資安通報:Darkside勒索病毒防護建議

威脅資訊

2020年8月，一個與ReVil組織相關名為Carbon Spider的犯罪小組開發出一種名為Darkside的新型勒索病毒，並於同年11月開始以RaaS(Ransomware as a Service)的形式對外提供使用。此病毒會利用多種方法來獲取目標系統的存取權限，例如網路釣魚、遠端桌面協議（RDP）的漏洞、Cobalt Strike或其他系統弱點。 成功駭入後，它會透過網域控制器（Domain Controller）繼續竊取企業內部憑證以及其他有價值的資產與滲透，並進行橫向擴散，最後透過網路共享，將勒索病毒部署到目標電腦中。
通過勒索病毒即服務（RaaS）模式來提供的Darkside，已成功滲透部分美國重要的關鍵基礎設施。 攻擊者使用了“雙重勒索”的手法，除了對受駭者電腦中的資料進行加密之外，更威脅要揭露受駭企業內的機密資料。趨勢科技在此提醒用戶應加強防範，並提升網路安全防禦層級。

影響

此勒索病毒具備下列能力，除可能導致企業內部重要資料外洩之外，也會造成財務上的損失。

• 檔案加密

• 竊取資料

• C&C

• 橫向擴散

• 憑證竊取

感染方式

弱點詳情:

可偵測的產品規則:

• 趨勢科技產品已可偵測此類威脅，偵測手法與病毒碼版本如下 (機器學習功能不需更新病毒碼亦可即時偵測):

File Reputation

預測性機器學習

行為監控

沙箱分析

建議

     趨勢科技提醒您將相關防護產品的病毒碼更新至最新外，也建議同時採取下列措施，強化網路安全性:

1. 確認所有軟體與作業系統完成安全性更新，尤其是提供對外服務之伺服器。

2. 密碼設定符合安全性要求，包含長度、複雜度等。

3. 限縮高權限的管理者帳號(Domain Admins、Enterprise Admins、本機管理員等)的登入來源與登入方式，例如限制Domain Admins群組帳號僅限安全的管理主機登入。

4. 高權限的管理者帳號登入立即通知。

5. 記錄遠端桌面服務登入記錄，建議重要主機(如ERP、DC)登入記錄應儲存至遠端日誌收集系統，以後稽核追蹤。

6. 監控網域與本機管理群組使用者帳號的新增記錄。

7. VPN使用多因子驗證登入，降低因使用者遭網路釣魚攻擊導致帳密洩漏、密碼暴力破解，而被駭客登入的風險。

8. 檢視重要伺服器或電腦上是否出現異常的工作排程、異常檔案。

9. 利用DDI以及Deep Security過濾網路中出現可疑的內網擴散等攻擊活動。

10. 部署多層次資安防護機制解決方案，除了端點防護解決方案以外，進階沙箱分析隔離不明檔案，應用程式控管與行為監控則可防止可以檔案執行，並避免系統遭到未經授權的變更。

11. Apex One無檔案攻擊防禦及勒索病毒最佳設定https://success.trendmicro.com/tw/solution/000286398
    須注意:進行伺服器設定時部分伺服器開啟行為監控，會有正常應用程式被攔截或效能降低的狀況，請務必先分批進行測試並設定必要的例外清單之後再開啟這些功能。若啟用這些功能有什麼疑問或需要進一步諮詢或建議，請與技術支援部門聯繫。

12. Deep Security無檔案攻擊防禦及勒索病毒最佳設定https://success.trendmicro.com/tw/solution/000286403
    須注意:進行伺服器設定時部分伺服器開啟行為監控，會有正常應用程式被攔截或效能降低的狀況，請務必先分批進行測試並設定必要的例外清單之後再開啟這些功能。若啟用這些功能有什麼疑問或需要進一步諮詢或建議，請與技術支援部門聯繫。

13. 勒索病毒攻擊手法日新月異防不勝防，務必以三二一原則妥善備份重要檔案（三份備份，分別存放在兩種不同類型的裝置，一份放在異地或安全地點）https://blog.trendmicro.com.tw/?p=4707