還不快更新 FortiOS？極惡勒索軟體 Cring 開始攻擊歐洲公司

日前美國政府才警告有國家支持的駭客開採 Fortinet 軟體漏洞，現在一隻勒索軟體 Cring，也開始攻擊歐洲的工業公司。

卡巴斯基昨日發佈報告指出，攻擊者正在開採 FortiOS 上的) 漏洞 CVE-2018-13379，目的在存取目標受害者的企業網路，最終植入勒索軟體。卡巴斯基安全研究人員 Vyacheslav Kopeytsev 表示，已有歐洲工業廠商遭駭，至少一家企業因勒索軟體加密控管生產流程的伺服器導致生產流程暫時中斷。

勒索軟體 Cring 徹底破壞受害者資料

Cring 是相當新的勒索軟體，它是今年一月由一名代號 Amigo_A 的研究人員，以及瑞士電信 CSIRT 研究人員發現。它最特別的地方是使用兩種加密法，還會破壞受害者的備份資料，藉此完全癱瘓受害者，並防止他們找到備份而不付贖金。

CVE-2018-13379 是位於 FortiOS 的路徑跨越 (path-traversal) 漏洞。該漏洞出在 Fortinet 設備中的 SSL VPN web portal，讓未經驗證的攻擊者可傳送惡意 HTTP 呼叫開採，以便下載系統檔案。卡巴斯基警告，攻擊者正在掃瞄 Fortinet VPN 的連線，尋找是否有未修補的 FortiOS。研究人員並觀察到，駭客循著一個攻擊鏈，先開採漏洞 CVE-2018-13379，發動目錄跨越 (directory traversal) 攻擊，以存取 FortiGate SSL VPN 裝置的系統檔案，特別是可從外部網路連結 FortiGate，並遠端存取 sslvpn_websession，後者包含使用者名稱和明碼儲存的密碼。

一旦存取受害者網路上第一個系統，攻擊者再使用 Mimikatz 工具竊取曾登入系統的用戶 Windows 帳號憑證。這樣一來，攻擊者就能駭入網域管理員帳號，然後利用常見的工具如 Cobalt Strike 後門及 Powershell 在網路上不同系統複製攻擊。等到完全掌控系統後，攻擊者即下載 cmd script 以啟動 Cring 勒索軟體，但它又將 Cring 的執行檔命名為 Kaspersky 以偽裝成安全軟體。

Cring 會試圖終止備份程式

研究人員說明，Cring 除了加密檔案外，還會破壞現有備份檔。Cring 能中止兩種主要備份程式，包括 Veritas NetBackup 和微軟 SQL Server 的多項服務。此外 Cring 還會中止建立 VPN 連線的 SstpSvc 服務，用意在阻止管理員以 VPN 連進系統進行解救。

另外，Cring 還會中止 Microsoft Office 及 Oracle Database 的應用行程，以利加密，同時移除主要備份檔案。

最後，Cring 以強加密演算法加密檔案，受害者若沒有攻擊者的 RSA 私鑰就無法解密。每個檔案都以 AES 加密金鑰加密，而金鑰再以寫入惡意程式執行檔的 8,192-bit RSA 公鑰加密。

一旦加密完成，惡意程式就會顯示勒索訊息，要求 2 個比特幣（約 11.4 萬美元）來換取解密金鑰。

這份報告也點出網管人員的常見錯誤，作為其他公司的殷鑒，包括使用過時韌體（6.0.2 版本以前的 FortiOS），呼籲管理員應確保系統軟體及安全軟體在最新版本。此外，毫無限制的網域組態政策，以及過多 RDP 存取管道都為駭客開啟方便之門，安全廠商呼籲企業應採取最低權限，同時關閉不必要的 RDP 存取傳輸埠。

來源：Threatpost