當企業遇上勒索軟體的 停！看！聽！

Three Steps to React After a Ransomware Attack

沒有做好準備，就是準備好要失敗。 — 班傑明·富蘭克林
By failing to prepare, you are preparing to fail. — Benjamin Franklin

Photo by Maxim Hopman on Unsplash

勒索軟體（Ransomware）自 1989 年被公開問世後，在全球資安的攻擊手法排行榜上總是小有顯露，雖然在當時並不常為人所知，但直到 2013 年 12 月的 CryptoLocker 攻擊首度採用虛擬貨幣要求付款，根據當時 ZDNet 統計，當月被害勒索總金額高達 2700 萬美元，勒索軟體也以此次攻擊活動進入一波新的活躍期。而後在 2017 年冒出更強力的勒索軟體生力軍「WannaCry」，WannaCry 透過 Windows 系統漏洞 MS17–010（別名永恆之藍）橫掃 150 多個國家，受害電腦超過 30 萬台，造成全球巨大損失。勒索軟體攻擊手法至此立於不敗之地，成為每個企業都為恐避之不及的存在。

本篇文章以宣導強化企業資訊安全為出發點，立意於使「遭遇勒索軟體攻擊的企業」可作為指引參考；「未遭遇攻擊的企業」也能吸收知識且有所防禦。

勒索軟體的 停！看！聽！

在遇到勒索軟體攻擊時，企業如何在第一時間有效阻止災情擴大和將損失控制在最小範圍內。在以下這篇文章中，我們會詳細討論企業遇到勒索軟體攻擊時的停（當下應變）、看（分析）、聽（尋求專業協助）應變步驟。

圖片來源：ZUSO Generation 統整繪製

停！遇到勒索軟體攻擊時如何應變

當企業發現資產被勒索軟體加密時，應該要先阻止內部災情擴大並阻斷源頭。倘若讓勒索軟體持續在企業內部擴散，可能會導致其它與之連結的共享服務檔案在未知情況下陸續被加密。為了能快速減緩感染並有效降低損害，企業應優先執行以下步驟：

1. 隔離受感染的系統
   勒索軟體入侵企業後，主要步驟大多為優先掃描目標網域架構，並對儲存在網路芳鄰等這類共享資料夾中的檔案進行加密，嘗試橫向感染其他系統。為了防止感染擴大，企業首要動作就是儘快 隔離受感染的系統 並 切斷網路。
2. 關閉日常的工作排程
   企業應立即關閉自動化維護的工作排程，例如 刪除臨時檔案（temporary file）或在受影響系統上 執行日誌輪換（log rotate）等行為，因為這些工作排程會干擾系統的檔案、影響調查團隊的分析過程。某些勒索軟體會將重要資訊（如加密金鑰）儲存在暫存檔中，所以這些日誌便成為調查團隊分析勒索軟體感染企業系統的寶貴紀錄。
3. 建立被感染系統的備份檔
   部分勒索軟體感染企業環境後，會嘗試阻止企業執行檔案復原的行為，為了防止攻擊者進一步攻擊、感染或刪除企業的備份主機，企業應在受感染當下立即將系統與網路隔離後並建立一份備份檔或映像檔；若環境是虛擬機器（VM, virtual machine），則建議先執行系統快照（Snapshot）確保備份資料。對受感染系統進行備份的主要原因有兩個：
   ● ○ 預防資料遺失
   某些勒索軟體在解密失敗後可能會造成資料損害，例如 Ryuk 系列勒索軟體會在解密過程中切斷每個檔案的字元，雖然這不會對某些檔案格式造成重大影響，但針對其它會將重要訊息儲存在最後一個字節的檔案來說，解密過程存在受損的風險。例如：VHD/VHDX 等虛擬機檔案格式以及一些 Oracle 和 MySQL 資料庫檔案等。
   話雖如此，備份受感染的系統仍可以確保資料的完整性，因為當解密行為失敗時還可以從備份檔案中再重新複製一次、或是直接尋求專家協助。
   ● ○ 未來可能有免費的解密工具
   如果被加密的檔案對企業而言並非重要資料且不需緊急復原，可以先備份儲存後等待未來專家研究出解密方法。
   曾經有警調單位逮捕勒索軟體製作者和 C&C 伺服器後，釋出解密金鑰給受害者執行免費資料復原。另外，Shade、TeslaCypt 和 CrySis 等許多勒索軟體組織在結束攻擊行為或營運後都願意釋放解密金鑰
   除非經過專家指示，否則請勿直接刪除、格式化或重建受害系統的備份檔或映像檔。
4. 除非經過專家指示，否則請勿直接刪除、格式化或重建受害系統的備份檔或映像檔。
5. 隔離惡意程式
   為了使鑑識團隊便於分析感染情況，企業應先嘗試隔離惡意程式，若直接刪除受感染環境會讓團隊難以挖掘根因。如果惡意程式正持續運作中，則應該在隔離前先進行記憶體傾印（memory dump），以建立正在運作中的惡意程式的完整紀錄。Memory dump 的內容可能有機會包含檔案加密時使用的金鑰，若能成功萃取即可有效地協助受害者進行檔案復原且不需支付贖金。

看！辨識勒索軟體類型和調查感染來源

調查感染來源對於了解攻擊者使用何種手法以及入侵的範圍等資訊非常重要，但要準確找出駭客進入點其實並非一件容易的事，因為在大多數情況下，駭客們在發動攻擊前已經潛伏在企業系統內很長一段時間，調查線索可能會隨著時間推進而被自然覆蓋或刪除。企業若能搶先時機掌握感染來源和勒索軟體類型，必定能有效阻擋勒索軟體持續擴散的狀況。為了找出駭客入侵手法及感染範圍，企業可參考以下步驟縮小調查範圍：

1. 辨識勒索軟體類型
   被害者可以使用免費的工具服務，例如 Emsisoft 的線上勒索軟體辨認工具、ID Ransomware 或 No More Ransom 等網站來辨識勒索軟體的種類。透過上傳勒索軟體訊息、加密的文件和駭客的聯繫方式，工具會協助分析資料以確認勒索軟體類型。如果該勒索軟體已有免費解密工具，辨認工具還會引薦給使用者參考。
2. 調查感染來源
   調查感染來源主因是為了查明事件發生的緣由後進而阻止災情擴散，因此調查團隊需要透過大量系統日誌才能循線找到攻擊線索和蒐集證據。日誌取得來源可透過網路設備與資安設備（Routers, Switches, IDS, Firewalls, Proxies, NGFW, WAF）等日誌或者端點（server、user 端等）的紀錄，並且再依序往下細分為系統日誌、應用程式日誌和資料庫日誌等不同種類。以下列舉兩種常見作業系統的關鍵日誌路徑：
   ● Windows
   ○ 事件檢視器的應用程式 Log
   ○ 事件檢視器的安全 Log
   ○ 事件檢視器的系統 Log
   ○ 在 C:\Windows\System32\winevt\Logs\ 路徑下找到 .evtx 檔案
   ● Linux
   ○ /var/log/message：與一般及系統相關的訊息
   ○ /var/log/auth.log：驗證日誌
   ○ /var/log/kern.log：內核日誌
   ○ /var/log/boot.log：系統啟動日誌
   ○ /var log/utmp 或 /var/log/wtmp：登錄記錄檔
3. 受害主機若有執行 IIS 或 Apache 等服務可以先備份以下路徑的 log 資料並提交給專業團隊進行分析：
   ● Windows
   ○ C:\inetpub\logs\LogFiles (IIS)
   ○ C:\Windows\System32\LogFiles (IIS)
   ● Linux
   ○ /var/log/httpd/ (Apache)
   ○ /var/log/apache/ (Apache)
4. 在蒐集日誌後，調查團隊會從 案發前 的日誌活動開始分析以推敲出攻擊者的潛伏行為。但在某些特殊狀況下，攻擊者會在調查前嘗試刪除日誌來消除自己的犯罪痕跡，因此，應將不同端點的日誌匯合至伺服器或 SIEM 等設備做集中化管理，即便攻擊者將被害主機日誌刪除，調查團隊仍可至相關設備進行調查。
5. 根據 MII Cyber Security Consulting Services 的研究顯示，可以透過日誌中的 Event ID 和 Event Logs 資訊分析可疑操作行為，下方表格為該單位統整常見重要日誌清單：

表格來源：MII Cyber Security Consulting Services

聽！尋求專家建議或外界的專業團隊協助

當企業遇到勒索軟體攻擊時，錯誤的事件處理流程可能會增加復原工作的困難度、破壞證據資料和導致企業支出不必要的贖金。因此在發生事件後，建議企業應注意以下行為：

1. “不” 重新啟動受影響的設備
   在發現被攻擊的當下，企業應避免重新啟動設備，因為許多勒索病毒會檢查設備是否被嘗試重新啟動，並透過破壞 Windows 安裝元件導致系統無法啟動，或隨機刪除加密文件來懲罰受害者的重啟設備的行為。例如惡名昭彰的 Jigsaw 勒索病毒，會在使用者嘗試重新啟動受感染設備時隨機刪除 1000 個加密的檔案。
   此外，重新啟動設備會清除暫存檔案，而文章前面提到暫存檔案內可能包含調查團隊需要的重要線索，所以應先將受感染的系統進入休眠狀態，該狀態會將暫存內的資料存入硬碟，後續再交由專家分析。
2. “不” 使用外部儲存設備（USB、行動硬碟等）連接受感染的設備
   許多勒索軟體會針對儲存設備和備份系統進行掃描和攻擊，所以尚未確認系統是否安全狀態之前不可使用外部儲存裝置透過實體連結或網路連線到受感染的設備。
   執行中的勒索軟體通常都不易被發現，許多企業在復原過程中沒有發現殘留的勒索軟體，導致備份系統或儲存裝置連帶加密感染。
3. “不” 在受感染的網路上通訊
   為了提升復原步驟的安全性，企業應假設駭客仍可以存取到受感染的網路並攔截內網中傳送和接收的訊息，因此在執行復原的過程中，企業應建立安全的外連網路，並禁止復原設備使用受感染的網路進行通訊，直到應變措施處理完成且確認網路沒有風險。
4. “不” 刪除檔案
   除非專家建議，否則不要從被加密系統中刪除檔案。保留加密檔案不僅對調查團隊有幫助，且針對會將加密密鑰存在被加密的檔案中的勒索軟體，如果刪除了會無法進行解密。
   同理，贖金紀錄也不能刪除，因為某些勒索軟體（例如：DoppelPaymer 和 BitPaymer）會為它們加密的每個檔案都建立一個勒索訊息，其中包含解密所需要的編碼與密鑰。若刪除了贖金紀錄，對應的加密檔案將無法解密。
5. “不” 相信勒索病毒的攻擊者
   雖然有些攻擊者宣稱擁有職業道德、以誠信為原則，但他們仍是貨真價實的犯罪份子，他們沒有義務遵守任何協議或道德標準，因此企業不應全然信任勒索軟體組織提供的所有訊息，也不應該相信支付贖金後被加密的資料會完全復原。
6. “不” 馬上支付贖金
   雖然支付贖金可以幫助企業減少持續性的損失、成本比停止服務更便宜，以及不用擔心服務無法正常運作進而影響到企業聲譽，但仍建議優先考慮其它解決辦法是否可行，「支付贖金」應是企業用盡所有可能恢復資料的方法後，最下策的救援手法。且在支付贖金前，應審慎考慮以下幾個要素：
   ● 勒索軟體的攻擊者有機率收下贖金後卻不提供解密方式。
   ● 勒索軟體可能是向其他駭客組織購買，解密工具非攻擊者寫的，因此提供的解密方式有失敗的風險。
   ● 支付贖金的行為會助長勒索軟體產業鏈成形，促進這個產業發展。

如果企業內部沒有可以處理勒索軟體等相關事件的團隊，仍建議尋求外界專業的數位鑑識專家或調查團隊協助。

如何降低遭勒索軟體攻擊的風險

勒索軟體攻擊手法非常多元，有時會利用當時發生的新資安漏洞、有時會透過人為的安全錯誤配置鑽入，亦或者針對企業對外服務進行攻擊，必須做足全方面的事前預防機制或定期更新系統/服務版本才可有效降低企業遭受攻擊的風險。

圖片來源：ZUSO Generation 統整繪製

面對知名且常見的勒索軟體（例如 Revil、Samas、Bitpaymer 和 Ryuk），因為攻擊模式相似、且常利用類似的資安漏洞，所以只要定時更新，這類攻擊大多可偵測和預防的；但針對未知的或潛在型勒索軟體攻擊，防禦方法僅能透過強化企業整體環境的安全性來達成目標。企業應主動審視內部系統設定及權限控管，不同規模的企業需依情況定期檢閱以下預防措施並執行 :

• 定期備份：建議定期進行資料備份，且備份設備的存取權限需要嚴加控管。
• 定期更新：確保服務、基礎設施或應用設備皆採用最新的安全性更新。
• 查看活動紀錄：管理者應定期查看 AD（Active Directory）的活動紀錄，是否有新增不認識的使用者或出現疑似後門的檔案等。
• 網域區分：應做好組織部門間的網域區隔，若受到感染可以減少擴大的風險。
• 多重身分驗證：帳號登入設定多段驗證，減少被盜用帳號的風險。
• 最小權限原則：不同的身分帳號依其應持有最低限度的權限，且避免使用網域範圍的管理級帳戶。
• 憑證管理：完善的憑證管理可以防止暴力破解攻擊並降低憑證盜用和未經授權的來源訪問的風險。
• 控管遠端登入：遠端控制（RDP, Remote Desktop Protocol）是一種常被操作的攻擊手法，因此企業需要做好遠端控制的權限與帳號控管，例如只能透過 VPN 或是某特定的帳號登入特定的設備。
• PowerShell：PowerShell 是勒索軟體在目標網路內橫向移動常用的工具之一，管理員應嚴格控管使用此工具的設備。
• 員工教育訓練：資安攻擊事件大多透過使用者釣魚網站/信件、密碼強度太低等方式入侵，提升員工資安意識就能大幅降低風險。
• 導入第三方公司的安全性檢測：除了針對設備或端點的定期備份和更新版本外，企業應定期請專業公司執行 滲透測試、紅隊演練 或 健診網路架構，以確保企業內部環境的整體安全性。

資料來源 Reference

• 維基百科 — 勒索軟體, https://zh.wikipedia.org/wiki/%E5%8B%92%E7%B4%A2%E8%BB%9F%E9%AB%94
• 网络安全应急响应技术实战指南, https://www.qianxin.com/book/detail?book=31
• 人為勒索軟體攻擊：一場可預防的災難, https://news.microsoft.com/zh-tw/features/threat-protection/
• 8 Critical steps to take after a ransomware attack: Ransomware response guide for businesses, https://blog.emsisoft.com/en/36921/8-critical-steps-to-take-after-a-ransomware-attack-ransomware-response-guide-for-businesses/
• Log Analysis for Digital Forensic Investigation, https://medium.com/mii-cybersec/log-analysis-for-digital-forensic-investigation-e4a00f5a5c09
• CryptoLocker’s crimewave: A trail of millions in laundered Bitcoin, https://www.zdnet.com/article/cryptolockers-crimewave-a-trail-of-millions-in-laundered-bitcoin/
• CISA MS-ISAC Ransomware Guide
  https://www.cisa.gov/sites/default/files/publications/CISA_MS-ISAC_Ransomware%20Guide_S508C.pdf

本公司提供滲透測試、紅隊演練及資安顧問諮詢服務，能協助企業執行全面性的系統健診，降低企業資安風險。遇到攻擊事件亦有事件調查服務，替企業分析尋找脆弱點、提供應對措施與即時修正，縮小受害範圍。如有需要歡迎與 本公司 聯繫。