勒索病毒 Ransomware (勒索軟體/綁架病毒)在2016年相當地猖獗,出現大規模的攻擊活動及各種能夠對抗安全措施的新變種。在2016年年底,Locky和 CERBER勒索病毒家族似乎在市場佔有率方面遇上頻頸。但這隨著 CERBER 發展出新的躲避偵測能力而有所改變。根據 Security Intelligence的報導,CERBER在2017年的市場佔有率達到70%,並且在第一季末上升至90%。相較之下,Locky在2017年第一季只剩下2%的佔有率。
CERBER已經展現其躲避安全軟體偵測的成功,為了犯罪活動而加以優化。新CERBER變種也開始會繞過機器學習工具,不過趨勢科技也站在解決這些問題的最前端。事實上,趨勢科技最近發表了一份報告秀出CERBER迄今為止的演變及如何維護安全性的進階解決方案。隨著CERBER持續對企業造成威脅,了解如何防範新變種及解決目前漏洞變得相當重要。
CERBER的快速變形讓其躲避偵測
就跟大多數惡意軟體一樣,CERBER透過垃圾郵件、漏洞攻擊套件及其他感染途徑散播。當接收者點入連結或開啟郵件時,程式會在背景被偷偷下載,開始加密檔案。但CERBER與許多其他勒索病毒不同。它不僅會重新命名目標副檔名和檔案名稱;微軟指出它也會選擇感染的資料夾。比方說,CERBER會避開系統資料夾,但會加密共享網路及本機磁碟上,進而讓感染擴散。
CERBER還經常進行升級,以「勒索病毒服務」(Ransomware as a Service,簡稱 RaaS)的形式賣給網路犯罪分子。這些修改使其很難被鎖定。在2016年,伺服器每15秒鐘改變一次CERBER,每次都產生新的哈希(Hash)。根據SecurityWeek,解決方案需要偵測這些哈希(Hash)來識別惡意軟體,但CERBER的快速變形技術讓其躲避偵測。這技巧是讓CERBER能夠繼續保持神祕並且讓新變種成功抵禦安全措施的關鍵。
CERBER 變種已經影響了上百萬 Office 365用戶,未來可能會產生更大的威脅
CERBER變種已經影響了上百萬人,未來可能會的威脅。根據InfoWorld,一波網路釣魚活動導致數百萬Office 365用戶遭受勒索病毒攻擊。這攻擊持續了超過24小時,直到微軟開始封鎖CERBER的威脅,但損害已經造成。下載附件檔的用戶如果沒有立即刪除有問題的檔案就會被感染。趨勢科技提供完整指南來移除受感染檔案並保護你的硬體。對許多企業來說,它能繞過Office 365內建的安全措施也相當令人擔憂。
“CERBER以一種設計來躲避機器學習檔案偵測的方式進行封裝。”
新變種躲避機器學習工具
CERBER對Office 365用戶的攻擊是一次警鐘,提醒企業要加強安全措施,更好地教育員工關於勒索病毒會使用的技巧。不過這並非CERBER攻擊的結束,可能還會持續一段時間,因為它展現更多的進步。企業必須佈署先進的網路安全工具來阻擋這些威脅。
許多企業都正在利用機器學習來偵測未知惡意軟體和散播模式,而不只是依賴已識別的已知威脅特徵碼。機器學習讓許多企業都能夠比以往更快地識別和解決問題。這些能力對降低風險,減輕損害和降低潛在成本來說都相當重要。
但CERBER利用設計來躲避機器學習檔案偵測的方式封裝,讓其可以在這趨勢前保持領先一步。根據ZDNet,CERBER採用自解壓縮機制,讓它對機器學習工具來說是正常檔案。自解壓縮檔案在結構上看似相近,並且未封裝的二進位檔看起來也可能不似惡意軟體。
惡意軟體的不同階段分為多個檔案注入執行中的程序,讓CERBER能夠躲避偵測。將CERBER二進位檔注入正常運作前,勒索病毒還會檢查自己是否在受保護環境中執行。讓開發者可以確保程式碼很難被分析,樣本可以繼續感染其他使用者。
採用主動多層次的安全防護對抗CERBER
CERBER顯然對企業和使用者來說都是危險的威脅。企業必須採取措施來保護自己免於此威脅,並且部署強大的網路安全工具。趨勢科技建議
- 利用主動多層次的安全防護能夠更有效地保護端點、網路、伺服器和閘道。
- 安全工具應該監視服務和應用程式活動、未經授權要求執行應用程式和更改權限等級。
趨勢科技最近發表的報告對每個層級所需的安全防護提供了重要見解。例如,企業可以在郵件和端點防護上使用趨勢科技的Smart Protection Suites,而趨勢科技 Deep Discovery可以用來保護網路。
利用趨勢科技的資料入侵外洩和安全防護解決方案可以協助企業在發生異常活動時能夠及時在可能威脅造成損害前加以偵測。趨勢科技在打敗CERBER伎倆方面處於領先的地位,提供一整套保護公司資產免於勒索病毒威脅的解決方案。想知道更多關於如何保護自己免於CERBER威脅的資訊,請聯絡趨勢科技。
@原文出處:How organizations can protect against new CERBER variations
《延伸閱讀》
Cerber勒索病毒新變種大量散播中,台灣是主要攻擊目標,避免中招,兩個重要提醒!
從中小企業到大型企業的網路設備都是Crysis這類勒索病毒的攻擊目標,業務持續性、財務損失和公司聲譽都受到了威脅。當網路犯罪分子汲汲營營地想要將關鍵資料做為人質,重要的是能夠具備主動式、多層次的安全防護:從閘道、端點、網路到伺服器。
| 電子郵件和閘道防護
趨勢科技Cloud App Security、趨勢科技Deep Discovery™ Email Inspector和InterScan™ Web Security 可以防禦常被用來散播勒索病毒的管道,如電子郵件和網頁。
|
端點防護
趨勢科技 Smart Protection Suites 在端點層級偵測和阻止與勒索病毒相關的可疑行為和漏洞攻擊。
|
| 網路保護
趨勢科技Deep Discovery Inspector偵測與勒索病毒進入網路相關的惡意流量、連線和其他活動。
|
伺服器防護
趨勢科技Deep Security可以偵測和阻止可疑網路活動和保護伺服器和應用程式免於漏洞攻擊。
|
| 保護中小型企業
Worry-Free Pro透過Hosted Email Security來提供雲端電子郵件閘道防護,偵測和封鎖勒索病毒。
|
保護家庭用戶
趨勢科技PC-cillin雲端版可以封鎖勒索病毒威脅相關的惡意網站、電子郵件與檔案來提供強大的防護。
|
AV-TEST 連續第四個月評比趨勢科技 PC-cillin 雲端版為「頂尖產品」PC-cillin 2017雲端版除針對勒索病毒提供「3+1多層式防護」外,更提供密碼管理、SSL 網站安全憑證偵測、以及社群隱私防護三大獨家功能,跨平台跨裝置全面保護消費者遠離威脅!!即刻免費下載
《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》
《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。
▼ 歡迎加入趨勢科技社群網站▼
