勒索病毒 Crysis會注入木馬程式到重新導向或連接的設備,如印表機和路由器,以便讓攻擊者能夠重新進入和感染系統,即便已經將惡意軟體從中毒電腦中移除。這也說明了為什麼不建議支付贖金,因為看來只能解決一時的問題。
Crysis勒索病毒可以結合RSA和AES的加密演算法來加密185種類型的檔案,使用 vssadmin來刪除備份,並且修改註冊表來使得在每次啟動時都會自動執行。
今年二月出現的勒索病毒 Ransomware (勒索軟體/綁架病毒) RANSOM_CRYSIS.A,現在會透過暴力破解遠端桌面協定(RDP)散播,目前澳洲和紐西蘭的企業傳出疫情。
在今年六月初曾經報導過Crysis想接手TeslaCrypt所留下的市場(因為TeslaCrypt作者決定結束業務),並且追上勒索病毒界中流行的Locky。Crysis主要透過垃圾郵件散播,可能是帶有雙重副檔名的木馬化病毒附加檔案(將惡意軟體偽裝成非執行檔的一種手法),或是連到受感染網站,網路服務也可能會散播合法軟體的可疑安裝檔。現在它也會將暴力破解攻擊遠端桌面協定作為其感染途徑之一。
Windows遠端存取工具所具備的資源重新導向功能讓使用者可以方便的存取、處理和使用本地磁碟的檔案、印表機、剪貼簿和可移除設備等資源。使用暴力破解攻擊遠端桌面協定的Crysis,利用來源電腦的重新導向磁碟,執行勒索病毒。
圖1、透過RDP暴力破解攻擊的Crysis感染流程示意
RDP是內建在Windows作業系統的功能,可以讓使用者透過網路來連接另外一台電腦。RDP常會被針對性攻擊/鎖定目標攻擊(Targeted attack )利用來取回資料,竊來的資料可以放到網路地下市場販賣,還可以將劫持的系統整合到「Botnet傀儡殭屍網路」內來發動進一步的惡意攻擊。
對於使用打帶跑策略來從受害者身上快速賺錢的勒索病毒營運商來說,利用RDP(特別是企業使用)是可以賺錢的。對Crysis來說就是如此,因為這讓它可以掃描和加密可移除磁碟和網路磁碟上的檔案。比方說,一名犯罪老手可以利用各種提權技術來取得系統管理者權限,並且連到伺服器來造成更大的傷害和加密更多的資料。
勒索病毒和RDP攻擊之前就曾經共存過,大部分都跟企業攻擊有關。在2015年十月下旬,LowLevel04勒索病毒(趨勢科技偵測為Ransom_LEVELO.A)會暴力破解RDP憑證,接著下載並安裝惡意軟體。它能夠掃描掛載的網路和可移除磁碟,並且加密儲存在內的檔案。它也能夠刪除電腦的事件日誌以防止對中毒系統進行電腦鑑識。
LeChiffre(Ransom_LECTOOL.A)在今年一月底因為攻擊三家銀行和一家醫藥公司而上了頭條,即使是離線狀態也能夠利用本地端生成的金鑰來加密本地和網路上的檔案。它還會用惡意命令列介面程式來更換相黏鍵使用程式(即按SHIFT鍵五次),這個後門可以讓攻擊者透過命令列介面來存取中毒的電腦。
今年五月,Bucbi惡意病毒的一個變種(Ransom_BUCBI.A)據報會使用RDP暴力破解工具來侵入網路上的RDP伺服器。它會植入惡意程式來加密所有可以識別的可用網路資源。Apocalypse(Ransom_APOCALYPSE.A)、DMA Locker(Ransom_MADLOCKER.B)和Smrss32(Ransom_CRYPTOWIPE.A)的變種也被發現會透過遠端桌面進行安裝。
圖3、趨勢科技Deep Security可以設定入侵防禦規則來偵測並封鎖可能為暴力破解攻擊的RDP連接請求。
減輕風險
想完全清除Crysis病毒可能很棘手。趨勢科技在澳洲和紐西蘭所受到的攻擊中看見這個勒索病毒會注入木馬程式到重新導向或連接的設備,如印表機和路由器。Crysis的這個動作讓攻擊者能夠重新進入和感染系統,即便已經將惡意軟體從中毒電腦中移除。這也說明了為什麼不建議支付贖金,因為看來只能解決一時的問題。
建議遠端桌面的管理者在允許狀況下關閉RDP,或將RDP服務變更到非標準端口。更新和強化RDP憑證並及實施雙因子認證,帳號鎖定政策和使用者權限/限制規則也能夠限制暴力破解攻擊。確保連接的設備有安全地清理過也能夠減少受到進一步損害的風險,還有使用加密通道能夠防止攻擊者竊聽遠端連線。將RDP客戶端和伺服器軟體保持在最新狀態能夠防止RDP漏洞遭受攻擊。
定期 3-2-1 原則 – 至少三個備份,使用兩種不同媒體格式,一份儲存在異地。這是減少勒索病毒攻擊效果的有效方法。
圖4、趨勢科技的Worry-Free Business Security可以偵測和防止入侵網路或系統,Vulnerability Protection模組可以封鎖針對系統或軟體漏洞的攻擊。
趨勢科技的勒索病毒解決方案
從中小企業到大型企業的網路設備都是Crysis這類勒索病毒的攻擊目標,業務持續性、財務損失和公司聲譽都受到了威脅。當網路犯罪分子汲汲營營地想要將關鍵資料做為人質,重要的是能夠具備主動式、多層次的安全防護:從閘道、端點、網路到伺服器。
電子郵件和閘道防護
趨勢科技Cloud App Security、趨勢科技Deep Discovery™ Email Inspector和InterScan™ Web Security 可以防禦常被用來散播勒索病毒的管道,如電子郵件和網頁。
|
端點防護
趨勢科技 Smart Protection Suites 在端點層級偵測和阻止與勒索病毒相關的可疑行為和漏洞攻擊。
|
網路保護
趨勢科技Deep Discovery Inspector偵測與勒索病毒進入網路相關的惡意流量、連線和其他活動。
|
伺服器防護
趨勢科技Deep Security可以偵測和阻止可疑網路活動和保護伺服器和應用程式免於漏洞攻擊。
|
保護中小型企業
Worry-Free Pro透過Hosted Email Security來提供雲端電子郵件閘道防護,偵測和封鎖勒索病毒。
|
保護家庭用戶
趨勢科技PC-cillin雲端版可以封鎖勒索病毒威脅相關的惡意網站、電子郵件與檔案來提供強大的防護。
|
@原文出處:A Show of (Brute) Force: Crysis Ransomware Found Targeting Australian and New Zealand Businesses 作者:Jon Oliver(資深技術總監)
PC-cillin 2017雲端版除針對勒索病毒提供「3+1多層式防護」外,更提供密碼管理、SSL 網站安全憑證偵測、以及社群隱私防護三大獨家功能,跨平台跨裝置全面保護消費者遠離威脅!!即刻免費下載
《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》
《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。