Ransomware 勒索軟體,根據其行為可以區分為 螢幕遮蔽勒索(Splash Screen, 稱為 Screen Locker Ransomware), 開機變更勒索(Change MBR, 稱為Boot Locker Ransomware), 竊密公布勒索(Steal Info, 稱為 Leakware 或 Doxware), 檔案加密勒索(Encrypt Files, 稱為Crypto Ransomware) 等等種類。目前為止,除少數案例之外,勒索軟體多為檔案加密勒索型態佔極大多數。 當然,為了彰顯網路犯罪者的技術實力與公信力,目前加密勒索攻擊者,多半會在暗網公布被駭公司機構的失竊檔案,或者要求被駭人提供若干被加密檔案,讓攻擊者將檔案解密還原給被駭人看看,以此表示攻擊者確實有相當技術實力。 從2016年開始,檔案型態的加密勒索,被駭人越來越多。除了歐美知名大型公司機構之外,在2020年開始,亞洲的中小企業也逐漸成為檔案加密勒索的攻擊目標。在2018年到2021年間,加密勒索攻擊成為新興網路犯罪型態,並逐漸發展成為產業鏈規模,稱為加密勒索雲端服務(Ransomware as a Service, RaaS)。這些加密勒索犯罪家族(或犯罪組織家族)在國際知名的有下列名稱:[1][2]
2013年至2021年, 全美各地累計遭受加密勒索攻擊案例[3] 除了少數加密勒索攻擊程式之外,多數的攻擊程式在作業系統的執行程序清單中,都會明顯出現並且有極為明顯的三項特徵:
除了加密動作的耗時之外,另外一方面,也會產生許多網路異常封包,我們可以早期偵測得到這些異常封包,並關閉該受害電腦主機。 此外,有些加密勒索攻擊程式,會有更獨特的網路異常封包,例如被駭主機突然產生暗網TOR通訊封包,也是一種早期偵測異常的方式之一。像是LooCipher, WanaCrypto就有這種明顯的異常暗網通訊特徵。 後面幾篇,我將針對幾個典型加密勒索程式,使用NSPA-Skills(NSPA技巧),進行封包分析。 在網路攻擊與防守的戰場,NSPA/NTPA 網路封包分析協會與各位會員同在 !! [1] https://www.coveware.com/blog/q3-2020-ransomware-marketplace-report, "Q3 Ransomware Demands rise: Maze Sunsets & Ryuk Returns (coveware.com)"
[2] https://app.any.run/submissions [3] https://statescoop.com/ransomware-map/
0 評論
發表回覆。 |