www.cloudsec.com/tw | #CLOUDSEC

面對勒索病毒，企業最關鍵有效的多層次防禦架構

Ken Huang 黃源慶

趨勢科技 資深技術顧問

#CLOUDSEC

勒索病毒 入侵 開口要 $ 9000比特幣

資料來源: 2016 0217 http://www.appledaily.com.tw/realtimenews/article/new/20160217/797129/

9000 x 23637= 212,733,000 ( 2.1 億 $NT)

http://www.appledaily.com.tw/realtimenews/article/new/20160217/797129/

#CLOUDSEC

300百年古蹟城隍廟 電腦也中勒索病毒

資料來源: 20160721 http://www.ttv.com.tw/news/view/10507210014400I/568

社交攻擊郵件氾濫, 附檔開啟要謹慎

#CLOUDSEC

惡意郵件攻擊案例

• 釣魚信件

• 假冒當地的銀行或快遞，連結下載帳單或收據

• 下載的檔案實際為勒索病毒

• 惡意夾檔

• 偽裝成投履歷或寄送發票的信件

• 附件壓縮檔解開後是勒索病毒

#CLOUDSEC

Demo：勒索病毒透過開啟社交信件入侵

上網閒逛瀏覽可要小心 勒索病毒喔

#CLOUDSEC

網頁掛馬攻擊流程

• 駭客入侵網站後，將惡意程式碼植入網站

• 拜訪該網站的使用者將會執行程式碼

• 在瀏覽網站的同時，也自動被導入駭客的攻擊伺服器

被入侵的網站

使用者

被入侵的網站 被入侵的網站

駭客中繼伺服器

漏洞攻擊套件伺服器

勒索病毒

#CLOUDSEC

台灣網站掛馬攻擊 追蹤發現

• 持續發現台灣網站被入侵

• 導向國外漏洞攻擊套件伺服器

• 受害網站多為内容管理系统

• WordPress, Joomla, Drupal

免費 、超強大、 模組化、 國際標準的

CMS (Content Management System) 架站軟體

2015年10月

10月1日─部落格 (?)10月15日─學會 (Joomla)

2015年11月 2015年12月 2016年1月

12月3日• 部落格 (WordPress)12月9日• 學校 (Drupal)12月16日• 購物網站 (?)• 中小企業 (Joomla)12月21日• 民宿 (Joomla)• 家俱業 (WordPress)12月25日• 學校 (Joomla)• 駕訓班 (Joomla)12月28日• 中小企業 (Joomla)

11月6日─基金會 (?)11月19日─大眾運輸 (Joomla)11月30日─房地產 (Joomla)

1月6日• 學校 (Joomla)1月11日• 中小企業 (Joomla)1月20日• 中小企業 (?)1月27日• 研究單位

(WordPress)1月29日• 中小企業 (Joomla)

#CLOUDSEC

Demo：勒索病毒透過上網閒逛漏洞入侵

#CLOUDSEC

駭客攻擊奏效的關鍵

• 持續發現新漏洞是主要原因

• 零時差漏洞

• 快速整合漏洞 CVE 編號 應用程式 發現日期 整合的漏洞攻擊包 更新公開日期 差距天數CVE-2016-0034 MS Silverlight 2016-02-22 Angler Exploit Kit 2016-01-12 41CVE-2015-8651 Adobe Flash 2016-01-26 Angler Exploit Kit 2015-12-28 29CVE-2015-8446 Adobe Flash 2015-12-15 Angler Exploit Kit 2015-12-08 7CVE-2015-7645 Adobe Flash 2015-10-29 Angler Exploit Kit 2015-10-16 13CVE-2015-5560 Adobe Flash 2015-08-28 Angler Exploit Kit 2015-08-11 17CVE-2015-2444 MS IE 2015-08-25 Sundown Exploit Kit 2015-08-12 13CVE-2015-2419 MS IE 2015-08-10 Angler Exploit Kit 2015-07-22 19CVE-2015-1671 MS Silverlight 2015-07-21 Angler Exploit Kit 2015-05-12 70CVE-2015-5122 Adobe Flash 2015-07-11 Angler Exploit Kit 2015-07-14 -3CVE-2015-5119 Adobe Flash 2015-07-07 Angler Exploit Kit 2015-07-08 -1CVE-2015-3113 Adobe Flash 2015-06-27 Magnitude Exploit Kit 2015-06-23 4CVE-2015-3104 Adobe Flash 2015-06-17 Angler Exploit Kit 2015-06-09 8CVE-2015-3105 Adobe Flash 2015-06-16 Magnitude Exploit Kit 2015-06-09 7CVE-2015-3090 Adobe Flash 2015-05-26 Angler Exploit Kit 2015-05-12 14CVE-2015-0359 Adobe Flash 2015-04-18 Angler Exploit Kit 2015-04-14 4CVE-2015-0336 Adobe Flash 2015-03-19 Nuclear Exploit Kit 2015-03-12 7CVE-2015-0313 Adobe Flash 2015-02-02 HanJuan Exploit Kit 2015-02-04 -2CVE-2015-0311 Adobe Flash 2015-01-20 Angler Exploit Kit 2015-01-27 -7CVE-2015-0310 Adobe Flash 2015-01-15 Angler Exploit Kit 2015-01-22 -7

越久沒有更新感染風險越高

勒索病毒發生當下 如何緊急處置

#CLOUDSEC

當你看到這些畫面請警覺勒索病毒入侵

#CLOUDSEC

瀏覽網頁突然出現…

#CLOUDSEC

電腦使用中突然跳出要求允許 …

當你看到這些畫面立刻拔網路關機

#CLOUDSEC

部分檔案被異動 副檔名怪怪的..

#CLOUDSEC

文件檔案無法正常開啟..

#CLOUDSEC

文件檔案開啟成亂碼

#CLOUDSEC

突然出現很多Ransom Note檔案

#CLOUDSEC

勒索軟體通知畫面 Cryptz

#CLOUDSEC

勒索軟體通知畫面

#CLOUDSEC

被勒索當下即時處置

• 斷網- 斷開網路連線 ,避免將網路磁碟機或共享目錄上的檔案加密• 斷電- 馬上關機 , 目的是不讓勒索病毒繼續加密電腦中的檔案，關機時間愈快被加

密的檔案愈少，建議強制關閉電腦電源• 保留電腦 通報資訊人員• 不要付錢

資訊人員處置事項• 關閉帳號, 暫時停止該員電腦網路存取登入權限• 中毒電腦,切勿接上公司網路開機• 檢查該員權限可以寫入公用資料夾是否感染• 將硬碟取出，透過另一台電腦備份尚未被加密的檔案• 查找出勒索程式入侵管道• 利用趨勢科技採樣工具掃描，並後送趨勢科技進行分析• 利用趨勢科技免費勒索軟體解密工具, 可解除部份家族加密後檔案• 安裝啟用 防毒軟體 OSCE11 SP1 防勒索行為控管

#CLOUDSEC

個人如何預防勒索軟體 ?

三要• 要定期備份重要的檔案。（321法則）• 要定期更新修補作業系統與應用程式的漏洞 IE/Flash/Adobe/Java/Windows

update 。更新公開後，四天沒有更新就有危險 (2015年為例)• 要安裝啟用OSCE11SP1 防勒索行為控管

兩不• 不開放共享資料夾寫入權限。• 不共用帳號。

一宣導• 同仁社交工程警覺訓練, 尤其是網站及郵件的相關警覺及認知• 只打開信任的郵件 不隨意打開未知來源信件的連結以及附件• 使用安全評價較高的瀏覽器(ex. Firefox ,Chrome …)• 電腦在家中毒後,切勿接上公司網路

#CLOUDSEC

資訊人員如何有效預防勒索軟體 ?

1. 要修補弱點:• Flash 更新派送

• 透過 AD-GPO / 軟派 派送更新Flash msi檔案 （adobe 官網取得）

• IE版本更新 , 或者改用其他瀏覽器2. 要強化端點體質：

• 還原用戶端 UAC 使用者帳戶控制設定• 透過 AD-GPO 套用用戶端設定 / 本機執行

• AD-GPO軟體限制原則以下目錄封鎖 svchost.exe , rundll32.exe , explorer.exe• %LocalAppData%/Temp/• %LocalAppData%/Temp/Low/Temp/

3. 善用OSCE-OPP病毒爆發防範機制• 禁止C:\users\*\AppData\Local\Temp 路徑寫入.EXE .DLL 檔案

4. 建立多層次防禦架構• 郵件,網頁,主機,用戶端,行為監控,白名單,備份等多層次機制

關鍵有效的多層次防禦架構

#CLOUDSEC

Ransomware 感染損害 防禦示意圖

#CLOUDSEC

Malware

Sandbox

Vulnerability

Shielding

Whitelist

Control

Web

Gateway

Email

Gateway

Ransomwa

reBehavior

Monitoring

Advanced

Threat

Scanning

Spear phishing

Protection

IP/Web

Reputation

Malware

Sandbox

Endpoint/Server Network

Data

Backup

Safesync

多層次防禦架構

#CLOUDSEC

有效防止勒索病毒關鍵 :

Trend Solution 多層次防護• 郵件閘道-阻擋惡意信件 : IMSVA/DDEI

• 網路閘道-阻擋惡意連結 : IWSVA/CloudEdge

• 端點防護-禁止惡意軟體加密行為: OfficeScan 11SP1/ WFP

• 主機防護-弱點防護 ,告警用戶端加密寫回主機：DeepSecurity

• 端點鎖定-電腦程式白名單機制: Safe Lock/ TMEAC

• 資料本體-備份機制: Safesync

案例應用分享

#CLOUDSEC

XX醫院 惡意信件攻擊案例

• 晚上清晨 重點攻擊時段

• 白天時段 開啟中繼站 誘使開啟信件執行勒索行動

• 勒索信件數量之多散槍打鳥 – 專打社交資安低級數

#CLOUDSEC

• 開啟SPAM Prevention功能中WRS功能

• 防止信件內文含有惡意網址連結

• 阻擋可執行檔下載

• True file types，勾選Executable後，將可執行檔類型檔案封鎖。

• 防止信件附件含有可執行檔案

• 阻擋攻擊主打附檔名為JS/WSF系列的檔案.

• 封鎖“CLA/CLASS/JS or JSE/VBS/VBE/WSH” 副檔名的檔案

• 防止zip壓縮的 js 附檔下載執行

• 防止zip壓縮的 附檔下載執行

• 阻擋透過IMSx功能阻擋附檔名為WSF系列的檔案

IMSVA 三招有效阻擋勒索病毒惡意攻擊

#CLOUDSEC

瀏覽到受駭網頁

XX 企業 使用者上網感染勒索病毒案例

IE crash Exploit 攻擊成功

電腦被加密

#CLOUDSEC

網頁瀏覽 Exploit kit 感染攻擊 慢動作拆解

⓵瀏覽網頁被導向Exploit 中繼站

⓶ Exploit kit攻擊Flash下載成功

⓸勒索程式執行成功

⓷ IE crash Exploit Kit 注入系統程式 Exploit 攻擊成功

電腦被加密

#CLOUDSEC

IWSVA 成功終結 勒索病毒攻擊流程 拆解

瀏覽到受駭網頁/廣告該網頁惡意連結被阻擋

Exploit 攻擊失敗電腦不會被加密

#CLOUDSEC

IWSVA 成功終結勒索病毒攻擊 –Ransomware Category

因為 IWSVA 中斷攻擊Ransomware Category

瀏覽網頁被導向Exploit 中繼站失敗

#CLOUDSEC

IWSVA 成功終結勒索病毒攻擊 –New Domain Category

因為 IWSVA中斷攻擊New Domain

Category

瀏覽網頁被導向Exploit 中繼站失敗

#CLOUDSEC

IWSVA 成功終結勒索病毒攻擊 –Flash Block

因為 IWSVA中斷攻擊Flash File Block

瀏覽網頁被導向Exploit 中繼站成功

Exploit kit攻擊Flash下載失敗

#CLOUDSEC

XX局 主機攻擊案例 :攻擊外部主機的Exploit

• 網路安全架構弱點

• 主機服務ACL

• 弱密碼

• 主機弱點

攻擊有漏洞伺服器 , 鎖住主機應用執行程式

#CLOUDSEC

Deep Security 提供對外主機弱點屏蔽防禦外部的Exploit Kit 攻擊

啟動DPI rule : 1006010 就如同虛擬修補好漏洞

Heartbeat 就無法對該主機攻擊.

#CLOUDSEC

檔案主機網路防護：受害用戶端加密寫回主機檔案告警阻止

中勒索病毒電腦檔案 檔案伺服器公用區檔案

#CLOUDSEC

檔案主機網路防護：快速查出中勒索病毒的用戶端

檔案主機觸發事件

中勒索病毒電腦

欲加密的檔案伺服

器

受害用戶端

檔案伺服器

#CLOUDSEC

OSCE11四大金剛護體 Ransomware Protection

• 終止未經授權的加密及修改行為Available in OfficeScan 11 SP1

• 封鎖注入合法程序的勒索病毒行為• To detect the Ransomware that

injects malicious code into a legitimate process＊

• 封鎖與勒索病毒關聯的程序Available in OfficeScan 11 SP1

• 清除還原感染的惡意文件• To recover the user’s file when

Ransomware been detected＊

Access Document Control(ADC)

Software Restricted Policy(SRP)

Damage Recover Engine(DRE)

User Mode Hooking

(UMH)

RansomwareProtection

#CLOUDSEC

OSCE11 防勒索病毒功能 – 全紀錄

用戶端圖示檢查

用戶端告警惡意行為

行為監控攔截紀錄

勒索病毒隔離紀錄

安全威脅紀錄

#CLOUDSEC

端點防護 ：Trend Micro Safe Lock (TMSL)白名單應用程式防護

#CLOUDSEC

TMSL 成功阻擋勒索病毒執行

⓵瀏覽網頁被導向Exploit 中繼站成功

⓶ Exploit kit攻擊Flash下載成功

⓷ IE crash

⓸勒索程式注入合法程式執行卻失敗

⓹因為TMSL Lockdowm

終止外來程式執行

#CLOUDSEC

TMSL 成功阻擋勒索病毒執行

#CLOUDSEC

TMSL 阻擋勒索病毒 Root Cause分析

趨勢科技勒索病毒防禦產品一覽表Trend Micro

Anti-Ransomware solution

閘道防護 內網分析 端點防護 端點鎖定 主機防護 備份

IWSVA IMSVA DDEI CloudEdge DDI DDAn OSCE WFP SafeLock TMEAC DS Safesync網路釣魚郵件

安裝防治惡意軟體的郵件閘道 O O O

郵件閘道有沙箱功能來測試惡意軟體 ✩ O ✩

誤開啟惡意郵件後，端點防護軟體仍然可以偵測到可疑加密行為並中斷執行

O O

惡意廣告、網頁掛馬有網頁信譽評等功能的相關雲端服務可阻隔已知惡意網頁 O O O O

端點防護可以有效阻隔在勒索病毒與 C&C 之間的溝通 O O O O

端點防護可以偵測到exploit kit 並阻擋 O O O OBot net

可以有效隔離已知 Botnet 的 C&C 伺服器 O O O O

端點防護可以偵測Botnet 是否在背景運作並阻擋 O O

管理者可以透過系統偵測內部可疑 Botnet 連線並阻擋 O O O

滲透攻擊與主動橫向感染

管理者可以透過系統發現可疑封包並阻擋 ✩ ✩

端點防護在未知勒索病毒執行時，可以發現可疑行為，同時在第一時間嘗試備份檔案；確定為惡意後阻擋加密行為並阻擋勒索病毒，並有機會利用檔案備份復原檔案

O O

應用程式白名單鎖定功能

不允許非白名單內程式執行包含勒索軟體 O O

可以結合端點防毒系統 O

主機安全防禦

防止外部攻擊含有弱點的對外服務主機 O

內部受害使用端點腦感染主機告警 O

檔案備份與復原

檔案一旦改變，可以隨時備份 O

可以任選目錄備份，不須改變使用行為 O

有版本控制，可恢復之前版本 O

✩同一行中標示為✩的產品另需TMCM互為搭配，方具有此一功能

Anti-Ransomware Go 攻略

#CLOUDSEC

Anti-Ransomware Go : 攻略

• Power UP - 強化• 強化端點環境體質 IE/Flash/GPO• 端點行為控管加強 OSCE /WFP- UMH , OPP • 資料備份機制 Safesync• 社交資安宣導 : 社交信件攻擊演練

• EVOLVE - 進化• 郵件閘道防禦• 網頁閘道防禦• 主機弱點防禦• 程式白名單機制

#CLOUDSEC

免費社交攻擊演練服務 - 強化社交工程資安教育

Ken Huang 黃源慶

趨勢科技資深技術顧問