挖礦勒索病毒肆虐,關貿網路分析駭客隱匿蹤跡新手法

  • [su_post field="post_date"]

        在近年,資安攻擊手法日新月異,資安風險日漸提高,企業對於防護層面總有道高一尺、魔高一丈的感覺,但與其亂槍打鳥猜測駭客可能採用的攻擊手法,不如先從探討最新攻擊型式開始著手。
        在今(2019)年出現了一種新型態的攻擊手法,駭客利用無檔案模式Downloader來隱匿蹤跡,傳統駭客在攻進系統後一定先放木馬或後門程式在使用者的主機,但這些程式多半會被防毒軟體偵測攔截,現行新型態的手法為改用電腦內原生的指令(powershell),寄生在開機啟動或是排程區域(例如微軟啟動時會用到的程式),自動執行惡意指令,此指令會連線至中繼站下載真正具有破壞性的木馬與後門檔案,藉此避過防毒的偵測。檔案會偽裝成使用者看了覺得很正常的軟體名稱,讓使用者放鬆戒心,而後每次電腦將自動連向中繼站去慢慢下載木馬,藉以躲避防毒軟體的偵測。透過木馬成功取得相當的主機權限後,駭客再藉由主機之間互相感染進行橫向跳躍,盡可能取得多台主機權限,而透過內網進行高權限帳號的密碼猜測奪得權限,再往伺服器區或資料庫區邁進,進而癱瘓整個系統服務,或是透過自動化蠕蟲病毒將資料庫的資料檔案加密,藉此勒索金錢或是比特幣。

        關貿網路資安聯防團隊指出,在過往處理這類新型攻擊手法的經驗中,企業若沒有對應的防禦及監控模式,平均可能需要約三個月以上才會偵測到,而此類無檔案的惡意程式,也不會被防毒軟體給抓到,所以建議企業平時利用即時沙箱技術,模擬出最新形式的可疑行為進行分析,並在內部系統架設資安攝影機,隨時監控內網平行移動或對外連線的可疑流量與行為,由資安服務商做即時的警戒與分析處理。此外,也採用資安端點防護,將主機上的可疑程式回報到中心端,才能迅速抓出駭客軌跡。關貿團隊也建議企業可以將內網做分區,例如不同部門可以設定為不同網段,若真的遭受攻擊入侵時,也能將傷害降到最低。
        面對推陳出新的資安攻擊手法,企業端也應該化被動為主動,關貿團隊強調,資安服務廠商除了提供全面性的資安情資及監控防禦服務外,更應以攻擊者的角度來解析資安攻擊,協助客戶建立縱深防禦的資安環境,畢竟資安攻防就像竊賊與鎖匠的角力,沒有一個鎖是保證永遠不會被打開的,只能不斷更新、強化本身製鎖的技術才是唯一良方。