原标题:2017年第一波全球性威胁,勒索攻击攻陷4万台企业资料库
资料来源:GDI基金会,iThome整理製图,2017年1月
去年12月27日,一名资安研究员Victor Gevers揭露了一种新型态的勒索攻击手法,出现了一个专门绑架MongoDB的骇客团体Harak1r1。没想到,这波勒索攻击变本加厉,才过几天,就发展成了全球性规模的资安风暴,不到2个礼拜时间,更绑架了超过34,000个MongoDB资料库,不只欧洲、美国、日本、中国,连澳洲都传出了不少企业遭勒赎的灾情。勒索攻击,成了2017年第一波全球规模的资安威胁。
揭露这波勒索攻击事件的Victor Gevers,是荷兰一个非营利组织「GDI基金会」的主席。GDI的诉求是「让网际网路更安全」,长期监测各种网路上的犯罪威胁,也定期公开各种漏洞或资安情资,甚至还在2016年发起了Project 366计画,天天扫描网际网路的最新安全状态,也因此,Victor Gevers才发现了这个不同于过往勒索软体手法的勒索攻击事件。
长期监测网路威胁的荷兰GDI基金会主席Victor Gevers,于去年12月27日率先揭露了这个专门绑架MongoDB的勒索攻击手法。
Victor Gevers解释,Harak1r1组织利用旧版弱点,从揭露到1月3日,短短几天内,就入侵了超过2千个MongoDB,汇出受害资料库内容之后,再删除所有资料,只留下一个「WARNING 」资料表来传达勒索讯息,要求资料库拥有者必须支付0.2个比特币(当时市值约280美元),才能赎回资料库的复原档案。Victor Gevers也得知,至少有10多个受害资料库的管理员支付了赎金。
问世近8年的MongoDB,是一款非常热门的NoSQL开源资料库。因为提供了类JSON格式的Schema格式,易于撰写高度弹性的资料栏位架构,又具有分散式执行的扩充力,颇受网路和新创公司喜爱。
创办MongoDB的公司10gen,后来乾脆以资料库名称作为公司名,在2013年成立了MongoDB公司,效法红帽开源软体销售模式,免费释出软体,再提供商业技术支援来获利,近几年也颇受企业好评,不少云端业者,如公有云龙头AWS、全球第二大网站代管服务商DigitalOcean或中国阿里云,都将MongoDB列为用户预设资料库选择之一,连台湾都有软体代理商和提供技术支援。
不过,旧版MongoDB过去为了方便内部管理,预设资料库使用情境是企业内部网路环境,因此在预设配置允许外部连结,这意味着,管理者若一时不察,没有手动修改配置档案关闭权限,只要透过网际网路就能存取MongoDB资料库。专门搜寻全球连网装置的IoT搜寻引擎Shodan创办人John Matherly曾提出警告,在2015年底时,全球至少有3万5千个可公开存取的MongoDB资料库,还持续增加中。资安专家戏称这些是「裸奔」的资料库,即使到2016年底,从Shodan搜寻引擎仍可找到4万6千多个裸奔的MongoDB。MongoDB在3.0版以后才修正了这个高风险的配置设定,预设值只限本地端存取,
据Victor Gevers观察,不少云端代管业者所用的MongoDB大多是旧版,因此「绝大多数的MongoDB拥有者,都不知道自家资料库可供公开存取。」他说。不过,曝光在网路上的裸奔资料库版本,不只有旧版本,还有许多3.x版MongoDB。有资安专家推测,这是因为架站者直接使用了配置文件不足的套装MongoDB压缩档,解压缩后就直接执行,对管理者来说,虽然使用这类套件包来安装,建置方便容易上手,却极容易忽略了存取权限的基础配置检查,将安全机制束之高阁。
加密勒索软体专攻个人档案,勒索攻击则专骇企业
勒索攻击并非是全新的攻击手法,以加密个人档案来勒赎的勒索软体,去年灾情遍野,甚至有2016年勒索软体横行之年之说。光是美国,在2016年的勒索软体犯罪规模,就达到10亿美元灾情,比2015年暴增了40倍之多。儘管美国FBI疾呼,不要付款,但仍有高达七成企业被迫支付赎金,来换回解密金钥。根据IBM统计资料,20%付款企业付出了4万美元以上的赎金(相当于台币120万元)才解套。尤其医疗业愿意付赎金的比率,更胜其他产业,也成了骇客勒赎的首要目标。
骇客食髓知味,不只攻击PC,也开始锁定行动装置,甚至是数位电视上的私人重要档案。甚至还将勒索软体变成了一种勒索软体租用服务,骇客不只协助客製勒索软体,还提供勒索软体散播、感染资讯的报表服务。甚至出现了老鼠会的散布模式,要求受害人帮忙散布勒索软体,成功感染2个人,就能免费取得解密金钥,将被害人变成了帮兇。
更有骇客将勒索软体程式码原始码公开,光是去年就衍生了62类勒索软体家族,5万多个变种,等于是火上加油,让预警和防护的难度越来越高。这也逼得全球资安产业、各国警调和跨国警察组织大联手,在去年下半年成立了No More Ransom勒索软体对抗联盟,彙整了16万个各家解密金钥和32款解密工具来对抗,至今已帮6千多人成功解密,救回遭绑的档案。
根据No More Ransom勒索软体对抗网站的分类,原本5种常见勒索软体中,就有一种以入侵CMS加密网站系统档案来勒赎的手法,不过,过去多以加密档案来勒赎,攻击者现在的手法则是直接窃资后再破坏原有档案,再向企业勒索取回资料的比特币赎金。
根据资安专家推测,骇客事先蒐集了不少资安漏洞,再透过特殊搜寻引擎或自动化搜寻工具,例如专门搜寻全球连网装置的IoT搜寻引擎Shodan,来找到直接暴露在网际网路上,而没有在企业防火墙内的后端系统,再利用漏洞入侵这些后端系统,先複製一份受害对象的资料,再删除资料来勒赎,付款才返还那些遭删除的资料。
Redis早在去年8月就出现勒索攻击警报
去年8月时,就有资安公司Duo Labs提出警告,不少用于网路服务的开源资料库如Redis,容易随服务曝光在网路上,也因存取机制方便,一不小心,就会帮骇客大开方便之门。Duo Labs当时就警告,多达18,000个Redis资料库主机曝光在网路上,其中大多数是安全性较弱的旧版本。在Duo Labs设计的Honeypot网路攻击诱捕陷阱中,甚至发现了少数锁定Redis的自动化攻击工具的入侵行为,试图窃取Redis主机的SSH登入凭证。当时,Duo Labs就预测,可能会出现Redis的勒索攻击。没想到,第一个出现大规模勒索攻击的受害目标不是Redis,而是MongoDB。
新兴的MongoDB资料库勒索攻击事件在今年初大受媒体关注之后,也让企业开始意识到新的资安威胁出现,但是,另一方面,也因此而引发了骇客的犯罪模仿效应。不到2天,除了第一个展开攻击的Harak1r1骇客组织之外,还陆续出现了其他两组模仿犯0wn3d和0704341626asdf,而且勒索金额也提高了,勒赎0.5个比特币(市值550美元)。而且灾情越演越烈,勒索攻击範围开始拓展到全球,美国、德国、日本、巴西、澳洲等都传出勒索灾情,遭绑资料库超过1万个,还登上英国媒体BBC科技新闻,成为国际新闻。同一时间中国也传出了不少类似资料库遭绑架勒索比特币的求助讯息。
超过8成攻击者直接删除原始资料,假勒索真诈骗
灾情扩大之后,勒索攻击手法也更加恶质,攻击者不只偷走资料库勒赎,还威胁,企业若不付款就会上网公开机密资料,甚至进一步变成了勒索诈骗。Victor Gevers指出,只有8分之一的勒索攻击者真正有备份资料。大多数骇客入侵MongoDB后,就直接删除受害者的资料库,留下勒赎讯息后就闪人,并没有汇出资料库,受害者就算付了赎金,也不可能拿回资料。
事发2周后,估计有20组骇客组织跟进,採取类似的勒索攻击手法,绑架了3万多个MongoDB资料库。GDI基金会和几位资安专家联手汇集受害者资讯,资料库遭绑企业包括了线上广告业者、游戏业者、博奕业者、E-learning平台、媒体产业、行销公司、网路分析平台、电商、软体开发商、大学、主机代管商、电信业,另有多个国家的金融服务业者也遭殃(美国、德国、中国、荷兰、比利时、西班牙等国)。
另外,根据资安专家蒐集到的受害者资料,高达87.5%遭绑企业缺乏近期备份,因此损失了不少新资料。更惨的是,因为并非所有骇客真的保留了原始资料待赎,资安专家统计这些企业的付款结果,约市值2万美元的比特币赎金,付款后什幺资料都拿不到。
骇客锁定了旧版MongoDB的配置漏洞,受害企业大多没有升级,又没发现资料库配置中预设允许外部存取,没有搭配其他防护措施,直接让内部资料库暴露在网际网路上,才遭到骇客锁定。
MongoDB勒索灾情曝光后,许多企业才发现自家MongoDB已经成了骇客觊觎的对象,甚至被列入绑架名单出售。逼得MongoDB产品母公司出面,提供了一个安全检查表供用户检查自己的安全状态,在网路上曝光的不安全MongoDB数量才开始大幅降低。
勒索攻击转向其他企业软体,开源搜寻引擎Elasticsearch成新目标
不过,绑架勒索灾情仍旧没有停止,骇客又转向锁定了另一个新创和网路业者爱用的开源搜寻引擎Elasticsearch,从1月12日开始,有用户到Elasticsearch论坛上求救,指称自己的Elasticsearch丛集遭到移除,收到骇客勒索0.2个比特币(约台币5千元)的警告讯息,付赎金才能回复丛集资料。
Elasticsearch是最受欢迎的企业级搜寻引擎之一,不只网路或新创公司爱用,不少企业大数据分析平台或资安Log分析架构中,都少不了Elasticsearch,连维基百科都是用Elasticsearch,来解决庞大资料查询效率的问题。
根据Victor Gevers在1月16日的统计,有三组人马锁定Elasticsearch发动攻击,不到3天就攻陷了2,515个Elasticsearch伺服器,一周来累计更绑架了4千6百多台。而暴露在网际网路上的Elasticsearch伺服器仍有超过3万4千多个,都可能成为遭绑肉票。
Elasticsearch公司也紧急出面澄清,并非Elasticsearch出现漏洞,而仍旧是配置管理问题,呼吁用户将Elasticsearch绑定Localhost,只允许本地端执行,只要不开放网路存取,就能避免勒索攻击的威胁,也要定期备份资料,若非要上网存取,也得订定严格的存取政策。
勒索攻击老手也加入,上网兜售勒索攻击工具包
不过,Elasticsearch灾情仍持续发酵,甚至有一个常以美、德、苏联、印度等国IP出没,先前专推Windows勒索软体的骇客组织Kraken,也加入了勒索攻击的行列,Kraken在1月9日时,在黑市论坛上发布了一则兜售讯息,将MongoDB与Elasticsearch这两套受骇产品的可攻击名单(10万个Mongodb资料库目标和3万个Elasticsearch伺服器的IP位址),连同自动化入侵工具、攻击对象自动搜寻工具等,都打包成了一个勒索攻击工具包(Ransomware Kit)上网开卖,内含攻击程式的C#原始码可供客製,一包开价500美元,若只要攻击程式执行档,则只卖100美元。
骇客强调,这套攻击包,每秒可操控1千多个IP,还可支援10Gb网路埠流量。据Victor Gevers分析,肉票IP清单中,也包括了曾遭绑架的34,503台MongoDB主机和4,607台Elasticsearch主机的IP。
勒索攻击目标不只锁定上述两套开源产品,还进一步瞄準其他企业资料库和分析工具。Capgemini顾问公司有位资安专家Naill Merrigan也发现,Hadoop成了第三个遭锁定的企业级产品。
专推Windows勒索软体的骇客组织Kraken也加入勒索攻击行列,上网兜售全套勒索攻击包,只卖500美元,还送13万个肉票IP。
连资安公司Hadoop丛集也遭殃,521TB分析资料全删除
据他追蹤,从1月12日开始,出现了一个骇客组织NODATA4U专门锁定Hadoop,到1月18日时确定有115个受害者后,Naill Merrigan才对外公开这项灾情。
后来Naill Merrigan也加入了GDI基金会,和Victor Gevers联手追蹤灾情。Victor Gevers甚至观察到一家大型资安公司的大数据分析Hadoop丛集也遭殃,遭绑丛集配置容量多达989TB,内有521TB的分析资料被删除。
据Naill Merrigan追蹤,网际网路上约有5千多个裸奔的Hadoop丛集。经常承包美国军方研究案的美国Fidelis资安研究中心也观察到Hadoop遭绑灾情升温的情况,早在1月5、6日时,SANS网路风暴监控中心突然侦测到一波扫描Hadoop丛集特徵50070埠的超高流量封包,Fidelis推测,目前约有8千到1万个Hadoop的HDFS档案系统不设防地曝光在网路上。
因为Hadoop是许多企业大数据分析平台的重要引擎,吸引了更多公司加入Hadoop勒索攻击的追蹤,如MacKeeper资安研究中心和GitPrime软体开发效能监测服务的团队。
Naill Merrigan提醒,Hadoop丛集所用的底层分散式档案系统HDFS,预设在50070埠提供了网页存取介面,而且预设配置会关闭「资安(Security)」和「安全模式(Safemode)」,而且预设安装程式上,会允许任何未授权的使用者,都可以执行超级使用者(Super User)的功能,若Hadoop环境曝光在外部网路环境上就会有安全隐忧,攻击者很容易透过浏览器就可以破坏这些缺乏保护的Hadoop丛集底层资料。
资安研究员Victor Gevers甚至发现,有家大型资安公司的大数据分析Hadoop丛集也遭殃,遭绑架的丛集配置容量多达989TB,内有521TB的分析资料被删除。
CouchDB和Cassandra成最新攻击目标
就在Hadoop勒索攻击灾情曝光之际,第一起CouchDB资料库的勒索攻击也发生了,攻击者是r314x,受害数量不明。CouchDB是和MongoDB同样受到关注的开源资料库,以JSON作为储存格式,标榜Web专用的资料库。
目前对于勒索攻击灾情蒐集最详细的是 Victor Gevers率领的GDI基金会,截至一月底的统计,MongoDB资料库主机遭勒索攻击的数量已经超过4万台,远远高于排名第二的Elasticsearch(遭害5,044台主机),而Hadoop也发现了186台主机遭勒索攻击,不过因Hadoop主机数量较少,灾情也较小,反倒是CouchDB资料库遭害主机快速增加到452台。
另一个在1月25日出现的新灾情则是Cassandra资料库,截至1月底的灾情只有49台,不过,大多是警告式的入侵,而不一定会遭到勒索。
Victor Gevers表示,像有遭入侵的Cassandra资料库,被暗中新增了一个空白资料库,名称是「your_db_is_not_secure」(你的资料库不安全之意),警告意味浓厚,这也暗示了Cassandra可能是下一个遭勒索攻击的对象,目前从Shodan搜寻引擎上可以看到全球有2,381个Cassandra曝光在网路上有遭攻击的风险,不过,勒索攻击不见得能攻陷这每一个资料库,因为Shodan无法透露出这些Cassandra资料库背后採取了哪些防护机制。
这些遭骇客锁定的企业级软体,本来多使用于企业内部环境中的应用系统上,理应会受到企业防火墙的保护,因此,也多半在预设安装上,提供不设防的网路存取介面,以方便内部使用者的操作。
但是,像Shodan这类IoT搜寻引擎,专门锁定IP和特定产品通讯埠来搜寻的威力强大,MacKeeper资安研究中心专家Bob Diachenko警告,甚至那些透过未加密VNC远端遥控软体进行的SQL查询行为,Shodan也可以扫描得到,也会成为骇客自动化扫描工具可拦截的目标。就算企业没有对外公开,这些缺乏防护的内部系统IP,会被列入搜寻索引而成了公开的资料,容易成为了骇客觊觎的对象。
Victor Gevers甚至建议,企业若来不及更新系统,也可直接在防火墙上挡住TCP的139和445埠,还有UDP的137和138埠,可以阻止常用网路通讯埠以建立一个较封闭的安全环境,来降低外部入侵的机会。
所幸,勒索攻击看似威胁很高,但与APT入侵手法相较,更像是一种乱枪打鸟式的盲目攻击,骇客大多是透过自动化工具来攻击,因此,只要真正能落实基本的资安基本防护,如系统及时更新、内网权限控管、防火墙控管等,以及最后一道也是最基础的自保措施:备份,这才是对抗勒索攻击的根本解法。
?相关报导?「勒索攻击瞄準企业」
相关:
近期券商频遭骇客勒索比特币,更有券商遭到攻击,台湾证券交易所表示,骇客攻击来源确定都是由境外攻击,初步调查是由越南的网站攻击。证交所指出,由于骇客可能隐藏位置或控制僵尸电脑,不代表就是越南方面攻击,券
年假后第一天的股市交易日,就爆发了台湾史上第一次券商集体遭DDoS攻击勒索事件,十来家券商收到英文勒索信件,要求支付7~10个比特币(市值约台币27~30万元),勒索信还宣称,若券商不付款,要在2月7日发动更大规模
年假后第一天的股市交易日,就爆发了台湾史上第一次券商集体遭DDoS攻击勒索事件,十来家券商收到英文勒索信件,要求支付7~10个比特币(市值约台币27~30万元),勒索信还宣称,若券商不付款,要在2月7日发动更大规模
图片来源: Microsoft 微软周三宣布一项涵括万项专利的专利保护计画Microsoft Azure IP Advantage,使Azure 客户免于专利侵害的官司,藉此扩大Azure服务的吸引力。微软法务长Brad Smith引用Boston Consulting Group数
示意图,与新闻事件无关。 图片来源: 维基共享资源;作者:Jericho 勒索软体(Ransomware)持续威胁全球,根据资安业者SonicWall蒐集的全球攻击资料,发现2016年勒索软体攻击次数呈高达167倍的爆炸性成长,全年攻击次