勒索病毒
研究報告:五大勒索病毒集團偏好可用來提升權限的CVE 漏洞
前五大勒索病毒集團所使用的 CVE 漏洞嚴重性評分系統上起碼都有 7.2 分,這些漏洞主要被用來提升權限 (占 54.3%),其次是用於遠端程式碼執行 (RCE) (占 17.4%)。
企業決策者對於勒索病毒風險應該知道的事
由於勒索病毒集團會不斷開發更多的攻擊手法、技巧與程序 (TTP),網路資安人員很重要的一點就是要利用各種資訊來源仔細評估自身企業的風險等級,以便對持續演進的威脅能有個全面的認識。舉例來說,Common Vulnerabilities and Exposures (CVE) 漏洞資料可幫助企業判斷該優先修補哪些方面的漏洞。本文將提供一些數據來說明如何運用資料科學技巧發掘有關勒索病毒集團的珍貴洞見,詳細內容請參閱趨勢科技的研究報告「企業決策者對於勒索病毒風險應該知道的事」(What Decision Makers Need to Know About Ransomware Risk)。
在這份共同研究當中,趨勢科技與 Waratah Analytics 的研究人員整理出 120 個各種勒索病毒集團所使用的 CVE 漏洞,並發現他們偏愛攻擊通訊與協同作業軟體、虛擬私人網路 (VPN),以及遠端存取與檔案儲存技術。若依據活動量來排行,前五大勒索病毒集團分別為:Conti、Cuba、Egregor、LockBit 及 REvil (亦稱為 Sodinokibi),他們總共使用了 46 個 CVE 漏洞,入侵了 15 家廠商共 30 個含有漏洞的產品。在這五大集團當中,Conti 所使用的 CVE 漏洞數量最多,高達 32 個 (圖 1)。
前五大集團所使用的 CVE 漏洞在嚴重性方面各有不同 (圖 2),不過大部分在 Common Vulnerability Scoring System (CVSS) 嚴重性評分系統上起碼都有 7.2 分。如圖 3 所示,這些漏洞主要被用來提升權限 (占 54.3%),其次是用於遠端程式碼執行 (RCE) (占 17.4%)。
前五大勒索病毒集團所使用的漏洞
CVSS 評分最低 (3.5) 的 CVE-2021-30119 漏洞是 Kaseya VSA 產品的一個已認證反射式跨網站腳本漏洞,REvil 在 2021 年 7 月用它來攻擊託管式服務供應商 (供應鏈攻擊),此外還配合了 CVE-2021-30116 和 CVE-2021-30120 兩個漏洞。
嚴重性排名最高的是遠端程式碼執行漏洞 CVE-2018-15982 與 CVE-2020-0609,兩者的 CVSS 評分都是滿分 10 分。2020 年現身的 Egregor 可能就是使用 CVE-2018-15982 (Adobe Flash Player) 漏洞。一直以來,Conti 勒索病毒集團都使用 CVE-2020-0609 (Windows 遠端桌面閘道) 漏洞來突破企業防線以進入受害者的系統。
建立能阻斷勒索病毒攻擊程序的防禦機制
從以上發現可看出網路資安團隊只需專心修補遠端程式碼執行漏洞與權限提升漏洞,就能應付最活躍的勒索病毒集團。更重要的是,上述結果證明了分析 CVE 資料來判斷漏洞攻擊在整個攻擊過程當中所扮演的角色,有助於企業了解某個勒索病毒集團的技術能力與偏好的攻擊目標。
這些知識同時也能幫助企業做出良好判斷,並設定修補更新的優先次序,尤其是攻擊前期階段所用到的漏洞,例如:武器化、供應與漏洞攻擊等階段。只要能防止駭客利用漏洞來突破防線進到企業系統內部,就能消除他們使用橫向移動漏洞的機會。
透過不同的資訊來源 (包括 CVE 資料) 盡可能從各種角度檢視勒索病毒的生態系,將是資安團隊在前期預先阻斷網路攻擊的重要關鍵。藉由提早偵測及防範攻擊,不讓攻擊有機會發展到加密與資料外傳階段,企業就能降低勒索病毒的衝擊。
現代化勒索病毒攻擊日益精密,意味著不論企業或一般使用者都必須採取一套全方位的防禦策略:確保系統隨時保持更新,套用最新的修補來防範感染勒索病毒的風險,並且強制貫徹以下資安最佳實務來隨時警戒:
- 啟用多重認證 (MFA) 防止駭客在網路內部橫向移動。
- 遵守3-2-1 原則來備份重要檔案:3 份備份、2 種儲存媒體、1 個不同的存放地點。
- 定期更新系統,良好的修補更新管理有助於遏止駭客攻擊任何作業系統與應用程式的軟體漏洞。
除此之外,企業若能採用一套多層式偵測及回應解決方案,也能發揮不錯效益,例如 Trend Vision One™ 即提供了強大的 XDR 功能,可蒐集並自動交叉關聯來自多個防護層的資料,涵蓋電子郵件、端點、伺服器、雲端工作負載以及網路,藉由自動化的防護來防範攻擊,並確保不遺漏任何重要事件。此外還有 Trend Micro Apex One™ 可提供進一步的自動化威脅偵測及回應來防範端點遭遇進階威脅,例如駭客植入的勒索病毒。
若想閱讀我們的完整報告來了解資料科學方法如何協助資安專家與產業領袖評估勒索病毒對其企業的風險,請參閱「企業決策者對於勒索病毒風險應該知道的事」(What Decision Makers Need to Know About Ransomware Risk)。
企業用戶
建議企業採用一套跨世代的多層式防護技術來防止最新勒索病毒攻擊,在適當時機套用適當的技術來保護您的使用者和資料。》立即前往了解
一般用戶
PC-cillin 防詐防毒、守護個資,支援Windows11 ✓手機✓電腦✓平板,跨平台防護3到位➔ 》即刻免費下載試用
假使您也不幸成了受害者,請保持冷靜,最好向外尋求協助,但不要支付贖金。而平時,最好可以安裝一套防毒軟體的即時防護。如 趨勢科技 PC-cillin 的「勒索剋星」可為您的寶貴檔案提供多一層防護。》立即免費下載試用
合作機構:Waratah Analytics (Erin Burns 與 Eireann Leverett)
◉原文出處:Leveraging Data Science to Minimize the Blast Radius of Ransomware Attacks