iT邦幫忙

2023 iThome 鐵人賽

DAY 14
1
影片教學

資安 Vtuber 語野飛陪你讀新聞學資安知識系列 第 14

Day14 資安 Vtuber 讀新聞:VPN 已成為熱門駭客攻擊目標 (110 個組織遭勒索軟體Akira鎖定,利用思科SSL VPN漏洞入侵,加密Windows、Linux電腦檔案)

  • 分享至 

  • xImage
  •  

新聞網址:https://www.ithome.com.tw/news/158964
新聞標題:110個組織遭勒索軟體Akira鎖定,利用思科SSL VPN漏洞入侵,加密Windows、Linux電腦檔案
Yes

基礎知識

勒索軟體 (Ransomware)

  • 定義

    • 惡意軟體,它會加密受害者的資料,並要求支付贖金以解鎖

SSL VPN

  • 定義

    • 遠端使用者提供安全且可透過網路存取內部網路資源的技術

CVE (Common Vulnerabilities and Exposures)

  • 定義

    • 針對設備與軟體的已知漏洞資料庫
  • 範例

    • CVE-2023-20269

雙因素驗證 (Two-Factor Authentication, 2FA)

  • 定義

    • 一種安全措施,需要兩種不同的驗證方法才能存取帳號
  • 範例

    • 輸入密碼後,再輸入透過手機簡訊接收到的一次性密碼

橫向移動 (Lateral Movement)

  • 定義

    • 攻擊者在網路內部移動,以找到特定的資料或目標,或獲得更高的權限
  • 範例

    • 使用工具如 Mimikatz 來竊取密碼,然後使用這些密碼存取其他系統

PowerShell

  • 定義

    • Windows 的指令和自動化框架,用於管理和自動化管理任務

LOLBins (Living Off The Land Binaries)

  • 定義

    • 合法的系統工具,但可以被駭客濫用來執行惡意活動。

磁碟區陰影複製服務 (Volume Shadow Copy Service, VSS)

  • 定義

    • Windows 服務,可以創建應用程式或檔案的快照(它們正在使用也可以)。

事件整理

背景

  • 2023 年 05 月

    • 未採用雙因素驗證的 SSL VPN 系統下手
  • 2023 年 08 月

    • SSL VPN 系統針對該系統的漏洞下手

      • 繞過雙因素驗證

受害組織

  • 110+(主要在美國和英國,包括Intertek)

入侵方式

  • 勒索軟體

    • Akira
  • 思科SSL VPN

    • 2023 年 09 月

      • 思科證實
    • CVE-2023-20269

      • 思科 ASA、FTD 系列

      • 未經授權

        • 暴力破解攻擊

          • 找出有效的帳號及密碼
        • 建立無用戶端的 SSL VPN 連線

攻擊行動

  • 橫向移動

    • 遠端桌面連線工具

      • AnyDesk、RustDesk
    • 壓縮軟體

      • WinRAR
    • 系統資訊工具

      • PC Hunter

      • wmiexec

  • 行為

    • 停用 Windows 內建防毒

      • 為了讓檔案加密工作能順利執行
    • 刪除磁碟區陰影複製服務(VSS)的備份檔案

      • 用 PowerShell
    • 開發 Linux 的加密程式

      • 加密 VMware ESXi 虛擬機器的檔案

避免偵測手法

  • LOLBins

    • 使用內部應用執行攻擊

      • 迴避資安系統偵測
    • 其他使用該手法的組織

      • LockBit, BlackByte, FreeWorld

        • 使用 AnyDesk

特殊手法

  • RustDesk

    • 開源、跨平臺的遠端桌面連線工具
  • 設自己的基礎設施架構

  • 內建點對點(P2P)連線功能

小試身手

哪個勒索軟體鎖定了 110 個組織

  • A. LockBit

  • B. BlackCat

  • C. Akira

  • D. FreeWorld

  • 答案

    • C. Akira

攻擊者利用思科的

哪一系列網路資安設備的漏洞進行入侵

  • A. ISE

  • B. ASA、FTD

  • C. Catalyst

  • D. Nexus

  • 答案

    • B. ASA、FTD

駭客在取得內部網路存取權限後,

使用哪個遠端桌面連線工具

  • A. TeamViewer

  • B. AnyDesk

  • C. Chrome Remote Desktop

  • D. Remote Desktop Protocol (RDP)

  • 答案

    • B. AnyDesk

駭客為了什麼目的停用 Windows 的

防病毒軟體功能

  • A. 減慢系統速度

  • B. 使檔案加密工作能順利執行

  • C. 減少記憶體使用

  • D. 讓系統重啟

  • 答案

    • B. 使檔案加密工作能順利執行

駭客還可能使用哪款開源、跨平台的遠端桌面連線工具,來增加攻擊的隱蔽性

  • A. AnyDesk

  • B. RustDesk

  • C. RemotePC

  • D. NoMachine

  • 答案

    • B. RustDesk

上一篇
Day13 資安 Vtuber 讀新聞:勒索軟體攻擊開始以團隊方式進行 (山葉音樂加拿大遭勒索軟體攻擊,又有2個組織宣稱犯案)
下一篇
Day15 資安 Vtuber 讀新聞:小心擴充程式、插件也有問題(瀏覽器的安全設計再加上網站漏洞,讓擴充程式可存取使用者密碼等機密資料)
系列文
資安 Vtuber 語野飛陪你讀新聞學資安知識30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言