有別於其他勒索病毒集團「亂槍打鳥」的方式,Ryuk 勒索病毒集團會鎖定特定目標,並索取較高的贖金。由於 Ryuk 犯罪集團的目標通常是一些 極為敏感的資訊,並且專門鎖定金融和國防之類的產業,因此受害機構通常會在不得已的情況下支付一筆巨額贖金。
隨著資安情勢的發展,今日的威脅經常會同時衝擊企業營運基礎架構的多重層面。為了偵測及回應像這樣的攻擊,企業通常會採用各種專為個別層面而非整體系統而設計的資安工具。
有些企業會導入資安事件管理 (SIEM) 平台來協助他們彙整每天遭遇到的各種威脅。這樣的作法雖然有效,但 SIEM 系統的價格和營運成本卻很高。此外,企業還得靠資安營運中心 (SOC) 來過濾大量的資料以進行交叉關聯分析。至於一些其他的資安解決方案,雖然各個都具備強大的偵測及回應能力,但卻缺乏完整的監測資料來看到威脅的全貌。
為了讓大家了解今日 SOC 所面臨的威脅,以及他們需要什麼樣的資安解決方案好應付這類威脅,以下此提供一個真實案例來說明。
「重質不重量」的 Ryuk 勒索病毒
鎖定特定目標 不亂槍打鳥
Ryuk 是近來最值得探討的勒索病毒家族之一,它可說是勒索病毒朝「重質不重量」方向發展的最佳代表。
表面上,Ryuk 與過去其他勒索病毒並無太大差異,它依然會加密重要檔案、文件以及其他重要資料。但 Ryuk 與其他勒索病毒家族最大的不同在於,有別於其他勒索病毒集團「亂槍打鳥」的方式,Ryuk 勒索病毒集團會鎖定特定目標,並索取較高的贖金。由於 Ryuk 犯罪集團的目標通常是一些 極為敏感的資訊,並且專門鎖定金融和國防之類的產業,因此受害機構通常會在不得已的情況下支付一筆巨額贖金。
2019 年,趨勢科技 Managed XDR 與事件應變團隊調查了一起客戶感染 Ryuk 勒索病毒的實際案例。駭客在這起案例當中入侵了受害機構的眾多環節,包括許多的端點裝置以及公司網路。
在這案例當中,Ryuk 先經由電子郵件來感染端點裝置,然後再擴散到網路上。
感染過程一開始,該機構的某位員工收到一封惡意垃圾郵件,郵件內隨附了一個惡意檔案 (TrickBot 殭屍網路病毒下載器),此惡意檔案能經由兩種方式在網路內散播:其一是攻擊知名的 EternalBlue(永恆之藍) 漏洞 (也就是 2017 年 WannaCry(想哭)勒索病毒所使用的漏洞),其二是利用蒐集來的登入憑證。
一旦 TrickBot被下載到系統上,它就會攻擊含有漏洞的路由器,然後將路由器當成幕後操縱 (C&C) 伺服器來發送並接收指令。除此之外,TrickBot 還會在系統上植入 Ryuk 勒索病毒。
從 TrickBot 的模組也可以看出它具備資訊竊取能力,因此任何遭遇此攻擊的企業,都會出現檔案遭到加密以及資訊遭到竊取的情況,所以它可能造成的損害遠超過一般的勒索病毒家族。
所幸,趨勢科技 Managed XDR 能從各種資訊來源幫企業找出遭駭客首次入侵的電腦以及攻擊的發展過程,進而描繪出攻擊的全貌。
趨勢科技 XDR 專門解決像 Ryuk 勒索病毒這樣的進階威脅
趨勢科技XDR全面偵測及回應是專為對付像 Ryuk 這樣的威脅而設計,採用機器學習(Machine learning,ML)與數據分析來交叉關聯多個防護層的眾多事件。
它可當成一套解決方案平台或是一套託管式服務 (趨勢科技 Managed XDR),擁有趨勢科技資安專家豐富的專業知識和經驗為後盾,提供 7 天 24 小時的警示監控與優先次序判斷,以及威脅調查和追蹤。
趨勢科技XDR能解決企業在部署威脅偵測及回應策略時可能面臨的一些重大挑戰,例如:
- 昂貴且經常不相容的資安資料彙整與分析工具:傳統的 SOC 環境會使用多套針對系統不同環節的軟體,它們各自擁有自己儲存資料與製作索引的方式。但也由於這些工具都各自為政,導致資安分析師必須手動交叉關聯這些資料,造成作業上的額外負擔。
- 端點偵測及回應 (EDR) 產品缺乏完整的監測資料來準確判斷整個攻擊的規模。
- 高優先次序的問題處理起來耗時費事:如此一來,資安人員就沒時間好好強化及改善資安流程與系統基礎架構。
趨勢科技XDR會利用機器學習、專家資安數據分析以及偵測規則來交叉關聯所有的警示並排定優先次序,如此就能縮短企業 SOC 花費在分類及研究威脅的時間,進而加快偵測及回應速度。它能利用來自各種威脅管道的監測數據,讓資安分析師完整掌握進行中的攻擊,同時還能優化 XDR 數據分析引擎,以便更快、更有效回應未來的攻擊。
趨勢科技XDR採用多重面,廣泛涵蓋系統的多個層面:
電子郵件
趨勢科技 趨勢科技 Cloud App Security™ 可提供電子郵件防護,運用機器學習來執行網站信譽評等與網址動態分析。它不僅能偵測郵件內文中的可疑內容,也可檢查附件檔案的內容。此外,它還提供沙盒模擬分析來偵測惡意程式與文件漏洞攻擊。
端點
趨勢科技 Apex One™ ™ 提供多種自動化威脅偵測能力,可保護端點免於勒索病毒與無檔案惡意程式的威脅。不僅如此,它還可經由客製化隨選調查與監控來搜尋受到特定攻擊影響的端點。
網路
趨勢科技Deep Discovery Email Inspector 解決方案可監控企業的網路,包括所有實體、虛擬,以及縱向、橫向的網路流量。它採用特製偵測引擎與客製化沙盒模擬分析,提供全方位的可視性來掌握 Ryuk 這類進階威脅的所有層面。
雲端
趨勢科技 Cloud One™ – Workload Security 解決方案能保護雲端工作負載、伺服器及容器,透過虛擬修補與機器學習之類的技巧防範關鍵應用程式、作業系統及 Docker 和 Kubernetes 之類的平台遭到威脅入侵。
我們特別製作了一份圖文解說來說明 Trend Micro XDR 如何保護企業的每一個層面,並以 Ryuk 攻擊事件作為真實範例。