这几年勒索软体攻击极为泛滥,一旦遭遇相关攻击,企业组织就有可能必须与骇客交涉。但受害组织在谈判的过程,也要同时采取相关的因应措施,来防范骇客翻脸不认人的情况。
例如,最近有一起大型资安事故当中,骇客疑似因不满谈判结果,再度对受害企业发动攻击,瘫痪该公司包含电子商务平台等多项应用系统,并打算公布窃得的资料。
【攻击与威胁】
资安业者卡巴斯基揭露名为HrServ的Web Shell,此恶意程式具备复杂的功能,例如:在记忆体内执行,或是通讯过程中,皆采用特定的编码措施防止遭到侦测。
骇客将其用于攻击阿富汗的政府机关,起初他们利用远端管理工具PAExec,启动伪装成MicrosoftsUpdate的工作排程,执行批次档来执行HrServ。此Web Shell先是利用API启动HTTP伺服器,然后发出请求启动相关功能,像是产生新的执行绪、建立新的档案、存取Outlook Web App的HTML档案等。
值得留意的是,为了隐匿攻击行动,骇客所使用的GET参数模仿Google服务,并加入en-TW的参数,指定Google搜寻介面以英文显示,并使用正体中文呈现搜寻结果。