跳到主要內容區
  1. 首頁
  2. 資安新聞

資安通報:Darkside勒索病毒防護建議

2021年5月20日  

資安通報:Darkside勒索病毒防護建議
 

威脅資訊

2020年8月,一個與ReVil組織相關名為Carbon Spider的犯罪小組開發出一種名為Darkside的新型勒索病毒,並於同年11月開始以RaaS(Ransomware as a Service)的形式對外提供使用。此病毒會利用多種方法來獲取目標系統的存取權限,例如網路釣魚、遠端桌面協議(RDP)的漏洞、Cobalt Strike或其他系統弱點。 成功駭入後,它會透過網域控制器(Domain Controller)繼續竊取企業內部憑證以及其他有價值的資產與滲透,並進行橫向擴散,最後透過網路共享,將勒索病毒部署到目標電腦中。 通過勒索病毒即服務(RaaS)模式來提供的Darkside,已成功滲透部分美國重要的關鍵基礎設施。 攻擊者使用了“雙重勒索”的手法,除了對受駭者電腦中的資料進行加密之外,更威脅要揭露受駭企業內的機密資料。趨勢科技在此提醒用戶應加強防範,並提升網路安全防禦層級。

影響

此勒索病毒具備下列能力,除可能導致企業內部重要資料外洩之外,也會造成財務上的損失。

  • 檔案加密

  • 竊取資料

  • C&C

  • 橫向擴散

  • 憑證竊取

 

感染方式

弱點詳情:

可偵測的產品規則:

  • 趨勢科技產品已可偵測此類威脅,偵測手法與病毒碼版本如下 (機器學習功能不需更新病毒碼亦可即時偵測):

File Reputation

SHA1

偵測名稱

版本

發布日期 / 最近更新

a3e7561de73378b453186a6c33858bf47577d69c

Ransom.Win32.DARKSIDE.SMYAAK-B

16.402.08

2020-12-09T19:41:19Z

7ae73b5e1622049380c9b615ce3b7f636665584b

Ransom.Win32.DARKSIDE.SMYAAK-B

16.402.08

2020-12-09T19:41:19Z

c104056f9a926d27a2082f05 10c97b09cb0eb3e5

Ransom.Win32.DARKSIDE.SMYAAK-B

16.402.08

2020-12-09T19:41:19Z

d1dfe82775c1d698dd7861d6dfa1352a74551d35

Ransom.Win32.DARKSIDE.YXAH-THA

16.170.06

2020-08-08T10:37:45Z

 

預測性機器學習

偵測名稱

版本

Troj.Win32.TRX.XXPE50FFF036

In-the-Cloud

Troj.Win32.TRX.XXPE50FFF038

In-the-Cloud

Rapid Proliferation

In-the-Cloud

行為監控

病毒碼/版本

發布日期

Malware Behavior Blocking

2020

 

沙箱分析

偵測名稱

VAN_RANSOMWARE


建議

     趨勢科技提醒您將相關防護產品的病毒碼更新至最新外,也建議同時採取下列措施,強化網路安全性:

  1. 確認所有軟體與作業系統完成安全性更新,尤其是提供對外服務之伺服器。

  2. 密碼設定符合安全性要求,包含長度、複雜度等。

  3. 限縮高權限的管理者帳號(Domain Admins、Enterprise Admins、本機管理員等)的登入來源與登入方式,例如限制Domain Admins群組帳號僅限安全的管理主機登入。

  4. 高權限的管理者帳號登入立即通知。

  5. 記錄遠端桌面服務登入記錄,建議重要主機(如ERP、DC)登入記錄應儲存至遠端日誌收集系統,以後稽核追蹤。

  6. 監控網域與本機管理群組使用者帳號的新增記錄。

  7. VPN使用多因子驗證登入,降低因使用者遭網路釣魚攻擊導致帳密洩漏、密碼暴力破解,而被駭客登入的風險。

  8. 檢視重要伺服器或電腦上是否出現異常的工作排程、異常檔案。

  9. 利用DDI以及Deep Security過濾網路中出現可疑的內網擴散等攻擊活動。

  10. 部署多層次資安防護機制解決方案,除了端點防護解決方案以外,進階沙箱分析隔離不明檔案,應用程式控管與行為監控則可防止可以檔案執行,並避免系統遭到未經授權的變更。

  11. Apex One無檔案攻擊防禦及勒索病毒最佳設定https://success.trendmicro.com/tw/solution/000286398 須注意:進行伺服器設定時部分伺服器開啟行為監控,會有正常應用程式被攔截或效能降低的狀況,請務必先分批進行測試並設定必要的例外清單之後再開啟這些功能。若啟用這些功能有什麼疑問或需要進一步諮詢或建議,請與技術支援部門聯繫。

  12. Deep Security無檔案攻擊防禦及勒索病毒最佳設定https://success.trendmicro.com/tw/solution/000286403 須注意:進行伺服器設定時部分伺服器開啟行為監控,會有正常應用程式被攔截或效能降低的狀況,請務必先分批進行測試並設定必要的例外清單之後再開啟這些功能。若啟用這些功能有什麼疑問或需要進一步諮詢或建議,請與技術支援部門聯繫。

  13. 勒索病毒攻擊手法日新月異防不勝防,務必以三二一原則妥善備份重要檔案(三份備份,分別存放在兩種不同類型的裝置,一份放在異地或安全地點)https://blog.trendmicro.com.tw/?p=4707

資料提供:趨勢科技

瀏覽數:
友善列印