APP下载

借鉴公共卫生防疫概念,颠覆资安防护既有作法:台资安公司推勒索软件数位疫苗

消息来源:baojiabao.com 作者: 发布时间:2026-02-20

报价宝综合消息借鉴公共卫生防疫概念,颠覆资安防护既有作法:台资安公司推勒索软件数位疫苗

面对这种勒索软件的威胁,台湾资安公司奥义智慧共同创办人丛培侃日前在HITCON Freetalk的研讨会中,正式公开该公司与勒索软件Conti交手过招的过程,以及揭露他们研发的数位疫苗。

图片来源: 

台湾骇客协会提供

这两年,针对式勒索软件(Targeted Ransomware)锁定大型企业勒索赎金的方式,已经成为最热门、对企业造成危害最大的资安威胁,而台湾之前也有大型制造业传言被骇客组织,例如Conti等锁定,要求企业支付大笔赎金,否则就会外泄偷到的资料。

面对这种勒索软件的威胁,台湾资安公司奥义智慧共同创办人丛培侃日前在HITCON Freetalk的研讨会中,正式公开该公司与勒索软件Conti交手过招的过程。他们在协助企业进行数位鉴识的过程中,发觉到勒索软件的存在,而且,骇客已经事先设定好、预计在2021年元旦零时零分启动加密功能。他说,该公司发现勒索软件的设定后,便针对该勒索软件的特征,制造可以混淆骇客的数位疫苗,透过欺敌的方式,让骇客组织以为已经在企业的电脑中,成功植入恶意程式。

丛培侃表示,该公司打造数位疫苗以对抗勒索软件的手法,目前也在申请专利中。事实上,数位疫苗的制作,就如同面对各种流感病毒,流感疫苗必须对症下药才能够有效,数位疫苗也必须掌握各种勒索软件的特征,才能够制作出有效的数位疫苗。

他指出,该公司目前已经针对十多个流行的勒索软件,制作相关的数位疫苗,未来也会视客户需求,或者协助企业客户进行数位鉴识的过程中,根据这些公司的需要再增加数位疫苗的种类。

倘若企业目前没有遭到勒索软件的危害,就像为了预防流感要事先注射流感疫苗一样,企业要防范勒索软件,若事先导入数位疫苗,也具有类似的防护效力。

协助企业用户对抗Conti的实战经验,打造数位疫苗助阵

由于Conti是近期最普遍的勒索软件,丛培侃表示,他们在协助某企业用户进行资安鉴识的过程中,竟然发现有Conti已经存在该企业的电脑当中,而且事先设定攻击排程,预计在2021年1月1日 00时00分 ,也就是民众纷纷出外跨年的时候,启动勒索软件进行电脑档案加密的“定时炸弹”,奥义智慧则花了四周时间,才完成相关的内部资安鉴识的前置作业。

他表示,该企业总共有6,000台电脑,其中有77台是有帐密外泄、透过内部网络作为主机跳板的高风险电脑,并找到12支恶意程式。在帮企业进行在资安鉴识的过程中,更连续压制四波骇客在周末的突袭,奥义智慧协助企业透过EDR鉴识调查、制作数位疫苗、电脑接种、MDR执行清除追踪治疗等四个阶段,才得以保护企业免于勒索软件的威胁。

一、EDR鉴识调查阶段

奥义智慧执行的项目包括:协助清理多支恶意程式、提供根据网络设备情资拦截到的C2清单,并提供新的Xenson设定参数,以制作数位疫苗。

二、制作数位疫苗阶段

因为数位疫苗没办法一下子接触到那么多台电脑,成效仍要看网络环境的条件而定,但数位疫苗的目的,就是要让骇客勒索软件误以为受骇企业的电脑已经中毒,让病毒在原订排程预定启动加密程序的当天,不会被启动用来加密企业电脑资料。

毕竟,大规模派送安装,做到清理恶意程式、找根因、溯源等治疗情况,就像癌症病人需要持续化疗才能恢复健康,所有的治疗行为都无法在一天内完成。而在制作数位疫苗阶段,也会根据端点资讯提供相关C2清单,并观察多台端点电脑流量并其通建议。

三、电脑接种阶段

做到持续清理恶意档案和持续提供C2清单,以及检查是否有其他恶意排程。

四、用MDR执行清楚追踪治疗

提供相关IT规划建议,并持续追踪复发情况。

丛培侃表示,该公司先前曾与Conti实际交战,有相关经验,也透过当企业电脑接种数位疫苗的方式,抵抗勒索软件的威胁,目前他们除了针对Conti的勒索软件之外,其他常见十多种勒索软件的数位疫苗也已经研发完成,未来若在企业进行资安鉴识的过程中有需要,也可以针对其他勒索软件,制作相关的数位疫苗。

面对勒索软件的危害,他强调:“预防胜于治疗,第一步就是要打造零信任的网络环境非常重要。”必须假设企业资料已经外泄,所有的环节都必须验证再验证,直到验证确认为止才行。

其次,企业的资料备份策略,并不是挂载更多NAS(网络附加储存)磁盘机,而是必须要保留不同档案版本的历程,且习惯使用档案同步工具。

第三步就是,建筑强而有力的中场防线,包括端点侦测、红队验证与持续交战;以及面对零时差漏洞攻击,防御后的侦测是关键。

最后一步则是,加密档案要解密,应该委由专业团队来评估,他提醒,千万不要自己去谈赎金,不然骇客只会开出天价,透过专业第三者来协商会比较妥当;而且,也需要资安公司协助,针对骇客做专业的攻击背景调查,以及进行加密破解评估。

毕竟,不是每一款勒索软件都可以顺利解密,在过程中,我们应设法了解骇客是否会帮你解密,而不是贸然投入。文⊙黄彦棻

____________________________________

Box:备份时勿直接挂载网络磁盘机

一般而言,资料备份是因应勒索软件攻击的基本防护措施之一,然而,有些作法,可能反而让这类恶意软件更容易接触到资料,而惨遭加密。

在协助企业客户进行资安鉴识的过程中,丛培侃也看到“有助于”骇客集团,快速达到掳走资料这类勒索目的的资料备份方式。

使用网络磁盘机的方式挂载备份目录:

这种备份方式对骇客集团而言,只要能够加密其中一台磁盘机,就可以将全部的磁盘机同时加密。

使用网络磁盘机与其他电脑共享目录:

这种共享挂载同个目录在好几台电脑,会造成档案一直重复加密,当企业的档案被重复加密好几次之后,基本上,就算企业最后从骇客集团那里拿到解密的金钥,因为重复加密已经破坏档案结构,企业也就无法将档案解密,这也是企业发生的真实案例。

从目前的协助企业资安鉴识的经验总结来看,奥义智慧共同创办人丛培侃说:“骇客集团最喜欢加密企业的资料,就是会影响企业营运的资料,包括:人事资料HR、流程与资源管理SAP ERP、制造执行系统MES以及财务会计系统FI相关资料等四大类。”文⊙黄彦棻

 

 

数位疫苗的使用上,需经历EDR鉴识调查、制作数位疫苗、电脑接种、MDR执行清除追踪治疗等四个阶段,才得以保护企业免于勒索软件的威胁。

图片来源/奥义智慧

 

奥义智慧在协助某企业用户进行资安鉴识的过程中,发现勒索软件Conti已经在该企业的电脑中,预计在2021/01/01 00:00 跨年的时候,启动勒索软件进行电脑档案加密的“定时炸弹”。

图片来源/奥义智慧

 

 

2021-03-25 18:49:00

相关文章