CrazyHunter勒索軟體的攻擊規模不斷擴大,繼先前的文章分享,除有2家醫院遭受駭客攻擊入侵之外,近日又有多家上市公司陸續遭受其攻擊。目前觀察這些事件,似乎是鎖定在臺灣的組織與企業,不僅似乎態勢不段升溫,且沒有專注於特定產業。日前刑事局科技犯罪防制中心發布偵查結果,發現駭客「Crazyhunter」真實身分是中國籍羅姓男子並已對其發布通輯,但由於駭客技術日新月異以及兩岸對立情勢,未來恐怕還是會有類似案件持續發生。
觀察此次事件,勒索軟體集團是採用「自帶漏洞驅動程式」(Bring Your Own Vulnerable Driver ,BYOVD) 提權攻擊技術,利用合法驅動程式 zam64.sys(Zemana AntiMalware driver)入侵與提升權限,並透過群組原則物件(GPO)機制散播勒索軟體,進而控制企業網路,並達到加密端點主機資料的目的。由於其攻擊過程中,攻擊者在取得系統權限後便得以停用端點防護機制(EDR),使攻擊行為無法在第一時間被偵測與阻擋。
目前有安裝使用e-SOFTSMART AD網域組態管理系統與數位身分管理系統的客戶,可透過系統所產出的”群組原則檢核報表”,針對端點的GPO套用狀態做檢查,以防止駭客利用未經檢查的接入設備所安裝的非法軟體,或合法軟體版
本過舊的漏洞來侵入。同時也可針對企業內部重要的AD伺服器與本機帳號做管理,系統可產出”提權異動記錄報表”與 “高權限帳號異動紀錄報表”來進行查核,以避免駭客利用未受管理的帳號權限漏洞來進行攻擊。
由於目前市面上尚無單一產品能夠有效抵禦駭客攻擊,但以目前駭客常見的攻擊模式來看,現階段最好的方式就是採取多層次防禦策略,從資訊資產的盤點到持續監控,並將所有監控資訊進行正規化分析,並進一步利用系統自動化機制做好防護阻擋,才能有效降低攻擊風險並提升整體資安韌性,以形成一個綿密的資安防護網。
