<![CDATA[NTPA/NSPA Taiwan - 技術]]>

<![CDATA[NTPA/NSPA Taiwan - 技術]]>Thu, 09 Apr 2026 18:24:55 -0700Weebly<![CDATA[加密勒索家族的主要行為分類]]>Sat, 30 Jan 2021 19:02:42 GMThttps://www.nspa-cert-tw.org/2521634899/6033082 Ransomware 勒索軟體，根據其行為可以區分為 螢幕遮蔽勒索(Splash Screen, 稱為 Screen Locker Ransomware), 開機變更勒索(Change MBR, 稱為Boot Locker Ransomware), 竊密公布勒索(Steal Info, 稱為 Leakware 或 Doxware), 檔案加密勒索(Encrypt Files, 稱為Crypto Ransomware) 等等種類。目前為止，除少數案例之外，勒索軟體多為檔案加密勒索型態佔極大多數。
當然，為了彰顯網路犯罪者的技術實力與公信力，目前加密勒索攻擊者，多半會在暗網公布被駭公司機構的失竊檔案，或者要求被駭人提供若干被加密檔案，讓攻擊者將檔案解密還原給被駭人看看，以此表示攻擊者確實有相當技術實力。
從2016年開始，檔案型態的加密勒索，被駭人越來越多。除了歐美知名大型公司機構之外，在2020年開始，亞洲的中小企業也逐漸成為檔案加密勒索的攻擊目標。在2018年到2021年間，加密勒索攻擊成為新興網路犯罪型態，並逐漸發展成為產業鏈規模，稱為加密勒索雲端服務(Ransomware as a Service, RaaS)。這些加密勒索犯罪家族(或犯罪組織家族)在國際知名的有下列名稱：[1][2]

Sodinokibi 16.2%
Maze 13.6%
Netwalker 9.9%
Phobos 5.0%
DopplePaymer 4.3%
Snatch 4.0%
Conti 4.0%
Lockbit 3.6%
Dharma 2.3%
Nephilim 2.0%
Avaddon 2.0%
WastedLock ----
WanaCrypto ----
Nemty ----
GlobeImposter ----
GandCrab ----
RansomExx ----
MountLock ----

2013年至2021年, 全美各地累計遭受加密勒索攻擊案例[3]

除了少數加密勒索攻擊程式之外，多數的攻擊程式在作業系統的執行程序清單中，都會明顯出現並且有極為明顯的三項特徵:

加密勒索程式會造成 I/O寫入位元組與I/O讀取位元組的數值，持續同步增加 (一般正常程式的磁碟I/O數值為「讀多寫少」，而少數程式屬於「讀少寫多」，更少數的程式才會有讀寫數值接近並同步增加)
該攻擊程式，會造成CPU使用量遽增
該攻擊程式會對網路磁碟機(分享目錄，或分享磁碟)進行特殊網路行為，包括探測、異常權限存取、異常檔案名稱寫入、大量網路讀取寫入封包。(其主要通訊協定為SMB)

當然，極少數的加密勒索會省略攻擊網路磁碟機的動作，例如WastedLock，這個省略的動作會大幅加快該程式的整個加密時間。而其他加密勒所攻擊程式，會耗費許多時間，完成全部加密動作。
除了加密動作的耗時之外，另外一方面，也會產生許多網路異常封包，我們可以早期偵測得到這些異常封包，並關閉該受害電腦主機。
此外，有些加密勒索攻擊程式，會有更獨特的網路異常封包，例如被駭主機突然產生暗網TOR通訊封包，也是一種早期偵測異常的方式之一。像是LooCipher, WanaCrypto就有這種明顯的異常暗網通訊特徵。

後面幾篇，我將針對幾個典型加密勒索程式，使用NSPA-Skills(NSPA技巧)，進行封包分析。
在網路攻擊與防守的戰場，NSPA/NTPA 網路封包分析協會與各位會員同在 !!

[1] https://www.coveware.com/blog/q3-2020-ransomware-marketplace-report, "Q3 Ransomware Demands rise: Maze Sunsets & Ryuk Returns (coveware.com)"
[2] https://app.any.run/submissions
[3] https://statescoop.com/ransomware-map/

]]><![CDATA[網路勒索攻擊(Ransomware)的基本瞭解]]>Tue, 12 Jan 2021 16:32:07 GMThttps://www.nspa-cert-tw.org/2521634899/january-12th-2021 Ransomware, 加密勒索不是新的網路威脅，它從1989年便開始出現。在網際網路發展迅速的現今世界，加上暗網通訊與加密數位貨幣的興起，這類攻擊從2010年便開始逐漸升溫。但是，在2016年以後，網路加密勒索攻擊數量突然大幅增加，2020年更是創下高峰!! 包括台灣在內的世界各大商業公司與政府機構，被加密勒索攻擊的災難事件頻傳不已。
根據近年的研究[1][2][3][4][5][6]，加密勒索攻擊可以歸納成為3個主要階段: 入侵階段(Delivery Stage)、破壞階段(Sabotage Stage)、勒索階段(Extortion Stage)，而這三個階段的前2項，可能會產生網路異常封包(不同攻擊組織的不同加密勒索家族，網路行為不同)根據NTPA協會的實驗與研究，這些異常封包可以區分下列幾個項目:

異常或罕見的DNS網路通訊封包
異常的HTTP/HTTPS網路通訊封包
異常的SMTP網路通訊封包
異常的FTP網路通訊封包
異常或罕見的TCP-高Port通訊封包(例如:TCP-9001, TCP-5555等等)
異常的RDP或SMB通訊封包

我們也收集歸納上述這些異常封包的PCAP檔案，並且根據加密勒索家族的差異，進行網路封包分析，可以找到若干共同行為表現，特別是在內部網路的SMB異常通訊行為，極為明顯突出，我將於日後陸續整理分析，跟大家分享。
幾乎所有的加密勒索攻擊，皆會產生『入侵階段(Delivery Stage)』。在這個階段，加密勒索攻擊者會透過各種方式，將加密勒索程式包裝後，傳送到被害人的電腦主機。雖然這個Delivery的方式有很多種，目前可以歸納出常見主要幾種方式:

社交工程攻擊(包括電郵、自行下載、水坑攻擊、魚叉攻擊、偽冒更新等等)
電腦或主機漏洞攻擊(包括未更新的主機漏洞、SQL-Injection、ZeroDay等等)
後台帳號密碼攻擊(包括遠端桌面RDP、VNC、TeamViewer、AnyDesk等等，常見的案例是脆弱密碼、或是外包服務廠商的密碼外洩)

各位會員只要針對上述幾種方式，進行資安演練與資安檢測，即可防患未然。同時，針對重要資料檔案，進行『3-2-1 備份』便可大幅降低加密勒索攻擊的威脅。最後，在重要階段進行網路封包分析，套用NSPA-Skills，就可以在最短時間內，分析得知有無APT攻擊？有無Downloader通訊行為? 有無加密勒索攻擊的異常通訊行為?
在網路攻擊與防守的戰場，NSPA/NTPA 網路封包分析協會與各位會員同在 !!
下一篇，我將針對幾個加密勒索家族的主要行為分類，進行說明與封包分析。

[1]: P. T. Nolen Scaife, Henry Carter and K. R. Butler.Cryptolock (and drop it): Stopping ransomware attacks on user data. In 2016 IEEE 36th International Conference on Distributed Computing Systems, pages 303–312, 2016.
[2]: Miss. Harshada U. Salvi, Mr. Ravindra V. Kerkar, “Ransomware: A Cyber Extortion”, Asian Journal of Convergence in Technology Volume II Issue III Issn No.:2350-1146, I.F-2.71, 2016
[3]: J. Zorabedian, "Anatomy of a ransomware attack: CryptoLocker, CryptoWall, and how to stay safe (Infographic)", Sophos, 2015.
[4]: N. Hampton, Z. Baig, and S. Zeadally, “Ransomware behavioural analysis on windows platforms,” J. Inf. Secur. Appl., vol. 40, pp. 44–51, 2018.
[5]Yaqoob, Ibrar, et al. "The rise of ransomware and emerging security challenges in the Internet of Things." Computer Networks 129 (2017): 444-458.
[6]O'Kane, Philip, Sakir Sezer, and Domhnall Carlin. "Evolution of ransomware." IET Networks 7.5 (2018): 321-327.]]>