2016年是勒索病毒Ransomware(勒索軟體/綁架病毒)肆虐的一年。惡意分子進一步地將勒索武器化成惡意軟體,緊抓住企業和一般使用者最珍貴的資料做為人質來大肆要錢。相較於2015年的29個新勒索病毒家族,這一年有146個勒索病毒家族出現。勒索病毒的迅速擴張和發展也被預料會刺激網路犯罪分子的進入,進而多樣化和擴展他們的平台、能力和技術,找到更多的目標。
的確,我們已經看到他們將觸角伸向行動使用者來試水溫。我們也看到有勒索病毒開發在其他作業系統上,然後在地下市場兜售給下游和新手網路犯罪分子。
Linux.Encoder(趨勢科技偵測為ELF_CRYPTOR家族)據報是第一個針對Linux系統的勒索病毒;它的目標是Linux網頁代管系統,會攻擊外掛程式或軟體(如Magento)的漏洞。而在Mac OS X系統上則有KeRanger(OSX_KERANGER),出現在被竄改過的檔案分享應用程式和惡意Mach-O檔案中,偽裝成RTF格式文件。
它們的共同點?都是Unix:多使用者、帶有命令行的作業系統,具備統一的檔案系統和簡單而強大的工具,如shell和命令列語言,可以用來進行複雜的任務。它的靈活性和普及性讓程式人對其有著不同的喜好,包括Linux和Mac OS X.
圖1、Linux.Encoder(上方)和KeRanger(下方)加密程式庫的相似性;都使用ARM mbed TLS,它提供應用程式SSL/TLS和加密能力
圖2、Linux.Encoder(左)和KeRanger(右)的函數名稱相似性,可能表示惡意軟體重寫;函數邏輯重複出現在兩個樣本上
Linux.Encoder利用的是安全漏洞,KeRanger則是竊取合法Apple憑證來繞過Gatekeeper
雖然兩者都用Windows勒索病毒常見的方式感染系統,但它們抵達的載體大多跟使用者無關,這是因為Unix的本質使然。Linux.Encoder利用的是安全漏洞,KeRanger則是竊取合法Apple憑證來繞過Gatekeeper(一個強制要求程式碼簽章和驗證下載軟體的安全功能)。不過從它們在封裝程式、結構、加密程式庫、函數名稱和勒贖通知的相似處來看,可以推測KeRanger是Linux.Encoder重新編譯的版本。
我們對這些勒索病毒的分析還能夠看出這只是前哨戰,而且可以察覺Unix勒索病毒會以什麼樣子呈現。像是KeRanger,具備一個未使用的功能能夠加密/刪除OS X的Time Machine(Mac電腦的備份工具)。Linux.Encoder透過開放原始碼勒索病毒專案而誕生,開發者努力的進行了數次更新來修復惡意軟體加密程序的缺陷。它留下了一大堆中毒的Linux伺服器自生自滅,而它的第三版在全球感染了600台伺服器。
聲稱用在教育用途的開放原始碼專案也可以被武器化
雖然Unix勒索病毒可能仍是實驗性質,我們開始看到它們的分支出現,有能力去攻擊更多目標和讓利潤最大化。這反映出其他針對Unix-Like作業系統(如Linux和Android)的病毒家族崛起。包括了KillDisk(RANSOM_KILLDISK.A)、Rex(RANSOM_ELFREXDDOS.A)、Encryptor RaaS(RANSOM_CRYPRAAS.B)、KimcilWare(RANSOM_KIMCIL)、Svpeng(ANDROIDOS_SVPENG)和Koler(ANDROIDOS_KOLER)。事實上,早在2014年就看過Linux勒索病毒的開發 – Synolocker(RANSOM_SYNOLOCK)。而CryptoTrooper(RANSOM_CRYPTOTROOPER)和PHP勒索病毒(PHP_CRYPWEB)就跟Linux.Encoder一樣,證明了就算聲稱用在教育用途的開放原始碼專案也可以被武器化。
Unix對勒索病毒來說是個利潤豐厚的市場嗎?
那麼,為什麼是Unix?它對勒索病毒這樣現打現拿的威脅來說是個適合的目標嗎?雖然市場占有率和使用者數量可能是個因素,差別還是在於架構。比方說Unix-Like系統(如Linux)上的軟體無論是從原始碼或是用套件庫編譯。它們的權限模型也讓執行檔難以用能夠存取和加密檔案的權限執行。雖然Windows的使用者帳戶控制(UAC)可以將軟體限制在標準使用者權限(除非管理員授予權限),許多使用者會輕易地允許程式對系統做出變動。此外,許多組織都傾向讓最終使用者擁有自己工作站的管理員權限。儘管如此,Unix並非萬無一失。只要出現一個遠端執行碼或程序呼叫的漏洞,或是社交工程郵件攻擊,就可以讓勒索病毒找到方法溜進系統裡。
Unix的勒索病毒可能還在摸索中,但它是很可能會造成安全問題的威脅,因為Unix的無處不在 – 從伺服器、工作站、網頁開發框架和資料庫到行動設備。各個產業(包括IT服務、教育、醫療、金融、零售、傳媒、製造)都有使用Unix機器。比方說Linux系統,是許多代管和儲存服務供應商的支柱,並常常用來從多個客戶端同時管理不同的網站。如資料中心這樣的機構也依靠Unix系統來做為運行應用程式處理關鍵任務(包括進行維護)的平台。
解決方法和最佳實作
要對抗勒索病毒,IT管理員和資訊安全專家必須時時做好系統管理,不然企業的營運連續性、商譽和一切重要的事物都可能毀於一旦。
Linux系統管理員必須避免或堤防未經驗證的第三方套件庫被加入;因為有足夠權限的使用者仍可能加以安裝,即使Linux會集中管理軟體下載的來源套件庫。為了減少使用提權漏洞攻擊的威脅,權限應限制在使用者等級。雖然在預設情況下會停用root登錄,如果授予使用者管理權限就可能會執行操作,所以系統/IT管理員還應該限制加到sudoers(管理員)群組的使用者。
Linux的權限分離設計會限制程式可以對系統進行的變動,大大地提昇了安全性。定期稽查和強化也有助於減少系統的受攻擊面,比方說減少運行中的服務或停用不必要的服務。也建議使用Linux的安全擴充程式以避免錯誤設定的程式。這些擴充程式會強制執行存取控制政策,管理程式所能存取的檔案和網路資源,這有助於限制惡意或錯誤設定的程式所造成的損害。安裝入侵偵測系統,對日誌檔進行持續監視和檢查可疑活動,有助於早期發現對系統的入侵意圖或實際攻擊。
除了確保系統安裝最新的修補程式以及 3-2-1 原則重要的企業資產,企業還必須確保周邊安全。系統管理員也應該尋找會被勒索病毒所利用的可疑檔案、應用程式、程序和網路活動。使用者和企業也可以利用多層次安全防護,涵蓋了閘道、端點、網路和伺服器。
@原文出處:Unix: A Game Changer in the Ransomware Landscape? 作者:趨勢科技(Joachim Suico,威脅研究工程師)
趨勢科技的勒索病毒解決方案
從中小企業到大型企業的網路設備都是Crysis這類勒索病毒的攻擊目標,業務持續性、財務損失和公司聲譽都受到了威脅。當網路犯罪分子汲汲營營地想要將關鍵資料做為人質,重要的是能夠具備主動式、多層次的安全防護:從閘道、端點、網路到伺服器。
| 電子郵件和閘道防護
趨勢科技Cloud App Security、趨勢科技Deep Discovery™ Email Inspector和InterScan™ Web Security 可以防禦常被用來散播勒索病毒的管道,如電子郵件和網頁。
|
端點防護
趨勢科技 Smart Protection Suites 在端點層級偵測和阻止與勒索病毒相關的可疑行為和漏洞攻擊。
|
| 網路保護
趨勢科技Deep Discovery Inspector偵測與勒索病毒進入網路相關的惡意流量、連線和其他活動。
|
伺服器防護
趨勢科技Deep Security可以偵測和阻止可疑網路活動和保護伺服器和應用程式免於漏洞攻擊。
|
| 保護中小型企業
Worry-Free Pro透過Hosted Email Security來提供雲端電子郵件閘道防護,偵測和封鎖勒索病毒。
|
保護家庭用戶
趨勢科技PC-cillin雲端版可以封鎖勒索病毒威脅相關的惡意網站、電子郵件與檔案來提供強大的防護。
|
AV-TEST 連續第四個月評比趨勢科技 PC-cillin 雲端版為「頂尖產品」PC-cillin 2017雲端版除針對勒索病毒提供「3+1多層式防護」外,更提供密碼管理、SSL 網站安全憑證偵測、以及社群隱私防護三大獨家功能,跨平台跨裝置全面保護消費者遠離威脅!!即刻免費下載
《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》
《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。
▼ 歡迎加入趨勢科技社群網站▼
