針對近日醫療院所遭到勒索軟體攻擊事件,TeamT5 觀察到勒索軟體組織 CrazyHunter,透過自帶合法驅動程式 zam64.sys(電腦惡意軟體即時防護軟體 Zemana AntiMalware),來提升權限,並透過 AD GPO 機制散播勒索軟體,達到加密端點主機資料目的。
此一攻擊過程,將可能讓攻擊者在取得系統權限後,得以停用場域端點防護機制(EDR),使攻擊行為無法在第一時間被偵測阻擋,並可刪除系統還原保護機制與加密端點上所有資料檔案,從而衍生資料外洩等疑慮。故 TeamT5 CSIRT & PSIRT 立即採取行動,協助客戶及合作夥伴應對防範,也為大眾提出該類事件的處置建議。
TeamT5 採取的行動
威脅分析
事件樣本經 TeamT5 威脅情資團隊分析後發現,該勒索軟體是基於 Prince Ransomware 所開發。再進一步追蹤所關聯的惡意程式後,發現開發資訊有簡體中文,可辨別攻擊者的來源;另勒索軟體利用群組原則物件(Group Policy Object, GPO)散播所使用之工具為 SharpGPOAbuse,攻擊者於內網滲透時常用此工具來對 AD 操作,進一步控制企業網路。
服務監控
TeamT5 MDR 服務團隊已主動針對事件 IoC(詳見參考資訊),巡檢客戶場域是否有存在相關惡意程式狀況,並檢視場域端點報告及活動紀錄,確保無潛在威脅存在。目前 TeamT5 所維護場域,尚無遭此事件影響狀況。
產品偵測
針對本次事件中勒索軟體所利用之驅動程式(zam64.sys),已在 TeamT5 的 ThreatSonar Anti-Ransomware 偵測防護名單中,可有效偵測阻擋,確保不被攻擊者利用。另針對未知勒索軟體,ThreatSonar Anti-Ransomware 亦有偵測防護機制,可阻擋勒索加密行為。
TeamT5 建議處置措施
面對 APT 及勒索軟體攻擊事件頻傳,TeamT5 建議場域仍需強化下列防護與應對措施:
- 在資安事件 IoC 發布時,應立即將情資匯入資安防護設備與平台中,主動偵掃確認是否有隱藏威脅存在。
- 掌握場域中網路終端設備、對外服務系統、內部核心 AD 管理與端點系統威脅情資,檢視可能發生之攻擊行為並導入相關防護機制,降低攻擊發生成功機率。
- 針對場域資安事件應變處理過程,建議透由「事前檢視預防」、「事中防護阻擋」與「事後復原強化」來面對可能發生之網路攻擊威脅,並將相關事證保留進行調查。
- 諮詢 TeamT5 威脅情資及事件處理服務團隊,協助檢視場域可能威脅,提早規劃應對方案,例如:
- 採用 TeamT5 ThreatVision 威脅情資平台,關注最新網路攻擊威脅情資及深暗網威脅情資,掌握可能波及的攻擊情況及系統外洩帳密、資料洩露狀況,及時找出可能已遭入侵之破口,立即修補弱點,防範災情擴大。
- 檢視場域網路系統架構與評估曝險狀況,針對核心系統如 Web、Email、ERP 及 AD 等與作業端點,導入 ThreatSonar Anti-Ransomware 端點威脅鑑識分析與回應平台,確保場域端點環境安全,並第一時間偵測回應與阻擋駭客攻擊威脅。
TeamT5 的承諾
為確保客戶場域環境安全,TeamT5 提供多樣化的服務,以滿足客戶不同的安全需求,並始終以確保客戶系統安全作為優先事項。如有任何進一步的問題或需要更多資訊,請隨時與我們聯繫。
杜浦數位安全電腦資安事件應變小組與產品資安事件應變小組(TeamT5 CSIRT & PSIRT)主要提供客戶有關資安事件偵測、通報與應變處理服務,過程中會與客戶的 IT 及資安團隊進行密切配合,並於事前提供客戶面對網路威脅所需情資及專業工具,協助辨識與防禦威脅,事中進行偵測與因應與事後復原強化等服務。若您有資安事件處理、應變的需求,歡迎填寫諮詢表單。