骇客积极掌握加密软件算法安全性，视AD为入侵滩头堡

在勒索软件采用的技术上，骇客也关注加密程式的演化，目的就是为了可以快速回应资安业者的侦测。除此之外，对于AD的渗透方式，也是骇客关注的重点

持续变化加密处理方式，关注算法安全性以确保不被破解

以往勒索软件采用高强度的密钥，以加密受骇企业的档案，但现在勒索软件则改变加密方式，会以低强度的密钥加密企业档案后，再用高强度密钥（例如：RSA4096），去保护以快速算法、加密企业档案的低强度密钥（例如：ChaCha8或ChaCha20），“骇客改变加密方式，就可以达到在短时间内，加密最多档案的效果。”奥义智慧共同创办人丛培侃说，如果遇到大档案，为了加密效率，不会把档案全部加密，而是会选择加密档头、中间、后面一点点区块的分段加密方式。

由于骇客进入受骇企业的电脑环境后，会启动环境检查，关闭资料复原和防毒的程式，也会用特殊方式解除系统锁定档案（Restart Manager），并透过程式加壳、混淆方式，增加勒索软件静态分析的难度，对骇客最便利的方式则是，会寻找本机挂载的网络磁盘机，扫描SMB网络的其他主机。

勒索软件为了躲避资安产品的侦测，会无所不用其极的发挥猫抓老鼠的创意。丛培侃表示，他们观察到，有勒索软件会先强迫电脑重开机后，直接进入安全模式，因为一旦进入微软操作系统的安全模式后，许多安全防护系统都会被强制关闭，勒索软件就会趁此机会开始加密电脑档案。

丛培侃也发现其他闪躲侦测的方式，像是，有骇客不惜网络带宽，从外部寄送一台虚拟机器（VM）到受骇企业，勒索软件躲在虚拟机器内规避侦测，因为企业要侦测虚拟机器内的勒索软件，相对比较费工且成功率低，所以，勒索软件不需要变种，就可以借此躲避资安产品的侦查，然后，当企业开启该虚拟机器后，勒索软件就会在VM内，将挂载到外面的磁盘机进行加密。他说，因为所有的防护措施在外部，根本侦测不到任何异常现象。

值得注意的是，勒索软件也会关注算法的安全性，他指出，要确认随机产生的函式是否安全，若以微软.NET为例，以往会使用简单的New Random作为密钥产生，但这种方式是比较容易遭到骇客破解的；所以现在骇客都改用RNGCryptoServiceProvider函式，或是签章程式。

另外，也要判断企业一旦支付赎金后，骇客是否真的可以解密。

丛培侃表示，早期勒索软件Petya的受骇者代号（Victim ID），是经过骇客以公钥（Public key）加密Salsa20 key在 Base58的字串，骇客可透过私钥解开，对企业用户而言，付赎金后可以获得解密私钥，资料安全获得保障。

不幸的是，Petya在某一次的改版后，因为受骇者代号改成随机产生，连加密的Salsa也是随机产生，因为受骇者代号和加密公钥两者没有任何关联，导致没有被保存在受骇者代码victim ID内而丢失，这就造成档案永无法解密。

AD是勒索软件能否在内网快速扩散关键，骇客关注渗透方式

勒索软件都透过取得AD服务器的主控权，才有办法快速在内部横向移动，达到快速扩散的效果，通常都会从骇客寄送钓鱼邮件，然后企业用户使用者点选钓鱼邮件后，骇客得以在企业内部安装后门程式，再进行内部横向移动。

因为AD服务器是骇客的滩头堡，骇客掌握AD服务器后，就会直捣AD密码档案，举例说明：NTDS.dit是AD服务器负责储存杂凑（Hash）的档案，微软有个工具是Ntdsutil，刚好可以去复制那个档案建立快照（Snapshot）偷出来，这样AD服务器上很多密码，就可以被骇客“爆破”出来了，如此也导致许多AD服务器的使用者帐密外泄。文⊙黄彦棻