文©劉得民 老師
今晚的案例,是GlobeImposter 家族的攻擊。
在國際上,2020年以前的加密勒索攻擊,多為英文或西文的社交工程攻擊方式,或是RDP/VNC/SMB的漏洞與弱密碼入侵。不過從2021年1月起,開始發現大量亞洲語言(韓文)的社交工程攻擊,特別是Sodinokibi的加密勒索家族,攻擊案例極多。據此推論,加密勒索攻擊的APT組織,很可能開始發展「區域語言的攻擊」包括韓文、日文、繁體中文、簡體中文、泰文、越南文、緬甸文等等的區域性社交工程攻擊。
若想避免加密勒索攻擊,要特別注意以下四個原則:
(1)落實檔案備份,321原則。
(2)網路主機,除更新漏洞外,需關閉 VNC/RDP/SMB服務,若無法關閉這些服務,應限制存取IP位址(白名單方式)與限制執行程式清單(白名單方式)
(3)防毒軟體可能無法在第一時間,阻斷加密勒索與APT組織攻擊。因此,本機電腦的防護系統(Local host Protecrion),除防毒系統之外,要考慮第二層防護機制。
(4)分析並監控網路封包活動,包括連結外網的異常通訊,與內網SMB的異常封包。建議採用NSPA的分析技巧,NSPA-Skills,可以早期察覺異常通訊封包。
劉得民 老師
中華民國網路封包分析協會理事長
專長:C/C++程式語言設計、網路犯罪封包鑑識分析、資料數學模式分析、工業設備SCADA資安系統