勒索病毒採 APT 攻擊手法再進化 , 某企業超過一百台伺服器被 SOREBRECT 加密

 

 某企業超過一百台的伺服器被勒索病毒加密

勒索病毒 Ransomware (勒索軟體/綁架病毒)攻擊頻傳,災情遍佈各地,在各資安防護廠商積極防禦勒索病毒之時,惡意攻擊者也更上一層樓,發展出新的攻擊手法。日前趨勢科技發現一波勒索病毒攻擊事件,攻擊目標是一般企業,其中某間遭駭的公司超過一百台的伺服器被勒索病毒加密,檔案遭到加密後的副檔名為「.Pr0tect」。趨勢科技產品可偵測此頗勒索病毒為 RANSOM_SOREBRECT.A 和 RANSOM_SOREBRECT.B 。

SOREBRECT起初僅存在於中東地區的黎巴嫩及科威特等等國家,但漸漸地擴散出去,加拿大、中國、克羅埃西亞、義大利、日本、墨西哥、俄羅斯、台灣、美國都能夠見到其蹤跡。

▍ 延伸閱讀:內建自我摧毀功能的無檔案式勒索病毒:SOREBRECT ▍

APT 攻擊手法:先取得管理者權限的帳號密碼資訊,再進行內網擴散

這起勒索病毒攻擊事件採用完全不同的新攻擊手法。以往受害者多是收到惡意電子郵件,或是瀏覽受駭網站或惡意廣告,遭到附加其中的勒索病毒攻擊,而這一起攻擊事件是駭客從外部入侵,取得內網具管理者權限的帳號密碼等機敏資訊,並進行內網擴散活動,將重要伺服器上的檔案加密,攻擊結束後它會刪除系統上的事件記錄(Event Log)和其他相關資訊,並且使用TOR洋蔥路由器來隱藏其通訊,使得資安部門無法有效調查攻擊事件。

 


經調查,趨勢科技發現以下一連串的內網擴散攻擊步驟:

駭客利用 PsExec工具進行上述攻擊行為,而 PsExec需要管理員權限才能執行,故駭客應已取得相關機敏資訊。使用PsExec工具相較於遠端桌面連線更容易使用也不不易被察覺,此即為典型「進階持續性滲透攻擊」(Advanced Persistent Threat,簡稱APT攻擊)事件中的內網擴散階段行為模式。

 

給企業的 10 個建議:

  1. 重設管理員帳號密碼,增加密碼強度(長度與複雜度)
  2. 重新檢視並設定使用者權限,不讓單一帳號擁有過大的權限; IT人員時常使用許多工具與服務,但這些工具也可被駭客用於非法行為,在此案例中就是PsExec,因此必須設定權限加以控管;
  3. 勒索病毒攻擊手法日新月異防不勝防,務必以三二一原則妥善備份重要檔案(三份備份,分別存放在兩種不同類型的裝置,一份放在異地或安全地點);
  4. 務必保持更新系統與網路,降低安全性漏洞遭到入侵的機率。如原廠尚未釋出修補程式,也可利用虛擬補丁進行防護;
  5. 加強資安教育訓練,讓員工了解公司的資安政策,並加強員工的資訊安全觀念;
  6. 部署多層次資安防護機制解決方案,除了端點防護解決方案以外,進階沙箱分析隔離不明檔案,應用程式控管與行為監控則可防止可以檔案執行,並避免系統遭到未經授權的變更;
  7. 利用DDI以及Deep Security過濾網路中可疑的APT攻擊活動
  8. 確認在OfficeScan中啟動勒索病毒防護功能
  9. 重新檢視並整理例外清單
  10. OfficeScan設定最佳防護功能

趨勢科技病毒碼13.333.00已可偵測此病毒為:

RANSOM_SOREBRECT.A
RANSOM_SOREBRECT.B

勒索病毒肆虐,各資安廠商都著眼於封鎖所有勒索病毒的來源,而駭客乾脆直接入侵電腦,進到內網後採用 APT攻擊橫向擴散加密檔案,所以除了對於常見感染管道如Email或是惡意網站,仍然要提高各種資安防護能力。

 

[趨勢科技技術支援聯絡方式]

  • 企業授權用戶技術專線: Tel: 886-2-2377-2323
  • Web mail : http://www.trend.com.tw/corpmail/
  • 產品技術問題請至常見問題集查詢
  • 服務時間: 週一至週五 , 上午9:00~12:00 下午1:30 ~5:30 (例假日及國定假日除外)