趋势科技发现,在当前勒索软体所採用的漏洞攻击套件(Exploit Kit)中,所针对的系统平台主要是网站伺服器,而在台湾因此受害的网站里面,有很多是架设在内容管理系统(CMS)上,例如WordPress、Joomla、 Drupal。
图片来源:趋势科技
勒索软体已经成为当前企业IT部门最害怕的资安风险,而且不论企业规模大小,什幺行业别,全部都成为骇客锁定勒索的对象,近期像是欧美各大医疗院所,都纷纷沦陷,而成为骇客的提款机。
对此,趋势科技全球核心技术部技术经理陈健宏表示,这些使用勒索软体的骇客为了维持「商誉」,往往会成功复原加密的档案,但是,对企业或一般使用者而言,如何杜绝勒索软体成功入侵企业电脑的管道,才是更值得关注的关键。
勒索软体其实不是新玩意,早在2006年,就有类似具有加密功能的木马程式TROJ_CRYZIP,但是,一直到2012年出现的Reveton恶意程式,才让针对档案加密攻击手法的恶意程式慢慢成熟。
不过,陈健宏坦言,这期间骇客一直要克服的则是金流的问题,直到具有可匿名特性的比特币解决骇客金流问题,让2013年的CryptoLocker成为欧美国家避之唯恐不及的资安风险,此时,也有很多受害者为了复原档案,必须付钱给骇客,才能取得解密金钥来还原档案。
而且,约莫在2013年同时,还有像是TorrentLocker等类似变种的勒索软体,也被推出,目的是为了分食勒索软体的市场。到了2015年,更有TeslaLocker等变种恶意程式横行。
勒索软体全球散布方式之一:恶意邮件
不过,勒索软体可以快速蔓延到全世界,和它们採取的散布方式途径,有直接相关。陈健宏表示,因为勒索软体本身没有自行扩散的能力,必须透过其他的攻击方式散布,而主要的传播管道,包括:恶意邮件和网页挂马两种。
首先,以恶意邮件的散布方式而言,当中包括了:钓鱼邮件中的恶意连结,以及伪装成正常档案的恶意夹档。
他进一步解释,一般人每天都可以收到许多电子邮件,而且是假冒各种生活常见的快递或金融等业者的电子邮件,里面往往会有许多连结,希望使用者可以点击连结、下载并确认相关资讯的正确性,而这些网址往往都是经过骇客假造过的恶意连结,使用者只要一连上该恶意网址,就会下载实际为勒索软体的档案。
另外,也常见到有人直接将档案随信件寄送,因此,如果夹带的档案本身可能就是勒索软体,这时候,只要你开启该档案,就会步上电脑或档案被勒索软体控管的后尘。这些包藏勒索软体的恶意邮件,起初都以欧美和澳洲等地为主,但在今年4月开始,则发现有新兴的勒索软体Locky锁定台湾的使用者。
而这些恶意邮件的主旨,则是类似发票寄送,例如:主旨:ATTN: Invoice J-98223146,就是利用使用者对于打开微软Word档案没有防心的前提,造成不少使用者电脑中的档案被绑架。
不过,他也表示,目前仍少见以中文为主的勒索软体恶意邮件。
对于勒索软体的威胁,多数人在意的部份,在于如何成功地复原遭到加密的档案,趋势科技全球核心技术部技术经理陈健宏提醒,对企业或一般使用者而言,杜绝勒索软体成功入侵企业电脑的管道,是更值得关注的重点。摄影/洪政伟
勒索软体全球散布方式之二:网页挂马及恶意广告
至于网页挂马的方式,陈健宏表示,一种就是骇客直接入侵网站,第二种其实是恶意广告造成的。
趋势科技早先就观察到这种现象。他表示,从去年10月开始,网页挂马的攻击行为其实已经变得更严重,像是去年第四季网页挂马的攻击,就比第三季增加3.5倍,第三季的网页挂马攻击次数为43,015次,而第四季则为152,929次,成长比例相当惊人。
第一种是骇客直接入侵网站,将恶意程式植入网站中,而不知情的使用者浏览该网站时,若点击了这些连结,使用者就会自动被转址到其他的恶意连结。
当连到这些恶意连结时,陈健宏表示,使用者会从远端下载恶意的攻击程式(Exploit),也可以在攻击这些应用程式的漏洞、网页浏览器的漏洞、网页浏览器的外挂程式(例如Adobe Flash)漏洞后,骇客就可以取得这些应用程式的控制权,接着,对方就能自动在使用者电脑的背景程式中,下载并执行勒索软体。
根据统计,在2015年,总共有五种以上主流的漏洞攻击套件(Exploit Kit),是骇客经常用来入侵网站的工具,其中包括:Angler、Magnitude、Nuclear、Neutrino和Rig等,它们主要锁定的目标是网站伺服器,本身也可以避免被防毒软体侦测到。
从去年10月开始,趋势科技也陆续发现,台湾有越来越多的内容管理平台(CMS),像是WordPress、Joomla和Drupal等,都遭到骇客利用这些已知的内容管理平台漏洞入侵,并植入恶意程式。
若是以台湾为例,陈健宏表示,包括学校、研究单位、中小企业、房地产公司、交通运输业者和电子商务业者等,都已经遭到勒索软体的锁定。
同时,趋势科技观察到,在国外已经有EITest和Pseudo-Darkleech两组外国骇客,专门利用内容管理系统的已知漏洞,趁机进行大量攻击。
前者主要的作为,是把恶意程式码藏入SWF物件避免侦测,后者则是混淆恶意程式码,以避免被侦测到。
而这些外国骇客组织,目前已经在全球同时控制超过1,500个以上的网站,然而,对于多数的网页挂马攻击而言,这些却也只是所有挂马攻击的一小部分。
他也揭露另外一个更不为人注意的网页挂马的攻击方式,其实就是恶意广告。
陈健宏表示,这些骇客会假冒广告主,把藏有恶意连结的恶意广告,上传到一般的广告平台,而这些广告平台通常没有任何的过滤及审查机情况,就直接传播到各大网站,民众只要点击这些恶意广告,就可能会被导到某个恶意网站、逕行下载勒索软体。
至于台湾恶意广告的受害情况,主要是被全球恶意广告所波及,他说,最多同时有三组不同的恶意广告集团,一起活动。
从这样的恶意广告的攻击行为发现,他认为,一般的网路广告可以依照地区、时间和喜好做推播,往往很难察觉和追蹤恶意广告的行蹤。
再者,多数网路广告平台,通常没有能力过滤这些广告,判断是否夹带恶意连结等行为,且彼此的上下游关係相当複杂,很难做验证。
第三点原因则是,因为网路广告可以推播到有更多使用者的大型网站,有些甚至不需要使用者点击,只需要利用隐藏的iFrame,当使用者浏览这个网站时,就可以将使用者任意导入攻击伺服器 ,让人防不胜防。
越来越多的零时差漏洞,让使用者暴露在高度的风险中
包括Adobe Flash Player、微软浏览器,或是微软Silverlight等,经常被人发现,本身存在着许多原厂还没有修补的零时差漏洞,而有不少骇客在一定的时间内,便将这些还没有修补程式的零时差漏洞,整合到他们的攻击套件中。
「当这些程式越久没有更新,风险也就越高。」他说,有些漏洞从发现到更新,甚至超过二个月,也就是使用这些应用程式的使用者,整整暴露在没有保护机制的网路下,有超过二个月的时间。
这些零时差漏洞,也是勒索软体最好切入的点。此外,陈健宏指出,勒索软体的盛行,和金流可以隐匿而不被追查到的情况,已经有办法解决,有很大关係,而这也是上述网路地下经济之所以盛行的原因。
这个地下经济,已经自行构筑成一个完整的生态体系。他表示,当中有开发勒索软体工具的组织、提供恶意邮件的组织、提供跳板服务的组织、提供传播管道的组织、租用攻击套件的组织等、提供防追蹤伺服器的骇客,以及加入恶意广告入侵集团的骇客等。
如果有人想要做坏事,在这个地下经济体系中,他们都可以找到所需要的各种骇客服务。「所以,这些不同角色的互动,往往是处于既合作又竞争的关係。」陈健宏说。
利用网页广告进行挂马攻击,也是勒索软体大量散播的手法之一,图中是趋势科技发现的受害案例,他们是被全球性的恶意网页广告波及(右下角),而且当中至少有3组集团活动的蹤迹。图片来源/趋势科技
勒索软体的解决之道
要杜绝勒索软体横行,陈健宏表示,就算美国FBI面对勒索软体的威胁,往往也只能说「付钱了事」。
但是,他认为,杜绝勒索软体的散播途径,永远是第一优先该做的事情。
例如,杜绝恶意信件进入企业或组织内部;确保网站安全性,不被骇客入侵;过滤网路广告,确保没有隐含任何恶意连结;并且定期更新修补浏览器和应用程式,确保应用软体本身的安全性,不会被骇客所利用等等。
陈健宏说:「以2015年为例,应用程式的软体更新,只要公布四天后,使用者没有儘速更新的情况下,骇客将这样的漏洞纳入攻击套件时,也表示使用者已经面临极高的风险。」
所以,一旦有软体发布各种更新时,使用者务必做到儘速更新,以确保使用者电脑安全。当然,只打开信任发信者的邮件,如果无法确定邮件是谁寄送的,或者是邮件的夹挡或是连结的安全性前,都不应该贸然点击。
而基本的防护软体,包括防毒软体,都不可以忽略。如果本身是採用微软作业系统的使用者,也应该要部署由微软自己开发的进阶缓和经验工具组(Enhanced Mitigation Experience Toolkit,EMET),将可以防止恶意程式影响到其他程式的可用性。
最后的最后,他也再三强调,好的备份政策,往往是使用者面对勒索软体档案加密,是否要支付赎金的重要关键。
他建议应有定期且完整的资料备份,并遵守三、二、一的备份原则:三份备份、二种不同储存媒体,以及一个不同的存放地点。这些作法若能实施,都可以有机会降低勒索软体对使用者的威胁程度。
?勒索软体防範之道?
? 定期更新软体?? ?– 更新公开后,四天没有更新就有危险(以(2015年为例)?
? 只打开信任的邮件?? ?– 不随意打开未知来源信件的连结以及附件?
? 安装防护软体?? ?–例如微软 Microsoft EMET工具、防毒软体?
? 定期备份档案?? ?– 减少被勒索软体加密重要文件时的损失?? ?–遵守3份备份、2种不同储存媒体、1个不同存放地点备份原则
资料来源:趋势科技,2016年3月
I 相关 / Other
《非凡搭档》朱珠、陈楚河“零默契”搭档现已升级为“零沟通”状态!在新一期节目中,两人全程交流障碍,上演面对面失联!新浪娱乐讯 近期备受关注的明星真人竞技节目《非凡搭档》已经结束了北京、洛杉矶、阿拉斯加三
2016全球经济犯罪调查报告指出,46%金融业至少发生过1次经济犯罪或资安事件,台湾同样难以避免,iThome 2016年CIO调查发现,8成台湾企业曾有资安事件,25.5%甚至超过50次,很可能导致庞大损失。行动装置与个人电脑多
大白天的小区车库,在很多业主看来,应该是非常安全的。可是,这个月11号下午4点,家住南京尧顺佳园的杨女士在小区车库停车时,却被一隐藏在黑暗中的男子突然抱住并猥亵,幸好杨女士机智应对,男子强奸未遂,仅抢走了
图片来源: Facebook 已经多次开源人工智慧软体的脸书(Facebook)人工智慧研究中心(FAIR)周四再宣布开源三个用于图像辨识的软体。?这次开源的技术分别为DeepMask、SharpMask 及MultiPathNet。其中DeepMask和SharpM
全球不论个人或企业,都会面临数位转型,必须使用云端、行动装置、物联网等相关科技,有效提升运作效率,然而资安危机也越来越高,趋势科技统计发现,每5分钟就能拦截80个恶意网址、垃圾邮件、恶意软件出现。勒索软