NO.55 | 2019.05.31
banner
title不知不可 友善列印>>
資安威脅風險趨勢觀察報告_資通安全組 林高裕經理

        全球資安威脅變化詭譎,從2017年造成慘重災情的勒索軟體,到2018年的挖礦攻擊,駭客頻繁更換攻擊手法使企業及政府單位一再面臨挑戰。資安業者Check Point特別針對惡意程式攻擊企業組織的態勢,提供其偵測分析數據,揭露我國惡意程式攻擊之趨勢。

        2018年全球五大威脅態勢包含挖礦、殭屍網路(Botnet)、行動、金融攻擊與勒索軟體,其中挖礦攻擊在威脅態勢中影響比例最高,也最為嚴重。根據2019年1月統計,威脅我國最大的惡意挖礦程式為CoinHive與XMRig。

 
圖1:威脅臺灣之惡意挖礦程式(2019年1月統計)
(圖片來源:iThome)

        駭客利用CoinHive進行網頁挖礦,讓使用者在造訪網頁時,利用用戶電腦資源以挖掘加密貨幣「門羅幣」。根據統計,CoinHive惡意程式占全球影響程度11.59%,但影響我國程度高達27.7%,是威脅最高之惡意程式。另一種影響我國資安極高的挖礦程式XMRig,則是被研究人員發現其以掩人耳目的方式,利用非Adobe的網頁伺服器偽裝Flash Player安裝程式,讓受害者更新Flash Player的同時也下載挖礦軟體,類似非法掩護挖礦的手法,讓受害者無從察覺異狀,更讓駭客的惡意軟體得以暗中從事非法活動。


圖2:挖礦程式XMRig之攻擊行為
(圖片來源:iThome)

        經由持續分析與綜整近期之威脅活動及威脅來源,於108年3月偵測發現駭客上傳挖礦程式XMRig的攻擊行為,其對象不僅針對一般使用者,甚至連網路伺服器也受到影響。駭客首先利用JAVA語法夾帶惡意腳本的方式,於網路伺服器下載並執行腳本[mr.sh]。為避免伺服器管理員將惡意腳本刪除,導致挖礦攻擊作業中斷,駭客甚至提前讓受駭主機的開機執行檔案淨空,並持續寫入惡意腳本的下載指令;除此之外,惡意腳本同時清除競爭對手的惡意程式,提高自身挖礦獲利。

        當惡意腳本[mr.sh]執行完成後,將繼續下載另一個惡意腳本[2mr.sh],此惡意腳本目的在於下載挖礦主要程式XMRig與駭客的電子錢包相關檔案,而挖礦程式XMRig則會利用受害主機消耗CPU資源挖取門羅幣。


圖3:挖礦程式XMRig執行惡意腳本
(圖片來源:TTC自行整理)

        近年來,即使我國企業在資安方面投資金額逐步提高,卻仍無法有效阻擋資安攻擊,主要是因為員工資安意識薄弱。在缺乏資安意識的情形下,企業防護網出現弱點,員工甚至無意間成為駭客的幫手,讓駭客無須使用複雜的手法,便能輕易攻入企業內部竊取機敏資料、成為駭客跳板或被利用,甚至讓網站對外服務停擺,造成難以估計的損失。因此,透過相關資安演練,例如:社交工程演練、滲透測試,或是委託外部專業團隊進行對內的釣魚攻擊測試方式等,都是加強員工資安意識的方法,同時也是提升整體企業資安能量的重要議題之一。組織內資安專業人員除了需要針對新型態的攻擊強化資安防禦技術、隨時因應現況調整防禦規則外,對於漏洞修補的警覺性也必須隨時掌握與更新,以降低駭客利用漏洞的機會。