做足日常防禦措施 盡力阻斷駭客勒索入侵三部曲

趨勢科技解析駭客勒索攻擊手法，協助企業檢視可能忽略的防禦基本原則。趨勢科技

五月初，美國最大燃油業者遭勒索攻擊，據傳支付大筆贖金、卻僅換得不中用的解密工具，被迫仍利用自己的備份來復原系統；歷經近一週的折騰，才陸續回復營運。此例如同震撼教育，讓許多企業繃緊神經，生怕自己淪為下一個受害者。

深知企業急欲強化日常防禦、避免遭受駭客荼毒，趨勢科技透過第二堂「LetsTalk Online線上系列課程」解析駭客勒索攻擊手法，協助企業檢視一些可能忽略的防禦基本原則。

趨勢科技大型事業部業務協理楊肇謙指出，據趨勢科技事件調查小組的統計，2021上半年，勒索攻擊在所有攻擊的佔比高達60%，顯示駭客已將此類攻擊列為常態，持續精進攻擊手法。

這也意謂著，一旦你成為駭客的目標，他絕對想盡辦法挖掘你的漏洞、達成最終勒索目的。因此趨勢科技期望透過本次課程，引領企業理解駭客手法，檢視自家環境是否出現若干防禦缺口，從而依據趨勢科技提供的建議、著手進行改善。

輕忽諸多細節  導致駭客入侵得逞

趨勢科技資深分析師黃哲軒，從「滲透與入侵」、「權限控制與內網擴散」和「資料竊取與加密」勒索三部曲，依序探討駭客為何入侵成功。

針對滲透與入侵，黃哲軒首先舉出2021年最經典案例，即是Exchange Proxy Logon漏洞的利用，癥結在於企業以為藉由Windows Update可順便修補Exchange弱點，忽略Exchange Patch上完應重新開機，少做這一步，以致被攻擊成功。

第二例是Firewall網路設備漏洞的利用。儘管企業已修補漏洞，未料到修補前即曾經被攻擊成功，故未更改外洩的帳密；加上有些企業僅採用一般帳密驗證，未搭配雙因子認證，導致駭客憑著竊取到手的密碼，便可直接撥通VPN登入內網。

接下來第三例算是常見樣態。大部份企業都有對外Web Services，多半設計Upload機制、允許使用者或供應商上傳資料，但不會確認上傳檔案型態，亦未以Hash方式將檔名變更為亂數，加上企業也未必針對所有網站導入WAF、定期弱掃或滲透測試，因而出現破口，使得駭客利用此機制上傳網頁後門、輕易入侵得逞。

此外，舉凡疫情期間WFH使用者的家用電腦缺乏資安防護，加上透過VPN連入公司後未受權限控管，以致駭客跟著WFH使用者混進內網後、伺機跳入其餘主機；或肇因於企業防火牆設定錯誤，將某些服務提供給外部維運廠商、卻未綁定來源IP，造成主機裸奔在外並淪為入侵跳板。

定期補漏洞、實施雙因子認證  做好防禦基本功

黃哲軒接著探討「權限控制與內網擴散」，他強調在此階段、駭客已成功入侵企業內部環境，接下來要做兩件事，一是取得更多權限，二是設法進行內部擴散，藉機取得更多主機的控制權。此階段涉及兩個主要的駭客行為，分別是「密碼竊取」、「內網擴散」。

有關密碼竊取，企業須嚴防駭客利用密碼竊取程式，從記憶體竊取曾登入過的帳密；也要避免駭客從本機Dump出SAM檔案，再以第三方工具破解Hash值、取得本機管理者權限；同時避免駭客從Domain Controller擷取NTDS.dit，藉此奪取整個Domain的權限。

至於內網擴散，須留意駭客利用NetShare上傳惡意程式到特定主機，並藉由排程機制執行加密程式；亦應防止駭客透過遠端管理工具PSEXEC，遠端操控內部主機去執行惡意程式。

歸納企業之所以遭到密碼竊取、內網擴散，通常因為網路架構以「方便」為設計基礎，導致網路透通無阻，利於駭客進行內網擴散；此外包括企業環境缺乏偵測機制，無法有效分辨駭客或正常使用者的操作行為，加上缺少主機檔案與服務異動監控所導致。

論及最後一個階段「資料竊取與加密」，此時駭客已企業環境造成破壞，做的事情相對單純。首先利用開源工具Rclone或透過企業的Web伺服器，把偷來的資料傳送出境；其次利用GPO或撰寫Batch File來派送加密程式。

黃哲軒建議，企業應認下列關鍵事項執行到位，包括定期修補漏洞，或利用IPS及Virtual Patch進行防護；導入雙因子認證機制，加強身分辨識；強化帳號密碼與權限的控管，避免高權限帳號落入駭客之手。

強化網路架構設計，避免大內網讓駭客暢行無阻；部署網路及用戶端的偵測回應機制(NDR、EDR)，並配置代管服務(MDR)；加強備份機制的安全性及有效性。一旦做好這六件事，即提高資安防禦力，有效墊高駭客入侵難度、將自己被攻擊成功的機率降到最低。