首頁 科技新聞 Sophos 研究顯示 Cring 勒索軟體利用有 11 年歷史的 Adobe ColdFusion 軟體發起進階型攻擊

分享
文章

Sophos 研究顯示 Cring 勒索軟體利用有 11 年歷史的 Adobe ColdFusion 軟體發起進階型攻擊

Sophos 是新一代網路安全的全球領導者,今日發表研究報告《Cring 勒索軟體利用了老舊的 ColdFusion 伺服器》,描述 Cring 勒索軟體操作者如何發動一次複雜的攻擊。攻擊者入侵了受害企業環境中一台未修補且已有 11 年歷史之久的 Adobe ColdFusion 9 伺服器。受害企業使用該伺服器來收集工資單的工時表和會計資料,並託管了多部虛擬機器。攻擊者在幾分鐘內就攻破了連線到網際網路的伺服器,並在 79 小時後執行了勒索軟體。

Sophos 首席研究員 Andrew Brandt 表示:「軟體過期且易受攻擊的裝置,對伺機入侵的網路攻擊者來說是最好的對象。Cring 勒索軟體並不新鮮,但並不常見。在我們研究的事件中,遭鎖定的目標是一家服務公司,被入侵的是一台連線到網際網路的電腦,執行著老舊、過時且未修補的軟體。令人驚訝的是,該伺服器每天都還在使用。通常,最易受攻擊的設備是未使用或被遺忘的裝置,在修補和升級時被錯過或忽略了。

「但是,無論該裝置是使用中或未使用,未修補的網際網路連線伺服器或其他裝置,都是網路攻擊者掃描公司受攻擊面來尋找破口時的主要目標。值得提醒的是,取得所有資產的準確清單對 IT 系統管理員很有幫助,並且不能將過時的關鍵業務系統對公用的網際網路開放。只要組織的網路上擁有這些裝置,就會吸引網路攻擊者的注意。不要讓網路犯罪分子太容易得手。」

Sophos 的分析表明,攻擊者首先會使用自動化工具掃描目標網站,一旦發現網站伺服器上執行未經修補的 ColdFusion,就能夠在幾分鐘內攻入。

Sophos 發現,在初步入侵成功之後,攻擊者使用非常複雜的技術來隱藏它們的檔案、將程式碼插入記憶體,並利用亂碼資料覆蓋檔案,或刪除日誌和其他威脅獵捕人員調查時可發現它們蹤跡的工件由於竄改防護功能已經被關掉,攻擊者還能停用安全產品。

攻擊者貼了一張贖金通知,宣稱他們偷了資料,準備好「談判失敗就要將資料外洩」。

Sophos 建議採用以下最佳作法來幫助防禦 Cring 和其他類型的勒索軟體及相關網路攻擊:

在策略層面:

  • 部署分層式保護。隨著越來越多的勒索軟體攻擊開始使用不給錢就外洩的敲詐方式,備份仍然是必要的,但還不夠。比以往更重要的是先將敵人拒之門外,或者在傷害造成之前就找出它們。使用分層式保護盡可能在組織環境內的每一點阻止和偵測攻擊者
  • 結合人類專家和反勒索軟體技術。阻止勒索軟體的關鍵是深度防禦,它結合了專用的反勒索軟體技術和人為主導的威脅捕獵。技術可提供組織所需的規模和自動化,而人類專家有能力偵測出有意義的策略、技術和象徵攻擊者正試圖進入環境的程序。如果組織內部沒有相關技能,可以尋求使用網路安全專家的支援

在日常戰術層面:

  • 監控和回應警示。確保有適當的工具、流程和資源 (人員) 可用於監控、調查和回應環境中的威脅。勒索軟體攻擊者通常會在非高峰時段、週末或假期發動攻擊,假設只有少數或沒有人會發現
  • 設置和強制執行強式密碼。強式密碼是第一道防線。密碼應該是唯一、複雜的,並且永遠不要重複使用。使用可以儲存員工憑證的密碼管理器能更容易實現這一點
  • 使用多重驗證 (MFA)。即使是強式密碼也可能被偷。在使用電子郵件、遠端管理工具和網路資產等關鍵資源時,任何形式的多因素驗證都比沒有好
  • 鎖定可存取的服務。從外部執行網路掃描,識別並鎖定 VNC、RDP 或其他遠程存取工具常用的連接埠。如果需要使用遠程管理工具存取電腦,請將該工具置於 VPN 之後,或使用 MFA 當成零信任網路存取解決方案的一部分
  • 實作區段化和零信任。在採用零信任網路模型時,請將關鍵伺服器與其他伺服器和工作站分開,將其置入單獨的 VLAN 中
  • 對資訊和應用程式進行離線備份。使備份保持最新狀態,確保其可復原性並讓一份副本離線
  • 清點您的資產和帳戶。網路中未知、未受保護和未修補的裝置會增加風險並導致惡意活動被忽視。取得所有環境中所有連線電腦的最新清單非常重要。使用網路掃描、IaaS 工具和實體檢查來找到和記錄它們,並在缺乏保護的電腦上安裝端點保護軟體
  • 確保安全產品設定正確。保護不足的系統和裝置也很容易受到攻擊。確保正確設定安全解決方案並定期檢查,以及在必要時驗證和更新安全政策非常重要。新的安全功能不見得總是自動啟用。不要停用竄改防護或建立大範圍的偵測排除,因為這樣做會使攻擊者更容易得逞
  • 稽核 Active Directory (AD)。定期稽核 AD 中的所有帳戶,確保沒有人擁有超出工作所需的存取權限。離職員工離開公司後立即停用他們的帳戶
  • 修補一切。使 Windows 和其他作業系統和軟體保持最新。這也意味著要再次檢查是否已正確安裝修補程式,以及連線到網際網路的電腦或網域控制站等關鍵系統已經修補了。在此處回報的事件中,軟體廠商都已停止對 Adob​​e ColdFusion 9 伺服器以及底層 Windows 2008 作業系統的支援,這代表著它們不再取得軟體更新

Sophos 端點產品將 Cring 勒索軟體可執行檔偵測為 Troj/Ransom-GKG,將 Cobalt Strike 信標偵測為 AMSI/Cobalt-A,將用於載入信標的 PowerShell 命令偵測為 Troj/PS-IM。

若要了解更多資訊,請閱讀 SophosLabs Uncut 中關於Cring 勒索軟體的文章

FaceBook
最新網路流行話題掌握 歡迎一起加入
分享至Facebook

FACEBOOK粉絲留言版

你可能會想看的文章
家用路由器推薦:TP-Link Archer AX55 Wi-Fi 路由器,讓居家網路有感升級! 沒備份星人也有救!備份還原檔案就該直覺簡單,檔案終極備份還原指南 ─Synology C2 Backup、C2 Storage 每 11 秒就發生 1 次勒索病毒攻擊,你的資料招架的住嗎?檔案終極備份還原指南 ─Synology C2 Backup、C2 Storage Sophos 研究人員在一次超高速攻擊中發現了鎖定 ESXi 伺服器和虛擬機器的新型 Python 勒索軟體 VMware 支援客戶靈活快速搬遷上雲 Sophos 研究顯示 Cring 勒索軟體利用有 11 年歷史的 Adobe ColdFusion 軟體發起進階型攻擊 《網絡安全青年計劃 2021》頒獎禮嘉許傑出學生 HKIRC全力培育未來網絡安全人材 資安委外提升企業資安防護 強化遠端工作安全 瑞典最大連鎖超市之一遭駭 關閉約800家商店 Acronis Cyber Backup保護居家上班資訊安全 杜絕企業停機損失 駭客攻擊頻傳 拜登對俄羅斯轉趨強硬 宏碁爆「駭」遭勒索14.2億 說明記者會突喊卡 Sophos將以Intercept X為高通Snapdragon運算平台提供新一代常時連網的5G PC網路安全服務 Sophos 發現加密貨幣挖礦程式 「MrbMiner」 的幕後推手 主動防禦搶先機,端到端全面阻擋新威脅 快新聞/台美跨境合作追到駭客組織 疑與中國政府有關 快新聞/中國5駭客涉嫌對台港日韓發動網攻 美司法部起訴 趨勢科技研究發現企業內部及雲端伺服器被入侵成為犯罪地下市場商品 macOS被盯上…Microsoft爆漏洞 檔案格式成駭客入侵關鍵! 各界看好?被爆對收購TikTok有興趣股價就上漲 蘋果發言人回應了!
大家都在看
王必勝驚爆不倫「小15歲護理師」... 謝金燕突鬆口「我戀愛了」 消失1... 女婿入獄!吳淑珍罕見現身女兒診所... Selina任家萱斜槓副業有成!... 腸爆裂插管求生!女星李宇柔今早再... 高雄仁武透天厝火警 1人送醫觀察... 斷捨離收納“無痛”這樣做!日本人... 女歌手報喜訊!努力11年終於懷孕... 【第12輪第2階登場】252萬人...

首頁 科技新聞 Sophos 研究顯示 Cring 勒索軟體利用有 11 年歷史的 Adobe ColdFusion 軟體發起進階型攻擊