將此篇文章跟 Facebook 上的朋友分享將此篇文章跟 Plurk 上的朋友分享將此篇文章跟 Twitter 上的朋友分享列印轉寄
2018/3/12

監測惡意加密行為流量 軟體定義網路即時終止攻擊

打造小型SDN環境 實作勒索病毒防護機制

中央警察大學資訊密碼暨建構實驗室(ICCL)
網路上常見利用誘騙方式讓受害者點選惡意連結,進而觸發一連串惡意程式執行與加密檔案的勒索行為。針對這種情況,這裡將介紹利用SDN新型態網路架構,並搭配勒索軟體封鎖清單,在偵測到問題封包時,第一時間中斷問題連線,阻擋加密金鑰傳輸,有效防止勒索軟體的侵害。
網際網路的發展,改變了人類獲取資訊的方式,快速與便利是大家有目共睹的,但這樣的便利,是否也同時伴隨著負面的影響?讓有心人士有了更便利的管道進行不法意圖。

在2016年當中,因為缺乏危機意識、備份觀念且勒索病毒散布方式參雜社交工程手段博取信任,勒索事件大舉入侵企業個人受害者,受害者力求保全機密資料,而另外震驚國際社會的勒索事件發生於醫療體系更是攸關人命,也只能迫於無奈地繳納贖金。

依造賽門鐵克的統計(圖1),受害方不得不付款的原因造成勒索贖金的翻漲、再加上匿名支付的比特幣不易追查,犯罪行為無人能管,看準這樣的勒索商機,各式各樣的勒索變種病毒大量產生。


▲圖1 勒索軟體成功勒索金額年度統計圖。(單位:美元)


再者,2017年年末所發生的新聞,某一品牌的智慧電視開機後螢幕會顯示出FBI說明文件,內容是要求支付500美元的勒索金額,若不依照指示,該中毒狀態會一直持續,並讓使用者無法使用電視。

事後調查發現,電視是遭受Android惡意程式感染,此一發現透露出勒索軟體不單單只侷限於個人電腦、伺服器等,也開始向其他設備與系統伸出魔爪。另外,依據卡巴斯基統計(圖2)於過去一年間Android系統感染勒索病毒成長了四倍之多,嚴重程度讓大家不能不重視這項問題。


▲圖2 Android系統上之勒索事件統計。


勒索軟體其實就是一種惡意程式,如同木馬的特性,它會於被感染的設備上放置後門程式,成功執行後,網路攻擊者便能直接透過遠端方式加密使用者機敏資料。遭受勒索軟體感染的設備,即使重新啟動,也無法恢復加密前資料原始狀態,且隨著系統運作再次使勒索軟體啟動攻擊行為。

勒索病毒不是什麼新產物,早期已出現過使用Hook方式,先是阻斷使用者對檔案的存取動作,後續則再進一步要求使用者支付贖金解開限制以達到勒索目的。與之相同的,近期所出現的勒索軟體是以「加密為主」的方式讓使用者無法正常存取資料,它利用「加密程序」將資料進行加密,原理是透過密碼系統中數學難題,依現階段運算力在有生之年無法破解支撐其密碼安全穩固性。因此,只要缺少解密用的密鑰,則加密資料無從恢復。

有了「加密程序」的因素,加密技術成為了改良勒索軟體的重點之一,依據Cyber Security一書中針對幾款大宗勒索軟體進行分析,如圖3所示可發現從過去的對稱式加密手法,加解密鑰相同,且於加密完成後,將密鑰送至遠端服務器中,犯罪者進一步改良透過控制與命令伺服器(C&C Server)傳送安全度更高的非對稱式加密之公鑰,兩步驟加密,保全用以加密檔案的密鑰,勒索成功後,在要求贖金過程,為求隱匿網路位址,要求受害者以TOR瀏覽器並使用高匿名性的比特幣(Bitcoin)進行贖金支付。


▲圖3 勒索軟體加密系統演進。


首先,所謂的對稱式加密,就是加密與解密是利用同一把鑰匙,然而一旦取得任意鑰匙,此加密行為對受害者就不構成任何威脅,而從勒索軟體運作的觀點來看,感染電腦經由勒索程式產生了一對對稱加密的鑰匙,其一用以加密檔案,而另一把須透過網路傳送至C&C Server,目的在於受害者一旦支付贖金後,隨即將此鑰匙傳送至感染電腦中解開受害者的檔案。

但過程中解密鑰匙來回傳送,難保不會在傳輸時被攔截,導致勒索任務失敗。改良後的加密方式採用非對稱式加密,由C&C伺服器產生後,只將負責加密的金鑰透過網路傳送至感染電腦,而解密的金鑰只會儲存在產生鑰匙的C&C Server當中,此舉就不會有中途攔截的問題,可提升勒索成功的比例。

勒索軟體災情肆虐,各界紛紛提出了不少解決方案,有針對端點(偵測軟體)或是網路(流量或IP位址),在加密行為發生之前,先行阻止後續加密動作,便能有效防止遭遇勒索的可能性。

這篇文章讓你覺得滿意不滿意
送出
相關文章
監看錄影程式成洩密管道 循線偵查破解數位跡證
識破盜用帳密手法 蒐證鑑識還原嫁禍真相
無痕瀏覽掩護XSS攻擊 記憶體鑑識揪出罪證
活用免費工具備份分析 萃取手機FB對話紀錄
隱形跡證撿出金鑰 破解BitLocker全機加密
留言
顯示暱稱:
留言內容:
送出
熱門點閱文章