠端控制執行工具PsExec 進行橫向擴散移動。
利用Windows Defender 的命令列工具MpCmdRun.exe來側載與解密紅隊演練工具Cobalt Strike 的Beacon。Beacon的目的是用來建立與受感染系統之間的持久通訊,因此攻擊者可利用Cobalt Strike Beacon持續與受駭系統進行連線,執行命令執行、文件上傳與下載等控制操作。
利用7-zip壓縮竊取的資料,藉由減小數據大小,避免傳輸時引起注意,再利用FileZilla上傳7-zip壓縮檔至目標位置。
狡猾的合法工具操縱高手『LockBit 3.0』利用多元工具達成惡意目標。而聯盟式的營運模式也讓攻擊目標變得多元,從德國跨國汽車集團Continenetal到加拿大小鎮聖瑪麗斯,都是LockBit攻擊對象。而今年從日本貨運量之冠的名古屋港受攻擊導致停擺兩天、台積電供應商-擎昊科技遭勒索與中國工商銀行-美國子公司遭勒索攻擊擾亂了美國國債市場,顯示『LockBit 3.0』帶來全球性風險與供應鏈安全的擔憂。
LockBit 的攻擊之路
初始入侵
LockBit主要透過以下3種方式獲得存取權限,進行初始入侵:
1. 漏洞利用
針對目標對象進行漏洞掃描,進一步利用「可利用漏洞」來進行入侵。今年11月8日中國工商銀行勒索軟體事件,即為利用Citrix NetScaler ADC 和Gateway 設備的漏洞Citrix Bleed(CVE-2023-4966,CVSS高達9.4),該漏洞允許未經授權遠端攻擊者從Citrix中取得大量資料與憑證 ,能在無需密碼情況下進入受駭者網路。
Fortinet FortiOS SSL VPN漏洞CVE-2018-13379也是LockBit曾利用的漏洞。未經認證的遠端攻擊者可利用此漏洞存取 sslvpn_websession 檔案,進而取得 VPN 網路的登入帳密。澳洲ACSC曾觀察到LockBit多次利用CVE-2018-13379進行攻擊。
除了CVE-2018-13379與CVE-2023-4966,LockBit亦曾利用F5 iControl REST 漏洞CVE-2021-22986、F5 BIG-IP 與 BIG-IQ漏洞CVE-2021-22986、Apache Log4j2 漏洞CVE-2021-44228與Microsoft RDP漏洞CVE-2019-0708:等進行攻擊。
2. 遠端桌面協定RDP
利用錯誤RDP設定、暴力破解RDP帳密或購買外洩的RDP帳號,遠端登入目標單位的系統。Sophos曾於2022年觀測到,LockBit利用美國地方政府伺服器其允許外部存取的錯誤RDP設定,成功入侵,並陸續下載協助攻擊的軟體。
3. 釣魚郵件
藉由發送夾帶惡意檔案的釣魚郵件,誘導下載惡意檔案,進而取得目標網路存取權限。例如,義大利博物館曾遭到偽冒成攝影公司的LockBit釣魚郵件攻擊,信件夾帶惡意檔案的壓縮文件,該文件偽冒成PDF文件,實際上為可執行檔。當目標對象解壓縮檔案,並開啟偽裝的PDF檔,隨即觸發了惡意腳本。
潛伏滲透
LockBit成功入侵目標系統後,會隱匿一段時間,並利用各種合法工具進行提升權限與探查內網資訊,藉以竊取網域管理員帳或是其他系統管理者權限,以及蒐集核心業務的分布資訊。透過竊取到的憑證或是PsExec與Cobalt Strike 進行橫向擴散。為了隱匿行蹤,執行過程會刪除Windows上的系統記錄與安全日誌,並且利用合法工具停用安全防護軟體,或是將惡意程式隱藏於PNG檔,藉以躲避安全防護偵測。
實現攻擊
在收集目標資料與感染多台主機後,便開始發動攻擊,實現加密與資料外洩。LockBit採用AES加密方式,並且為了增加安全性,還使用RSA公鑰對AES私鑰進行加密,形成雙層保護。資料外洩則採用開源軟體如WinSCP、Rclone與FileZilla傳送至外部伺服器,或是利用雲端儲存方式上傳檔案。LockBit還會控制印表機,印出勒索訊息直到印表機紙耗盡,以及更改受駭者螢幕桌布藉以警告受駭者。
面對狡猾的LockBit,該如何應對呢?
對傳統安全解決方案來說,要偵測由合法工具所發動的惡意行為有一定難度,因為這些行為也可能是系統管理員的工作之一或是使用者日常行為。多元的工具使得辨識惡意目的更加困難,而常見的開源工具也容易讓人失去警覺心,攻擊者得以潛伏在受感染系統中蒐集敏感資訊,進而達成目標。為了最大程度降低資安風險與減少衝擊,企業應實施完善的事前預防措施,增加實現攻擊的困難度。萬一受到侵駭,也應確保事後復原的安全性與強化防護能力。以下依據事前事中事後給予建議:
事前:降低受駭可能性與建立組織韌性
儘早完成漏洞修補:
任何有漏洞的設備或是服務,務必儘早完成更新漏洞修補作業,切勿拖延或是忽略漏洞修補,給了攻擊者利用的機會。
權限控管與資產盤點:
企業應以最小權限為原則限制用戶和系統的權限,組織可以降低不當存取和濫用的風險。由於LockBit利用各種合法開源工具,企業也應定期進行資產盤點或是移除不必要的軟體,尤其是常被忽略的開源軟體,這有助於減少潛在風險。
定期RDP資源盤點:
定期盤點使用RDP的需求,以及檢視RDP相關資源與設定,以避免RDP服務遭濫用。
實施監控與日誌稽核:
7*24小時監控異常行為與異常帳密連線,例如關閉多個應用服務與程序、異常RDP連線與大量密碼探測。此外,提權是LockBit攻擊的關鍵步驟,因此應該密切關注是否有與提權相關的異常活動,及時阻斷攻擊。
強化伺服器防護:
LockBit目標通常是存有公司重要資源或是維持服務的伺服器,因此企業可針對伺服器部署防護方案,協助偵測異常行為並採取主動式防禦,若發現異常行為,相關人員能立即中斷活動。
妥善備份:
依據『備份321原則』定期備份重要資料,這有助於在受到攻擊後能儘速復原資料與服務,減少營運衝擊。
擬定應變計畫與演練:
應變計畫的目的是為了確保企業能在最短時間內恢復受影響業務,應包含系統服務備援機制與通報計畫,並定期進行模擬演練,以確保應變計畫的有效性,提高應對與復原能力。
事中:最大程度降低受影響範圍與衝擊性
隔離受感染設備:
盡可能隔離受感染設備,例如斷開該感染設備的網路連線,阻止橫向移動,並將可能受影響的設備進行預防性隔離。過去受疫情影響,許多公司讓員工採取遠端工作,導致物理隔離難度加大,因此建議企業導入能執行遠端隔離的措施,增強應對威脅能力。
盤點受影響範圍:
駭客通常竊取機敏性資料進行勒索攻擊,因此除了盤點受感染設備外,也須盤點受影響的資料範圍,例如客戶與供應商資料、原始碼、帳號密碼等機敏資料,並研議資料外洩之因應措施與通知利害關係人。
啟動服務備援機制:
企業可在確認備援設備已與感染設備/網路隔離的情況下,啟動系統備援機制,以維持服務不中斷,減少營運損失。
保留案發現場:
保全證據的目的在於尋找駭客攻擊脈絡,改進安全措施,以阻止同樣的事件再度發生。有些企業為了儘早恢復正常營運,將設備直接重置或是復原,造成證據直接被破壞,這樣的行為會對找出事件根因造成影響,企業可能因同樣的問題再度遭受攻擊。
事後:強化安全防護能力
確保安全復原:
『備份復原是企業的最後一道防線』,應確保還原時檔案的安全性,避免將已經存在病毒漏洞問題的備份版本進行還原,造成二次傷害。
事件分析與強化安全政策:
將相關證據交由外部專業資安團隊進行分析,了解事件發生的根因後,調整現有安全架構,強化未來防護措施,避免二次受駭。若企業因營運考量,無法保留受駭系統證據,也可導入『彈性復原機制』,將有問題的版本復原至另一台受隔離的主機以便進行事件調查。
確保網路環境的安全性:
重置密碼等權限憑證,避免遭竊取的帳密被駭客利用。修補漏洞以及使用防毒軟體掃描所有設備確保安全性。
從『LockBit 2.0』到『LockBit 3.0』,LockBit勒索軟體組織橫掃全球。很多企業/組織單位疏於資安管理,或是抱著得過且過的心態只依賴Windows Defender,這就好比家中保險箱只使用一般的喇叭鎖防護,專業攻擊者能輕易撬開,取走重要資產。倘若因人手不足,也應在資源許可下,尋求資安專家團隊協助,不要抱持『就這樣算了吧!』的心態,將自己暴露於敵人前。
面對狡猾的LockBit 或未來即將出現的各式新興網路攻擊手法,單一的安全防護措施是不夠的,而WIZON獨家創新推出的資安即服務方案,不僅有端點防護措施,還有資安專家提供專業服務。從日誌監控分析、資訊安全事件監控及回應、端點主動式監控防禦、遠端實時管理設備、隔離妥善備份到安全復原,提供了完整的解決方案,協助企業應對各種攻擊情境,幫助企業用戶減少資安風險並保護企業的核心業務。
Comments