Bad Rabbit並不只是一般的勒索病毒,還隱藏了強大的魚叉式網路釣魚活動
NotPetya看起來像勒索病毒,其實真正意圖是破壞受害者系統
雙重攻擊:當一起攻擊掩蓋另外一起攻擊
有時候雙重出現可能是件好事:像是你最喜歡的球隊連勝兩場比賽,或是販賣機一次掉出兩包零食等都是。不過當提到網路安全,雙重攻擊指的是面對一起威脅的影響時又遭受到另外一起攻擊。
在網路安全方面,許多組織都關注在解決單一弱點或是會遭受攻擊的漏洞,認為這樣就足夠阻止攻擊。雖然有時這是真的,但今日的駭客手法更加複雜,也比過去的網路犯罪份子更加執著。如果一條路走不通,駭客會繼續改變戰略直到能夠成功入侵系統。
在最近出現了一種新型態的攻擊,它利用了兩起獨立的惡意軟體攻擊。這做法是用一起攻擊來吸引注意力,好掩蓋另一起惡意軟體的活動,讓它不被注意到 – 提供另一條途徑來進行感染,或是竊取資料及其他知識產權。駭客通常會利用特別明顯的勒索病毒 Ransomware (勒索軟體/綁架病毒)作為第一起攻擊,這是雙重攻擊模式理想的吸引注意力工具。這種做法將會越來越頻繁,持續到2018年。
不過這種攻擊究竟看起來如何?當網路安全面臨這類雙重攻擊時,組織該如何保護自己?讓我們來看看當一個攻擊掩飾另一起攻擊時是什麼樣子:
Bad Rabbit並不只是一般的勒索病毒,還隱藏了強大的魚叉式網路釣魚活動
最近用一起攻擊掩飾另一起更具破壞性駭客活動的例子用的是Bad Rabbit(壞兔
子)。這勒索病毒在2017年秋天首次出現,跟據Hacker News的報導,它在俄羅斯和烏克蘭感染了超過200個組織。Bad Rabbit利用了NSA被Shadow Brokers駭客集團外流的漏洞攻擊碼,迅速地滲透受害者的網路並進行擴散。
其他最近知名的勒索病毒像NotPetya用的是EternalBlue。Bad Rabbit使用EternalRomance RCE來進行惡意活動。它所攻擊的是微軟Windows 伺服器訊息區塊(SMB)的漏洞,標識為CVE-2017-0145。這個漏洞會影響Windows端點間的資料傳輸,並且讓駭客可以繞過安全協定來進行遠端程式碼執行。
當攻擊出現時,研究人員發現感染始於中毒俄羅斯媒體網站的偷渡式下載(drive-by download),利用假Flash播放程式來安裝惡意軟體。
不過研究人員很快地從感染案例中發現Bad Rabbit並不只是一般的勒索病毒:這病毒還隱藏了一起強大的魚叉式網路釣魚活動。
“當Bad Rabbit散播時,一些烏克蘭的機構也同時被網路釣魚攻擊所鎖定”KnowBe4的作者Stu Sjouwerman寫道。“這些攻擊活動的目標是金融資訊和其他敏感資料。”
Bad Rabbit(壞兔子)勒索病毒只是煙霧彈,它覬覦的是珍貴的商務機密
這樣一來,最初的Bad Rabbit勒索病毒只是個煙霧彈,用來掩飾鎖定特定對象的針對性攻擊。
烏克蘭國家網路警察主管Serhiy·Demedyuk稱這為 “混合攻擊”,並指出第一波攻擊吸引了大部分的關注,讓第二次攻擊能夠成功取得“災難性的結果”。
不要被愚弄:Bad Rabbit一開始出現是利用Windows漏洞,但它實際上掩飾了一起強大的魚叉式網路釣魚攻擊。
NotPetya看起來像勒索病毒,其實真正意圖是破壞受害者系統
NotPetya也是雙重打擊模式的有力例子。不過雖然Bad Rabbit是為了掩飾其他的惡意魚叉式網路釣魚活動,但NotPetya勒索病毒看起來卻只是為了破壞,並非是想從受害者系統中取得什麼。
許多人第一次知道這類攻擊是當它的前身Petya在2016年3月出現,根據CSO online的作者Josh Fruhlinger指出。Petya利用惡意郵件來侵入受害者,然後接著去加密檔案,包括了.exe檔。
然後到2017年6月出現了NotPetya,一開始就像是個典型的勒索病毒能夠快速地在受害者間散佈,在網路間擴散。雖然NotPetya看起來跟Petya非常相似 – 包括加密檔案和顯示通知要求比特幣來贖回,不過NotPetya很快就出現不一樣的地方。
Fruhlinger指出Petya就跟許多其他勒索病毒一樣利用了惡意郵件,不過NotPetya可以自行散播,利用數種不同方法來加速感染,包括強制性後門,不需要使用者互動就能成功入侵。NotPetya還可以加密更多檔案,直到硬碟無法開啟。
“它看起來像是勒索病毒,有畫面通知受害者將比特幣送到指定錢包來解密他們的檔案,”Fruhlinger解釋道。“對於Petya,這畫面包含了他們在送出贖金時應該一起發送的識別碼;攻擊者利用這代碼來知道哪些受害者已經付款,但感染NotPetya的電腦上只有隨機產生的號碼。無法識別出任何事情。而事實也證明NotPetya加密資料之後並無法回復。“
“NotPetya的感染和加密動作是用來掩蓋其真正意圖:破壞。”
出人意料的是NotPetya的目的並非竊取資料好出售牟利或用於身份竊盜及其他惡意目的上。NotPetya似乎只想要破壞受害者的系統,無論他們是否支付贖金。
防範混合攻擊
駭客手法變得越來越複雜和精密,攻擊者也在不斷地強化他們的技能,企業的當務之急是要能夠跟上和防禦最新的威脅方式。這些混合或掩護攻擊展示出對網路具備最大能見度的重要性,即便已經在某處偵測到可疑活動,受害者也不會因此分心而導致第二起的傷害性攻擊。
預防措施應該要包括點對點監測,有助於防止不被注意到的惡意和可疑動作。IT主管和決策者應尋求能夠找出針對性攻擊相關活動的解決方案,並且能夠跨越網路來提供細微處的能見度。Deep Discovery和Connected Threat Defense可以協助確保你的組織有著無所不在的安全防護。
想了解更多關於Deep Discovery和Connected threat Defense如何幫助公司建立安全態勢,今天就聯絡趨勢科技。