NTPA/NSPA
  • 首頁
  • 宗旨
  • 申請
  • 服務
  • 技術
  • 課程
  • 下載
  • 聯絡

網路封包分析案例

網路勒索攻擊(Ransomware)的基本瞭解

1/12/2021

0 評論

 
    Ransomware, 加密勒索不是新的網路威脅,它從1989年便開始出現。在網際網路發展迅速的現今世界,加上暗網通訊與加密數位貨幣的興起,這類攻擊從2010年便開始逐漸升溫。但是,在2016年以後,網路加密勒索攻擊數量突然大幅增加,2020年更是創下高峰!! 包括台灣在內的世界各大商業公司與政府機構,被加密勒索攻擊的災難事件頻傳不已。
    根據近年的研究[1][2][3][4][5][6],加密勒索攻擊可以歸納成為3個主要階段: 入侵階段(Delivery Stage)、破壞階段(Sabotage Stage)、勒索階段(Extortion Stage),而這三個階段的前2項,可能會產生網路異常封包(不同攻擊組織的不同加密勒索家族,網路行為不同)根據NTPA協會的實驗與研究,這些異常封包可以區分下列幾個項目:
  1. 異常或罕見的DNS網路通訊封包
  2. 異常的HTTP/HTTPS網路通訊封包
  3. 異常的SMTP網路通訊封包
  4. 異常的FTP網路通訊封包
  5. 異常或罕見的TCP-高Port通訊封包(例如:TCP-9001, TCP-5555等等)
  6. 異常的RDP或SMB通訊封包
    我們也收集歸納上述這些異常封包的PCAP檔案,並且根據加密勒索家族的差異,進行網路封包分析,可以找到若干共同行為表現,特別是在內部網路的SMB異常通訊行為,極為明顯突出,我將於日後陸續整理分析,跟大家分享。
    幾乎所有的加密勒索攻擊,皆會產生『入侵階段(Delivery Stage)』。在這個階段,加密勒索攻擊者會透過各種方式,將加密勒索程式包裝後,傳送到被害人的電腦主機。雖然這個Delivery的方式有很多種,目前可以歸納出常見主要幾種方式:
  • 社交工程攻擊(包括電郵、自行下載、水坑攻擊、魚叉攻擊、偽冒更新等等)
  • 電腦或主機漏洞攻擊(包括未更新的主機漏洞、SQL-Injection、ZeroDay等等)
  • 後台帳號密碼攻擊(包括遠端桌面RDP、VNC、TeamViewer、AnyDesk等等,常見的案例是脆弱密碼、或是外包服務廠商的密碼外洩)
    各位會員只要針對上述幾種方式,進行資安演練與資安檢測,即可防患未然。同時,針對重要資料檔案,進行『3-2-1 備份』便可大幅降低加密勒索攻擊的威脅。最後,在重要階段進行網路封包分析,套用NSPA-Skills,就可以在最短時間內,分析得知有無APT攻擊?有無Downloader通訊行為? 有無加密勒索攻擊的異常通訊行為?
    在網路攻擊與防守的戰場,NSPA/NTPA 網路封包分析協會與各位會員同在 !!
    下一篇,我將針對幾個加密勒索家族的主要行為分類,進行說明與封包分析。

​[1]: P. T. Nolen Scaife, Henry Carter and K. R. Butler.Cryptolock (and drop it): Stopping ransomware attacks on user data. In 2016 IEEE 36th International Conference on Distributed Computing Systems, pages 303–312, 2016.
[2]: Miss. Harshada U. Salvi, Mr. Ravindra V. Kerkar, “Ransomware: A Cyber Extortion”, Asian Journal of Convergence in Technology  Volume II Issue III  Issn No.:2350-1146, I.F-2.71, 2016
[3]: J. Zorabedian, "Anatomy of a ransomware attack: CryptoLocker, CryptoWall, and how to stay safe (Infographic)", Sophos, 2015. 
[4]: N. Hampton, Z. Baig, and S. Zeadally, “Ransomware behavioural analysis on windows platforms,” J. Inf. Secur. Appl., vol. 40, pp. 44–51, 2018.
[5]Yaqoob, Ibrar, et al. "The rise of ransomware and emerging security challenges in the Internet of Things." Computer Networks 129 (2017): 444-458.
[6]O'Kane, Philip, Sakir Sezer, and Domhnall Carlin. "Evolution of ransomware." IET Networks 7.5 (2018): 321-327.
0 評論



發表回覆。

    作者

    NTPA/NSPA
    劉得民 Te-Min Liu (Diamond Liu)

    封存檔

    一月 2021

    類別

    全部

    RSS 訂閱

Proudly powered by Weebly
  • 首頁
  • 宗旨
  • 申請
  • 服務
  • 技術
  • 課程
  • 下載
  • 聯絡