資安周報第58期：勒索攻擊大舉鎖定後端系統，下個目標是Hadoop

災情遍野的勒索軟體是去年最讓企業資安長頭痛的問題之一，光是美國在2016年的勒索軟體犯罪規模，就達到10億美元，比2015年暴增了40倍之多。儘管美國FBI疾呼，不要付款，但仍有高達七成企業被迫支付贖金，來換回解密金鑰。根據IBM統計資料，20％付款企業付出了4萬美元以上的贖金（相當於臺幣120萬元）才解套。尤其醫療業願意付贖金的比率，更勝其他產業，也成了駭客勒贖的首要目標。

駭客食髓知味，不只攻擊PC，也開始鎖定行動裝置，甚至是數位電視上的私人重要檔案。甚至還將勒索軟體變成了一種勒索軟體租用服務，駭客不只協助客製勒索軟體，還提供勒索軟體散播、感染資訊的報表服務。甚至出現了老鼠會的新型態散布模式，要求受害人，幫忙散布勒索軟體，成功感染2個人，就能免費取得解密金鑰，將被害人變成了幫兇。

更有駭客更將勒索軟體程式碼原始碼公開，光是去年就衍生了62類勒索軟體家族，5萬多個變種，等於是火上加油，讓預警和防護的難度越來越高。這也逼得全球資安產業、各國警調和跨國警察組織大聯手，成立了No More Ransom勒索軟體對抗聯盟，彙整了16萬個解密金鑰和32款解密工具來對抗，至今已幫6千多人成功解密，救回遭綁的檔案。

但在今年一開春，至少上萬家企業的資料庫管理員哀嚎不已，被迫要在兩個決定中做出選擇：向駭客妥協付款取得資料庫內容，或是放棄資料庫最新異動，改從前一次備份來復原。嚐到綁架個人檔案甜頭的黑色產業，再度將矛頭鎖定企業。原本以綁架PC檔案為主的勒索軟體手法，開始鎖定企業後端系統，不到2個禮拜，就傳出高達34,000個MongoDB資料庫遭害。

根據資安專家推測，駭客事先蒐集了不少資安漏洞，再透過特殊搜尋引擎或自動化搜尋工具，例如專門搜尋全球連網裝置的IoT搜尋引擎Shodan，來找到直接暴露在網際網路上，而沒有在企業防火牆內的後端系統，再利用漏洞入侵這些後端系統，複製受害對象的資料後，再刪除資料來勒贖，付款才返還資料。

根據No More Ransom勒索軟體對抗網站的分類，原本5種常見勒索軟體中，就有一種以入侵CMS加密網站系統檔案來勒贖的手法，不過，過去多以加密檔案來勒贖，攻擊者現在的手法則是直接竊資後再破壞原有檔案，再向企業勒索比特幣贖金。

第一個遭鎖定的企業後端系統是MongoDB資料庫。從今年1月4日，資安研究員揭露，有一個Harak1r1駭客組織，利用舊版MongoDB資料庫的漏洞，入侵且刪除了2千多個MongoDB，並有十多人付贖金，其他駭客也開始仿效，災情越演越烈，才2周時間，就傳出超過20組駭客組織採取了類似手法，綁架超過了3萬多個MongoDB資料庫。同一時間中國也傳出了不少類似資料庫遭綁架勒索比特幣的求助訊息。

幾位資安專家聯手匯集受害者資訊，資料庫遭綁企業包括了線上廣告業者、遊戲業者、博奕業者、E-learning平臺、媒體產業、行銷公司、網路分析平臺、電商、軟體開發商、大學、主機代管商、電信業，另有多個國家的金融服務業者也遭殃（美國、德國、中國、荷蘭、比利時、西班牙等國）。遭綁企業中約有1成沒有妥善備份。更慘的是，並非所有駭客都是真的保留了原始資料待贖，資安專家們估計，約價值2萬美元的比特幣贖金，付款後什麼資料都拿不到。

駭客鎖定的是舊版MongoDB的漏洞，只有升級新版才能解決，不少受害企業沒有升級，又在配置中預設允許外部存取，就暴露在網際網路上，遭到駭客鎖定。MongoDB勒索災情曝光後，許多企業才發現自家MongoDB已經成了駭客覬覦的對象，甚至被列入綁架名單出售。逼得MongoDB產品母公司出面，提供了一個安全檢查表供用戶檢查自己的安全狀態，在網路上曝光的不安全MongoDB數量才大幅降低了。

不過，MongoDB綁架勒索災情仍舊沒有停止，駭客又轉向鎖定了另一個新創和網路業者愛用的開源搜尋引擎ElasticSearch，從1月12日開始，有用戶到ElasticSearch論壇上求救，指稱自己的ElasticSearch叢集遭到移除，收到駭客勒索0.2個比特幣的警告訊息，付贖金才能回覆叢集資料。根據一位白帽駭客Victor Gevers的統計，目前有三組人馬鎖定ElasticSearch發動攻擊，不到3天就攻陷了2515個ElasticSearch伺服器，一周來累計更綁架了4千6百多臺。而目前，暴露在網際網路上的ElasticSearch伺服器超過3萬4千多個，都可能成為遭綁肉票。

勒索軟體攻擊包上網兜售只賣500美元

資安專家Victor Gevers警告，甚至還有駭客組織Kraken0把這兩套受害產品的可攻擊名單（10萬個Mongodb資料庫目標和3萬個Elasticsearch伺服器的IP位址），連同入侵攻擊工具、尋找受害對象的自動化掃描工具等，都打包成一個Ransomware攻擊包，在網路上兜售，一包只賣500美元，還能提供攻擊原始碼。

資安專家警告：下一個勒索目標是Hadoop

Capgemini顧問公司有位資安專家Naill Merrigan甚至觀察到，下一個將會爆發綁架勒索災情的企業軟體是Hadoop。據他追蹤，從1月12日開始，出現了一個駭客組織NODATA4U專門鎖定Hadoop，目前已出現了115個受害者。他提醒，Hadoop叢集所用的底層分散式檔案系統HDFS，預設在50070埠提供了網頁存取介面，而且預設配置會關閉「資安（Security）」和「安全模式（Safemode）」，而且預設安裝程序上，會允許任何未授權的使用者，都可以執行超級使用者（Super User）的功能，若Hadoop環境曝光在外部網路環境上就會有安全隱憂，攻擊者透過瀏覽器就可以破壞這些缺乏保護的Hadoop叢集底層資料。據他追蹤，有5千多個Hadoop叢集曝光。

這三個遭駭客鎖定的企業級軟體，本來多用於企業內部環境中的應用系統上，理應會受到企業防火牆的保護，因此，也多半在預設安裝上，選擇提供不設防的網路存取介面，以便內部使用者操作。

但是，現在的搜尋引擎技術威力強大，甚至像Shodan這類IoT搜尋引擎，專門鎖定IP和特定產品通訊埠來搜尋的工具，也有好幾款。就算企業沒有對外公開，這些缺乏防護的內部系統IP，也會被列入搜尋索引成了公開資料，也是駭客覬覦的對象。

不過，因為駭客多半使用自動化工具來盲目攻擊，因此對抗之道也不難，只要真正能落實基本的資安措施，如系統定期更新、強化防火牆等，以及最後一道保險，也是最重要的基本措施：徹底做好備份工作，那怕因零時差漏洞遭駭客破壞系統來勒贖，企業才能真正免擔心。文⊙王宏仁