受害者「中招」話咁易!淺談勒索軟件的入侵戰術

黑客工具五花八門,今次我們將介紹其中一款黑客手段 – 勒索軟件(CryptoWall)。所謂的勒索軟件其實就是一種木馬程式,當用户開啟了這些檔案後,電腦系統便會被鎖定,而受害者需要透過支付贖金後才可獲得解鎖。不過原來很多時即使支付了贖金,其實亦未能真正解鎖;又或者只是暫時解鎖,到了一定時間後木馬程式又會再次執行,讓你再次支付贖金!
news43

入侵途徑?

所有成功入侵或黑客攻擊幾乎都需要先將惡意軟件放到目標電腦中才可,而勒索軟件亦一樣。根據研究所知,現時勒索軟件的入侵途徑主要有兩大方向:電郵以及惡意連結。

通過電郵附件形式

這種方式主要是透過製造一封非常真實的虛假郵件,然後向企業的主要部門,例如是會計部發送,最終由於郵件與真實無異, 於是便可誘騙到欠缺網絡安全危機意識的員工開啟附件;再加上企業的防禦措施不足的話,最終便可輕易的成功入侵到企業系統。根據 CYBER THREAT ALLIANCE 的一份報告之中便顯示,從 2015 年年頭至今,全球已有高達 70000 台電腦受到勒索軟件的試圖攻擊行為,其中三分之二是通過電郵的附件而觸發的。

郵件的內容主要針對會計部門,內容以及附件之中都包含了如 invoice、statement 等字眼;聰明的黑客明白到,企業之中會計部門的同事往往比較欠缺 IT 知識,自不然在網絡安全危機觸覺方面亦比較欠缺。而這亦符合一直以來勒索軟件的入侵戰術,就是主要針對一些敏感資料,包括財務資訊、商業機密、數據庫以及員工個人資料等而進行針對性的攻擊;而這一切重要資料往往都會存放在會計部門之中。

至於附件的形或,為了盡可能避開防禦方案,黑客很多時都會將勒索軟件以 .zip 的方式發送,當開啟了 .zip 檔案後,大部份勒索軟件均以 .scr (Microsoft Windows screensaver)的檔案格式為主;而某些較具針對性的攻擊行動,例如主要針對會計部門的攻擊,則會將檔案以及 ICON 製作成與 Office 以及 PDF 一樣的形態,因此用户「中招」真是「話咁易」!接著有些則會以 .exe 的形式出現,不過這方式「中招」的機會較低,事關很多郵件伺服器及服務供應商在預設情況下已禁止收發 .exe 檔案。

通過惡意連結方式

另一種入侵方式就是通過惡意連結,並令用户下載到一些 exploit kits (黑客工具包),當用户被誘使下載這些工具包後,工具包便會即時將一系列的黑客工具,包括針對 Svchost.exe、網絡連線功能、加密工具、解密工具、C&C 客户端等等自動安裝到受害者的電腦之中。

現時網絡上的網站,幾乎每個網站都有漏洞;而且現時流行通過採用一些開源方案,例如是 WordPress、OpenCart、Magento、Drupal 等進行網頁開發,萬一這些平台「中招」,便幾乎可影響全球大部份網站。根據 Wikipedia 的資料顯示,在 2015 年 1 月,全球首 1000 萬名的網站之中,便有高達 23.3% 是採用 WordPress CMS 作為開發基礎,而全球使用 WordPress 作為開發基礎的網站高達 6000 萬!所以黑客往往會針對這些平台的漏洞植入惡意連結。

根據慣例及難易度,黑客主要會通過針對開源 CMS 系統最脆弱的部份 – 插件植入惡意代碼,從而令瀏覽者在進入受感染的網站後,自動轉址再轉址,並來到了黑客製作出來的惡意頁面,最終自動下載有關惡意工具。這些惡意工具當用户以滑鼠 Highlight 便可執行,這樣用户只要並不是採用指令模式刪除有關檔案,都會「中招」,無一幸免。

付款可解除?

當用户「中招」後,系統會被鎖定,並會彈出一個頁面,要求用户交付贖款以換取重新啟用系統。為了避免執法機構的監測,付款方式往往只有一種,就是要求用户採用比特幣(Bitcoin)付款。採用比特幣的原因是因為比特幣每 20 分鐘一次結算及其一層層的加密特性,因此一旦採用比特幣,執法機構亦難以追查到收款一方。

最後,有一部分比較有道德的黑客會為付款的受害者解鎖;不過勒索軟件並不會就此消失,反而會靜悄悄的永久存在於受害者的系統內,並會於若干時間後再次發作!

如何預防?

1. 隨時更新所有軟件、系統修正檔案。
2. 隨時備份系統,萬一不幸「中招」便可直接 Format 系統,不用向黑客交付贖款。
3. 替員工的電腦安裝防毒軟件。
4. 企業應部署針對電郵的大型防禦措施。
5. 企業應針對應用進行管控,包括禁止用户於瀏覽器安裝插件又或者使用 Flash、Java 等。