【資安事件應變處理案例】勒索加密找上門，該如何應變？

挑戰

發現入侵，快速應變

• 與客戶訪談、了解需求、掌握案況
  事件應變處理團隊直接與客戶召開緊急會議，藉由訪談了解客戶需求，即時掌握到場域受駭現況：場域中的 ESXi主機的 VM 環境被加密，並有勒索資訊顯示於VM環境桌面。
  
• 提供攻擊者資訊，供客戶評估決策
  TeamT5 團隊擁有 20 年以上網路威脅研究經驗，第一時間協助客戶判讀所收到的勒索資訊，確認勒索族群等相關資訊，提供客戶評估決策使用。
  
• 提供即時阻斷攻擊者控制與擴散對策
  為避免其他數位資產受到攻擊影響，TeamT5 團隊提供阻斷攻擊的因應對策，包括網路設備斷網取證、端點隔離掃描、系統備份等緊急應變措施。在未釐清案發根因前，建議相關網路設備與系統不開通上網、不開通網路通訊，避免攻擊者再次進入場域破壞。
  
• 關鍵證據收集，客製化應變調查計畫
  客戶除了提供場域網路系統配置、相關設備資訊及記錄保存狀況等資訊外，TeamT5 同時規劃整體事件調查計畫，藉由部署TeamT5 自行研發的威脅鑑識分析平台 ThreatSonar，針對關鍵主機取證分析，並同時確認 VM 環境中的其他主機安全狀況。
  

收集事證與偵測環境，掌握受駭範圍

• 重點取證分析： TeamT5 團隊依據案況，研判可能為重點事發的主機或網路設備，並藉由相對應系統作業環境的專業工具，取證分析。客戶並同步提供案發時網路設備通訊紀錄，作為事件關聯調查使用。
• 端點部署掃描，匡列受駭範圍： 部署 ThreatSonar 掃描端點，快速篩檢場域內主機安全。由於端點有加密勒索狀況，所以必須先中止勒索程式執行，才能進行掃描取證。

調查事件根因，可視化攻擊軌跡

• 勒索軟體：掃描分析結果發現，十四台主機中，有八台被植入勒索軟體。 植入位置：C:\Documents and Settings\All Users「開始」功能表程式集啟動\fast.exe
• 駭客工具： 存放位置：C:\WINDOWS\Temp\temp(mimikatz)
• 關鍵事件關聯： 遠端登入資訊：Source IP、Target User、Source Workstation（MONSTER）、Logon Type 10 （RDP）

復原入侵前環境、強化防禦，防止類似攻擊入侵

• 確認端點安全狀況
  先確認端點沒有正在執行的勒索軟體，可嘗試採用系統安全模式啟動，移除勒索軟體後，再使用 ThreatSonar 持續掃描其他端點，確認端點安全狀況。
  
• 檢視網路存取規則
  檢查場域中對於服務主機的存取規則，降低攻擊者橫向移動風險。
  
• 確認系統帳號用途
  針對案內發現遭利用之帳號，如非已知帳號，須立即停用並確認帳號建立時間點；另立即變更網域管理者與使用者密碼、評估是否重建 AD。
  
• 確認攻擊來源狀況
  發現此事件攻擊來源為防火牆，建議確認防火牆設備狀態並更新版本，並檢查設備存取狀況。
  

從事件中學習，優化資安防禦長期策略

• 盤點資訊資產狀態：確認端點的安全狀態，掌握暴露在外、可能遭受攻擊的服務介面安全狀態，減低被駭客進入控制、加密勒索，造成服務停擺的狀況。
• 確認 VPN 設備及系統安全性：針對客戶實際場域環境，建議修補設備漏洞、禁止多人共用帳號、開啟兩階段驗證機制和設備驗證機制，避免攻擊者取得權限進入後橫向移動，造成破壞。
• 管控網管存取途徑：客戶在使用遠端桌面（RDP）時，若未落實遠端維管，建議加強重要主機管理介面與存取控制，避免攻擊者透過內部主機存取重要主機，加密勒索。
• 提升人員安全意識：對於釣魚郵件、網站下載需有安全意識，避免帳號密碼被盜，或執行惡意程式。

• 端點偵測防禦：不單靠防毒軟體，更須建立終端安全防禦機制，降低惡意程式、加密勒索、橫向移動等威脅風險。
• 啟用事件紀錄功能：開啟如 Event ID 4688（程式執行）、Event ID 4625、4624（登錄稽核）等事件紀錄功能。
• AD 與帳號權限管理：確認特權帳號與一般帳號的使用情況，避免密碼被盜用。
• 網路通訊規則設定：確認規則所允許的系統或終端，其開放連線的設定，減少存取控制的威脅風險。
• 伺服器服務紀錄檢查：確認是否有遭受探測或攻擊狀況，提早發現、及早應處理，防堵入侵探測。

TeamT5 杜浦數位安全團隊長期研究與解析駭客族群入侵行為，具備第一線國內外資安事件應變與處理的豐富經驗。當資安事件發生，我們可快速完成受駭現場與歷史軌跡的綜整分析，發掘攻擊者的入侵過程與手法，提供事件處理的深入分析及建議，協助您復原與改善資安環境。 若您有資安事件處理、應變的需求，歡迎填寫諮詢表單