智慧應用 影音
電子時報行動版服務
活動+

做足日常防禦措施 盡力阻斷駭客勒索入侵三部曲

  • 蕭怡恩

趨勢科技解析駭客勒索攻擊手法,協助企業檢視可能忽略的防禦基本原則。趨勢科技

五月初,美國最大燃油業者遭勒索攻擊,據傳支付大筆贖金、卻僅換得不中用的解密工具,被迫仍利用自己的備份來復原系統;歷經近一週的折騰,才陸續回復營運。此例如同震撼教育,讓許多企業繃緊神經,生怕自己淪為下一個受害者。

深知企業急欲強化日常防禦、避免遭受駭客荼毒,趨勢科技透過第二堂「LetsTalk Online線上系列課程」解析駭客勒索攻擊手法,協助企業檢視一些可能忽略的防禦基本原則。

趨勢科技大型事業部業務協理楊肇謙指出,據趨勢科技事件調查小組的統計,2021上半年,勒索攻擊在所有攻擊的佔比高達60%,顯示駭客已將此類攻擊列為常態,持續精進攻擊手法。

這也意謂著,一旦你成為駭客的目標,他絕對想盡辦法挖掘你的漏洞、達成最終勒索目的。因此趨勢科技期望透過本次課程,引領企業理解駭客手法,檢視自家環境是否出現若干防禦缺口,從而依據趨勢科技提供的建議、著手進行改善。

輕忽諸多細節  導致駭客入侵得逞

趨勢科技資深分析師黃哲軒,從「滲透與入侵」、「權限控制與內網擴散」和「資料竊取與加密」勒索三部曲,依序探討駭客為何入侵成功。

針對滲透與入侵,黃哲軒首先舉出2021年最經典案例,即是Exchange Proxy Logon漏洞的利用,癥結在於企業以為藉由Windows Update可順便修補Exchange弱點,忽略Exchange Patch上完應重新開機,少做這一步,以致被攻擊成功。

第二例是Firewall網路設備漏洞的利用。儘管企業已修補漏洞,未料到修補前即曾經被攻擊成功,故未更改外洩的帳密;加上有些企業僅採用一般帳密驗證,未搭配雙因子認證,導致駭客憑著竊取到手的密碼,便可直接撥通VPN登入內網。

接下來第三例算是常見樣態。大部份企業都有對外Web Services,多半設計Upload機制、允許使用者或供應商上傳資料,但不會確認上傳檔案型態,亦未以Hash方式將檔名變更為亂數,加上企業也未必針對所有網站導入WAF、定期弱掃或滲透測試,因而出現破口,使得駭客利用此機制上傳網頁後門、輕易入侵得逞。

此外,舉凡疫情期間WFH使用者的家用電腦缺乏資安防護,加上透過VPN連入公司後未受權限控管,以致駭客跟著WFH使用者混進內網後、伺機跳入其餘主機;或肇因於企業防火牆設定錯誤,將某些服務提供給外部維運廠商、卻未綁定來源IP,造成主機裸奔在外並淪為入侵跳板。

定期補漏洞、實施雙因子認證  做好防禦基本功

黃哲軒接著探討「權限控制與內網擴散」,他強調在此階段、駭客已成功入侵企業內部環境,接下來要做兩件事,一是取得更多權限,二是設法進行內部擴散,藉機取得更多主機的控制權。此階段涉及兩個主要的駭客行為,分別是「密碼竊取」、「內網擴散」。

有關密碼竊取,企業須嚴防駭客利用密碼竊取程式,從記憶體竊取曾登入過的帳密;也要避免駭客從本機Dump出SAM檔案,再以第三方工具破解Hash值、取得本機管理者權限;同時避免駭客從Domain Controller擷取NTDS.dit,藉此奪取整個Domain的權限。

至於內網擴散,須留意駭客利用NetShare上傳惡意程式到特定主機,並藉由排程機制執行加密程式;亦應防止駭客透過遠端管理工具PSEXEC,遠端操控內部主機去執行惡意程式。

歸納企業之所以遭到密碼竊取、內網擴散,通常因為網路架構以「方便」為設計基礎,導致網路透通無阻,利於駭客進行內網擴散;此外包括企業環境缺乏偵測機制,無法有效分辨駭客或正常使用者的操作行為,加上缺少主機檔案與服務異動監控所導致。

論及最後一個階段「資料竊取與加密」,此時駭客已企業環境造成破壞,做的事情相對單純。首先利用開源工具Rclone或透過企業的Web伺服器,把偷來的資料傳送出境;其次利用GPO或撰寫Batch File來派送加密程式。

黃哲軒建議,企業應認下列關鍵事項執行到位,包括定期修補漏洞,或利用IPS及Virtual Patch進行防護;導入雙因子認證機制,加強身分辨識;強化帳號密碼與權限的控管,避免高權限帳號落入駭客之手。

強化網路架構設計,避免大內網讓駭客暢行無阻;部署網路及用戶端的偵測回應機制(NDR、EDR),並配置代管服務(MDR);加強備份機制的安全性及有效性。一旦做好這六件事,即提高資安防禦力,有效墊高駭客入侵難度、將自己被攻擊成功的機率降到最低。