這些工具原本是為了資安研究和其他正當用途而開發。但網路犯罪集團卻找到了方法將它們用於勒索病毒攻擊。到底有哪些工具以及它們如何變成武器的呢?
隨著勒索病毒 Ransomware (勒索軟體/綁架病毒)集團不斷擴充軍備,一些潛在的受害企業正面臨越來越高的風險,一旦遭到攻擊就可能帶來嚴重後果。當企業遭到勒索病毒攻擊,除了動輒損失數百萬美元之外,還會造成電腦系統無法使用,甚至導致機敏資料外洩。
近期的勒索病毒攻擊絕大多數都使用雙重勒索手法,一方面將企業的檔案加密,另一方面威脅要將這些資料公開。根據我們的資安預測報告指出,照這樣下去,勒索病毒威脅在 2021 年將更加惡化,因為它們將更具針對性,且會出現更多新的家族 (如 Egregor)。今年,網路犯罪集團將持續利用合法工具來輔助他們發動勒索病毒攻擊。
這些工具本身並非惡意程式,它們大多是為了協助資安研究人員或提高程式效率而開發。但就像許多其他技術一樣,網路犯罪集團就是有辦法找到不法用途,使它們最後成了勒索病毒攻擊、甚至是其他網路攻擊常見的幫兇。英國國家網路安全中心 (National Cyber Security Centre,簡稱 NCSC) 也在一份報告中列舉了這些工具。
網路犯罪集團之所以會在勒索病毒攻擊當中使用這些合法工具的原因有許多,其中之一就是因為這些工具原本就不是惡意程式,因此容易避開資安軟體的偵測。其次,它們大多屬於開放原始碼工具,因此一般大眾都能免費取得與使用。最後,這些工具的強大功能讓資安研究人員很方便,但對犯罪集團來說又何嘗不是,所以也因此讓這些工具成了雙面刃。
本文探討幾個經常遭歹徒利用的合法工具:Cobalt Strike、PsExec、Mimikatz、Process Hacker、AdFind 與 MegaSync。
繼續閱讀