觀點

(上集) IBM X-Force 威脅情報:「勒索軟體即服務」與「暗黑網路」

2016 / 02 / 03
資料來源:IBM X-Force;編輯部整理
 (上集) IBM X-Force 威脅情報:「勒索軟體即服務」與「暗黑網路」

勒索軟體的威脅日趨嚴重。 美國聯邦調查局 (FBI) 曾經預估,單憑一個 CryptoWall 勒索軟體便能夠讓操作者賺進 1800 萬美金。就連執法單位也有可能也成為受害者。隨著駭客威脅不斷進化,要破解更加困難,甚至有些駭客鎖定特定的熱門線上遊戲的本機資料當作為勒索媒介。事實上,「勒索軟體即服務」(Ransomware-as-a-Service) 的產品已經出現,這和之前來自感染套件的「感染即服務」如出一轍。因此,我們可以直言不諱,長期抗戰才正要開始。

「暗黑網路」(Dark Web)潛藏在一般人熟悉且常用的網路環境背後。她就像汪洋般深不可測,我們對其幾乎一無所知,因此成為駭客的最佳藏身地點。根據 IBM Managed Security Services (IBM MSS) 最近的經驗顯示,駭客罪犯及其他重大威脅攻擊者會利用洋蔥路由器 (Tor) 軟體建置匿名通訊平台,以作為殭屍網路 (Botnet) 進行指揮控制的攻擊媒介與基礎架構。Tor 網路的混淆路由設計,不但能提供不肖份子隱匿身分的額外保護,也可掩蓋攻擊起源的實際位置,讓攻擊者得以從特定地點發動攻擊。接下來我們將細部剖析「勒索軟體即服務」與「暗黑網路」。

勒索軟體即服務
勒索軟體很早就是惡意軟體的一份子。這些年來勒索軟體曾被冠上不同稱號,例如早期破壞性較低時被稱為「恫嚇軟體」(scareware)。隨著時光變遷,勒索軟體成為駭客罪犯賺進大把鈔票的工具。比方說,CryptoLocker 這個活動在短短半年間便獲利約 100 萬美元。而 CryptoWall 自從 2013 年首次出現以來,獲利達 1,800 萬美元。雖然目前受害者主要還是一般使用者,不過當 X-Force 團隊深入檢視勒索軟體的演變時,發現駭客已開始鎖定特定社群,相關技術的精密度也不斷提升。
勒索軟體早期 (如 WinLocker ) 只是在畫面上顯示令人驚悚的訊息,藉此鎖住電腦讓使用者無法解除以便執行其他程式。後來出現像是 CryptoLock、ZeroLocker 及 CryptoWall 這些勒索軟體,其創造者皆對硬碟內容加密來進行勒索,因此手法更加精進。勒索軟體是透過公開金鑰加密法來達成目的,像是自行產生金鑰組,或從指揮控制伺服器取得公開加密金鑰。早期的 WinLocker 及其衍生軟體主要仰賴 Ukash 此類特有的網路錢幣產品,而後來出現的勒索軟體則採用加密電子貨幣,其中以比特幣為代表。勒索的贖金有時候可接受 Ukash 之類的支付平台匯款以及比特幣,有時候只接受比特幣。加密電子貨幣能帶給駭客極大的優勢:匿名。更高階的犯罪網路能運用各種詐取現金的方式,同時保持匿名或半匿名。

因此更新防護功能至關重要,此外還需要採取其他措施。勒索軟體的猖獗讓使用者瞭解到資料備份的重要,即便在遭受攻擊時也須保有資料存取能力。

自我保護免於潛在感染
電腦使用者經常性的可能會遇到硬體故障,但這些問題通常能迎刃而解。然而當問題若是勒索軟體此類破壞性惡意軟體所造成的問題,則沒這麼好對付。因此,千萬不要以為遭受到加密型勒索軟體感染時,只需支付贖金就能放心地取回資料。再次強調,防止資料遺失的最好方法就是備份資料。


無論您是採用本機或雲端備份,皆須確認至少保有一份備份資料,且不是存放在容易被發現的電腦磁碟機上。此外,許多勒索軟體鎖定的檔案種類範圍廣泛,有的是聚焦特定類型。以 TeslaCrypt 為例,其專門追蹤與線上遊戲相關的使用者檔案。由此可知,與特定社群相關的專有檔案格式很可能成為駭客的目標。
 

 圖表 1. TeslaCrypt 勒索軟體的畫面

勒索軟體攻擊手法的演進
雖然防護方式日漸多元,新型態攻擊仍不斷出現,而隨著科技日新月異,包括勒索軟體在內的攻擊機制也持續演進中。在 2014 年 12 月,High-Tech Bridge 的專業人員開始研究所謂的「勒索網頁」攻擊。勒索網頁以網頁應用程式擁有者為攻擊目標 (而非一般的個人使用者),將程式碼植入有安全漏洞的網頁伺服器。網頁應用程式依據資料庫提供登入認證相關資訊,例如使用者名稱和加碼式雜湊密碼。此種攻擊手法會對儲存的資料加密而不通知任何人員,使得未加密的資料庫充滿加密狀態的資料。另會提供一段期間的解密金鑰以確保正常運行,避免被突然捕獲,或者防止網頁應用程式停止運作或不正常運作。不久後便寄出勒索通知。這類詐騙目前已有一家未具名的金融服務公司和幾個線上留言板服務業者受害。

VirLock 勒索軟體
經歷一系列難以處理的事件後,2014 年底初次發現另一種新型的勒索軟體:VirLock。VirLock 不僅對各種不同的檔案加密,也會讓這些檔案受到感染。VirLock 勒索軟體本身會針對每個受其感染的檔案建立副本,並在其中稍加變動。對於影像和影片內容,此勒索軟體會複製圖示影像與檔案路徑資訊,但也植入惡意軟體且將原始內容置換為加密形式,並加上可執行檔後製字元,如:image.jpg.exe。
 

圖表 2. VirLock 勒索軟體訊息

從簡單手法到精巧設計,詐騙不會銷聲匿跡
針對勒索軟體的長期抗戰才正要開始,根據我們的觀察,勒索軟體攻擊從簡單詐騙到鎖定高價社群或企業的精巧手法,呈現多元化。Intel Security 在今年 (2015) 發現 Tox 這個「勒索軟體即服務」套件。如同網頁瀏覽器感染件發展為「感染套件即服務」(Exploit Kits as a Service) 的販售,「勒索軟體即服務」的出現意味著駭客不需要高深的技術即可運用 Tox。這種簡單的方式可快速成長為複雜專精的勒索軟體攻擊手法,進而發展成雲端現貨供應模式。隨著各種技術創新與變形不斷,勒索計劃越來越精巧複雜,受害者的損失金額也節節攀高。

下集將介紹「暗黑網路」的剖析,請敬請期待!