2022 上半年的網路資安情勢變化劇烈,我們在上半年資安總評報告中檢視了這些變化以及對企業營運的影響,並說明您該知道些什麼來防範網路攻擊。
我們在本系列的第一篇當中談到了日益擴大的受攻擊面,以及駭客的手法如何變得更加精密。接下來的第二篇,我們將聚焦勒索病毒與雲端環境,此外也將討論其他值得注意、且在 2022 上半年造成嚴重危害的漏洞。
瞄準大型獵物的勒索病毒家族
隨著勒索病毒集團逐漸拓展成一種跨國營運,勒索病毒日益普遍也就不令人意外。一個名為「Black Basta」的勒索病毒專門攻擊財力雄厚的企業,光 2022 年初的短短兩個月內就襲擊了大約 50 家企業,其搜括的目標是主要網路登入憑證。
Black Basta 最早出現於 2022 年 4 月,當時有位化名「Black Basta」的使用者在一些大型地下論壇上徵求美國、加拿大、英國、澳洲和紐西蘭等地企業的網路存取權限。該使用者還提到他們會提供一筆豐厚的利潤給任何有意合作的夥伴。
目前,有關該集團規模和組織的資訊相當有限。不過就 Black Basta 最早張貼的廣告來看,該集團很可能是利用偷來的登入憑證進入受害者的系統,接著再執行加密動作:首先利用 vssadmin.exe 來刪除系統還原點,然後再開機進入安全模式。接下來會刪除一個名為「Fax」的服務,並建立一個新的服務指向惡意程式的路徑,然後將該服務加入系統登錄當中以便在開機後自動啟動。
最後,再將受害系統關機並重新啟動進入含網路功能的安全模式,並使用前述服務來將檔案加密。Black Basta 一個值得注意的特點是它的勒索訊息是寫死在惡意程式內,這可能意味著駭客集團會針對每一個受害目標來製作客製化病毒。
軟體漏洞成為中斷企業營運的威脅
2022 上半年,CVE.org 所發布的漏洞數量明顯增加,總共 12,380 筆 CVE 漏洞,較 2021 上半年發布的 9,420 筆 CVE 漏洞顯著增加。趨勢科技 ZDI 漏洞懸賞計畫也發現同樣的趨勢,從 2021 年 1 月 1 日至 6 月 30 日共發布了 770 次漏洞公告。如今,光 2022 上半年就發布了 944 次漏洞公告。
在已發布的漏洞中,高嚴重性的漏洞占最大比例 (68%)。重大及高嚴重性漏洞都大幅增加,只有中嚴重性漏洞的數量較 2021 年同期減少。在這樣的趨勢下,我們建議企業應採取一種較有效率且風險導向的方法,先找出對其環境可能有影響的漏洞,接著透過一些來源確認這些漏洞在網路上是否已經出現概念驗證攻擊,或者是否正遭到積極攻擊,例如透過美國網路資安與基礎架構安全局 (Cybersecurity and Infrastructure Security Agency,簡稱 CISA) 「已知遭到攻擊的漏洞目錄」(Known Exploited Vulnerabilities Catalog)。
同樣在 2021 年揭露的還有 CVE-2021-44228 (也就是 Log4Shell) 漏洞,這是一個出現在 Java 記錄檔函式庫 Apache Log4j 的漏洞。Log4Shell 漏洞的出現在資安界投下了一顆震撼彈,因為它涉及的軟體無所不在,幾乎各式各樣的系統都有它的存在,所以企業很難斷定自己是否受到影響。此外,2022 上半年還出現了其他影響企業關鍵軟體的漏洞,其中最受矚目的莫過於 Spring4Shell 漏洞。
我們早在 2022 年 4 月就已經在網路上看到 Spring4Shell 被用於攻擊當中。其中一起攻擊利用此漏洞來將虛擬加密貨幣挖礦惡意程式植入目標電腦。駭客會利用字串檢查來判斷目標電腦所使用的作業系統,接著將一個加密編碼的 Spring4Shell 網站指令介面工具 (Webshell) 解開來執行。這道指令會取得一個腳本在受感染的電腦上下載並執行一個虛擬加密貨幣挖礦程式。
新發現的漏洞威脅 DDS 標準
Data Distribution Service (DDS) 資料分發服務標準是一種可作為連線標準的中介軟體,提供安全的即時資訊交換與快速的工業物聯網 (IIoT) 整合。DDS 可讓工業系統開發人員為自己的應用程式開發一些模組,好讓其他公司使用而不需安裝額外的硬體或軟體。
2022 年 1 月,Trend Micro Research、TXOne Networks、ZDI 與 ADLINK Labs 及 Alias Robotics 共同發表了一份報告從網路資安的角度來探討 DDS 的問題。這份報告列舉了當今 6 套最常見 DDS 實作中的 13 個新漏洞,這些新的漏洞不僅影響使用 DDS 的企業,同樣也影響到第二代機器人作業系統 Robot Operating System 2 (ROS 2),這套機器人和自動化設備預設使用的作業系統就是採用 DDS 作為中介軟體,這意味著,針對 DDS 的漏洞攻擊一旦得逞,就可能對這類系統帶來嚴重後果。
值得注意的漏洞
2022 上半年,我們發現並分析了一些非 Windows 平台值得注意的漏洞。2022 年 4 月,我們發表了 一篇部落格討論我們所發現並分析的 CVE-2022-22639 漏洞,這是 macOS 軟體更新輔助背景處理程序suhelperd 的漏洞,此處理程序內含一個名叫「SUHelper」的類別。
Linux 和 Unix 使用者則是遭到某個新的作業系統漏洞以及一些老舊漏洞所影響。這個名為「Dirty Pipe」的漏洞從 2008 年 Linux 核心 5.8 版開始存在至今,能讓駭客將自己提升至主機系統管理員的權限。直到最近,開發人員才發覺,甚至連一些可信賴的環境也可能遭到攻擊。
WSO2 是一個用來整合應用程式開發介面 (API) 與應用程式的熱門平台,但 CVE 2022-29464 漏洞的出現卻危及了該平台的地位。駭客在攻擊此漏洞時無需使用者操作,也無需系統管理權限,一旦得逞,就能滲透受害系統的網路。
早在今年 4 月就有人在 GitHub 上發布了 CVE-2022-29464 漏洞的概念驗證攻擊程式碼。沒過多久,Metasploit 就收錄了這套攻擊程式碼,這些攻擊會在過程中安裝 Cobalt Strike 信標和其他惡意程式。
老問題與非傳統攻擊持續困惱雲端環境
許多企業都已經或多或少將部分基礎架構移轉到雲端,這樣的趨勢在未來幾年預計仍會持續下去,而 Gartner 也預測 2022 年光是公有雲支出就將達到近 5,000 億美元左右。
儘管雲端的普及讓許多企業的營運變得更有效率,但也使得雲端系統成為一些打算開拓新戰場的駭客所覬覦的目標。
以往,最有效率的挖礦方式是使用含有強大 GPU 的高階電腦來挖礦。其他型態的挖礦方式 (例如 CPU 挖礦) 也是可以獲利,但卻需要龐大的規模來彌補效能上的差距。既然大部分的使用者都沒有高階顯示卡可用,所以有些駭客集團便開始將腦筋動到雲端身上,試圖駭入雲端執行個體來發揮數量上的優勢進行挖礦作業。
我們在一份針對雲端挖礦的研究當中調查了該領域的一些主要駭客集團,並找出了五個最活躍的集團以及他們的經營方式:
- Outlaw 駭客集團偏愛使用原本熟悉的工具和技巧,其經營方式多年來都沒有太大改變。Outlaw 偏愛的攻擊目標是 IoT 裝置和 Linux 雲端伺服器,攻擊方式大多是利用已知的漏洞或暴力登入 Secure Shell (SSH) 指令列介面。
- TeamTNT 是這幾年來我們討論很多的一個集團,他們最知名的是在社群媒體上相當活躍,有時甚至會回覆專門研究他們的資安研究人員所張貼的訊息。由於 TeamTNT 在短短時間內不斷蛻變,使得他們在技術上成為虛擬加密貨幣挖礦駭客集團中的第一把交椅。
- Kinsing 在網路聲量方面剛好跟 TeamTNT 相反,因為該集團不太在社群媒體上曝光,甚至不在地下論壇上曝光。不過,它和競爭對手一樣能夠很快適應環境並調整作案工具。
- 8220 是一個經常利用漏洞發動攻擊的集團,主要是利用 Oracle WebLogic Server 的漏洞。我們發現該集團在 2020 年相對安靜,但 2021 年開始變得相當活躍,活躍程度大約是前一年的 10 倍。就目前所知,這個駭客集團和 Kinsing 互為競爭對手,彼此爭奪相同的資源,所以當他們在系統上發現對方的挖礦程式時,會先將對方清除之後再安裝自己的挖礦程式。
- Kek Security 是一個相對較新的集團,而且由於他們技術純熟,又喜歡在攻擊中使用最新漏洞,因此受到不少關注。Kek Security 也一直在持續開發他們的惡意程式,有些新的版本增加了更好的加密編碼能力來躲避偵測並防止研究人員分析。
接下來,在本系列的最後一篇,我們將討論駭客如何利用組態設定錯誤,相信這依然是絕大多數企業目前的頭痛問題。