SNSLocker 急著趕搭勒索病毒順風車,程式碼中竟含伺服器帳號密碼
SNSLocker 加密勒索病毒雖然在行為和外觀上並不突出,但其粗糙平凡的外表下卻隱藏著一項令人震驚的事實。當趨勢科技仔細研究過它的程式碼之發現,這個勒索病毒 Ransomware (勒索病毒/綁架病毒)程式碼當中竟含有其伺服器的帳號密碼。
SNSLocker 加密勒索病毒作者的動機就如同許許多多趕搭勒索病毒大賺黑心錢順風車的網路犯罪分子一樣:它使用的是網路上現成的伺服器和付款機制。不過這一次,歹徒不是太過心急,就是為了省錢,竟然讓自己的帳號密碼就這麼大剌剌地公開 (其帳號密碼 已經被其資安研究人員公布在社群網站上)。我們已經將這項消息通報給執法機關。
SNSLocker (偵測名稱:RANSOM_SNSLOCKER.A) 所包含的元素與絕大多數加密勒索病毒相同,例如:倒數計時、恐嚇訊息、加密檔案、提供付款連結、勒索贖金 (300 美元) 等等。
圖 1:SNSLocker 鎖定螢幕畫面。
SNSLocker 純粹採用 .Net Framework 2.0 並搭配一些熱門程式庫 (如 Newtonsoft.Json) 以及 MetroFramework UI 所撰寫。其核心更採用了 Microsoft .Net Crypto API 來縮短開發時間。
圖 2:SNSLocker 是以 .Net Framework 2.0 所撰寫。
先前已提到,該勒索病毒的程式碼當中含有其伺服器的帳號密碼字串。不論是刻意或是忘記,將密碼留在程式碼內,等於讓所有人都能進入其伺服器。不只這樣,其加密金鑰也可公開取得。
圖 3:程式碼中還留著伺服器帳號密碼。
架設伺服器和散布 SNSLocker
趨勢科技發現,駭客申請了一個免費的伺服器代管服務來架設幕後操縱 (C&C) 伺服器與付款伺服器。也就是說,駭客幾乎不用花費一毛錢來維護這個帳號。除此之外,SNSLocker 也利用了一個合法的數位貨幣交易閘道來接收款項,這顯示駭客在這方面並未多花費任何心思來做出自己的特色。
最後,我們看到 SNSLocker 已透過它的伺服器散布至全球各地。在我們分析的當時,其受害者早已遍布全球,儼然成為一項全球威脅。 繼續閱讀
強化端點防護成為多層次勒索病毒防禦的一環
難有可靠的統計數據可以顯示出全球勒索病毒 Ransomware (勒索軟體/綁架病毒)疫情的確切規模,但根據美國聯邦調查局的資料,單單 CryptoWal l這個變種就在短短一年多內帶來超過1,800萬美元非法暴利。顯而易見的,這已經成為黑帽駭客對受害者敲詐錢財的新歡了。這也是為什麼趨勢科技推出全面性的活動來幫你向勒索病毒說不。
我們推出了系列文章來詳細說明多層次防禦是組織降低感染風險的最佳做法,在上一篇的文章中,我們說明大多數威脅能夠在網頁和電子郵件閘道被攔截,雖然這是真的,但確保你佈署些什麼來攔截可能穿過的東西也非常重要,這就是端點安全防護作用的地方。
犯罪份子的搖錢樹
勒索病毒 Ransomware攻擊可以具毀滅性,使企業資料無法被存取就能夠癱瘓整間企業,即便不是所有資料都會被惡意軟體加密,但很可能你會被迫將整個IT系統離線作為防禦措施,這可能導致服務中斷、生產力損失及嚴重打擊你的聲譽。
好萊塢長老教會醫療中心是最早因為這類攻擊而上新聞的機構之一,一般認為攻擊造成醫院被迫將病人轉診和取消X光、電腦斷層掃描和實驗室作業,執行長Allen Stefanek後來承認支付了40比特幣(Bitcoin)的贖金(當時約17,000美元)來取回它的檔案。他聲稱這是「回復我們的系統和行政作業最快和最有效的方式。」
這也讓我們很容易知道為什麼勒索病毒在網路犯罪世界變得如此受歡迎,以及為什麼組織必須提高預防措施來避免遭受類似的命運。
該怎麼做?
正如之前的文章所說,趨勢科技的網頁和電子郵件閘道解決方案可以攔截99%的勒索病毒威脅。大多數這類威脅都是透過這些管道來針對你組織內最脆弱的一環 – 一般使用者,但這可能被偷偷繞過的1%怎麼辦?畢竟在勒索病毒數量節節上升的時候,1%仍可能是相當大的數量,而只需要一個使用者一次的錯誤點擊就能夠讓組織陷入混亂。 繼續閱讀
《資安新聞周報》中了勒索病毒!快做這3件事保護裝置 /日最大旅行社約800萬個資外洩/電子郵件夾帶惡意程式 佯裝求職回函
本周資安新聞週報重點摘要,本文分享上週資安新聞及事件。你將會看到新聞的簡短摘要及原文連結來閱讀更詳細的見解。
駭客替恐攻死者報仇 200張「同志照」灌爆IS帳號! 新聞雲
再見Flash與Java! Safari 將廢止Flash擴充元件,Chrome下半年也跟進 數位時代
俄駭客入侵民主黨電腦 偷走川普資料 雅虎奇摩
日最大旅行社約800萬個資外洩 釣魚郵件從香港發送 自由時報電子報
趨勢:台5月勒索病毒攻擊人次 創新高 中央社即時新聞網
勒索病毒案件創新高 謹記「三不三要」應對 聯合新聞網 繼續閱讀
是時候保護你的伺服器對抗新一波的勒索病毒了
Ransomware (勒索軟體/綁架病毒)是現今IT安全團隊的災難。如果讓它在你的IT環境內擴散,就可能會癱瘓整個組織,幾天內都無法存取關鍵資料,甚至會是永遠。會有什麼後果?會造成服務停擺,生產力損失並且嚴重損害信譽和營利。有些人認為最好的答案是在電子郵件/網頁閘道加以攔截,並且教育員工來更好地察覺可疑電子郵件,雖然這些都很重要,但並非全部,網路犯罪分子也在尋求另一種攻擊載體來直接針對你的伺服器 – 攻擊未經修補的漏洞和終止支援的系統。
這就是為什麼伺服器安全防護也是多層次防禦的重要一環,組織需要加以落實以有效地降低勒索病毒攻擊風險。
是時候進行修補
伺服器是你最珍貴資料所停留的地方,所以壞人也自然地會直接針對IT基礎設施的這一塊。這可以從新威脅看到(如刪除備份,逼迫就範!! 攻擊伺服器漏洞的 SAMSAM) ,它們並非透過惡意網址或電子郵件附件檔進入,而是攻擊未經修補伺服器的漏洞,它已經讓十家馬里蘭醫院被迫暫時關閉,這些醫院都屬於MedStar網路的一部分,同時也在教育單位引起類似問題。
沒有IT資安專家會否認進行修補的重要性,但這並非一件簡單的事情,現今的IT環境是複雜的混合式架構,IT部門需要管理多種不同的修補更新機制。對於重要的關鍵系統,有時候甚至需要延遲修補,因為企業根本無法承擔進行測試和佈署更新所需的停機時間,據估計,企業平均需要100到120天來修補新發現的漏洞,只需要有一次漏洞攻擊穿透你的組織,就會成為新聞頭條的下一個勒索病毒受害者。此外,無論是為了運作或財務因素,許多組織都還在運行已終止支援的系統(如Windows 2003),所以沒有安全修補程式可用,這會進一步讓組織處在受感染的危險中。
越來越多企業運行的是實體、虛擬和雲端的混合環境,為安全架構投入更複雜的因子,這樣的複雜性所產生的間隙讓網路犯罪分子可輕而易舉的利用。你可能已經在邊界佈署了安全防護,但如果受感染的端點連上具有漏洞的檔案伺服器呢?接著就會發生出現在內部網路的攻擊,繞過了傳統的安全控制。而且,雲端環境並沒有邊界…那接下來怎麼辦?