6 月 10 日,南韓網站代管公司 NAYANA 遭到最新的 襲擊,勒索病毒 Ransomware (勒索軟體/綁架病毒)共有 153 台 Linux 伺服器 感染 Linux 版 Erebus 勒索病毒 (趨勢科技命名為 RANSOM_ELFEREBUS.A),這項攻擊導致該公司的 3,400 家代管服務客戶的企業網站、資料庫與多媒體檔案遭到加密。
根據 NAYANA 官網上所發布的最新 消息,駭客顯然已成功逼迫該公司支付贖金,並且約定分三階段付款以取得所有檔案的解密金鑰。不過本文截稿為止,NAYANA 還未取得第一階段的解密金鑰。
Erebus 讓 IT 系統管理員了解到資安對企業流程系統與伺服器的重要性。這類系統和伺服器若未妥善加以保護,很可能對企業的營運、商譽及獲利能力造成加倍的損失。
[延伸閱讀: 近三成企業重複感染加密勒索病毒,透漏什麼訊息?]
Erebus 從原本利用漏洞攻擊套件演化成可避開使用者帳戶控制
Erebus 勒索病毒 (RANSOM_EREBUS.A) 首次現身於 2016 年 9 月,當時是經由惡意廣告散布。這些惡意廣告會將受害者重導至含有 Rig 漏洞攻擊套件的網站,該套件會在受害者的電腦上植入勒索病毒。這個 Erebus 變種可加密的檔案類型有 423 種,採用 RSA-2048 加密演算法,被加密的檔案會多了一個「.ecrypt」副檔名。此版本的 Erebus 是利用南韓境內已遭入侵的網站來當成幕後操縱 (C&C) 伺服器。
2017 年 2 月,Erebus 又重新演化出新的版本與手法,這一次,它使用了一種可以避開 Windows 電腦「使用者帳戶控制 (UAC)」機制的技巧,以便可以用管理員權限來執行勒索病毒。Erebus 會在勒索訊息當中威脅受害者必須在 96 小時內支付 0.085 比特幣 (依 2017 年 6 月 15 日的匯率約合 216 美元) 的贖金,否則將刪除受害者被加密的檔案。此版本的 Erebus 病毒 (RANSOM_EREBUS.TOR) 還會刪除系統還原點來防止受害者還原系統。
[延伸閱讀: 從技術面分析具備程式碼注射與網路共用資料夾加密能力的 SOREBRECT 無檔案式勒索病毒。]
Erebus 勒索病毒現在可感染伺服器
NAYANA 公司的伺服器所感染的是移植到 Linux 平台的 Erebus 勒索病毒版本。根據趨勢科技的持續分析顯示,此變種採用非重複的 AES 金鑰來加密檔案,而 AES 金鑰再用 RSA 演算法加密。它甚至內含一個假的藍牙服務來確保即使系統或伺服器重新開機也會再自動執行。此外,更利用了 UNIX 系統的 cron 工作排程工具來定期每小時檢查一次勒索病毒是否還在執行。如同 NAYANA 的案例,剛開始它所要求的贖金為 10 比特幣 (約 24,689 美元),但後來贖金降到了 5 比特幣 (約 12,344 美元)。
此版本的 Erebus 病毒可加密 433 種檔案類型,包括以下幾種:
- Office 文件 (.pptx、.docx、.xlsx)
- 資料庫檔案 (.sql、.mdb、.dbf、.odb)
- 壓縮檔 (.zip、.rar)
- 電子郵件檔案 (.eml、.msg)
- 網站相關檔案與程式開發檔案 (.html、.css、.php、.java)
- 多媒體檔案 (.avi、.mp4)
[延伸閱讀:像 Linux 這種的類 UNIX 系統對勒索病毒情勢有何影響]
Erebus 並非第一個找上 Linux 電腦甚至是伺服器的檔案加密惡意程式。Linux.Encoder、Encryptor RaaS、KillDisk 的某個版本、Rex、Fairware 和 KimcilWare 全都是針對 Linux 系統的勒索病毒。其實,早在 2014 年就曾出現過 Linux 勒索病毒,並且是衍生自 教育用的開放原始碼勒索病毒。SAMSAM、Petya 和 Crysis 等勒索病毒只是其中幾個專門攻擊伺服器的勒索病毒。
儘管 Linux 勒索病毒不像 Windows 勒索病毒那樣普遍,但依然會對使用者造成重大影響,尤其是企業機構。如 NAYANA 的案例所示,Linux 是一個逐漸熱門的作業系統,而且在各種產業的企業流程構當中都經常用到:從伺服器和資料庫,到網站開發與行動裝置。此外,資料中心與代管/儲存服務供應商,也普遍使用 Linux 系統。
[延伸閱讀: 多層式的伺服器端勒索病毒防護]
Linux 系統與伺服器的最佳資安實務原則
像 Erebus 這類勒索病毒對企業營運、聲譽和獲利的嚴重影響,突顯了保護企業流程系統與伺服器的重要性。除此之外,假使勒索病毒不僅感染了端點裝置,更感染了伺服器或網路,那將造成加倍的衝擊。IT 系統管理員可採取以下最佳實務原則來強化其系統與伺服器的安全:
- 隨時保持系統與伺服器更新。嚴格貫徹修補更新管理政策,可確保系統隨時採用最新的修補、修正與核心。
- 避免或儘量少使用第三方或不明來源的程式庫或套件。如此可減少系統或伺服器的漏洞,也就是減少駭客可利用的入侵點。此外,若能移除或停用非必要的伺服器元件或服務,還可再進一步降低風險。
- 採取最低授權的原則 (能不開放的權限就不開放)。Linux 的權限分離功能是一個防止程式對系統做不當修改的不錯機制。此外,有限制地開放權限也有助於降低暴險並降低損害,同時還可防範未經授權的存取。IT 系統管理員可考慮採用強制貫徹政策的擴充功能來限制一個程式可存取的檔案系統與網路資源範圍。
- 主動監控並檢查您的網路流量。妥善保護網路以防範威脅對任何企業來說都是一項必要的工作。部署入侵防護系統與防火牆,可有助於發掘、過濾、攔截因惡意程式感染所產生的流量。系統事件記錄檔可提供一些鑑識分析資訊來協助 IT 系統管理員偵測駭客試圖入侵與實際攻擊的跡象。
- 備份您的檔案。防範勒索病毒恐嚇伎倆與嚴重後果最有效的防範措施之一就是備份檔案:至少三份副本、兩種儲存媒體、一份放在異地保存。
- 實施網路分割與資料分類。網路分割可防止感染擴散,資料分類則可以減輕遭受攻擊的損害程度。
趨勢科技解決方案
趨勢科技 Deep Security™ 可防範勒索病毒入侵企業的實體、虛擬、雲端或容器環境中的伺服器和工作負載。Deep Security™ 可藉由入侵防護 (IPS) 和主機防火牆來防範網路威脅,利用虛擬修補技術來防堵伺服器漏洞,直到軟體廠商釋出修補更新為止。Deep Security™ 的惡意程式防護和行為分析可防止各種惡意程式 (包括勒索病毒) 進入伺服器,即時中止各種惡意行為。Deep Security™™ 同時還提供了系統層次的安全措施,包括可鎖定伺服器用途的應用程式控管,以及可偵測潛在入侵指標 (例如勒索病毒) 的一致性監控。
原文出處:Erebus Linux Ransomware: Impact to Servers and Countermeasures