還不快更新FortiOS?極惡勒索軟體Cring開始攻擊歐洲公司

日前美國政府才警告有國家支持的駭客開採Fortinet軟體漏洞,現在一隻勒索軟體Cring,也開始攻擊歐洲的工業公司。

日前美國政府才警告有國家支持的駭客開採Fortinet軟體漏洞,現在一隻勒索軟體Cring,也開始攻擊歐洲的工業公司。

卡巴斯基昨日發佈報告指出,攻擊者正在開採FortiOS上的)漏洞CVE-2018-13379,目的在存取目標受害者的企業網路,最終植入勒索軟體。卡巴斯基安全研究人員Vyacheslav Kopeytsev表示,已有歐洲工業廠商遭駭,至少一家企業因勒索軟體加密控管生產流程的伺服器導致生產流程暫時中斷。

勒索軟體Cring徹底破壞受害者資料

Cring是相當新的勒索軟體,它是今年一月由一名代號Amigo_A的研究人員,以及瑞士電信CSIRT研究人員發現。它最特別的地方是使用兩種加密法,還會破壞受害者的備份資料,藉此完全癱瘓受害者,並防止他們找到備份而不付贖金。

CVE-2018-13379是位於FortiOS的路徑跨越(path-traversal)漏洞。該漏洞出在Fortinet設備中的SSL VPN web portal,讓未經驗證的攻擊者可傳送惡意HTTP呼叫開採,以便下載系統檔案。卡巴斯基警告,攻擊者正在掃瞄Fortinet VPN的連線,尋找是否有未修補的FortiOS。研究人員並觀察到,駭客循著一個攻擊鏈,先開採漏洞CVE-2018-13379,發動目錄跨越(directory traversal)攻擊,以存取FortiGate SSL VPN裝置的系統檔案,特別是可從外部網路連結FortiGate,並遠端存取sslvpn_websession,後者包含使用者名稱和明碼儲存的密碼。

一旦存取受害者網路上第一個系統,攻擊者再使用Mimikatz工具竊取曾登入系統的用戶Windows帳號憑證。這樣一來,攻擊者就能駭入網域管理員帳號,然後利用常見的工具如Cobalt Strike後門及Powershell在網路上不同系統複製攻擊。等到完全掌控系統後,攻擊者即下載cmd script以啟動Cring勒索軟體,但它又將Cring的執行檔命名為Kaspersky以偽裝成安全軟體。

Cring會試圖終止備份程式

研究人員說明,Cring除了加密檔案外,還會破壞現有備份檔。Cring能中止兩種主要備份程式,包括Veritas NetBackup和微軟SQL Server的多項服務。此外Cring還會中止建立VPN連線的SstpSvc服務,用意在阻止管理員以VPN連進系統進行解救。

另外,Cring還會中止Microsoft Office及Oracle Database的應用行程,以利加密,同時移除主要備份檔案。

最後,Cring以強加密演算法加密檔案,受害者若沒有攻擊者的RSA私鑰就無法解密。每個檔案都以AES加密金鑰加密,而金鑰再以寫入惡意程式執行檔的8,192-bit RSA公鑰加密。

一旦加密完成,惡意程式就會顯示勒索訊息,要求2個比特幣(約11.4萬美元)來換取解密金鑰。

這份報告也點出網管人員的常見錯誤,作為其他公司的殷鑒,包括使用過時韌體(6.0.2版本以前的FortiOS),呼籲管理員應確保系統軟體及安全軟體在最新版本。此外,毫無限制的網域組態政策,以及過多RDP存取管道都為駭客開啟方便之門,安全廠商呼籲企業應採取最低權限,同時關閉不必要的RDP存取傳輸埠。

來源:Threatpost

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416