借鉴公共卫生防疫概念，颠覆资安防护既有作法：台资安公司推勒索软件数位疫苗

这两年，针对式勒索软件（Targeted Ransomware）锁定大型企业勒索赎金的方式，已经成为最热门、对企业造成危害最大的资安威胁，而台湾之前也有大型制造业传言被骇客组织，例如Conti等锁定，要求企业支付大笔赎金，否则就会外泄偷到的资料。

面对这种勒索软件的威胁，台湾资安公司奥义智慧共同创办人丛培侃日前在HITCON Freetalk的研讨会中，正式公开该公司与勒索软件Conti交手过招的过程。他们在协助企业进行数位鉴识的过程中，发觉到勒索软件的存在，而且，骇客已经事先设定好、预计在2021年元旦零时零分启动加密功能。他说，该公司发现勒索软件的设定后，便针对该勒索软件的特征，制造可以混淆骇客的数位疫苗，透过欺敌的方式，让骇客组织以为已经在企业的电脑中，成功植入恶意程式。

丛培侃表示，该公司打造数位疫苗以对抗勒索软件的手法，目前也在申请专利中。事实上，数位疫苗的制作，就如同面对各种流感病毒，流感疫苗必须对症下药才能够有效，数位疫苗也必须掌握各种勒索软件的特征，才能够制作出有效的数位疫苗。

他指出，该公司目前已经针对十多个流行的勒索软件，制作相关的数位疫苗，未来也会视客户需求，或者协助企业客户进行数位鉴识的过程中，根据这些公司的需要再增加数位疫苗的种类。

倘若企业目前没有遭到勒索软件的危害，就像为了预防流感要事先注射流感疫苗一样，企业要防范勒索软件，若事先导入数位疫苗，也具有类似的防护效力。

协助企业用户对抗Conti的实战经验，打造数位疫苗助阵

由于Conti是近期最普遍的勒索软件，丛培侃表示，他们在协助某企业用户进行资安鉴识的过程中，竟然发现有Conti已经存在该企业的电脑当中，而且事先设定攻击排程，预计在2021年1月1日 00时00分 ，也就是民众纷纷出外跨年的时候，启动勒索软件进行电脑档案加密的“定时炸弹”，奥义智慧则花了四周时间，才完成相关的内部资安鉴识的前置作业。

他表示，该企业总共有6,000台电脑，其中有77台是有帐密外泄、透过内部网络作为主机跳板的高风险电脑，并找到12支恶意程式。在帮企业进行在资安鉴识的过程中，更连续压制四波骇客在周末的突袭，奥义智慧协助企业透过EDR鉴识调查、制作数位疫苗、电脑接种、MDR执行清除追踪治疗等四个阶段，才得以保护企业免于勒索软件的威胁。

一、EDR鉴识调查阶段

奥义智慧执行的项目包括：协助清理多支恶意程式、提供根据网络设备情资拦截到的C2清单，并提供新的Xenson设定参数，以制作数位疫苗。

二、制作数位疫苗阶段

因为数位疫苗没办法一下子接触到那么多台电脑，成效仍要看网络环境的条件而定，但数位疫苗的目的，就是要让骇客勒索软件误以为受骇企业的电脑已经中毒，让病毒在原订排程预定启动加密程序的当天，不会被启动用来加密企业电脑资料。

毕竟，大规模派送安装，做到清理恶意程式、找根因、溯源等治疗情况，就像癌症病人需要持续化疗才能恢复健康，所有的治疗行为都无法在一天内完成。而在制作数位疫苗阶段，也会根据端点资讯提供相关C2清单，并观察多台端点电脑流量并其通建议。

三、电脑接种阶段

做到持续清理恶意档案和持续提供C2清单，以及检查是否有其他恶意排程。

四、用MDR执行清楚追踪治疗

提供相关IT规划建议，并持续追踪复发情况。

丛培侃表示，该公司先前曾与Conti实际交战，有相关经验，也透过当企业电脑接种数位疫苗的方式，抵抗勒索软件的威胁，目前他们除了针对Conti的勒索软件之外，其他常见十多种勒索软件的数位疫苗也已经研发完成，未来若在企业进行资安鉴识的过程中有需要，也可以针对其他勒索软件，制作相关的数位疫苗。

面对勒索软件的危害，他强调：“预防胜于治疗，第一步就是要打造零信任的网络环境非常重要。”必须假设企业资料已经外泄，所有的环节都必须验证再验证，直到验证确认为止才行。

其次，企业的资料备份策略，并不是挂载更多NAS（网络附加储存）磁盘机，而是必须要保留不同档案版本的历程，且习惯使用档案同步工具。

第三步就是，建筑强而有力的中场防线，包括端点侦测、红队验证与持续交战；以及面对零时差漏洞攻击，防御后的侦测是关键。

最后一步则是，加密档案要解密，应该委由专业团队来评估，他提醒，千万不要自己去谈赎金，不然骇客只会开出天价，透过专业第三者来协商会比较妥当；而且，也需要资安公司协助，针对骇客做专业的攻击背景调查，以及进行加密破解评估。

毕竟，不是每一款勒索软件都可以顺利解密，在过程中，我们应设法了解骇客是否会帮你解密，而不是贸然投入。文⊙黄彦棻

____________________________________

Box：备份时勿直接挂载网络磁盘机

一般而言，资料备份是因应勒索软件攻击的基本防护措施之一，然而，有些作法，可能反而让这类恶意软件更容易接触到资料，而惨遭加密。

在协助企业客户进行资安鉴识的过程中，丛培侃也看到“有助于”骇客集团，快速达到掳走资料这类勒索目的的资料备份方式。

使用网络磁盘机的方式挂载备份目录：

这种备份方式对骇客集团而言，只要能够加密其中一台磁盘机，就可以将全部的磁盘机同时加密。

使用网络磁盘机与其他电脑共享目录：

这种共享挂载同个目录在好几台电脑，会造成档案一直重复加密，当企业的档案被重复加密好几次之后，基本上，就算企业最后从骇客集团那里拿到解密的金钥，因为重复加密已经破坏档案结构，企业也就无法将档案解密，这也是企业发生的真实案例。

从目前的协助企业资安鉴识的经验总结来看，奥义智慧共同创办人丛培侃说：“骇客集团最喜欢加密企业的资料，就是会影响企业营运的资料，包括：人事资料HR、流程与资源管理SAP ERP、制造执行系统MES以及财务会计系统FI相关资料等四大类。”文⊙黄彦棻

 

 

数位疫苗的使用上，需经历EDR鉴识调查、制作数位疫苗、电脑接种、MDR执行清除追踪治疗等四个阶段，才得以保护企业免于勒索软件的威胁。

图片来源/奥义智慧

 

奥义智慧在协助某企业用户进行资安鉴识的过程中，发现勒索软件Conti已经在该企业的电脑中，预计在2021/01/01 00:00 跨年的时候，启动勒索软件进行电脑档案加密的“定时炸弹”。

图片来源/奥义智慧