讓你“想哭”(WannaCry)的勒索病毒

上個周末的新聞版面非常熱鬧,新型勒索病毒的出現導致災情四起,諸多客戶爭相詢問病毒的攻擊途徑,以及如何防禦的措施。對於勒索病毒的認識,經過多年資安產業的努力,一般使用者與企業多有基本認識,也知道應該採取三不一沒有的基本資訊安全概念:也就是不開不明執行檔、不插入不明隨身碟、不要開啟不明文件的編輯模式,以及沒有防毒軟體就不使用電腦。唯此次WannaCry勒索病毒迥異於過去已知勒索病毒的攻擊方式,導致大家謹記的基本觀念完全不適用。

傳統勒索病毒的感染方式

過去的勒索病毒利用辦公室應用程式的漏洞,攻擊記憶體強迫系統下載加密程式,導致最後文件被加密,駭客利用解密的金鑰索取贖金。這些動作的源頭都必須使用者的介入,也就是使用者一開始的開啟Word/Excel/PowerPoint文件,或是開啟PDF,開啟瀏覽器瀏覽網頁等等。 利用使用者開啟文件或檔案的機會,駭客利用Office/Adobe/Browser的程式設計漏洞,塞入惡意程式碼,迫使程式執行惡意動作。換句話說,如果是無人值守的伺服器,一般而言遭遇到勒索病毒攻擊的機率較低。相對於個人電腦與筆記型電腦,通常也不應該有使用者在伺服器上開啟文件與網頁。

WannaCry與CryptoLocker的差異之處

新型勒索病毒迥異於已知病毒

根據目前所有發現,於5/13全球大流行的WannaCry勒索病毒並非利用使 用者的介入或是辦公室應用程式的漏洞而觸發。 相反地,WannaCry反而是利用微軟作業系統的檔案分享通訊協定(Server Message Block, SMB)的設計缺陷(CVE-2017-0143, CVE-2017-0144, CVE- 2017-0145, CVE-2017-0146, CVE-2017-0148),刺探這個漏洞並主動發起攻擊,將伺服器或是個人電腦上的各種文件檔案全部加密,其鎖定檔案格式高達一百多種。也就是說,過去至少還需要使用者發起動作的勒索病毒,現在已經進化成自己找尋目標,無須使用者動作就可以利用這個大多數電腦都會開啟的服務,刺探漏洞進而加密檔案。此次這個SMB漏洞早在三月已經公布,四月的新聞也強調過一次,照理說企業應該有所準備,可是問題還是蔓延的主要原因是:企業無法及時更新所有公開發行的修正檔 (MS17-010)。 受限於企業內部的規定與程序、或是企業內部開發程式的相容性,一般企業IT必須等待完整測試之後,才能在內部伺服器與個人電腦上安裝更新程式。也就是這個時間差(Patch Gap),讓駭客有可趁之機。

WannaCry 勒索病毒發作畫面

新型勒索病毒已經變種

WannaCry 的初始型態是PE執行檔(Portable Executable),利用SMBv1的漏洞,滲透企業內網,自主發作。短短兩天時間已經發現98種變形,76種是 PE二進位執行檔,其他包含利用文件夾帶的執行碼與巨集(Macro)型態的多樣變種。我們已經確認新型變種病毒已經利用Office文件格式,準備下一波攻擊。針對初始型態的PE格式,大多防毒軟體廠商都迅速地發佈更新病毒碼,所以目前許多防毒軟體是可以阻擋的。但是更兇狠、更難以抵抗的第二波記憶體攻擊才正要開始。而記憶體攻擊也是過往企業最為忽略,也是利用病毒碼資料庫的防毒軟體所難以阻擋的。

如何防範這個新型勒索病毒

許多資訊安全公司雖已在網路或新聞媒體上發佈各種基本防禦措施,諸如:立刻更新修正檔以及關閉不必要的服務。這些雖是老生常談,卻是最基本的資安防護守則。但是企業運作不比家庭與個人,必須考量多樣限制。針對受限制的企業,數位資安建議採取雙重防禦措施。

首先是採用Morphisec Moving Target Defense技術讓零時差記憶體漏洞攻擊失效,進一步保護電腦用戶,不讓攻擊者趁機下載勒索病毒加密程式。

第二個防禦措施則是Carbon Black Protection端點保護平台,徹底封鎖所有已知/未知惡意執行檔的穿透攻擊,讓電腦用戶即便在不知情的情況下,也不會讓任何惡意外來程式執行運作。

透過上述雙重防禦機制,可降低企業在Patch Gap中的風險;並同時杜絕人性的弱點,讓惡意程式無法透過社交工程攻擊或其他零時差漏洞來發揮作用。

如欲進一步了解數位資安的解決方案,請與我們聯絡!

Posted in 新聞 and tagged , , , , , , .