2024年甫進入第二季,卻已經有許多上市櫃及興櫃公司接連遭網路攻擊並發布重大訊息。可見勒索軟體攻擊並沒有因為去年中Qakbot殭屍網路被掃蕩瓦解而減少,相反地駭客很快地轉向利用應用程式弱點的方式繼續發動攻擊。
剛釋出修補程式的應用軟體成為勒索軟體攻擊的新媒介
從近期的勒索軟體攻擊事件調查中,可以發現現今的主要攻擊媒介是利用應用程式中的弱點來感染受害目標,攻擊者正盯緊那些剛釋出修補程式的企業軟體,並用大量資源去掃描尚未安裝修補程式的系統。包括CVE-2022-47966 ZOHO ManageEngine、Microsoft Exchange Server弱點、Citrix Bleed (CVE-2023-4966) Citrix NetScaler ADC及NetScaler Gateway、CVE-2023-20269 Cisco Adaptive Security Appliance (ASA)及Cisco Firepower Threat Defense (FTD) VPN等,都是近期勒索軟體攻擊中常利用的弱點。
以Citrix Bleed來說,原廠在釋出修補程式7天之後,就隨即發布告警有攻擊者正嘗試利用未安裝修補程式、存有漏洞的系統發動攻擊,此漏洞將使得駭客得以繞過密碼及多因素認證步驟並攔截使用者session,進而提權並獲取憑證、橫向移動及存取資料等。
此外,駭客還會在攻擊中使用帶有弱點驅動程式的工具(Bring Your Own Vulnerable Driver, BYOVD),例如HopToDesk、Atera、AnyDesk、Splashtop等遠端桌面工具,以及可以關閉安全軟體或讓防毒軟體失效的TrueSightKiller與GhostDriver,包括在LockBit勒索軟體攻擊中常見的資料外洩工具StealBit等。
根據調研機構Enterprise Strategy Group的統計,超過半數(52%)的資安主管表示現今企業的資安營運作業比兩年前挑戰度更高,因為越來越多變的攻擊面向伴隨著快速變化的威脅態勢,尤其是利用企業既有軟體而發動的就地取材攻擊(LOTL)越來越常見。其中Windows的系統工具PsExec是最常被用來攻擊的雙面工具(指正常合法的工具但被用於惡意用途),其次是PowerShell及WMI,見下表。賽門鐵克現今可追蹤54款LOTL工具當中的70種特定行為,並且可以根據行為變化迅速做出反應,同時持續更新這些數據。
💡 地取材攻擊(LOTL) 駭客利用受害電腦裡現成的工具,來執行攻擊行動的有關任務,這種手法被稱作「Living Off-the-Land(LOTL)」,目的是藉由這些合法工具來掩護非法行動
以多重維度資安策略來防禦勒索軟體攻擊鏈
要降低被勒索軟體攻擊的風險,企業必須先掌握勒索軟體的情資,並且採取偵測、保護、強化等多重策略來防禦攻擊鍊中每個可能的破口。在賽門鐵克2024勒索軟體威脅報告白皮書中,對於常見的勒索軟體攻擊戰術及案例進行詳細的分析,同時也針對防禦提出最佳實務作法。
全面減緩威脅的最佳實踐
在本地端環境,應監控企業內網雙重用途工具的使用狀況;確保擁有最新版的PowerShell並啟動日誌功能;限制RDP服務的存取、應稽核管理者帳戶的操作並導入一次性憑證、針對管理性的工具應建立使用樣態、使用應用程式允許清單、限縮PowerShell的使用、導入多因素認證等。
在Email電子郵件安全方面,啟動多因素認證以防止憑證遭網路釣魚攻擊竊取,並強化Email系統的安全架構、減少垃圾郵件。在備份方面,進行異地備份並安排至少四週的異地儲存包括每週一次完整備份及每日增量備份。進行離線備份,確保備份不要連接到網路以防遭勒索軟體加密。驗證並測試伺服器層級的備份解決方案等。
在備份方面,有效施行備份策略,包括異地備份,確保每週完整和每日增量備份的至少四週數據在離線位置。同時,也要實施本地的離線備份,以防止勒索軟件加密。此外,定期驗證和測試伺服器級備份解決方案,確保其在災難恢復過程中可靠。另外,要確保備份和備份數據庫的文件級權限得到妥善設置,以防止未經授權的訪問和加密。最後,測試還原功能以確保滿足業務需求,以應對任何可能的數據外洩情況。
防護措施
賽門鐵克提供一系列完整的解決方案以協助企業克服現今的挑戰,並保護數位基礎架構免受多面向威脅攻擊,完整涵蓋有:
Symantec Endpoint Security Complete (SESC) 專為協助防禦進階攻擊而創建。雖然許多供應商提供 EDR 來幫助發現入侵,但仍有差距。我們將這些差距稱為盲點,SESC 的防禦技術則可有效的消除盲點。
賽門鐵克特權存取管理 (PAM)
Privileged Access Management, PAM 旨在透過保護敏感的管理憑證、控制特權使用者存取、主動執行安全策略以及監視和記錄特權使用者活動來防止安全漏洞。
Symantec Web Isolation 透過在機構的企業系統和 Web 內容伺服器之間創建遠端執行環境,消弭 Web威脅並解決提供對未知、未分類和潛在風險網站的存取的挑戰。
Symantec Secure Web Gateway, SWG 提供高效能本機或雲端安全性 Web 網路閘道,組織可以利用該網路閘道來控制或阻止對未知、未分類或高風險網站的存取。
賽門鐵克情報服務利用賽門鐵克全球情報網路為多種賽門鐵克網路安全解決方案提供即時威脅情報,包括 Symantec Secure Web Gateway、Symantec Content Analysis、Symantec Security Analytics 等。
在 Symantec Content Analysis 平台內,零時差會自動升級並轉送至 Symantec Malware Analysis,並透過動態沙箱對潛在 APT 檔案和工具包進行深入檢查和行為分析。
Symantec Security Analytics 為所有網路流量提供豐富的資料封包獲取,以實現完整的網路流量分析、進階網路取證、異常檢測和即時內容檢查,以協助事件回應人員快速解決問題。
透過以上的產品組合以及結合最佳實務的導入,能協助企業具備偵測進階攻擊的能力,讓企業即使遭受攻擊也能將損害降到最低,快速回復企業正常運作。
Comentários