近幾年勒索病毒對一般人的威脅越來越大,尤其是今年的 Wannacry 橫掃全球事件,著實讓大家見識到勒索病毒的嚴重性。過去你我可能覺得自己是小咖,不會受到這類病毒的攻擊,但是現在多少也都能了解到,勒索病毒的攻擊對象其實是一視同仁的。
對使用者來說,當電腦中了勒索病毒,真正的問題倒不是出在電腦硬體本身,畢竟一台電腦的硬體價值大概就幾萬塊,一旦真的被綁架了,頂多就重灌或再買一台新的電腦即可解決。事實上最關鍵的是儲存在硬碟裡的資料,這些資料可能是花了數年心力所研究的心血結晶、或是公司內部長期積累下來的客戶資料、合約,再不然就是珍藏多年的寶貴文件,當這些資料消失了,即使花再多錢也無法彌補回來,甚至還得賠上難以估計的損失。
一般人往往會直覺防範勒索病毒是「防毒軟體」或「作業系統」的工作,其實不只如此!舉例來說,像是大家最常用的微軟 Office 自從推出了 Office 365、將服務上了雲端之後,安全性比起過去單機版時代就提升了許多。在這一篇報導,我們就來探討雲端的 Office 365 如何保護使用者免受勒索軟體的威脅。
勒索軟體的種類有哪些?
近代勒索軟體的緣起,一般來說可回溯到 2005~2006 年間,首先在俄羅斯出現,之後就衍生出各種不同的版本。不過當時的勒索軟體主要的目的就是「勒索」,有時純粹就是詐騙吹噓,像早期勒索軟體會偽裝成警察或政府單位,宣稱已查到你下載非法軟體並要你支付罰金,讓你因擔心後續的刑責問題進而乖乖上當付款。不過在當時,勒索軟體的作法是鎖住你的電腦螢幕,不讓你正常使用電腦,又或是限制住電腦的某些功能,不同於現在盛行的加密、刪除檔案。一直到了 2013 年,出現名為「CryptoLocker」的勒索軟體,普遍被認為是造成這一代加密勒索軟體如此猖獗的源頭。
加密檔案勒贖型
CryptoLocker 的入侵方式是採用所謂的「釣魚郵件」,它會偽裝成一個合法的電子郵件附件或 .exe 格式的檔案,當使用者不小心點選之後,這個程式就會啟動,開始對電腦本機端或是網路端的特定檔案進行加密。
當 CryptoLocker 成功對用戶的電腦進行加密後,就會跳出一則訊息,指示受害者需在指定的期限內付款(採取購買 Apple 的禮物卡或是比特幣等無法追蹤的付款方式),當駭客收到款項後,才會提供受害者解密的金鑰。事實上,CryptoLocker 程式本身並不難被清除,但難就難在其加密檔案的方式,如果沒有駭客手中的金鑰等於無解。
以目前的技術來說,被加密的檔案是難以解密的。因此,當你的檔案被加密之後,在檔案沒有備份的情況下,付款給勒索者就是贖回檔案唯一的方法(付款後有可能還是無法贖回)。
▲新一波加密勒索的威脅主要是由 2013 年出現的 CryptoLocker 所引發。
加密網站伺服器勒贖型
在2015年發現的Linux.Encoder.1 惡意軟體,利用攻擊常見的 Magento CMS 上的漏洞(CMS, content management system, 俗稱網站的「後台」),來入侵網站伺服器、進而加密伺服器的內部檔案,甚至也有駭客在研究入侵 WordPress 系統後台的漏洞。
▲Linux.Encoder.1 惡意軟體
綁架 MBR 勒贖型
隨著勒索軟體的演進,近期也開始看到針對 MBR 與 MFT 加密的勒索軟體,這類的勒索軟體不是針對檔案做加密,而是直接對整個磁碟做加密,當使用者重開機時,被竄改過的 MBR 便會讓使用者看到勒索畫面,而無法順利進入作業系統。這類勒索軟體最有名的就是 PETYA。
▲勒索軟體 PETYA。
行動裝置勒贖型
除了 Windows 平台之外,其它的裝置也有遭到勒索軟體攻擊的案例,其中像是 Android 裝置最多,例如 ANDROIDOS_JIANMO.HAT。不過這類行動裝置勒索軟體,其實主要都是將使用者的裝置螢幕鎖定,讓使用者完全無法進行任何操作。但實際上使用者還是能透過重置的方式來挽救自己的行動裝置。
▲ 上圖為 Android 裝置遭到勒索軟體入侵的畫面。
勒索軟體是怎麼入侵到電腦裡?甚至連 Office 文件也會被利用?
基本上,勒索軟體還是要經由一個特定的方式入侵到用戶的電腦,並且讓用戶執行某個特定的動作來觸發加密的程序。一般人最容易「中獎」的主要途徑包括:釣魚信件、惡意廣告、網頁木馬,而最近也發現就連 Office 文件也可能被拿來利用。以下我們就來探討勒索軟體的傳染途徑有哪些不同的形式。
1. 網路釣魚郵件:
這應該是最常見的勒索軟體入侵形式,釣魚郵件會將勒索軟體的執行檔偽裝成文件檔案,然後用一些看起來像是公司郵件常見的郵件標題做為誘餌,讓使用者點選郵件內容並執行附件。一旦你點選了這個原本以為是正常文件的附件,就會勒索程式就會啟動並加密你電腦裡的檔案。
2. 惡意廣告:
惡意廣告主要是透過軟體的漏洞對用戶的電腦發動攻擊,一般人最常會用到的大概就是:Java、Flash Player 以及瀏覽器漏洞。也有的勒索軟體會透過網路廣告系統,撰寫 Script 來發動攻擊,當使用者在瀏覽某個網站的時候,可能會看到網頁上跳出一個廣告,無論是有心還無心,當點選了這個廣告之後,就會被連結導向另一個特定的網站,該網站裡就放有勒索程式等待使用者下載執行。
3. 網頁木馬:
勒索軟體作者會透過入侵企業網站來達到散佈勒索軟體的作用,當他們發現網站伺服器或是應用程式有安全性漏洞時,便會進行入侵並在網頁上放入 Script 導向裝載「漏洞攻擊套件(Exploit Kit)」的網頁,此時「漏洞攻擊套件」便會掃描用戶電腦的漏洞來達到主動下載並執行勒索軟體的目的。
4. 利用郵件內夾帶 Word 巨集的 PDF 文件攻擊:
在今年五月發現一個名為 Jaff 的新型態變種勒索病毒,雖然也是透過電子郵件攻擊,但它卻是一種新的變種,每一封電子郵件均帶有一個 PDF 附件,其中內嵌 Microsoft Word 文件,透過內藏的巨集指令來觸發用戶下載勒索軟體,如此一來便跳脫了以往郵件附件只有 .exe 執行檔才有危險的固定形式。
因應勒索軟體威脅,企業主可以怎麼做?
回顧過去這十年來勒索軟體威脅持續的進化,從早期只是單純鎖定螢幕,到現在能利用各式各樣的漏洞進行妨害,甚至就連 PDF 附件都可以被用來觸發威脅。可以看出沒有人能夠確切掌握勒索軟體的下一步會怎麼進化,以及從什麼地方來進行攻擊。
甚至,你可能也不知道勒索軟體的攻擊目的究竟為何。以最近鬧的最大的兩個事件來說,之前的 Wannacry 雖然席捲全球,但是根據各方資安專家的統計,Wannacry 並沒有藉此賺到多少錢,甚至從其支付贖金的機制來看,也顯得很業餘,讓人感到很不可思議。
另外則是在六月份搞得歐洲雞飛狗跳的 Petya(也有人稱 Not Petya,原因請見這篇文章),更是有資安專家指出 Petya 根本只是披著勒索軟體的「皮」,實際上它單純就是一個惡意加密軟體,主要就是要抹除受害者的電腦資料,根本沒打算讓受害者的資料可以復原。
因此,有一派的資安專家認為,近期的這幾波勒索攻擊,動機可能不像表面上這麼簡單,甚至有可能是某種聲東擊西的手段,其真正目的可能只是針對特定目標或企業的攻擊,至於其它受害者僅僅只是它放出的煙幕彈罷了。
不管怎樣,企業主面臨到的惡意威脅確實越來越多,也幾乎可以說無法預測威脅會從哪裡而來。因此,選擇好的 SaaS 服務、從雲端就做好防護的工作,要比傳統使用單機軟體服務、安全一切靠自己要來得妥當許多。
在開始討論因應之道前,我們先整理出勒索軟體主要會造成的問題大概是:
第一、檔案全部都被加密,重要資料無法存取。
第二、利用 Email 當作勒索軟體的切入點,取得你或者公司的電腦控制權。
接著我們就來談談,透過 Office 365 如何協助你解決上述兩個問題。
如何運用商務用 OneDrive 因應勒索病毒的威脅
談到勒索病毒,所有的安全專家都會告訴你,平時就必須做好安全備份,才不會在面對勒索病毒時任人宰割。事實上,勒索病毒的攻擊花招百出,就算是覺得自己已經設下銅牆鐵壁般的安全措施,仍舊不見得是絕對安全無虞。
如果你平時就有將重要資料備份在商務用 OneDrive 上的習慣,那麼當遇到勒索攻擊時,要記得即時處理,馬上採取救援的措施。如果不是 Office 365 或商務用 OneDrive 的用戶,則可以試著透過 Windows 內建的本機檔案還原步驟來進行救援。
以下是當中了勒索病毒後,電腦檔案不幸已被加密,利用商務用 OneDrive 還原的步驟。
步驟一:先備份檔案
雖然商務用 OneDrive 可以還原你的檔案,但為了預防萬一,建議還是把重要檔案備份起來。
步驟二:停用商務用 OneDrive 同步功能
接下來要停用商務用 OneDrive 的同步功能。因為如果同步功能還開啟的話,雲端空間裡的檔案很有可能也會因同步而遭到加密檔案的覆蓋,如此一來就無法從雲端救回檔案了。商務用 OneDrive 的同步功能可將文件資料同步至商務用 OneDrive,所以停用此功能,就能避免可能遭感染的裝置更新至雲端。如確定只有一台裝置受到感染,可使用本機客戶端內建的「暫停同步」功能。
步驟三:移除裝置內的惡意軟體
接著就要來清除電腦中的勒索軟體,首先利用防毒軟體對電腦進行完整的掃描,就連所有進行同步的裝置也應該要進行掃描,以確保電腦以及網路中沒有殘留任何勒索軟體及惡意程式。
步驟四:還原商務用 OneDrive 中的檔案
1. 首先,你可以透過 Office 365 的入口頁面,點選「OneDrive」在線上登入你的雲端空間。
2. 然後找到要救援的檔案,按下滑鼠右鍵,點選「版本歷程記錄」。
3. 這時在頁面的右側會跑出版本歷程記錄,顯示出這個檔案的修改歷程,接著選擇你想要回復的時間點、然後點選「還原」即可將檔案還原回來。
步驟五:重新恢復商務用 OneDrive 的同步功能
當確認清除完勒索軟體、並將檔案救援完畢之後,就可以重新啟用商務用 OneDrive 的同步功能。
Exchange Online 把關,讓勒索病毒無法經由信件闖進來
在 2017 年之前,全球有 70% 以上的勒索軟體威脅都是透過 E-mail 而來,但在今年,Wannacry 改變了這一點,主因在於它利用了 SMB 的漏洞,即使不透過 E-mail 也能直接在內網流竄並發動攻擊。但就算如此,第一個侵入內網的那個禍首,使用的不外乎還是 E-mail 這類傳統的入侵管道。而且 E-mail 有其針對性,能針對特定的人物、目標來發動釣魚信件、惡意軟體,所以 Email 仍舊是企業保護員工電腦安全的一道重要防線。
下圖是 Exchange Online 的整個保護架構,可以看到從郵件進入到 Exchange 雲端伺服器開始,到收件者真正收到這封信打開它之前,其實 Exchange Online 已經在我們看不到的地方,做了相當多的防護動作,目的就是保護我們不受到惡意攻擊的威脅。
我們將上圖 Exchange Online 的保護機制簡化為三大步驟,分別說明如下:
1. 篩選過濾來信
▲系統管理員可以在 Exchange 系統管理中心的「保護」選項中,找到相關的篩選功能。
當外部的郵件寄到企業的 Office 365 信箱時,Exchange Online 本身就具備兩種功能,可以讓信件一送達就先進行基本的安全防護手續。
首先,可以透過多種的篩選器,對這些郵件進行過濾。比方說,企業本身並沒有與阿拉伯或非洲等國家有過生意往來,平常也不太會與這些地區有郵件通訊的可能,那麼就可以直接選擇不要接收來自這些區域的郵件,讓郵件直接被過濾掉減少風險。簡單來說,就是透過內建的篩選器機制,針對惡意的 IP、特定國家或語言進行過濾。
其次,每一封 Email 都有防毒軟體作後盾,幫你針對郵件裡可能附帶的惡意程式、病毒檔案進行掃描與過濾。而在 Exchange Online 上,採用了「多重防毒引擎機制」來保護用戶,共提供三個防毒引擎來進行郵件防護。
▲透過連線篩選器,你可以過濾掉或是允許接收特定 IP 位址的郵件。
▲透過惡意程式篩選器,可以設定當偵測到郵件內包含了惡意程式碼時,系統要如何處理以及通知收件者。
2. 利用進階威脅防護機制防範不安全的附件
值得注意的是,防毒引擎能偵測到的前提,是必須要有所謂的「病毒碼」。尤其是某些新型病毒剛剛爆發的時候,防毒引擎內能辨識的病毒碼不見得已 update 到最新狀態,雖然 Exchange Online 用了多達三個防毒引擎,但也有可能最新的病毒碼也無法偵測出惡意程式。
針對這樣的情況,為了不讓客戶收到的信件有漏網之魚,Exchange Online 也提供了第二層安全工具,也就是針對附件進行的安全附件功能。
▲在「進階威脅」中,可以透過其中的「安全的附件」選項來決定當偵測到含有惡意程式碼的附件時,該如何進行後續的處理原則。
Exchange Online 擁有即時行為式惡意程式碼分析功能,採用機器學習技術,會檢查所有可疑的內容,評估其中是否有可疑活動。而當被判定為不安全的附件時,在寄達收件者信箱之前,還會先送進引爆室讓進階威脅防護機制進行處理。
如果你不知道進階威脅防護機制是什麼,可以把它想像成是一個虛擬電腦,會預先執行附加檔案,測試該檔案會不會試圖修改登錄檔、增加權限或是機碼、重開機後系統會不會有任何變化、執行檔案重開機之後是否會對電腦有惡意行為…等等。透過這些預先防護的手續,確保所有的附加檔案都是安全無虞的。
除此之外它也有機器學習的功能,當同類型的附加檔案持續被傳遞過來、而且被判定不安全時,它會回報到前一層的防毒軟體,讓防毒軟體將這種類型的檔案視為病毒寫入病毒碼或註記,往後就不會再被誤判。
3. 利用進階威脅防護的安全連結改寫功能,保護不受惡意網址侵襲
當我們收到一封郵件,除了附件會帶來威脅之外,郵件的內容也可能不安全。尤其是帶有 URL 連結的內容,早已被很多釣魚網站拿來利用,或是被勒索網站當成惡意程式下載的熱門管道。
針對這點,Exchange Online 會預先掃描郵件內容以防範惡意連結,而「安全連結改寫功能」是指當按下連結時會自動保護點擊者的環境,針對惡意連結提供多一層防護。
我們進一步來了解是如何辦到的。當 Exchange Online 掃描內容時會重寫 URL,使它通過 Office 365,爾後系統會即時檢查使用者所按下的 URL,如果是不安全的連結,系統會警告使用者不應瀏覽該網站,或通知使用者該網站已遭封鎖,如果是針對 URL 裡的附加檔案,也可以利用沙箱防範不安全的附件機制來掃描與處理。此外,這個防護工具也會提供報告,方便系統管理員追蹤按下連結的使用者是誰,以及按下連結的時間點。
▲在「進階威脅」中的「安全連結」選項設定開啟後,未來使用者按下郵件中的連結,將會重寫 URL,先通過 Office 365 檢查使用者所按的 URL 連結,如果安全的話才會放行。
實際操作在 Exchange Online 設定安全連結
在前面的步驟裡已經說明什麼叫做安全連結的功能。不過光用描述可能還不是很理解到底「安全連結」是什麼?什麼叫做「通過 Office 365 檢查使用者所按下的 URL 連結」?因此我們就透過實際操作來做示範。
- 首先,系統本身會有一些惡意連結的黑名單,而使用者也可以自行將一些已知的惡意網址列入封鎖篩選的清單之中。在以下的範例中,我們假設 www.techbang1.com 是惡意網址。
- 接下來,我們撰寫一封郵件,郵件上雖然寫的是「www.google.com」,但這串網址實際連結則是被我們修改為「www.techbang1.com」,這是相當典型的惡意釣魚郵件手法。
- 把這封信寄到已經受到 Exchange Online 保護的信箱裡,當用戶收到這封信,可以在下圖看到,當滑鼠移到這個連結上,畫面預覽的連結位址並非當初寄過來時的「www.techbang1.com」,而是一個在網址列中包含有「safelinks」的位址。這即是所謂的安全連結改寫,做法其實就是先把連結導到微軟的一個中繼網頁進行測試,藉此降低用戶中招的風險。
- 當你點選了這個連結後,就會導到下圖這個頁面。而由於「www.techbang1.com」已經被系統管理員列在黑名單裡,因此畫面就會顯示該網站已經被組織的 URL 政策給封鎖,禁止你連結過去。
善用 Office 365 的防護功能,降低企業被勒索的風險
Office 365 的安全功能還不止於此。除了上述這些防護功能外,其實 Office 365 還整合了 Windows 的防禦功能,搭配 Windows Defender 與 Defender ATP 主動防禦勒索病毒。關於這部分,T 客邦後續會在另一篇報導中作深入探討。
在過去,一般使用者可能會認為 Office 365 只是 Office 軟體的線上版,因此就忽略了其實 Office 365 也整合了相當完善的安全性功能,幫助使用者在遭遇勒索軟體攻擊的第一時間,就能有效的進行急救、將傷害及損失降到最低。
如前面介紹的商務用 OneDrive 還原功能,可以讓我們及時搶救被勒索軟體破壞的檔案,使重要的檔案不會因為遭到加密而造成再也無法挽救的悲劇。而透過 Exchange Online 層層把關的防護架構,讓惡意郵件可以經過多層的過濾,甚至連附件都會預先送進沙箱驗證。
最特別的莫過於「安全連結改寫」的這個功能,因為一般釣魚網站最常用的手法,就是利用偽裝成無害網址的惡意連結,誘騙使用者點選、下載惡意程式或是漏洞,而現在透過這個安全連結改寫的功能,讓使用者不會因為誤按不該按的連結而遭受一連串的威脅。
其實每一個負責企業資安的管理者都知道,在所有安全防護中,人是其中最脆弱的一環。Office 365 這些防護措施,就是透過連一般使用者也知道如何去做、簡單沒有難度的方法來實現自我保護。不管是大企業或是小公司,這些功能都可以有效的降低受到勒索軟體威脅的風險。
延伸閱讀
- 解析 Office 365 商務版:小公司輕鬆搞定公司網域郵件管理、辦公室軟體部署、帳號管理
- 搞定跨裝置、跨平台線上視訊會議需求!商務用 Skype、Zoom、WebEx 該用哪個好?
- 你所沒注意到的,商務用 OneDrive 管理功能怎麼用?
- 選擇工作團隊的「第二大腦」!OneNote、Evernote 哪個比較合適?
- 以聊天為導向的團隊協作工具:LINE、Slack、Teams 各有哪些本事幫團隊解決難題?
- 視覺化的專案管理工具:活用 Planner 、Trello 的專案看板管理術,讓工作井井有條
- 微軟停止支援 Exchange Server 2007,企業電子郵件伺服器走向雲端已是不可避免的趨勢
- Office 2007 即將停止支援更新,該繼續升級單機版,還是更新到 Office 365 比較划算?
- SharePoint Server 2016 整合安全、行動新趨勢,企業工作流程更順暢
- 調班、請假,排個班表就用去你一天的時間?教你如何利用簡單工具輕鬆搞定員工排班
- 還在為取消預約、調整排程傷腦筋?實用小工具搞定線上預約大小事!
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!