LetsTalk Online 2.0 駭客不停工、資安不停學 | 精彩回顧 >

目標式勒索攻擊會潛伏在公司內部,尋找有重要資料與有價值的主機後,才針對其加密勒索,不管企業要不要付贖金,主機被加密即失去運作能力,工廠的生產控制、企業重要應用的存取,都將無法回應,公司形同停擺,您可以承受幾天的停工損失?

根據趨勢科技技術支援中心統計,在台灣平均每天發生 5 起企業勒索求助事件*,其中二成為重大損害事件,導致了業務或生產停擺,然而,這只是第一章。


目標式勒索

好不容易復原了主機的資料,終於能正常運作,沒隔多久,主機檔案又被加密了,原來目標式勒索採用 APT 攻擊手法,它不只潛伏在內網,更有可能已取得管理者的權限,於是不管企業如何復原、重灌,駭客都能透過管理者權限隨時再破壞及加密任何内網主機

還有挖礦……

無檔案病毒也會偷偷建立定期的系統任務,盜用受害電腦的 CPU 運算能力來進行虛擬貨幣的挖礦,正因為無檔案很難被發現,很多企業可能還覺得主機效能變慢網路速度減低的原因為系統老舊,其實是無檔案的病毒在内網形成挖礦攻擊導致主機系統無法正常運作。

無檔案病毒攻擊包如何攻擊企業主機

入侵方式

  • 利用常見的 Windows 系統漏洞及密碼破解方式入侵電腦及主機
  • 取得權限後,利用正常的系統管理工具如 PowerShell、PsExec、 Windows Management Instrumentation(WMI)或 Office 巨集搭配脚本程式(Script)來合法運用 Windows 系統的管理工具的各項管理功能

運作方式

  • 建立預約排程並定時呼叫脚本程式於電腦記憶體執行挖礦任務,在實際案例中發現有主機電腦被建立多達 56 個挖礦排程任務

持續攻擊

  • 病毒同時在内部利用上述攻擊方式,於内網反覆入侵其他電腦及主機,等 IT 人員發現後即使重新安裝電腦或其他防毒軟體也難以根治


防衛三原則

透過異動偵測功能發覺系統被修改

APT 手法必會利用權限在主機內部進行一些不合法的系統修改;無檔案病毒要常駐在系統中,也常需修改自動執行或其他應用程式;若能監控應用程式異動及檔案異動,就能遏止目標式勒索攻擊進一步的活動。

虛擬修補系統漏洞避免攻擊 

因為行業特定程式的需要,許多中小企業的主機系統無法隨意升級,特別是製造業,許多沒有修補的漏洞自然讓無檔案病毒可以輕易進出。

從網路流量中找出異常活動 

無檔案病毒仍需藉由 C&C 通訊及資料外傳,或呼叫 API(如 PowerShell、PsExec 與 WMI)以啟動攻擊,若主機安裝了入侵防護技術(IDS / IPS),就能攔截正在執行惡意程式躲避技巧的無檔案病毒。


趨勢科技 Deep Security 保護重要主機的運作

1. 偵測非預期及惡意的系統變更:

讓企業及早發現 APT 或無檔案病毒所做的系統變更,使攻擊無法持續。

2. 為主機啟動漏洞防護罩:

強大的虛擬修補技術,即使系統未定期升級或無法安裝修補程式,仍能保護可能被駭客利用的埠口,避免零時差攻擊,阻擋目標式勒索最大的入口。

3. 可靠的入侵防護技術:

分析程式行為,阻止目標式勒索注入某個正常的程式以躲避偵測,也能阻止其利用 PowerShell 取得系統權限執行有害程序。

4. 不需大幅改變現狀就能獲得安全:

企業不必更新系統,只需安裝一套 Deep Security 就能對抗攻擊,對中小企業非常親切方便。

5. SaaS 雲端模式安裝容易:

企業只需在主機上安裝一支代理程式即可獲得防護,省去大部份設定調校的功夫。


參閱「趨勢資安部落格」了解更多資安威脅

*由趨勢科技處理案件的數量及頻度推算