網路勒索攻擊(Ransomware)的基本瞭解

    Ransomware, 加密勒索不是新的網路威脅，它從1989年便開始出現。在網際網路發展迅速的現今世界，加上暗網通訊與加密數位貨幣的興起，這類攻擊從2010年便開始逐漸升溫。但是，在2016年以後，網路加密勒索攻擊數量突然大幅增加，2020年更是創下高峰!! 包括台灣在內的世界各大商業公司與政府機構，被加密勒索攻擊的災難事件頻傳不已。
    根據近年的研究[1][2][3][4][5][6]，加密勒索攻擊可以歸納成為3個主要階段: 入侵階段(Delivery Stage)、破壞階段(Sabotage Stage)、勒索階段(Extortion Stage)，而這三個階段的前2項，可能會產生網路異常封包(不同攻擊組織的不同加密勒索家族，網路行為不同)根據NTPA協會的實驗與研究，這些異常封包可以區分下列幾個項目:

1. 異常或罕見的DNS網路通訊封包
2. 異常的HTTP/HTTPS網路通訊封包
3. 異常的SMTP網路通訊封包
4. 異常的FTP網路通訊封包
5. 異常或罕見的TCP-高Port通訊封包(例如:TCP-9001, TCP-5555等等)
6. 異常的RDP或SMB通訊封包

    我們也收集歸納上述這些異常封包的PCAP檔案，並且根據加密勒索家族的差異，進行網路封包分析，可以找到若干共同行為表現，特別是在內部網路的SMB異常通訊行為，極為明顯突出，我將於日後陸續整理分析，跟大家分享。
    幾乎所有的加密勒索攻擊，皆會產生『入侵階段(Delivery Stage)』。在這個階段，加密勒索攻擊者會透過各種方式，將加密勒索程式包裝後，傳送到被害人的電腦主機。雖然這個Delivery的方式有很多種，目前可以歸納出常見主要幾種方式:

• 社交工程攻擊(包括電郵、自行下載、水坑攻擊、魚叉攻擊、偽冒更新等等)
• 電腦或主機漏洞攻擊(包括未更新的主機漏洞、SQL-Injection、ZeroDay等等)
• 後台帳號密碼攻擊(包括遠端桌面RDP、VNC、TeamViewer、AnyDesk等等，常見的案例是脆弱密碼、或是外包服務廠商的密碼外洩)

    各位會員只要針對上述幾種方式，進行資安演練與資安檢測，即可防患未然。同時，針對重要資料檔案，進行『3-2-1 備份』便可大幅降低加密勒索攻擊的威脅。最後，在重要階段進行網路封包分析，套用NSPA-Skills，就可以在最短時間內，分析得知有無APT攻擊？有無Downloader通訊行為? 有無加密勒索攻擊的異常通訊行為?
    在網路攻擊與防守的戰場，NSPA/NTPA 網路封包分析協會與各位會員同在 !!
    下一篇，我將針對幾個加密勒索家族的主要行為分類，進行說明與封包分析。

​[1]: P. T. Nolen Scaife, Henry Carter and K. R. Butler.Cryptolock (and drop it): Stopping ransomware attacks on user data. In 2016 IEEE 36th International Conference on Distributed Computing Systems, pages 303–312, 2016.
[2]: Miss. Harshada U. Salvi, Mr. Ravindra V. Kerkar, “Ransomware: A Cyber Extortion”, Asian Journal of Convergence in Technology  Volume II Issue III  Issn No.:2350-1146, I.F-2.71, 2016
[3]: J. Zorabedian, "Anatomy of a ransomware attack: CryptoLocker, CryptoWall, and how to stay safe (Infographic)", Sophos, 2015. 
[4]: N. Hampton, Z. Baig, and S. Zeadally, “Ransomware behavioural analysis on windows platforms,” J. Inf. Secur. Appl., vol. 40, pp. 44–51, 2018.
[5]Yaqoob, Ibrar, et al. "The rise of ransomware and emerging security challenges in the Internet of Things." Computer Networks 129 (2017): 444-458.
[6]O'Kane, Philip, Sakir Sezer, and Domhnall Carlin. "Evolution of ransomware." IET Networks 7.5 (2018): 321-327.