從惡意程序與勒索軟體

檢視軟體白名單價值與挑戰

Share

Solution Code: CSOT/XF-00-37041-S21SL

軟體白名單技術,也被稱為應用程式白名單技術。在維持作業系統穩定運作下,以更嚴格的管控技術來控管作業系統程式與第三方程式。不論是系統常態流程程序、程式關聯的環境及檔案、或是使用者操作程式,只能運行在被特許的特定目標環境、目錄及檔案。這樣的概念與進階Zero Trust中的Application trust典範相近。

  • 當駭客繞過疆界防護進入到系統底層,透過軟體白名單技術可有效禁止惡意程式或駭客工具的執行,或是達成降低惡意程式破壞的機會;
  • 當內部成員所使用的電腦環境,有效禁止使用者執行未被授權安全或執行的程序,達到資安管控的目的。
  • 應用在特定場域下的系統裝置,例如:金融業的ATM與工作環境、國防與政府高機敏資訊系統及工作環境、CII關鍵基礎設施、以及廠區的機台工控系統、自駕車聯網系統…等上述機敏資訊系統與環境,或是攸關人命保護的生活環境。

軟體白名單的應用價值

為解決大多數端點裝置在使用管控與防堵駭客惡意程式應用需求,透過集中式管控,來大幅降低內部威脅竊取檔案資料、非法軟體關聯讀取檔案、惡意程式竊取破壞檔案的目的。

從駭客技術發展看軟體白名單的挑戰

以微軟Microsoft Defender軟體白名單機制來說,對個人使用或是企業組織使用仍屬於寬鬆模式。當惡意程式或是勒索軟體透過迴避方式運行後,首要幾個程序就是宰殺defender,讓defender失效中斷服務,這樣所謂寬鬆軟體白名單或防毒機制就全面失效。所以Windows 10 2004版號後Microsoft Defender會自動復原重啟防護機制(有時間差)。再者迴避方式更是進階駭客技術,從勒索病毒技術發展過程發現,相關迴避方式持續在精進。

  • 第1階段:惡意程式放置到系統權限路徑目錄下,進行加密刪除,傳統軟體白名單或防毒可以有效抵禦; 
  • 第2階段:漸漸發展成利用OS 白名單程式來刪除防禦機制,簡單的講就是天龍八部的「以彼之道,還施彼身」的概念,或是醫學上的「白血球反噬正常細胞」的概念。這階段軟體白名單會更嚴謹限制,哪寫應用程式可以對目錄檔案進行操作作業,此時可保全重要的資料; 
  • 第3階段:駭客也非省油的燈,開始使用DLL注入手法,注入到Windows 10 OS內建應用程式,再進行破壞感染。在這個階段幾乎如入無人之境,最有名的勒索病毒Netwalker就是此類標竿勒索病毒。很可惜的是國外的駭客檢視Windows 10 OS相關應用程式,95%的OS白名單程式都可以進行DLL注入,更難防禦了,採取DLL黑白名單(簽章、路徑…等)與各項限制手段來抵禦這樣手法。
  • 第3.5階段:為何稱為3.5階段,因為加上無檔案式手法讓防禦的機制陷入困境,因為無檔案將程序直接放到內存中(記憶體)執行,而內存執行權限為系統權限(System),攻擊方又將模式進化提升,攔阻無檔案各類機制也因應而生,常見的PowerShell Fileless尤為著稱,又透過多層次混淆,墊高防禦技術難度。
  • 第4階段:雖尚未發生,但應特別關注的發展,這一階段即有可能會進入到driver的利用與攻擊,有些driver需要重新開機才會生效,但是有些driver reload就可以運作了。

是否還有其他手法現階段沒描述或推估到的,值得持續關注。從惡意程序與勒索軟體檢視軟體白名單價值與挑戰的分析,需與大家一起精進防護能力。

(65) 6296 4268

E-mailsales@version-2.com.sg
Fax:(65) 6296 4252 / (65) 6296 4269

(65) 6296 4268

   E-mail:sales@version-2.com.sg
   Fax:(65) 6296 4252 / (65) 6296 4269

(65) 6296 4268

E-mail:sales@version-2.com.sg
Fax:(65) 6296 4252 / (65) 6296 4269