5. 企業資安事件分析 / Ransomware 簡介 - Allen

從企業資安事件處理談Ransomware

 

資工四甲 402261410 黃申富

資工四甲 402261111 李日暉

資工四甲 402261238 陳品銓

資工四甲 402261434 楊育承 

 

翁浩正 Allen Own

服務項目

 

  • 滲透測試服務 ex:模擬攻擊找漏洞

  • 專業教育訓練

  • 資安事件處理 ex:電腦中毒 網站首頁被改

  • 資安顧問服務 ex:問要買甚麼設備 問系統架構修改的諮詢

 

木桶裝滿水後會從最低處開始漏,如同企業各區都要有防護

 

企業每個部門都要有資安的sense

ex:收e-mail 時.exe .com. lnk的檔案會讓電腦有風險

 

 

 

資安事件的6W2H

 

who 攻擊者是誰?

  • 惡意駭客組織,並與詐騙集團合作

  • 同業競爭對手

  • 個體戶

 

why 為什麼要攻擊我?

  • 為了錢財利益而攻擊

  • 公務、私人恩怨

  • 威脅

  • 為了有趣、炫耀

 

what   攻擊者要的是什麼?

  • 可以販賣的資料

    • 個資

    • 金融資料

    • 帳號密碼

    • 企業內部機敏資料

  • 可以利用的資源

    • 作為跳板

    • 作為「肉機」-電腦被當跳板 駭客為了隱匿自己的IP,加上跨國調查耗時而困難,增加了許多被查輯難度。

    • 作為殭屍網路 -一大群肉機,病毒一次可以撒在上百或上千台電腦,進行癱瘓或攻擊,攻擊完後,攻擊者還可將使用者電腦裡的資料加密,勒索使用者再賺一筆

 

whom 為什麼是我?

  • 軟柿子allen_2.png

    • 如:含有明顯漏洞的網站,比較好下手

  • 核彈試爆場

    • 如:最近出現的新漏洞、新攻擊手法

  • 看起來有錢人

    • 如:擁有大量金錢,如交易平台、比特幣

 

 

where 從哪裡開始攻擊?

  • 正面襲擊

  • 側面襲擊 「旁注」

    • 尋找同IP或相近網段來攻擊

  • 背後突擊 APT攻擊多採取此類攻擊方式

    • 從裡面將門開啟後再進入

 

when 什麼時候會發動攻擊

  • 無時無刻

  • 有重大新漏洞發表的時候

  • 企業被揭露資安漏洞時

 

how 怎麼攻擊的?

  • 針對不同的攻擊階段、目的採取不同的攻擊方式,例如蒐集情報,或者是針對弱點進行客製化攻擊。

  • 掃描服務:Port Scanning

  • 攻擊特定漏洞:Vulnerability Exploit

  • 人工客製化攻擊:尋找0-day,邏輯問題等

  • 阻斷服務攻擊:DoS,DDoS

 

how much    

  • 雙方的資源競爭

    • 敵暗我明,攻擊者狙擊企業的脆弱點,就能夠得到預期資料。

  • 雙方投入時間、注意力

    • 若攻擊者投入足夠的時間進行滲透(APT),時間長達數月至數年,則企業難以防禦。

 

 

黑色產業

Malware 全稱 Malicious Software

 

為什麼有惡意程式?

  • 破壞資料

  • 竊取資料

  • 跳板

  • 掌控電腦
     

惡意程式分類

  • Virus (電腦病毒)

    • 自我複製

    • 插入其他程式代碼

    • 可能具有破壞軟體的能力

  • Worm (蠕蟲程式)

    • 自我複製

    • 通常在相同環境中只會寄生一次

    • 自動掃描其他主機的漏洞,進行複製

  • Backdoor(後門)

    • 提供攻擊者直接進入主機

  • Exploit(弱點攻擊程式)

    • 針對軟體弱點去攻擊,利用其弱點獲取權限或特定目的

    • ex.SQL injection、"PORT" command buffer overflow、remote code execution

    • ex Exploit Database : https://www.exploit-db.com/ 生成攻擊shell code(remote遙控[較危險]、web、Local[可提高自己權限]、Denial of Service)

    • Proof of concept exploit(PoC):知道有這個攻擊法但不提供程式碼

    • google hacking database利用google搜尋撈出一些有漏洞的網頁

  • Trojan(木馬)

    • 不會自我複製

    • 自動與攻擊者連線操控

    • 綜合各種功能,例如讀取系統密碼、Keylog

  • Rootkit

    • 專門用來隱藏程式行為的工具

    • 使分析工具無法偵測

  • HackTool(駭客工具)

    • 攻擊者進行攻擊時使用的工具

    • 包括掃描、密碼猜測、弱點利用等

    • 不會直接對本機造成危害,但代表該機器有攻擊意圖

  • Spyware(間諜程式)

    • 常出現在惡意免費軟體中

    • 侵犯使用者隱私,將使用者資訊回傳

    • 強制跳出顯示廣告

  • Macros(巨集病毒)

    • 利用Microsoft Office巨集功能寄生病毒

    • 會自動感染其他文件

    • 目前已經少見,預設巨集功能已關閉

      • ex. Taiwan NO.1

  • Scripts(腳本)

    • 使用Script語言,例如VBS、JS、BAT、PHP、Python等,進行自動化動作

    • 攻擊者常利用來進行大量自動化攻擊

 

如何分析惡意程式

  • 了解惡意程式的行為

  • 觀察找出可疑的程式

  • 進行靜態、動態分析

  • 惡意程式鑑識及移除

 

惡意程式的行為

  • 破壞

  • 遠端控制

 

(1)自我傳播

  • 惡意網頁

  • 惡意檔案

  • USB隨身碟、記憶卡

  • 即時通訊軟體

  • E-mail 附加檔案

  • 惡意程式自動感染

(2)自我隱藏

  • 程式碼加殼

    • 加密、壓縮

    • 防止被防毒軟體特徵碼比對

  • 免殺

    • 針對防毒軟體進行干擾,造成防毒軟體無法正常判別

  • 壓縮殼-讓程式變小

  • 加密殼

(3)自動啟動

惡意程式會隨系統自動啟動,常見啟動方式:

  • Registry 登錄碼

  • 修改、替換檔案

  • 建立 Services

  • 系統啟動

  • Ini 檔案

  • lnf 檔案

  • DLL Hijacking

  • WMI 工作

  • 工作排程

(程式autoruns可以檢查開機時執行了哪些軟體)

(4)竊取資料

  • 竊取文件

  • 竊取遊戲帳號密碼

  • 竊取信用卡號

(5)破壞

ex.在附檔名後面加上._crypt讓使用者不能

(6)遠端控制

 

 

sysinternals

 

Autoruns-紅色代表沒簽章或可疑的軟體,但如果是官方的通常沒問題

Process moniter-像是進階版的工作管理員

tcpview-病毒有些會連網,可用TCPVIEW來看連網的軟體有沒有病毒

procmon

什麼是勒索軟體?

勒索軟體(Ransomware)為惡意程式的一種,當感染受害者電腦時,會將電腦鎖定,或是將重要文件、檔案加密,需要支付贖金才能解鎖。但因為加密所使用的金鑰強度高,因此若不支付贖金,將無法拿回原本重要檔案。

 

(1)進行的形式

  • 一般加密 Encryption(XOR)

  • 對稱式金鑰 Symmetric Key

    • AES,RC4,DES

  • 非對稱式金鑰 Asymmetric Keys

    • RSA

(2)該如何解決?

 

1.直接拔電源、關機

 

2.解決方案

  • 從備份還原

  • 檔案以前的版本(陰影複製)

  • 系統還原

  • 防毒軟體(主動式行為偵測)

(3)預防措施

  • 勤離線備份

  • 使用安全的作業系統

  • 不安裝來路不明的盜版軟體

  • 不開啟可疑的郵件附加檔案

  • 限縮系統權限、檔案系統權限

  • 更新常見軟體

  • 定期收看資安訊息