這是探討勒索病毒 Ransomware (勒索軟體/綁架病毒)四部曲中的第三部。這個系列文章會探討勒索病毒用來攻擊使用者和企業的各種技術。同時也說明了,如果想減少勒索病毒所帶來的風險,最好的辦法是在企業網路的各個部位實施多層次防護 – 閘道、端點、網路和伺服器。
可以到這裡閱讀之前的文章:
勒索病毒 Ransomware (勒索軟體/綁架病毒)已經成為影響數百萬使用者並且掠取數百萬美元的嚴重問題。本系列之前的文章探討勒索病毒進入系統的方式及加密的行為。在本篇文章中,我們將研究勒索病毒如何使用網路及可能的解決方法。
檢視網路連線相當有用,因為網路活動是企業內部惡意活動進行的指標。反之,如果企業對網路沒有適當的能見度,就可能因為未受管理的設備(它們不一定受到閘道安全軟體的保護)或可信任設備來的未經授權連線而造成勒索病毒的感染。
受感染的企業內部電腦在勒索病毒攻擊中可能扮演兩種角色:
- 成為通訊中繼站
- 變成病毒擴散到其他系統和伺服器的幫兇
角色#1:命令和控制(C&C)
對勒索病毒來說,網路最重要的用途是連接攻擊者的命令與控制(C&C)伺服器,因為勒索病毒通常需要這連線來取得加密檔案用的金鑰。
金鑰會由C&C伺服器送到中毒電腦用來加密目標檔案。如果連線建立完成,多數勒索病毒會從C&C伺服器取得公共金鑰,並用它來加密目標檔案。對應的私鑰會一直留在攻擊者那邊。公鑰可以隨時加以改變,而不會在惡意程式碼中發現任何金鑰。
如果無法建立與C&C伺服器的連線會發生什麼事?大多數勒索病毒(像是CryptoWall)不會去加密任何檔案。不過也有些變種可以自己進行加密的動作。一個例子是CrypXXX,在程式碼中內嵌了預設金鑰。Cerber變種通常會在本機產生金鑰,讓安全研究人員比較容易進行逆向工程,並替使用者製造解密工具來回復加密檔案。新的變種偏好使用來自C&C伺服器的金鑰,讓使用固定金鑰的解密工具無用武之地。
角色#2:擴散
勒索病毒還可以在企業內部透過網路分享散播。當勒索病毒在中毒系統上執行時,多數都會加密本機磁碟和網路磁碟上的檔案。結果就是病毒會更快地在企業內部散播,結果本來只是單機的中毒問題,造成讓整個企業都停擺的後果。
如前所述,勒索病毒也能夠經由未授權的連線來侵入網路。比方說,Cryisis勒索病毒會利用遠端桌面協定(RDP)的暴力破解攻擊。在2016年3月,Surprise勒索病毒據報會使用偷來的TeamViewer登錄憑證來感染系統。
解決方案
因為勒索病毒會努力嘗試去滲透企業網路和在內部散播,企業必須具備足夠的網路能見度,好能夠主動回應來控制這些威脅所造成的影響,並減少重複感染的風險。像趨勢科技的Deep Discovery Inspector這樣的解決方案可以幫助企業取得對現行威脅活動的全貌,並據此建立正確的解決方案。
DDI會偵測連至C&C伺服器的網路流量,顯著地減少勒索病毒加密檔案的能力。將其部署到網路內部,DDI還能夠偵測病毒從最初中毒電腦意圖擴散到其他系統的惡意活動。
這些都靠DDI所具備的其他功能配合,沙箱技術可以偵測加密行為,意圖對備份回復程序進行變動和出現大量檔案修改動作。它還可以偵測勒索病毒常用的腳本程式、零時差漏洞攻擊碼和針對性且具備密碼保護的惡意檔案。
除了能見度和網路防禦外,無論是大型企業、中小企業還是消費者,多層次防禦都是防止勒索病毒攻擊所必要的手段。趨勢科技可以全方位的保護使用者和企業 – 不管是在閘道、端點、網路甚或是伺服器。
| 電子郵件和閘道防護
趨勢科技Cloud App Security、趨勢科技 Deep Discovery™ Email Inspector和InterScan™ Web Security 可以防禦常被用來散播勒索病毒的管道,如電子郵件和網頁。
|
端點防護
趨勢科Smart Protection Suites 在端點層級偵測和阻止與勒索病毒相關的可疑行為和漏洞攻擊。
|
| 網路保護
趨勢科技Deep Discovery Inspector偵測與勒索病毒進入網路相關的惡意流量、連線和其他活動。
|
伺服器防護
趨勢科技Deep Security可以偵測和阻止可疑網路活動和保護伺服器和應用程式免於漏洞攻擊。
|
| 保護中小型企業
Worry-Free Pro透過Hosted Email Security來提供雲端電子郵件閘道防護,偵測和封鎖勒索病毒。
|
保護家庭用戶
趨勢科技PC-cillin雲端版可以封鎖勒索病毒威脅相關的惡意網站、電子郵件與檔案來提供強大的防護。
|
@原文出處:Network Solutions to Ransomware – Stopping and Containing Its Spread