當世界各國忙於因應新冠肺炎(COVID-19)疫情大流行所帶來的衝擊時,駭客組織更是活躍,大舉利用已知與未知的漏洞,發動零時差攻擊,並且在企業內網潛伏、橫向擴散大規模感染後,再執行加密勒索病毒,迫使企業支付贖金。就連本土國際知名的高科技製造業也被駭客組織鎖定,在疫情期間接連爆發遭勒索軟體感染事件。
勒索軟體攻擊的第一步,必須先設法取得特定目標的終端裝置登入權限。NEITHNET騰曜網路科技總經理林岳鋒指出,駭客除了藉由社交工程郵件,夾帶惡意附加檔或惡意連結來執行滲透,另一方面,運用自動化工具掃描企業對外公開的官方網站,挖掘潛藏的漏洞,亦可達到滲透的目的。
為了取得最大化利益,駭客組織發動攻擊之前,必須得蒐集足夠多的情資,此時多半透過掃描方式,在網際網路上探查尚未修補更新的漏洞,例如市占率最高的Exchange郵件伺服器漏洞,一旦發現先予以標記,再採用自動化工具來執行滲透。林岳鋒補充,另一種手法是暴力破解,掃描遠距辦公期間使用量大增的VPN、遠端桌面協定(RDP)等,不斷地嘗試登入,技術門檻不高,得逞的機率卻不低。
就台灣近期網路攻擊活動來看,NEITHNET部署近十萬個Public IP監控發現,即使原廠早已發布修補更新程式,仍可探測到針對Exchange漏洞的攻擊活動,甚至其中一個誘捕節點,並未安裝Exchange軟體,只是啟動作業系統的80與443連接埠,即可蒐集到大量異常存取的日誌。以總體統計數據而言,攻擊次數最多的連接埠為10001,NEITHNET的資安團隊正在持續追蹤,預期可能成為接下來大規模攻擊的目標。其次是8291與8728連接埠,屬於UTM設備提供的API通訊,預期可能醞釀DDoS攻擊活動。
究竟該如何應對混合式攻擊威脅?林岳鋒建議,首要是反制攻擊者蒐集自家資料,若能在既有已部署的資安防護設備中,餵入在地化的威脅情資,即可提高對攻擊活動的辨識力,在第一道防線就予以阻斷。其次是加強身份驗證機制,藉由多因素認證,避免帳密外流被惡意人士利用。
此外,還需要確保告警系統正常運作,以及落實資安事件處理流程。NEITHNET資安團隊多年來協助客戶處理資安事件的經驗發現,使用者通常無法判斷是否為中毒。畢竟是攻擊者精心設計的社交郵件或惡意網站,一般人難免誤信欺騙而點擊,IT管理者在盡力即時掌握並且解決問題之餘,切勿責怪使用者,反而應加強宣導,一旦點選來路不明的郵件附加檔或網站連結,第一步是拔除網路線,第二步通報IT部門檢查,否則可能將帶來公司無法預期的損害。
最後一道防線是端點必須具備監控能力。企業導入端點偵測代管監控服務(MDR)可補強資安防護工具之不足,即使遭遇全球首次出現的病毒,藉由MDR服務所部署的端點偵測與回應(EDR)工具,也可監控系統的行為模式並即時發現異常,不僅大幅降低延燒成為資安事件的風險,同時也降低IT管理者的日常維運負擔。