Unwire.pro 在上周四(21/4)假金鐘會議中心舉行了「Unwire 勒索軟件研討會:一封電郵如何把你的生意化為烏有?」,現場座無虛席,出席者均非常關心近期勒索軟件肆虐的情況,並尋求資訊保安專家教路,免除勒索軟件威脅。
最近在網上活動從未試過如此危機四伏。人事部門收到求職者的履歷表,會計部門收到客戶電郵的發票,以前都會毫不猶疑就打開來看。但今天可能要「停一停、諗一諗」,因為這封電郵真的是安全的嗎?在勒索軟件肆虐的今天,一封電郵可能足以令你全盤生意化為烏有。
事實上這並非危言聳聽,自從今年初開始,勒索軟件肆虐的問題開始惡化。據香港電腦保安事故應變中心(HKCERT)數字,今年已收到 47 宗勒索軟件的求助個案,出席研討會的資訊保安專家梁國基更指出,由於更多個案是沒有報告的,保守估計今年香港受害的個人或機構合共應已超過 200 家。
Unwire.pro 在上周四(21/4)假金鐘會議中心舉行的勒索軟件研討會????就座無虛席,出席者均非常關心近期勒索軟件肆虐的情況,並尋求資訊保安專家教路,免除勒索軟件威脅。
2013 年開始勒索軟件威脅急升溫
(ISC)2 香港分會會長、專業保安協會(PISA)項目總監梁國基表示,勒索軟件並非新事物,已經有 11 年歷史,第一款勒索軟件來自俄羅斯,黑客會假冒警察宣稱受害人違反法律,繼而鎖住電腦必須繳付「罰款」才能解鎖。
勒索軟件經過一輪沉寂,直到 2013 年 Cryptolocker 出現後又再成為嚴重的資訊保安威脅。梁國基解釋由於電腦運算能力普遍提升,加上虛擬貨幣 Bitcoin 的出現,令勒索軟件變得活躍:「勒贖都要考慮如何收錢,Bitcoin 因為難以追蹤而令黑客減低取贖的風險,助長了勒索軟件發展。」
梁國基表示 2013 年開始勒索軟件大量增加,以前只佔惡意軟件的兩成,但今天已是八成,甚至由傳統電腦平台擴散到 Android、Linux 和 Mac 電腦等平台,甚至會影響 NAS 等網絡儲存設備。他保守估計勒索軟件發展至今已有 70 多種,而且經常會有變種,令應付變得更困難。
勒索軟件產業已經變成「服務業」
勒索軟件入侵的方法也有很多種,最常見的有三種:網路廣告、被黑客入侵過的網站、電郵。「資訊保安人員總強調不要亂開網站,有些網站本身沒有問題,但插入的廣告卻被植入代碼,當網民上去串流看球賽就可能已經中招。」梁國基說。
另一種方式則是「水坑攻擊」(Watering Hole Attack)。就像動物會去水源喝水,獵人只需在水源守候自然會有收穫一樣,黑客只要入侵正常網站並植入惡意代碼,那就算是瀏覽安全內容的網站也可能中招。最後就是偽冒受害人朋友、客戶或關係人士的電郵,引誘打開帶有惡意代碼的文件,從而入侵受害者電腦。
「這些電郵很難防範,你以為不打開英文的郵件就沒問題,但已有案例發現是用中文來寫的。甚至有黑客會事先起底,例如知道你的公司剛過去周年晚宴就會恭喜問候,受害人只要不夠小心就會中招。而且黑客更已經把勒索軟件『產業化』,會有 24 小時接聽查詢協助受害人買 Bitcoin 繳付贖金,反映這門生意有利可圖。」梁國基說。
勒索軟件產業甚至已經變成一種服務(Ransomware-as-a-Service),黑客提供工具製作勒索軟件,並讓客戶經他們的平台收取受害人的贖金,再從中收付佣金和服務費。梁國基引述一個調查顯示多達五成美國受害人表示願意繳贖以換取檔案解鎖:「我們並不建議受害人付續金,不僅付錢也不能保證會守諾解鎖,更重要是助長這門生意,讓黑客有更多資源去害更多人。」
保安專家即場示範、三分鐘檔案已被鎖
另一位資訊保安專家楊和生則即場示範,中了勒索軟件之後的情況。楊和生在現場一眾參與者前,即場從網站下載最新版本的勒索軟件,再在虛擬機器(VM)上開啟。不到數分鐘時間,虛擬電腦已被黑客鎖上,彈出要求繳交贖款的畫面。
楊和生在示範前已再三叮囑不要隨便到網站找尋並下載這些勒索軟件,因它們不僅能正常運行,甚至會散佈出去。而楊和生在示範前亦多番檢查其虛擬電腦有沒有使用網絡磁碟功能,他解釋:「現在的勒索軟件已很先進,會散播到連接過的網絡磁碟,甚至擴散到檔案伺服器和 NAS 系統,就算只是在 VM 運行也有機會漫延到其他 VM 系統!」
楊和生在示範後繼續講解,表示除了出現 Ransomware-as-a-Services 的現象,亦見到有開源化的跡象,他便曾在開源社區上見到有人貼出勒索軟件的程式碼,雖然其後已被下架,但很快又有新版本出現。他指開源的勒索軟件會衍生更多版本,起碼有 30 個版本便來自開源的勒索軟件。
他亦留意到已有勒索軟件會利用有漏洞的 JBoss 伺服器入侵,JBoss 是很多機構使用的網頁平台,外國已有醫院和學校因此中招。有調查指現時有 320 萬部伺服器在使用有問題的 JBoss,其中 1,600 個 IP 的 JBoss 伺服器就合共找到 2,100 個後門。楊和生提醒機構要定期做好系統更新,減少系統漏洞被黑客利用的機會。
Check Point SandBlast 方案 CPU 級別檢測漏洞
但就算知道勒索軟件的問題有多嚴峻,不提供解決方法也是無補於事。而來自 Check Point 和 Dimension Data 的專家就分享了如何利用最新的資訊保安技術和雲端備份方案,來阻止勒索軟件的入侵,而一旦不幸受害下也能減少損失。
已有 23 年歷史的 Check Point 是來自以色列的企業級資訊保安方案商,最初是做企業防火牆起家,隨著黑客與資訊保安廠商在技術的博奕,Check Point 今天的保安方案已涵蓋防火牆、電郵過濾、身份認證等不同領域。Check Point 資深保安顧問侯嘉俊,就在現場分享了最新技術如何防範勒索軟件。
勒索軟件往往是針對系統的「零日漏洞」(Zero-Day)攻擊,因此大多是特製的。傳統防毒軟件是靠收集發現過的病毒並記認其特徵,從而過濾病毒,但包括勒索軟件在內的新式惡意軟件大都未有出現過,這令傳統防毒方式很難阻擋,也是就算安裝了防毒軟件也會受害的原因。
而新式的資訊保安系統就會利用「沙盒」技術,讓進來的檔案先在控制的環境下執行,一旦發現有可疑的行為就不予放行,阻止惡意軟件入侵。不過黑客也開始利用變種來嘗試逃避沙盒技術,而 Check Point 的 SandBlast 方案就更進一步,從 CPU 級別檢測漏洞辨別「零日漏洞」,即使惡意軟件試圖躲避檢測也能發現威脅。
由於不少攻擊都會假扮 Word、Excel、Pdf 等常見文件格式,而內裡可以是真的文件或是沒有內容,侯嘉俊表示文件最重要的是內容,它是什麼格式或怎樣開啟並不重要,而 Check Point 就有技術讓文件內容顯示而不會執行被植入的惡意代碼,從而讓公司員工能看到文件內容而又不需擔心中招。
Dimension Data 提醒須監察備份的可靠性
研討會最後的部分就是 Dimension Data 雲端專家趙慶麟,分享最新的雲端備份如何幫助機構減少因勒索軟件所導致的損失。他一開始就分享了身邊朋友的案例:中了勒索軟件後被逼繳交贖金,全是因為檔案備份措施不完善,對上一次有效備份竟然已是數個月前,於是不得不繳交贖金換取解開檔案的機會。
事實上這些案例比比皆是。資訊保安專家在勒索軟件這問題上,永遠都強調做好檔案備份的重要性,因即使一部電腦出事,只要在安全的電腦取回備份文件,黑客就不會得逞,受害者的損失也只是修復系統、格式化硬碟等工作,損失不會很嚴重。
趙慶麟指出,備份措施並不是「有就可以」,還需要定期檢查備份是否真的有效,一旦出問題能否從備份立即復原,以維持業務繼續運作。「如果以為做了備份就一勞永逸,那當出事時就可能面對各種未知的恐懼,我朋友的例子正是因為沒有做好確認而導致的。」他說。
趙慶麟還解釋了目前選擇備份方案時常見的問題。例如備份空間不足,是否需要平衡備份的次數?而一旦需要復原數據,系統是否有足夠空間?如果要做離線備份的話應該怎做?管理員如何檢查監察備份措施正常運作?「這些問題都要看選擇備份方案商的支援,能否快速配合到你的即時需要很重要,因當你需要復原檔案時絕對不會是可以慢條斯理的時刻。」他說。
總結:最重要還是有足夠的危機感
在研討會尾聲,不少與會者均踴躍向專家查詢更多應付勒索軟件的心得。梁國基就為大家給了一些建議。除了安裝各種防護的方案外,使用的系統也有分別,他就提到目前 Apple 的 iOS 系統是比較安全的:「由於 iOS 是封閉的系統,黑客要在上面做手腳比較難,就算用電郵入侵也沒法漫延去其他的程式。而製作可在 iOS 上運行的軟件,都要事前向 Apple 申請成為開發者,要交開發者年費, 並且要付費給第三方對給開發者進行背景調查,黑客要散佈惡意軟件的成本很高,自然就不會出手。」
梁國基也建議利用 Gmail 等大公司提供的雲端郵箱來進一步過濾惡意郵件:「這些廠商都會為郵件做保安掃描,如果是惡意軟件就會自動封鎖,使用者不會看得到自然也不會打開。就算惡意軟件會變種,廠商也會在一兩日內發現,因此如果不清楚郵件附件能否安全開啟,可以等多兩天再看就較安全。」
不過就算用多少方法也好,其實最重要還是人們有足夠的危機感和保安意識。黑客不斷挑戰保安廠商的防禦,難保會有黑客成功侵入攔截,但如果凡事多留心一點,不要太過輕易相信電郵裡的內容,避免打開不明連結和附件,已經能解決不少問題。當然更重要是做好備份功夫,定期演習從備份裡復原系統,也能減少一旦出問題時的損失。
作者:Boris Lee
Unwire.pro 資深編輯。在企業 IT 科技報道範疇有十多年經驗。