我很喜歡一句話:「為未知的風險做好準備,為自己的人生做好對沖。」
有水當思無水之苦,所以我們要居安思危
才能在意外來臨時讓自己立於不敗之地
雖然做了再充足的準備,都無法100%躲避風險
但至少我們能轉嫁風險,或至少可以降低風險所帶來的損失
而沒有預算上限地做好防禦也不切實際
因此能做好99%的事情,剩下那1%就看天意了
我們在《我是超級工具人》10-勒索病毒的目的知道,就算你只有一塊錢,勒索病毒集團也不會放過你。除了從垃圾郵件進來外,勒索病毒還會從下面這些地方進來
勒索病毒的攻擊方式大多為下列三種:
- 使用者從網站下載後執行
- 暴露在外部網路的遠端連線、以及不安全的VPN、還有不安全的網路配置
- 軟硬體的零日漏洞
第二種入侵管道中,暴露在外網的遠端桌面連線(RDP)是最容易進入的管道
因為RDP憑證在暗網幾十塊、或幾百塊美金就能買到
勒索一台電腦就算只有三百美元,只要能連進一間企業,不能說穩賺不賠,至少不虧
而一間公司會中勒索病毒,有很大的機率會再中第二次
因為漏洞通常不會只有個
駭客總是可以從乳酪的空隙中鑽到企業深處
有一陣子公司很容易莫名其妙中勒索病毒
因為我待在桃園,台北防火牆是C男負責
台北的同仁有回家加班的需求
所以C男只是把RDP連接埠改掉,但是對外連線的IP並沒有改變
以前前輩也開桃園的主機外網RDP給盧顧問
讓他可以修改PLM程式
大多公司也常使用固定IP,就變成駭客攻擊的目標
我們可以用shodan這類工具搜尋某個IP、哪些設備暴露在外部網路
防火牆是最容易被找到的設備,再來就是RDP連線
像Fortigate常常爆出可以繞過兩步驟驗證的漏洞
讓駭客可以長驅直入
駭客在執行勒索病毒前
會盡量找到AD主機
並將勒索病毒做成policy方便佈署到網域上的電腦
除此之外,在佈署前會嘗試關閉防毒軟體
這個方法可以透過指令、權限提升、或是防毒軟體漏洞來關閉程序
甚至對沒有密碼保護的防毒軟體點選右鍵關閉就可以
而要取得管理員帳密只要執行
因為入侵的方法實在太簡單了
連腳本小子,或像我這樣的菜雞都會
所以這種錯誤就千萬別犯
然而這是到了很久以後,我不再是菜雞,翅膀慢慢變硬的小廢物時才了解的攻擊流程
也才能在這裡分享一點點見解
因為以前大家都不管事
很多東西都外包
導致你開你的埠,我管我的設備
出問題就丟給最菜的肥宅摳他處理
還記得那是一天炎熱的下午
台北同仁突然打來說檔案打不開
我心想:該不會又是勒索病毒吧
結果還真的是,這次中的是Cerber,我擦,不是已經把防毒佈署下去了
而且啟發式掃描也開了,怎麼可能還中?
這時前輩發信通知大家:「台北中了.hta勒索病毒,看到請刪除。」
事實上,.hta是勒索病毒勒索信常用的格式,有時會用hta、有時則是txt或jpg
有些防毒軟體會判斷勒索信檔案也是惡意程式,這算是誤報
而且有對外RDP同仁的電腦防毒被移除了
當時我還一臉懵逼:「怎麼可能?又沒給他管理員權限怎麼會移除?」
幸好馬上找到中毒的電腦立刻移除
只是被感染的電腦是外銷Fedex主機
他們只能暫時線上填單
還間接擴散到ERP儲存附件檔兼AP主機
幸好發現得早
不然ERP的AP遲早會掛掉
然後到了這時我才發現原來伺服器都沒有防毒
臨時向公司申請星期六加班
上高速公路還被低端猴子逼車
開車前往台北重灌Fedex主機
看到後面亂七八糟的線整個生鏽拔不出來
一邊問候全公司人的媽媽、邊把卡死的D-Sub線拔出來
帶著重灌光碟重新灌好
都什麼年代了還用5400轉的硬碟
等待時間比實際做事時間多了五小時
正好湊滿八小時下班
只是一肚子鳥氣,真的很火
氣歸氣,但是不虧,我們技術越來越好了是吧?
等老闆發現我的重要時
當我出了什麼意外換他慌得一匹
我們就賺了
除了Cerber,12月跑去日本玩時,換PLM中GlobeImposter
幸好Emsisoft釋出解密工具讓我順利解密
不然收到通知時已經是我回國的時候了
前輩收到PLM不能用直接裝死,把使用者轟一頓
等我回來收爛攤
解密當天還是尾牙日
全世界都不知道我躲在機房搶救公司
真的是非常恐怖的經歷
幸好最後趕上尾牙發的車
不然就要一個人在公司挖旁邊的草吃了
