FBI: 光是今年,勒索病毒所造成的損失就高達 10 億美元,端點防護如何讓企業防範勒索病毒?

 

本文是一系列四篇部落格文章的第二篇,專門探討勒索病毒 Ransomware (勒索軟體/綁架病毒)攻擊一般使用者及企業的各種不同技巧。從這些技巧看來,防範這類威脅最好的方式就是在企業網路的各個層面建置多層式防護,從閘道、端點、到網路和伺服器。

先前的文章請參考這裡:

  • 勒索病毒的攻擊媒介了無新意,為何能繞過傳統的安全解決方案?

FBI: 光是今年,勒索病毒所造成的損失就高達 10 億美元

根據 FBI 美國聯邦調查局預測,光是今年,勒索病毒 Ransomware (勒索軟體/綁架病毒)所造成的損失就高達 10 億美元。勒索病毒儼然已成為一項「錢」景看好的生意,而網路犯罪集團也正積極轉戰其他領域來開拓更多攻擊目標,無論一般使用者或大大小小的各種企業皆無一倖免。

一般來說,中小企業 (SMB) 通常缺乏足夠的資源來建置完善的資安解決方案,根據一項調查顯示,美國有 65% 的中小企業不願將錢花在勒索病毒相關問題上,包括支付贖金或建置防護;而大型企業,儘管已建置了多層式防護,其網路仍舊存在著資安風險,尤其當威脅來自已知的信任來源,例如:第三方合作夥伴、廠商、聯絡人或是自己的員工。在這樣的情況之下,具備良好行為監控以及應用程式控管功能的端點防護,將是企業對抗勒索病毒的最後一道防線。

圖 1:勒索病毒攻擊與因應解決方案。

行為監控如何運作

趨勢科技 Smart Protection Suite 和 Worry-Free Pro當中所內建的行為監控功能可追蹤並封鎖任何「異常」或不常見的系統行為或變更,如此就能根據已知和未知的攻擊手法與技巧,包括加密、操弄處理程序、在系統植入檔案、幕後操縱 (C&C) 通訊等等,主動偵測及防止勒索病毒與加密勒索病毒執行,此外,還可封鎖專門竊取資訊的勒索病毒變種,如 RAAMIRCOP勒索病毒。

一套良好的行為監控工具,可偵測是否有任何程式在對系統中的特定檔案進行加密。若某個執行中的程式不在白名單當中,或者它是勒索病毒的相關檔案,該工具當下就要立即防止其執行。

圖 2:勒索病毒加密各種類型的檔案的截圖。

此外,良好的行為控工具還可偵測一些專門用來躲避電子郵件掃瞄並且將惡意程式混淆編碼的腳本程式 (Script),例如專門散布 LockyTeslaCrypt 4.0 (趨勢科技命名為 CRYPSTELA) 以及 CryptoWall 3.0 (趨勢科技命名為 CRYPTWALL) 等勒索病毒的腳本程式。我們的行為監控工具可偵測並攔截以 VBScript (Cerber 及 Locky 變種) 與 JScript (RAA) 等腳本程式語言撰寫的勒索病毒。

某些勒索病毒家族,會刪除系統的陰影複製 (Shadow Copy) 備份,這樣的行為在某些作業系統當中屬於正常行為,因此不會被立即攔截,但一套良好的行為監控工具,應該將這類行為標記為可能已感染勒索病毒的徵兆。

還有一些勒索病毒變種會濫用系統上正常的工具程式、服務或軟體架構,來避免遭到偵測及移除。例如  PowerWare  就會濫用 Windows PowerShell 工具。一套良好的行為監控工具應該要能發掘及預防某些事件發生,例如:當正常的程式/服務/軟體架構出現惡意行為時,或者當正常程式被用來執行加密時,此外,這套工具應該要提供一種政策來控制哪些類型的檔案不能在系統上執行。

圖 3:PowerWare 濫用 PowerShell 的程式碼。

一般使用者或許無法立即警覺到勒索病毒感染的徵兆,尤其當惡意程式碼被注入一些正常的執行程序 (如 檔案總管 Explorer.exe) 當中時,在這種情況下,行為監控就可以發揮作用,因為這類函式注入 (Injection) 或勾掛 (Hooking) 的行為都會被標記出來並且加以攔截。

何謂應用程式控管?

除了行為監控之外,另一項端點防護可提供的良好功能就是應用程式控管 (亦稱為應用程式白名單),此功能可防止勒索病毒在系統上執行,並可防止病毒進一步破壞備份資料等等,其作法是僅允許非惡意的程式/檔案/執行程序在系統上執行。

圖 4:趨勢科技應用程式控管能防止 JIGSAW 執行。

IT 系統管理員可透過應用程式控管功能來設定系統上可執行的程式/檔案/執行程序清單,他們可基於現有的端點來建立清單,並且根據類別、廠牌、應用程式或其他動態信譽等屬性,一旦某個應用程式列入白名單中,其後續的升級或更新版本也自動列入白名單。此外,IT 系統管理員也可使用豐富完整的預設安全應用程式清單,內含各種系統檔案、桌面應用程式、行動應用程式以及其他等等。

除了將應用程式加入白名單中,良好的應用程式控管功能還要可以防止程式/檔案/執行程序從某些檔案路徑執行。IT 系統管理員可建立規則來封鎖某些目錄,勒索病毒變種在系統上植入的檔案通常會放在%Temp%%User Temp% 兩個暫存目錄當中,而這也是大多數惡意程式所使用的目錄。此外,還有像 JIGSAW 這類勒索病毒會使用 %Application Data%%AppDataLocal% 兩個應用程式資料目錄,IT 系統管理員可依據特定變種建立封鎖規則,只要知道它們所用的路徑即可。

圖 5:趨勢科技應用程式控管可封鎖特定目錄。

沒有萬靈丹

勒索病毒有這麼多的方式可以 進入系統,因此,企業需要一套多層式的防護在端點、網路和伺服器上設下防禦,而行為監控和應用程式控管所扮演的,正是其中的兩道額外防禦,以免萬一勒索病毒穿越了閘道防禦。一旦威脅進入了端點裝置並開始執行檔案加密 (包括重要的企業資料),在沒有備份的情況下,企業將很難復原,要是勒索病毒將陰影複製備份也一併刪除了,或者出現一些加密以外的行為,情況將變得更糟,到時候企業只能乖乖付錢消災。

趨勢科技 Smart Protection Suite 內建行為監控、應用程式控管、漏洞防堵、網站信譽評等、瀏覽器漏洞防護等功能,就連經由漏洞攻擊套件散布的勒索病毒也能防範。

趨勢科技 Deep Discovery™ Email Inspector 可偵測並攔截含有勒索病毒的電子郵件或魚叉式網路釣魚 (Spear Phishing )(以及惡意附件),不讓它們進入使用者的收件匣。其客製化沙盒模擬分析技術還可偵測透過惡意巨集散布的勒索病毒。此外,企業還可利用  InterScan™ Web Security 來掃瞄零時差漏洞和瀏覽器漏洞攻擊。這些解決方案當中的  IP 與網站信譽評等功能,可在電子郵件端與閘道端降低勒索病毒的感染風險。

在網路防護方面,趨勢科技 Deep Discovery Inspector 可藉由客製化沙盒模擬分析技術來發掘網路上的勒索病毒。它可偵測檔案加密、更改系統備份流程以及大量檔案變更等行為。此外,還可偵測腳本、零時差漏洞攻擊,以及勒索病毒常用的針對性攻擊檔案與密碼保護的惡意檔案。趨勢科技Deep Security可防止勒索病毒進入企業伺服器,不論實體、虛擬或雲端伺服器皆適用。它可保護系統與伺服器,防範專門利用系統漏洞散布的勒索病毒。

對於中小企業,Worry-Free Pro提供了 Hosted Email Security 雲端式電子郵件閘道防護,其內含的端點防護更提供了多種偵測並攔截勒索病毒的功能,例如:行為監控和即時網站信譽評等。

除此之外,使用者還有我們一些免費工具可利用,例如:趨勢科技螢幕解鎖工具可偵測並移除專門鎖定螢幕的勒索病毒,而趨勢科技檔案解密工具則可解開某些加密勒索病毒變種所加密的檔案。

 

原文出處:How Endpoint Solutions Can Protect Businesses Against Ransomware


cloudsec FB banner

 

PC-cillin 2016雲端版已有增加對勒索軟體 Ransomware加密行為的防護機制,可預防檔案被勒索軟體惡意加密

Windows10Banner-540x90v5

趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載

 

PCC TL 20160905

 

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。

 

▼ 歡迎加入趨勢科技社群網站▼

好友人數