勒索病毒為何愈來愈難纏?「以合法掩護非法」!

如何阻止利用合法工具的勒索病毒集團?

網路駭客與資安團隊間貓捉老鼠的遊戲隨著最新勒索病毒的發展而持續下去。

在今日,世界各產業都在積極地部署先進的防禦技術,這也讓駭客不得不轉變攻擊手法。新的攻擊更加具有針對性和隱蔽性,讓現今的勒索病毒 Ransomware (勒索軟體/綁架病毒)比過去任何時候都更難以被發現和阻止。

Trend Micro Vision One™ 協助客戶解決了此問題,它能夠關聯整個環境內的可疑活動,在勒索病毒植入前先識別並阻止攻擊者在網路內進行橫向移動。

一大轉變: 勒索病毒利用合法工具隱匿行跡

今日的勒索病毒會利用合法工具來隱匿其在受害者網路內的活動。這些工具本身並非惡意軟體。它們的功用其實是為了幫助資安團隊,但駭客已經發現如何濫用它們的方法。

這些工具對駭客來說很有吸引力,原因如下:

🔴 可能不會被偵測為惡意
🔴開放原始碼而容易取得
🔴這些工具對資安團隊帶來的好處對駭客來說一樣有用

趨勢科技研究中心最近發表了一份深入的研究報告,介紹了常被濫用的合法工具,有哪些勒索病毒集團在使用以及如何使用。這些工具包括:Cobalt Strike、PsExec、Mimikatz、Process Hacker、AdFind和MegaSync。

Trend Micro Vision One如何幫上忙?


這些工具可被用來取得對網路的初始進入、建立跟駭客的通訊管道、開啟後門、在網路內進行橫向移動、竊取帳密或滲出資料。這些活動在當今勒索病毒攻擊流程過程相當關鍵:

進入,保持隱蔽,四處移動,找出有價值的資料,竊取資料,使用勒索病毒加密資料。

使用合法工具讓資安團隊更難去識別出惡意活動。在許多資安監控團隊裡,會有不同的人負責監看環境內不同區塊的事件日誌,所以很難有人能夠看清全局。

一名分析人員可能會看到PsExec以一種似乎無害的方式執行,而另一名分析人員則看到似乎正常的網路存取。這些微小事件分開來並沒有多大意義。如果沒有方法可以將整個環境內的所有資訊關聯起來,則當這些攻擊被發現的時候往往是為時已晚。

Trend Micro Vision One™ 能夠協助將該活動標記為惡意。它為資安團隊提供了將資訊關聯起來的能力,能夠看到每一個可疑活動,並將它們可能是攻擊的早期指標串連起來。

一旦駭客在植入加密勒索病毒前先滲出資料的階段時,就幾乎沒有時間來阻止它們了。駭客們可能會花費數週或數月的時間來仔細研究你的網路並找出最有價值的資料,但滲出資料很有可能會觸發警報而引起注意。所以駭客知道在這個階段必須快速地完成攻擊。

所以要阻止今日勒索病毒攻擊的最佳作法就是在此階段前先找到攻擊者,並將其在網路內的部署完全清除。此時就需要Trend Micro Vision One™ 來儘早地阻止攻擊。

@原文出處:Stop Ransomware Groups Who Weaponize Legitimate Tools