勒索软件攻击频传,灾情遍布全球,在各大安全厂商积极提升防御之术的时候,恶意攻击者也对自身技艺持续更新,不断研发出新型的攻击手法。
近日,亚信安全发现一波采用新型APT攻击的勒索软件侵害事件,攻击目标以企业为主,其中一家公司超过一百台的服务器惨被勒索软件加密,文档加密后扩展名均为“.Pr0tect”。亚信安全将该勒索软件命名为RANSOM_SOREBRECT.A和RANSOM_SOREBRECT.B。
其实,勒索病毒SOREBRECT起初仅存在于中东地区的黎巴嫩及科威特等国家,不过随着攻击地域不断扩张,目前中国、加拿大、克罗地亚、意大利、日本、墨西哥、俄罗斯、美国都能够见到其踪迹。
新型APT攻击手法解析
APT攻击手法:先取得管理者权限的帐号密码信息,再进行内网扩散
这起勒索软件攻击事件采用完全不同的新型攻击手法。以往受害者多是收到恶意电子邮件,或是浏览被“黑”网站或恶意广告,遭到隐藏其中的勒索软件攻击。
而本次破获的攻击事件是黑客从外部入侵,先取得拥有内网管理权限的帐号密码等敏感信息后,再在内网进行扩散活动,将重要服务器上的文档加密。攻击结束后它会删除系统上的事件记录(Event Log)和其他相关资讯,并且使用TOR洋葱路由器来隐藏其通信,使得网络安全防护部门无法有效调查攻击事件。
经调查,亚信安全总结出以下一连串的内网扩散攻击步骤:
黑客利用PsExec工具进行上述攻击行为,而PsExec需要管理员权限才能执行,故黑客应已事先取得相关敏感信息。使用PsExec工具相较于远程桌面连接更容易使用,而且不易被察觉,此即为典型“进阶持续性渗透攻击”(Advanced Persistent Threat,简称APT攻击)事件中的内网扩散阶段行为模式。
企业安全防护十部曲
鉴于SOREBRECT对企业服务器和端点可能造成严重损害,IT系统管理员和网络安全人员可采取以下方式进行防范:
1. 限制使用者的写入权限。让使用者拥有完整存取权限,正是网络共享文件夹容易遭到勒索软件攻击的重要原因之一。
2. 管制PsExec的使用。仅允许真正需要用到的系统管理员来执行这类程序,将有助于防范那些使用PsExec的威胁。
3. 备份文档。网络犯罪集团会利用人们害怕失去重要文档和个人资料的心理来逼迫受害者支付赎金。企业可采用以下方式进行备份:至少三份备份、分别存放在两种不同的存储介质、一份放在异地或安全的地点保管。
4. 随时保持系统与网络更新。务必让操作系统、软件及其他应用程序随时保持更新,如此可以避免恶意程序通过漏洞入侵系统。
5. 培养员工的网络安全防护意识的。勒索软件和其他恶意程序一样,通常都是经由电子邮件以及浏览恶意网站下载而感染。
6. 采用多层次的安全机制和针对目标攻击的策略。比如网络流量分析、入侵检测以及预防系统的部署,网络分段并对数据分类存储等。
7. 亚信安全威胁发现设备TDA提供高级网络防护,监控所有连接端口以及80多种通讯协议,分析所有进出的网络数据流量。通过其特殊的侦测引擎与定制化沙箱,能发现并分析攻击者使用的恶意软件、幕后操纵(C&C)恶意通讯,以及隐匿的攻击活动。
8. 亚信安全服务器深度安全防护系统Deep Security集成了防恶意软件、Web 信誉、防火墙、入侵防御、完整性监控、应用程序控制和日志审查模块,可确保物理环境、虚拟环境和云环境中的服务器、应用程序以及数据安全无虞。
9. 使用防毒墙网络版(OfficeScan 11 SP1)开启针对勒索软件(Ransomware)的行为阻止策略。如下图:
10. 更新亚信安全病毒码版本13.334.60。该版本已可检测该病毒,检测码为:
RANSOM_SOREBRECT.A
RANSOM_SOREBRECT.B
发表评论