HITCON FreeTalk 2021 線上直播心得筆記(一)-近期台灣勒索病毒攻擊案例分析 講者:台灣駭客協會理事 PK
金魚腦的我記錄一下看完線上直播後自己整理個筆記...
近期台灣勒索病毒攻擊案例分析
by 台灣駭客協會理事 PK
近期台灣大型企業遭到鎖定,個資外洩造成財產損失、整個產線的失靈等,會影響法規合規、投資人的信心或是供貨短缺等。
很多事情發生在企業對外的入口打進去的,攻擊手法越來越精進,不只加密檔案還有威脅資料外洩,用擠牙膏的方式讓企業支付贖金。
為何現在會如此殘忍?
加密貨幣的出現加速了這樣的狀況,因為駭客金流變得迅速,使用加密貨幣非常便利。
企業面臨的挑戰
壓力與恐懼:暗網公布機密資料、還有當地遵辦的法規事項等的壓力。
未來與不明:IR的處裡較困難,不能因為IR造成產線暫停。 產線運作又讓IR作業上困難。
評估與決策:誰能幫我? 什麼工具可以幫助我? 是否該支付贖金?這些問題對於一般企業來說不是短時間內能解決的。
企業恢復營運為第一優先
客戶的期待 與 資安廠商的鴻溝
客戶在意的是否可以解回檔案並能迅速恢復正常營運作業,但是資安廠商的立場需要評估說是否能幫客戶解? 識別病毒種類? 評估解密? 演算法是否有漏洞? 加密方式? 駭客背景? 教戰經驗等等….
客戶期待與各補強措施的差異。
勒索病毒最喜歡的企業備份方式
使用網路磁碟機掛載備份&與其他人共享目錄
(一台電腦加密 = 所有電腦加密)
共享掛載同個目錄在好幾台電腦會一直重複加密,檔案被重複加密好幾次基本上快爛掉救不回來了。
駭客最愛的加密資料:
- 人事資料(HR)
- 流程與資源管理(ERP)
- 製造執行系統(MES)
- 財務會計系統(FI)
勒索病毒幫派化(分為兩種類型)
透過 MaaS Botnet (malware service)平台上架(表有規模有堂口)
- 例如 Trickbot, Emotet, Zeus, Dridex
- 有一定成本、駭客賭很大、殺價空間小
- 鎖定大型製造業、高科技產業金雞母
- 手法精良,使用APT滲透技能
- 非常難纏、本來就沒要幫你解
非透過 MaaS Botnet 平台上架(就是小混混)
- 沒有太多成本、殺價空間大
- 多鎖定中小型企業,醫院、學校等
- 手法粗糙、無客製病毒能力、軟體 Bug 多
- 容易溝通,檔案不一定能解
金融木馬已不再是我們印象中的 Banking Trojan
Dridex, Trickbot, Emotet 都是所謂的 Banking Trojans,這些 Botnet 發展多年,程式本身自我混淆、通訊架構都有持續精進改良:Dridex(TA505)大量使用VEH(Vectord Exception Handling),進行程式解密,並用 inline patch 自身程式碼,分析非常複雜。
由傳統 invoice.zip 等演化更為真實的釣魚信件。
暗網兜售一站式服務
這是透過非Maas Botnet 的平台上架的
駭客都是以東歐、烏克蘭等等為主,雖然感覺人人可以輕易使用,但是這些服務都有後門,你啟用了駭客作者都會知道。不要亂用R
透過Maas Botnet 平台上架的勒索軟體來的類型,駭客一定要打到企業支付贖金,因為第一層他要透過平台來散佈勒索軟體是一筆成本、第二層是勒索軟體的提供商、再來就是受害企業。所以如果受害企業沒有支付贖金,對駭客來說無法跟供應鏈交代是一定會虧本的行為。
上一波在 2020/01/27 由德國發起的八國聯軍掃蕩 Emotet disrupted 後,現在雖然一波黑幫老大被制裁了,但是世界不會因此和平,日後一定會出現新的黑幫(的概念)。
以色列有個公司叫做 ClearSky 有追蹤數位貨幣錢包的相關位置,發現收到贖金之後會分送給上游各個供應鏈廠商,呼應前面所提,駭客拿到贖金之後要一層一層往上支付。所以駭客對於目標鎖定要精準且評估後一定要讓企業付贖金。(找大企業、營收好的、國際知名的金雞母公司就對了)根本還有心理戰術R
DoppelPaymer 是 BitPaymer 勒索病毒的變種,手法為透過遠端桌面帳密集漏洞獲取權限後植入 Dridex 病毒竊取資料,之後透過 EternalBlue 或 Zerologon 漏洞橫向移動拿到AD權限,伺機發動大規模勒索行動。
此次手法第一線都是使用 malspam malwares platform 等信件的方式散播。(仁寶事件就是這個手法)
這些是透過 Trickbot botnet 和 Emotet 來散佈,去年八月至今活耀中。
按照規模分類,Tier 1 就是組織非常龐大演化許久的,(攻擊衛服部的組織屬於此)。
Ransomware 2.0 流程
實踐檔案加密最佳化的案例ww他要用最短時間加密最多檔案是個很有策略的事情。
先偷(Steal)、再加密(Encrypt)、再勒索(Extort)、再威脅(Leak)
先偷:先用 APT 手法入侵企業後鎖定 AD ,派送偷重要資料傳到雲端硬碟。
加密:佈署加密程式,設定定時炸彈。
勒索:在暗網公布勒索訊息。
外洩:不支付贖金就繼續偷+繼續公布資料。
Double Extortion : 如果不支付贖金駭客會廣發 Email 跟打電話給企業給予壓力,雙重勒索。(真的是很用心捏!)
還會公布公開資料的進度條....
(迷:等駭客公布到 100% 後就不用解密啦!所有資料變成 OpenData 又歸還給你ㄌ~)
勒索軟體會演化很快,認為是最能貼近資安產業的趨勢,因為他們密切觀察資安公司是否有發布對於他們的研究報告。(挖~我的報告有人有在看且下一個發布版本就會修掉/改良了耶!)
加密策略:
以往勒索軟體使用高強度的密鑰加密檔案,現在勒索軟體用高強度的密鑰保護低強度的檔案加密的 Key(大部分是 RSA4096) 。所以基本上真正加密檔案的密鑰是低強度的( ChaCha8 或 ChaCha20),然後用 RSA4096 來保護 ChaCha8 的 Key。可以達短時間又能加密最多檔案的效果。
短時間達到最大的破壞力,依照檔案大小選擇不同的加密策略。如果檔案大的化,不會全部加密,只會加密檔頭、中間、後面一點點區塊這樣的方式分段加密。
如果勒索軟體沒輒了,會先第一段設定下次開機後進入安全模式(給他restart),windows 進入安全模式後大部分的防護系統都會被關閉,利用這時候開始加密。
或是不惜網路屏寬問題,自己勒索軟體外面包一個VM寄給你,如果開啟後病毒在VM裡面掛載到外面的磁碟機進行加密。防護措施根本偵測不到,因為防護在外面....(好厲害....)
Ransomware Epic Fail
最常見的缺失,這邊是說他的加密方式使用比較不安全的方式,Random()隨機產生的是用 windows 系統當下的時間(Tickcount)去產生亂數,這時候就可以反推去解的。
所以請專業的判斷是否可以被解密,不要太快支付贖金QQ。
Watch out your AD 小心你的 AD
Ntdsutil:NTDS.dit 是 AD 上儲存Hash 的檔案,微軟剛好有個工具是 Ntdsutil 剛好可以去copy那個檔案建立 snapshot 偷出來,這樣 AD 上很多密碼就可以爆破出來了,user 帳密外洩。
與 CONTI 交戰分享
CONTI 組織在客戶的電腦設定排程在 2021/01/01 00:00 跨年的時候啟動,已經針對很多電腦設定這樣的排程了。
企業怎麼因應?
組成專案團隊、初步調查狀況、送樣本分析、製作勒索病毒的專屬數位疫苗,讓勒索病毒誤以為此電腦已經中毒了,這樣勒索病毒就不會啟動。
再來清理惡意程式、找跟因、清理檔案、朔源。持續化療、慢慢恢復....
數位疫苗 DEMO 畫面
好酷好厲害!!!
植入數位疫苗後,有抗體了勒索病毒就不會執行了。這個思路真的很厲害!
預防勝於治療,零信任的網路環境
- Never trust, always verify
- Assume breach
- Verify explicitly
備份需要策略,而非掛載更多的 NAS
- 檔案版本歷程保留
- 使用檔案同步工具(不要用掛載的!!)
建築強而有力的中場防線
不論是端點或是紅藍隊驗證,0 day 經常有,防禦後偵測是關鍵
檔案要解密,讓專業的來評估
千萬不要自己去談贖金,需要專業的攻擊背景調查、加密破解評估。
講師:如果他去談,一定把駭客罵死wwww (反正資料不是我們的XD)折磨駭客到放棄(?)
重點:在過程中了解駭客的想法,會不會幫你解密
心得:數位疫苗的思路很厲害,了解的近期勒索軟體的背後組織架構及各種動作的用意,很有收穫。