NTPA/NSPA Taiwan
  • 首頁
  • 宗旨
  • 申請
  • 服務
  • 技術
  • 課程
  • 下載
  • 聯絡

網路封包分析案例

加密勒索家族的主要行為分類

1/30/2021

0 評論

 
    Ransomware 勒索軟體,根據其行為可以區分為 螢幕遮蔽勒索(Splash Screen, 稱為 Screen Locker Ransomware), 開機變更勒索(Change MBR, 稱為Boot Locker Ransomware), 竊密公布勒索(Steal Info, 稱為 Leakware 或 Doxware), 檔案加密勒索(Encrypt Files, 稱為Crypto Ransomware) 等等種類。目前為止,除少數案例之外,勒索軟體多為檔案加密勒索型態佔極大多數。
    當然,為了彰顯網路犯罪者的技術實力與公信力,目前加密勒索攻擊者,多半會在暗網公布被駭公司機構的失竊檔案,或者要求被駭人提供若干被加密檔案,讓攻擊者將檔案解密還原給被駭人看看,以此表示攻擊者確實有相當技術實力。
    從2016年開始,檔案型態的加密勒索,被駭人越來越多。除了歐美知名大型公司機構之外,在2020年開始,亞洲的中小企業也逐漸成為檔案加密勒索的攻擊目標。在2018年到2021年間,加密勒索攻擊成為新興網路犯罪型態,並逐漸發展成為產業鏈規模,稱為加密勒索雲端服務(Ransomware as a Service, RaaS)。這些加密勒索犯罪家族(或犯罪組織家族)在國際知名的有下列名稱:[1][2]
  • Sodinokibi           16.2%
  • Maze                     13.6%
  • Netwalker             9.9%
  • Phobos                  5.0%
  • DopplePaymer    4.3%
  • Snatch                   4.0%
  • Conti                      4.0%
  • Lockbit                  3.6%
  • Dharma                 2.3%
  • Nephilim               2.0%
  • Avaddon                2.0%
  • WastedLock           ----
  • WanaCrypto          ----
  • Nemty                     ----
  • GlobeImposter      ----
  • GandCrab               ----
  • RansomExx            ----
  • MountLock             ----
圖片
2013年至2021年, 全美各地累計遭受加密勒索攻擊案例[3]
    除了少數加密勒索攻擊程式之外,多數的攻擊程式在作業系統的執行程序清單中,都會明顯出現並且有極為明顯的三項特徵:
  1. 加密勒索程式會造成 I/O寫入位元組與I/O讀取位元組的數值,持續同步增加 (一般正常程式的磁碟I/O數值為「讀多寫少」,而少數程式屬於「讀少寫多」,更少數的程式才會有讀寫數值接近並同步增加)
  2. 該攻擊程式,會造成CPU使用量遽增
  3. 該攻擊程式會對網路磁碟機(分享目錄,或分享磁碟)進行特殊網路行為,包括探測、異常權限存取、異常檔案名稱寫入、大量網路讀取寫入封包。(其主要通訊協定為SMB) 
    當然,極少數的加密勒索會省略攻擊網路磁碟機的動作,例如WastedLock,這個省略的動作會大幅加快該程式的整個加密時間。而其他加密勒所攻擊程式,會耗費許多時間,完成全部加密動作。
    除了加密動作的耗時之外,另外一方面,也會產生許多網路異常封包,我們可以早期偵測得到這些異常封包,並關閉該受害電腦主機。
    此外,有些加密勒索攻擊程式,會有更獨特的網路異常封包,例如被駭主機突然產生暗網TOR通訊封包,也是一種早期偵測異常的方式之一。像是LooCipher, WanaCrypto就有這種明顯的異常暗網通訊特徵。

    後面幾篇,我將針對幾個典型加密勒索程式,使用NSPA-Skills(NSPA技巧),進行封包分析。
    在網路攻擊與防守的戰場,NSPA/NTPA 網路封包分析協會與各位會員同在 !!
[1] https://www.coveware.com/blog/q3-2020-ransomware-marketplace-report, "Q3 Ransomware Demands rise: Maze Sunsets & Ryuk Returns (coveware.com)"
[2] https://app.any.run/
submissions
[3] https://statescoop.com/ransomware-map/
0 評論



發表回覆。

    作者

    NTPA/NSPA
    劉得民 Te-Min Liu (Diamond Liu)

    封存檔

    一月 2021

    類別

    全部

    RSS 訂閱

Proudly powered by Weebly
  • 首頁
  • 宗旨
  • 申請
  • 服務
  • 技術
  • 課程
  • 下載
  • 聯絡