面對這種勒索軟體的威脅,臺灣資安公司奧義智慧共同創辦人叢培侃日前在HITCON Freetalk的研討會中,正式公開該公司與勒索軟體Conti交手過招的過程,以及揭露他們研發的數位疫苗。

圖片來源: 

臺灣駭客協會提供

這兩年,針對式勒索軟體(Targeted Ransomware)鎖定大型企業勒索贖金的方式,已經成為最熱門、對企業造成危害最大的資安威脅,而臺灣之前也有大型製造業傳言被駭客組織,例如Conti等鎖定,要求企業支付大筆贖金,否則就會外洩偷到的資料。

面對這種勒索軟體的威脅,臺灣資安公司奧義智慧共同創辦人叢培侃日前在HITCON Freetalk的研討會中,正式公開該公司與勒索軟體Conti交手過招的過程。他們在協助企業進行數位鑑識的過程中,發覺到勒索軟體的存在,而且,駭客已經事先設定好、預計在2021年元旦零時零分啟動加密功能。他說,該公司發現勒索軟體的設定後,便針對該勒索軟體的特徵,製造可以混淆駭客的數位疫苗,透過欺敵的方式,讓駭客組織以為已經在企業的電腦中,成功植入惡意程式。

叢培侃表示,該公司打造數位疫苗以對抗勒索軟體的手法,目前也在申請專利中。事實上,數位疫苗的製作,就如同面對各種流感病毒,流感疫苗必須對症下藥才能夠有效,數位疫苗也必須掌握各種勒索軟體的特徵,才能夠製作出有效的數位疫苗。

他指出,該公司目前已經針對十多個流行的勒索軟體,製作相關的數位疫苗,未來也會視客戶需求,或者協助企業客戶進行數位鑑識的過程中,根據這些公司的需要再增加數位疫苗的種類。

倘若企業目前沒有遭到勒索軟體的危害,就像為了預防流感要事先注射流感疫苗一樣,企業要防範勒索軟體,若事先導入數位疫苗,也具有類似的防護效力。

協助企業用戶對抗Conti的實戰經驗,打造數位疫苗助陣

由於Conti是近期最普遍的勒索軟體,叢培侃表示,他們在協助某企業用戶進行資安鑑識的過程中,竟然發現有Conti已經存在該企業的電腦當中,而且事先設定攻擊排程,預計在2021年1月1日 00時00分 ,也就是民眾紛紛出外跨年的時候,啟動勒索軟體進行電腦檔案加密的「定時炸彈」,奧義智慧則花了四周時間,才完成相關的內部資安鑑識的前置作業。

他表示,該企業總共有6,000臺電腦,其中有77臺是有帳密外洩、透過內部網路作為主機跳板的高風險電腦,並找到12支惡意程式。在幫企業進行在資安鑑識的過程中,更連續壓制四波駭客在週末的突襲,奧義智慧協助企業透過EDR鑑識調查、製作數位疫苗、電腦接種、MDR執行清除追蹤治療等四個階段,才得以保護企業免於勒索軟體的威脅。

一、EDR鑑識調查階段

奧義智慧執行的項目包括:協助清理多支惡意程式、提供根據網路設備情資攔截到的C2清單,並提供新的Xensor設定參數,以製作數位疫苗。

二、製作數位疫苗階段

因為數位疫苗沒辦法一下子接觸到那麼多臺電腦,成效仍要看網路環境的條件而定,但數位疫苗的目的,就是要讓駭客勒索軟體誤以為受駭企業的電腦已經中毒,讓病毒在原訂排程預定啟動加密程序的當天,不會被啟動用來加密企業電腦資料。

畢竟,大規模派送安裝,做到清理惡意程式、找根因、溯源等治療情況,就像癌症病人需要持續化療才能恢復健康,所有的治療行為都無法在一天內完成。而在製作數位疫苗階段,也會根據端點資訊提供相關C2清單,並觀察多臺端點電腦流量並其通建議。

三、電腦接種階段

做到持續清理惡意檔案和持續提供C2清單,以及檢查是否有其他惡意排程。

四、用MDR執行清楚追蹤治療

提供相關IT規畫建議,並持續追蹤復發情況。

叢培侃表示,該公司先前曾與Conti實際交戰,有相關經驗,也透過當企業電腦接種數位疫苗的方式,抵抗勒索軟體的威脅,目前他們除了針對Conti的勒索軟體之外,其他常見十多種勒索軟體的數位疫苗也已經研發完成,未來若在企業進行資安鑑識的過程中有需要,也可以針對其他勒索軟體,製作相關的數位疫苗。

面對勒索軟體的危害,他強調:「預防勝於治療,第一步就是要打造零信任的網路環境非常重要。」必須假設企業資料已經外洩,所有的環節都必須驗證再驗證,直到驗證確認為止才行。

其次,企業的資料備份策略,並不是掛載更多NAS(網路附加儲存)磁碟機,而是必須要保留不同檔案版本的歷程,且習慣使用檔案同步工具。

第三步就是,建築強而有力的中場防線,包括端點偵測、紅隊驗證與持續交戰;以及面對零時差漏洞攻擊,防禦後的偵測是關鍵。

最後一步則是,加密檔案要解密,應該委由專業團隊來評估,他提醒,千萬不要自己去談贖金,不然駭客只會開出天價,透過專業第三者來協商會比較妥當;而且,也需要資安公司協助,針對駭客做專業的攻擊背景調查,以及進行加密破解評估。

畢竟,不是每一款勒索軟體都可以順利解密,在過程中,我們應設法了解駭客是否會幫你解密,而不是貿然投入。文⊙黃彥棻

____________________________________

備份時勿直接掛載網路磁碟機

一般而言,資料備份是因應勒索軟體攻擊的基本防護措施之一,然而,有些作法,可能反而讓這類惡意軟體更容易接觸到資料,而慘遭加密。

在協助企業客戶進行資安鑑識的過程中,叢培侃也看到「有助於」駭客集團,快速達到擄走資料這類勒索目的的資料備份方式。

使用網路磁碟機的方式掛載備份目錄

這種備份方式對駭客集團而言,只要能夠加密其中一臺磁碟機,就可以將全部的磁碟機同時加密。

使用網路磁碟機與其他電腦共享目錄

這種共享掛載同個目錄在好幾臺電腦,會造成檔案一直重複加密,當企業的檔案被重複加密好幾次之後,基本上,就算企業最後從駭客集團那裏拿到解密的金鑰,因為重複加密已經破壞檔案結構,企業也就無法將檔案解密,這也是企業發生的真實案例。

從目前的協助企業資安鑑識的經驗總結來看,奧義智慧共同創辦人叢培侃說:「駭客集團最喜歡加密企業的資料,就是會影響企業營運的資料,包括:人事資料HR、流程與資源管理SAP ERP、製造執行系統MES以及財務會計系統FI相關資料等四大類。」文⊙黃彥棻

 

 

數位疫苗的使用上,需經歷EDR鑑識調查、製作數位疫苗、電腦接種、MDR執行清除追蹤治療等四個階段,才得以保護企業免於勒索軟體的威脅。

圖片來源/奧義智慧

 

奧義智慧在協助某企業用戶進行資安鑑識的過程中,發現勒索軟體Conti已經在該企業的電腦中,預計在2021/01/01 00:00 跨年的時候,啟動勒索軟體進行電腦檔案加密的「定時炸彈」。

圖片來源/奧義智慧

 

 


熱門新聞

Advertisement