首页 > 最新消息 >Sophos 研究显示 Cring 勒索软体利用有 11 年历史的 Adobe ColdFusion 软体发起进阶型攻击

最新消息

2021-09-24

Sophos 研究显示 Cring 勒索软体利用有 11 年历史的 Adobe ColdFusion 软体发起进阶型攻击


Sophos发表研究报告《Cring 勒索软体利用了老旧的 ColdFusion 伺服器》,描述 Cring 勒索软体操作者如何发动一次复杂的攻击。攻击者入侵了受害企业环境中一台未修补且已有 11 年历史之久的 Adobe ColdFusion 9 伺服器。受害企业使用该伺服器来收集工资单的工时表和会计资料,并托管了多部虚拟机器。攻击者在几分钟内就攻破了连线到网际网路的伺服器,并在 79 小时后执行了勒索软体。

Sophos 首席研究员 Andrew Brandt 表示:「软体过期且易受攻击的装置,对伺机入侵的网路攻击者来说是最好的对象。Cring 勒索软体并不新鲜,但并不常见。在我们研究的事件中,遭锁定的目标是一家服务公司,被入侵的是一台连线到网际网路的电脑,执行著老旧、过时且未修补的软体。令人惊讶的是,该伺服器每天都还在使用。通常,最易受攻击的设备是未使用或被遗忘的装置,在修补和升级时被错过或忽略了。

「但是,无论该装置是使用中或未使用,未修补的网际网路连线伺服器或其他装置,都是网路攻击者扫描公司受攻击面来寻找破口时的主要目标。值得提醒的是,取得所有资产的准确清单对 IT 系统管理员很有帮助,并且不能将过时的关键业务系统对公用的网际网路开放。只要组织的网路上拥有这些装置,就会吸引网路攻击者的注意。不要让网路犯罪分子太容易得手。」

Sophos 的分析表明,攻击者首先会使用自动化工具扫描目标网站,一旦发现网站伺服器上执行未经修补的 ColdFusion,就能够在几分钟内攻入。

Sophos 发现,在初步入侵成功之后,攻击者使用非常复杂的技术来隐藏它们的档案、将程式码插入记忆体,并利用乱码资料覆盖档案,或删除日志和其他威胁猎捕人员调查时可发现它们踪迹的工件由于窜改防护功能已经被关掉,攻击者还能停用安全产品。

攻击者贴了一张赎金通知,宣称他们偷了资料,准备好「谈判失败就要将资料外泄」。

Sophos 建议采用以下最佳作法来帮助防御 Cring 和其他类型的勒索软体及相关网路攻击:

在策略层面:

  • 部署分层式保护。随著越来越多的勒索软体攻击开始使用不给钱就外泄的敲诈方式,备份仍然是必要的,但还不够。比以往更重要的是先将敌人拒之门外,或者在伤害造成之前就找出它们。使用分层式保护尽可能在组织环境内的每一点阻止和侦测攻击者。
  •  
  • 结合人类专家和反勒索软体技术。阻止勒索软体的关键是深度防御,它结合了专用的反勒索软体技术和人为主导的威胁捕猎。技术可提供组织所需的规模和自动化,而人类专家有能力侦测出有意义的策略、技术和象徵攻击者正试图进入环境的程序。如果组织内部没有相关技能,可以寻求使用网路安全专家的支援

在日常战术层面:

  • 监控和回应警示。确保有适当的工具、流程和资源 (人员) 可用于监控、调查和回应环境中的威胁。勒索软体攻击者通常会在非高峰时段、周末或假期发动攻击,假设只有少数或没有人会发现。
  •  
  • 设置和强制执行强式密码。强式密码是第一道防线。密码应该是唯一、复杂的,并且永远不要重复使用。使用可以储存员工凭证的密码管理器能更容易实现这一点。
  •  
  • 使用多重验证 (MFA)即使是强式密码也可能被偷。在使用电子邮件、远端管理工具和网路资产等关键资源时,任何形式的多因素验证都比没有好。
  •  
  • 锁定可存取的服务。从外部执行网路扫描,识别并锁定 VNC、RDP 或其他远程存取工具常用的连接埠。如果需要使用远程管理工具存取电脑,请将该工具置于 VPN 之后,或使用 MFA 当成零信任网路存取解决方案的一部分。
  •  
  • 实作区段化和零信任。采用零信任网路模型时,请将关键伺服器与其他伺服器和工作站分开,将其置入单独的 VLAN 中。
  •  
  • 对信息和应用程式进行离线备份。使备份保持最新状态,确保其可复原性并让一份副本离线。
  •  
  • 清点您的资产和帐户。网路中未知、未受保护和未修补的装置会增加风险并导致恶意活动被忽视。取得所有环境中所有连线电脑的最新清单非常重要。使用网路扫描、IaaS 工具和实体检查来找到和记录它们,并在缺乏保护的电脑上安装端点保护软体。
  •  
  • 确保安全产品设定正确。保护不足的系统和装置也很容易受到攻击。确保正确设定安全解决方案并定期检查,以及在必要时验证和更新安全政策非常重要。新的安全功能不见得总是自动启用。不要停用窜改防护或建立大范围的侦测排除,因为这样做会使攻击者更容易得逞。
  •  
  • 稽核 Active Directory (AD)定期稽核 AD 中的所有帐户,确保没有人拥有超出工作所需的存取权限。离职员工离开公司后立即停用他们的帐户。
  •  
  • 修补一切。使 Windows 和其他作业系统和软体保持最新。这也意味著要再次检查是否已正确安装修补程式,以及连线到网际网路的电脑或网域控制站等关键系统已经修补了。在此处回报的事件中,软体厂商都已停止对 Adob​​e ColdFusion 9 伺服器以及底层 Windows 2008 作业系统的支援,这代表著它们不再取得软体更新。

Sophos 端点产品将 Cring 勒索软体可执行档侦测为 Troj/Ransom-GKG,将 Cobalt Strike 信标侦测为 AMSI/Cobalt-A,将用于载入信标的 PowerShell 命令侦测为 Troj/PS-IM。

若要了解更多信息,请阅读 SophosLabs Uncut 中关于Cring 勒索软体的文章

文章引用台湾产经新闻:https://n.yam.com/Article/20210922131304