勒索軟體已經成為當前企業IT部門最害怕的資安風險,而且不論企業規模大小,什麼行業別,全部都成為駭客鎖定勒索的對象,近期像是歐美各大醫療院所,都紛紛淪陷,而成為駭客的提款機。
對此,趨勢科技全球核心技術部技術經理陳健宏表示,這些使用勒索軟體的駭客為了維持「商譽」,往往會成功復原加密的檔案,但是,對企業或一般使用者而言,如何杜絕勒索軟體成功入侵企業電腦的管道,才是更值得關注的關鍵。
勒索軟體其實不是新玩意,早在2006年,就有類似具有加密功能的木馬程式TROJ_CRYZIP,但是,一直到2012年出現的Reveton惡意程式,才讓針對檔案加密攻擊手法的惡意程式慢慢成熟。
不過,陳健宏坦言,這期間駭客一直要克服的則是金流的問題,直到具有可匿名特性的比特幣解決駭客金流問題,讓2013年的CryptoLocker成為歐美國家避之唯恐不及的資安風險,此時,也有很多受害者為了復原檔案,必須付錢給駭客,才能取得解密金鑰來還原檔案。
而且,約莫在2013年同時,還有像是TorrentLocker等類似變種的勒索軟體,也被推出,目的是為了分食勒索軟體的市場。到了2015年,更有TeslaLocker等變種惡意程式橫行。
勒索軟體全球散布方式之一:惡意郵件
不過,勒索軟體可以快速蔓延到全世界,和它們採取的散布方式途徑,有直接相關。
陳健宏表示,因為勒索軟體本身沒有自行擴散的能力,必須透過其他的攻擊方式散布,而主要的傳播管道,包括:惡意郵件和網頁掛馬兩種。
首先,以惡意郵件的散布方式而言,當中包括了:釣魚郵件中的惡意連結,以及偽裝成正常檔案的惡意夾檔。
他進一步解釋,一般人每天都可以收到許多電子郵件,而且是假冒各種生活常見的快遞或金融等業者的電子郵件,裡面往往會有許多連結,希望使用者可以點擊連結、下載並確認相關資訊的正確性,而這些網址往往都是經過駭客假造過的惡意連結,使用者只要一連上該惡意網址,就會下載實際為勒索軟體的檔案。
另外,也常見到有人直接將檔案隨信件寄送,因此,如果夾帶的檔案本身可能就是勒索軟體,這時候,只要你開啟該檔案,就會步上電腦或檔案被勒索軟體控管的後塵。
這些包藏勒索軟體的惡意郵件,起初都以歐美和澳洲等地為主,但在今年4月開始,則發現有新興的勒索軟體Locky鎖定臺灣的使用者。
而這些惡意郵件的主旨,則是類似發票寄送,例如:主旨:ATTN: Invoice J-98223146,就是利用使用者對於打開微軟Word檔案沒有防心的前提,造成不少使用者電腦中的檔案被綁架。
不過,他也表示,目前仍少見以中文為主的勒索軟體惡意郵件。
對於勒索軟體的威脅,多數人在意的部份,在於如何成功地復原遭到加密的檔案,趨勢科技全球核心技術部技術經理陳健宏提醒,對企業或一般使用者而言,杜絕勒索軟體成功入侵企業電腦的管道,是更值得關注的重點。攝影/洪政偉
勒索軟體全球散布方式之二:網頁掛馬及惡意廣告
至於網頁掛馬的方式,陳健宏表示,一種就是駭客直接入侵網站,第二種其實是惡意廣告造成的。
趨勢科技早先就觀察到這種現象。他表示,從去年10月開始,網頁掛馬的攻擊行為其實已經變得更嚴重,像是去年第四季網頁掛馬的攻擊,就比第三季增加3.5倍,第三季的網頁掛馬攻擊次數為43,015次,而第四季則為152,929次,成長比例相當驚人。
第一種是駭客直接入侵網站,將惡意程式植入網站中,而不知情的使用者瀏覽該網站時,若點擊了這些連結,使用者就會自動被轉址到其他的惡意連結。
當連到這些惡意連結時,陳健宏表示,使用者會從遠端下載惡意的攻擊程式(Exploit),也可以在攻擊這些應用程式的漏洞、網頁瀏覽器的漏洞、網頁瀏覽器的外掛程式(例如Adobe Flash)漏洞後,駭客就可以取得這些應用程式的控制權,接著,對方就能自動在使用者電腦的背景程式中,下載並執行勒索軟體。
根據統計,在2015年,總共有五種以上主流的漏洞攻擊套件(Exploit Kit),是駭客經常用來入侵網站的工具,其中包括:Angler、Magnitude、Nuclear、Neutrino和Rig等,它們主要鎖定的目標是網站伺服器,本身也可以避免被防毒軟體偵測到。
從去年10月開始,趨勢科技也陸續發現,臺灣有越來越多的內容管理平臺(CMS),像是WordPress、Joomla和Drupal等,都遭到駭客利用這些已知的內容管理平臺漏洞入侵,並植入惡意程式。
若是以臺灣為例,陳健宏表示,包括學校、研究單位、中小企業、房地產公司、交通運輸業者和電子商務業者等,都已經遭到勒索軟體的鎖定。
同時,趨勢科技觀察到,在國外已經有EITest和Pseudo-Darkleech兩組外國駭客,專門利用內容管理系統的已知漏洞,趁機進行大量攻擊。
前者主要的作為,是把惡意程式碼藏入SWF物件避免偵測,後者則是混淆惡意程式碼,以避免被偵測到。
而這些外國駭客組織,目前已經在全球同時控制超過1,500個以上的網站,然而,對於多數的網頁掛馬攻擊而言,這些卻也只是所有掛馬攻擊的一小部分。
他也揭露另外一個更不為人注意的網頁掛馬的攻擊方式,其實就是惡意廣告。
陳健宏表示,這些駭客會假冒廣告主,把藏有惡意連結的惡意廣告,上傳到一般的廣告平臺,而這些廣告平臺通常沒有任何的過濾及審查機情況,就直接傳播到各大網站,民眾只要點擊這些惡意廣告,就可能會被導到某個惡意網站、逕行下載勒索軟體。
至於臺灣惡意廣告的受害情況,主要是被全球惡意廣告所波及,他說,最多同時有三組不同的惡意廣告集團,一起活動。
從這樣的惡意廣告的攻擊行為發現,他認為,一般的網路廣告可以依照地區、時間和喜好做推播,往往很難察覺和追蹤惡意廣告的行蹤。
再者,多數網路廣告平臺,通常沒有能力過濾這些廣告,判斷是否夾帶惡意連結等行為,且彼此的上下游關係相當複雜,很難做驗證。
第三點原因則是,因為網路廣告可以推播到有更多使用者的大型網站,有些甚至不需要使用者點擊,只需要利用隱藏的iFrame,當使用者瀏覽這個網站時,就可以將使用者任意導入攻擊伺服器 ,讓人防不勝防。
越來越多的零時差漏洞,讓使用者暴露在高度的風險中
包括Adobe Flash Player、微軟瀏覽器,或是微軟Silverlight等,經常被人發現,本身存在著許多原廠還沒有修補的零時差漏洞,而有不少駭客在一定的時間內,便將這些還沒有修補程式的零時差漏洞,整合到他們的攻擊套件中。
「當這些程式越久沒有更新,風險也就越高。」他說,有些漏洞從發現到更新,甚至超過二個月,也就是使用這些應用程式的使用者,整整暴露在沒有保護機制的網路下,有超過二個月的時間。
這些零時差漏洞,也是勒索軟體最好切入的點。此外,陳健宏指出,勒索軟體的盛行,和金流可以隱匿而不被追查到的情況,已經有辦法解決,有很大關係,而這也是上述網路地下經濟之所以盛行的原因。
這個地下經濟,已經自行構築成一個完整的生態體系。他表示,當中有開發勒索軟體工具的組織、提供惡意郵件的組織、提供跳板服務的組織、提供傳播管道的組織、租用攻擊套件的組織等、提供防追蹤伺服器的駭客,以及加入惡意廣告入侵集團的駭客等。
如果有人想要做壞事,在這個地下經濟體系中,他們都可以找到所需要的各種駭客服務。「所以,這些不同角色的互動,往往是處於既合作又競爭的關係。」陳健宏說。
利用網頁廣告進行掛馬攻擊,也是勒索軟體大量散播的手法之一,圖中是趨勢科技發現的受害案例,他們是被全球性的惡意網頁廣告波及(右下角),而且當中至少有3組集團活動的蹤跡。圖片來源/趨勢科技
勒索軟體的解決之道
要杜絕勒索軟體橫行,陳健宏表示,就算美國FBI面對勒索軟體的威脅,往往也只能說「付錢了事」。
但是,他認為,杜絕勒索軟體的散播途徑,永遠是第一優先該做的事情。
例如,杜絕惡意信件進入企業或組織內部;確保網站安全性,不被駭客入侵;過濾網路廣告,確保沒有隱含任何惡意連結;並且定期更新修補瀏覽器和應用程式,確保應用軟體本身的安全性,不會被駭客所利用等等。
陳健宏說:「以2015年為例,應用程式的軟體更新,只要公布四天後,使用者沒有儘速更新的情況下,駭客將這樣的漏洞納入攻擊套件時,也表示使用者已經面臨極高的風險。」
所以,一旦有軟體發布各種更新時,使用者務必做到儘速更新,以確保使用者電腦安全。當然,只打開信任發信者的郵件,如果無法確定郵件是誰寄送的,或者是郵件的夾擋或是連結的安全性前,都不應該貿然點擊。
而基本的防護軟體,包括防毒軟體,都不可以忽略。如果本身是採用微軟作業系統的使用者,也應該要部署由微軟自己開發的進階緩和經驗工具組(Enhanced Mitigation Experience Toolkit,EMET),將可以防止惡意程式影響到其他程式的可用性。
最後的最後,他也再三強調,好的備份政策,往往是使用者面對勒索軟體檔案加密,是否要支付贖金的重要關鍵。
他建議應有定期且完整的資料備份,並遵守三、二、一的備份原則:三份備份、二種不同儲存媒體,以及一個不同的存放地點。這些作法若能實施,都可以有機會降低勒索軟體對使用者的威脅程度。
勒索軟體防範之道 • 定期更新軟體 • 只打開信任的郵件 • 安裝防護軟體 • 定期備份檔案 資料來源:趨勢科技,2016年3月 |