面對勒索病毒, 企業最關鍵有效的多層次防禦架構 · 2018. 3. 19. · •...
TRANSCRIPT
-
www.cloudsec.com/tw | #CLOUDSEC
面對勒索病毒,企業最關鍵有效的多層次防禦架構
Ken Huang 黃源慶
趨勢科技 資深技術顧問
-
#CLOUDSEC
勒索病毒 入侵 開口要 $ 9000比特幣
資料來源: 2016 0217 http://www.appledaily.com.tw/realtimenews/article/new/20160217/797129/
9000 x 23637= 212,733,000 ( 2.1 億 $NT)
http://www.appledaily.com.tw/realtimenews/article/new/20160217/797129/
-
#CLOUDSEC
300百年古蹟城隍廟 電腦也中勒索病毒
資料來源: 20160721 http://www.ttv.com.tw/news/view/10507210014400I/568
-
社交攻擊郵件氾濫, 附檔開啟要謹慎
-
#CLOUDSEC
惡意郵件攻擊案例
• 釣魚信件
• 假冒當地的銀行或快遞,連結下載帳單或收據
• 下載的檔案實際為勒索病毒
• 惡意夾檔
• 偽裝成投履歷或寄送發票的信件
• 附件壓縮檔解開後是勒索病毒
-
#CLOUDSEC
Demo:勒索病毒透過開啟社交信件入侵
-
上網閒逛瀏覽可要小心 勒索病毒喔
-
#CLOUDSEC
網頁掛馬攻擊流程
• 駭客入侵網站後,將惡意程式碼植入網站
• 拜訪該網站的使用者將會執行程式碼
• 在瀏覽網站的同時,也自動被導入駭客的攻擊伺服器
被入侵的網站
使用者
被入侵的網站 被入侵的網站
駭客中繼伺服器
漏洞攻擊套件伺服器
勒索病毒
-
#CLOUDSEC
台灣網站掛馬攻擊 追蹤發現
• 持續發現台灣網站被入侵
• 導向國外漏洞攻擊套件伺服器
• 受害網站多為内容管理系统
• WordPress, Joomla, Drupal
免費 、超強大、 模組化、 國際標準的
CMS (Content Management System) 架站軟體
2015年10月
10月1日─部落格 (?)10月15日─學會 (Joomla)
2015年11月 2015年12月 2016年1月
12月3日• 部落格 (WordPress)12月9日• 學校 (Drupal)12月16日• 購物網站 (?)• 中小企業 (Joomla)12月21日• 民宿 (Joomla)• 家俱業 (WordPress)12月25日• 學校 (Joomla)• 駕訓班 (Joomla)12月28日• 中小企業 (Joomla)
11月6日─基金會 (?)11月19日─大眾運輸 (Joomla)11月30日─房地產 (Joomla)
1月6日• 學校 (Joomla)1月11日• 中小企業 (Joomla)1月20日• 中小企業 (?)1月27日• 研究單位
(WordPress)1月29日• 中小企業 (Joomla)
-
#CLOUDSEC
Demo:勒索病毒透過上網閒逛漏洞入侵
-
#CLOUDSEC
駭客攻擊奏效的關鍵
• 持續發現新漏洞是主要原因
• 零時差漏洞
• 快速整合漏洞 CVE 編號 應用程式 發現日期 整合的漏洞攻擊包 更新公開日期 差距天數CVE-2016-0034 MS Silverlight 2016-02-22 Angler Exploit Kit 2016-01-12 41CVE-2015-8651 Adobe Flash 2016-01-26 Angler Exploit Kit 2015-12-28 29CVE-2015-8446 Adobe Flash 2015-12-15 Angler Exploit Kit 2015-12-08 7CVE-2015-7645 Adobe Flash 2015-10-29 Angler Exploit Kit 2015-10-16 13CVE-2015-5560 Adobe Flash 2015-08-28 Angler Exploit Kit 2015-08-11 17CVE-2015-2444 MS IE 2015-08-25 Sundown Exploit Kit 2015-08-12 13CVE-2015-2419 MS IE 2015-08-10 Angler Exploit Kit 2015-07-22 19CVE-2015-1671 MS Silverlight 2015-07-21 Angler Exploit Kit 2015-05-12 70CVE-2015-5122 Adobe Flash 2015-07-11 Angler Exploit Kit 2015-07-14 -3CVE-2015-5119 Adobe Flash 2015-07-07 Angler Exploit Kit 2015-07-08 -1CVE-2015-3113 Adobe Flash 2015-06-27 Magnitude Exploit Kit 2015-06-23 4CVE-2015-3104 Adobe Flash 2015-06-17 Angler Exploit Kit 2015-06-09 8CVE-2015-3105 Adobe Flash 2015-06-16 Magnitude Exploit Kit 2015-06-09 7CVE-2015-3090 Adobe Flash 2015-05-26 Angler Exploit Kit 2015-05-12 14CVE-2015-0359 Adobe Flash 2015-04-18 Angler Exploit Kit 2015-04-14 4CVE-2015-0336 Adobe Flash 2015-03-19 Nuclear Exploit Kit 2015-03-12 7CVE-2015-0313 Adobe Flash 2015-02-02 HanJuan Exploit Kit 2015-02-04 -2CVE-2015-0311 Adobe Flash 2015-01-20 Angler Exploit Kit 2015-01-27 -7CVE-2015-0310 Adobe Flash 2015-01-15 Angler Exploit Kit 2015-01-22 -7
越久沒有更新感染風險越高
-
勒索病毒發生當下 如何緊急處置
-
#CLOUDSEC
當你看到這些畫面請警覺勒索病毒入侵
-
#CLOUDSEC
瀏覽網頁突然出現…
-
#CLOUDSEC
電腦使用中突然跳出要求允許 …
-
當你看到這些畫面立刻拔網路關機
-
#CLOUDSEC
部分檔案被異動 副檔名怪怪的..
-
#CLOUDSEC
文件檔案無法正常開啟..
-
#CLOUDSEC
文件檔案開啟成亂碼
-
#CLOUDSEC
突然出現很多Ransom Note檔案
-
#CLOUDSEC
勒索軟體通知畫面 Cryptz
-
#CLOUDSEC
勒索軟體通知畫面
-
#CLOUDSEC
被勒索當下即時處置
• 斷網- 斷開網路連線 ,避免將網路磁碟機或共享目錄上的檔案加密• 斷電- 馬上關機 , 目的是不讓勒索病毒繼續加密電腦中的檔案,關機時間愈快被加
密的檔案愈少,建議強制關閉電腦電源• 保留電腦 通報資訊人員• 不要付錢
資訊人員處置事項• 關閉帳號, 暫時停止該員電腦網路存取登入權限• 中毒電腦,切勿接上公司網路開機• 檢查該員權限可以寫入公用資料夾是否感染• 將硬碟取出,透過另一台電腦備份尚未被加密的檔案• 查找出勒索程式入侵管道• 利用趨勢科技採樣工具掃描,並後送趨勢科技進行分析• 利用趨勢科技免費勒索軟體解密工具, 可解除部份家族加密後檔案• 安裝啟用 防毒軟體 OSCE11 SP1 防勒索行為控管
-
#CLOUDSEC
個人如何預防勒索軟體 ?
三要• 要定期備份重要的檔案。(321法則)• 要定期更新修補作業系統與應用程式的漏洞 IE/Flash/Adobe/Java/Windows
update 。更新公開後,四天沒有更新就有危險 (2015年為例)• 要安裝啟用OSCE11SP1 防勒索行為控管
兩不• 不開放共享資料夾寫入權限。• 不共用帳號。
一宣導• 同仁社交工程警覺訓練, 尤其是網站及郵件的相關警覺及認知• 只打開信任的郵件 不隨意打開未知來源信件的連結以及附件• 使用安全評價較高的瀏覽器(ex. Firefox ,Chrome …)• 電腦在家中毒後,切勿接上公司網路
-
#CLOUDSEC
資訊人員如何有效預防勒索軟體 ?
1. 要修補弱點:• Flash 更新派送
• 透過 AD-GPO / 軟派 派送更新Flash msi檔案 (adobe 官網取得)
• IE版本更新 , 或者改用其他瀏覽器2. 要強化端點體質:
• 還原用戶端 UAC 使用者帳戶控制設定• 透過 AD-GPO 套用用戶端設定 / 本機執行
• AD-GPO軟體限制原則以下目錄封鎖 svchost.exe , rundll32.exe , explorer.exe• %LocalAppData%/Temp/• %LocalAppData%/Temp/Low/Temp/
3. 善用OSCE-OPP病毒爆發防範機制• 禁止C:\users\*\AppData\Local\Temp 路徑寫入.EXE .DLL 檔案
4. 建立多層次防禦架構• 郵件,網頁,主機,用戶端,行為監控,白名單,備份等多層次機制
-
關鍵有效的多層次防禦架構
-
#CLOUDSEC
Ransomware 感染損害 防禦示意圖
-
#CLOUDSEC
Malware
Sandbox
Vulnerability
Shielding
Whitelist
Control
Web
Gateway
Email
Gateway
Ransomwa
reBehavior
Monitoring
Advanced
Threat
Scanning
Spear phishing
Protection
IP/Web
Reputation
Malware
Sandbox
Endpoint/Server Network
Data
Backup
Safesync
多層次防禦架構
-
#CLOUDSEC
有效防止勒索病毒關鍵 :
Trend Solution 多層次防護• 郵件閘道-阻擋惡意信件 : IMSVA/DDEI
• 網路閘道-阻擋惡意連結 : IWSVA/CloudEdge
• 端點防護-禁止惡意軟體加密行為: OfficeScan 11SP1/ WFP
• 主機防護-弱點防護 ,告警用戶端加密寫回主機:DeepSecurity
• 端點鎖定-電腦程式白名單機制: Safe Lock/ TMEAC
• 資料本體-備份機制: Safesync
-
案例應用分享
-
#CLOUDSEC
XX醫院 惡意信件攻擊案例
• 晚上清晨 重點攻擊時段
• 白天時段 開啟中繼站 誘使開啟信件執行勒索行動
• 勒索信件數量之多散槍打鳥 – 專打社交資安低級數
-
#CLOUDSEC
• 開啟SPAM Prevention功能中WRS功能
• 防止信件內文含有惡意網址連結
• 阻擋可執行檔下載
• True file types,勾選Executable後,將可執行檔類型檔案封鎖。
• 防止信件附件含有可執行檔案
• 阻擋攻擊主打附檔名為JS/WSF系列的檔案.
• 封鎖“CLA/CLASS/JS or JSE/VBS/VBE/WSH” 副檔名的檔案
• 防止zip壓縮的 js 附檔下載執行
• 防止zip壓縮的 附檔下載執行
• 阻擋透過IMSx功能阻擋附檔名為WSF系列的檔案
IMSVA 三招有效阻擋勒索病毒惡意攻擊
-
#CLOUDSEC
瀏覽到受駭網頁
XX 企業 使用者上網感染勒索病毒案例
IE crash Exploit 攻擊成功
電腦被加密
-
#CLOUDSEC
網頁瀏覽 Exploit kit 感染攻擊 慢動作拆解
⓵瀏覽網頁被導向Exploit 中繼站
⓶ Exploit kit攻擊Flash下載成功
⓸勒索程式執行成功
⓷ IE crash Exploit Kit 注入系統程式 Exploit 攻擊成功
電腦被加密
-
#CLOUDSEC
IWSVA 成功終結 勒索病毒攻擊流程 拆解
瀏覽到受駭網頁/廣告該網頁惡意連結被阻擋
Exploit 攻擊失敗電腦不會被加密
-
#CLOUDSEC
IWSVA 成功終結勒索病毒攻擊 –Ransomware Category
因為 IWSVA 中斷攻擊Ransomware Category
瀏覽網頁被導向Exploit 中繼站失敗
-
#CLOUDSEC
IWSVA 成功終結勒索病毒攻擊 –New Domain Category
因為 IWSVA中斷攻擊New Domain
Category
瀏覽網頁被導向Exploit 中繼站失敗
-
#CLOUDSEC
IWSVA 成功終結勒索病毒攻擊 –Flash Block
因為 IWSVA中斷攻擊Flash File Block
瀏覽網頁被導向Exploit 中繼站成功
Exploit kit攻擊Flash下載失敗
-
#CLOUDSEC
XX局 主機攻擊案例 :攻擊外部主機的Exploit
• 網路安全架構弱點
• 主機服務ACL
• 弱密碼
• 主機弱點
攻擊有漏洞伺服器 , 鎖住主機應用執行程式
-
#CLOUDSEC
Deep Security 提供對外主機弱點屏蔽防禦外部的Exploit Kit 攻擊
啟動DPI rule : 1006010 就如同虛擬修補好漏洞
Heartbeat 就無法對該主機攻擊.
-
#CLOUDSEC
檔案主機網路防護:受害用戶端加密寫回主機檔案告警阻止
中勒索病毒電腦檔案 檔案伺服器公用區檔案
-
#CLOUDSEC
檔案主機網路防護:快速查出中勒索病毒的用戶端
檔案主機觸發事件
中勒索病毒電腦
欲加密的檔案伺服
器
受害用戶端
檔案伺服器
-
#CLOUDSEC
OSCE11四大金剛護體 Ransomware Protection
• 終止未經授權的加密及修改行為Available in OfficeScan 11 SP1
• 封鎖注入合法程序的勒索病毒行為• To detect the Ransomware that
injects malicious code into a legitimate process*
• 封鎖與勒索病毒關聯的程序Available in OfficeScan 11 SP1
• 清除還原感染的惡意文件• To recover the user’s file when
Ransomware been detected*
Access Document Control(ADC)
Software Restricted Policy(SRP)
Damage Recover Engine(DRE)
User Mode Hooking
(UMH)
RansomwareProtection
-
#CLOUDSEC
OSCE11 防勒索病毒功能 – 全紀錄
用戶端圖示檢查
用戶端告警惡意行為
行為監控攔截紀錄
勒索病毒隔離紀錄
安全威脅紀錄
-
#CLOUDSEC
端點防護 :Trend Micro Safe Lock (TMSL)白名單應用程式防護
-
#CLOUDSEC
TMSL 成功阻擋勒索病毒執行
⓵瀏覽網頁被導向Exploit 中繼站成功
⓶ Exploit kit攻擊Flash下載成功
⓷ IE crash
⓸勒索程式注入合法程式執行卻失敗
⓹因為TMSL Lockdowm
終止外來程式執行
-
#CLOUDSEC
TMSL 成功阻擋勒索病毒執行
-
#CLOUDSEC
TMSL 阻擋勒索病毒 Root Cause分析
-
趨勢科技勒索病毒防禦產品一覽表Trend Micro
Anti-Ransomware solution
閘道防護 內網分析 端點防護 端點鎖定 主機防護 備份
IWSVA IMSVA DDEI CloudEdge DDI DDAn OSCE WFP SafeLock TMEAC DS Safesync網路釣魚郵件
安裝防治惡意軟體的郵件閘道 O O O
郵件閘道有沙箱功能來測試惡意軟體 ✩ O ✩
誤開啟惡意郵件後,端點防護軟體仍然可以偵測到可疑加密行為並中斷執行
O O
惡意廣告、網頁掛馬有網頁信譽評等功能的相關雲端服務可阻隔已知惡意網頁 O O O O
端點防護可以有效阻隔在勒索病毒與 C&C 之間的溝通 O O O O
端點防護可以偵測到exploit kit 並阻擋 O O O OBot net
可以有效隔離已知 Botnet 的 C&C 伺服器 O O O O
端點防護可以偵測Botnet 是否在背景運作並阻擋 O O
管理者可以透過系統偵測內部可疑 Botnet 連線並阻擋 O O O
滲透攻擊與主動橫向感染
管理者可以透過系統發現可疑封包並阻擋 ✩ ✩
端點防護在未知勒索病毒執行時,可以發現可疑行為,同時在第一時間嘗試備份檔案;確定為惡意後阻擋加密行為並阻擋勒索病毒,並有機會利用檔案備份復原檔案
O O
應用程式白名單鎖定功能
不允許非白名單內程式執行包含勒索軟體 O O
可以結合端點防毒系統 O
主機安全防禦
防止外部攻擊含有弱點的對外服務主機 O
內部受害使用端點腦感染主機告警 O
檔案備份與復原
檔案一旦改變,可以隨時備份 O
可以任選目錄備份,不須改變使用行為 O
有版本控制,可恢復之前版本 O
✩同一行中標示為✩的產品另需TMCM互為搭配,方具有此一功能
-
Anti-Ransomware Go 攻略
-
#CLOUDSEC
Anti-Ransomware Go : 攻略
• Power UP - 強化• 強化端點環境體質 IE/Flash/GPO• 端點行為控管加強 OSCE /WFP- UMH , OPP • 資料備份機制 Safesync• 社交資安宣導 : 社交信件攻擊演練
• EVOLVE - 進化• 郵件閘道防禦• 網頁閘道防禦• 主機弱點防禦• 程式白名單機制
-
#CLOUDSEC
免費社交攻擊演練服務 - 強化社交工程資安教育
-
Ken Huang 黃源慶
趨勢科技資深技術顧問