網路上常見利用誘騙方式讓受害者點選惡意連結,進而觸發一連串惡意程式執行與加密檔案的勒索行為。針對這種情況,這裡將介紹利用SDN新型態網路架構,並搭配勒索軟體封鎖清單,在偵測到問題封包時,第一時間中斷問題連線,阻擋加密金鑰傳輸,有效防止勒索軟體的侵害。
作為控制器的電腦必須先完成RYU的編譯,並利用ryu-manager執行其應用,而這邊需要確實設定控制器的IP地址,才能夠透過控制器來進行控制平面的管理。
封包複製與轉送
預先設定流量表基本規則,篩選出需要關注的封包協定送至應用所在之處(Controller),設定結束後利用ping指令確認是否可以正確通過SDN交換器,得到了一個Unreachable的結果,經由指令的檢查後,才發現預設的路徑規則沒有設定,因此完全沒有符合的規則,造成網路不通的狀態。這部分不需要清除再重新建立,可透過調整優先權的高低,來放置到正確的規則位置。
解析並過濾域名
為求封包確實送至控制器,在控制器上安裝Wireshark來監聽通過的流量,發現成功地收取到OpenFlow的封包,而在Wireshark下方一層一層地開啟至OpenFlow,裡面的data則為自行設立的規則轉送出的封包,可清楚地看到原始封包每一層的資訊。
張秘書開心地確認上述內容,立即在控制器電腦上RYU應用中撰寫拆解封包與解析動作,而心思慎密的張秘書也考量或許有這個紀錄可清楚地知道誰可能差點遭受到感染。因此,另一方面也將原始封包存為封包紀錄檔(.pcap),以供記錄、回報與其他分析需要。
比對與發送控制命令
解析出可判斷的字串後,繼續利用RYU應用程式自動化地與惡意域名清單進行比對,若發現要與惡意域名連線,便適時地終止勒索公鑰傳入本機電腦,一旦無法成功進入電腦,後續的加密行為也就無法進行,保全自身資料完整性。
而使用者透過RYU應用所存下的封包紀錄檔,可於事後釐清惡意網域的註冊單位、曾與惡意網域通訊的電腦實體位置或是模擬器位置,再找尋終端被何等勒索軟體侵入。
聽聞了這個安全防護網,張秘書的同事紛紛加入到防護網之下,同事A一如往常地收發電子郵件,看到了一封發表會邀請函,檢視了寄件者,發現是從未看過的電子信箱地址,心裡有點擔心,卻又害怕若未上報並派定時間,後果將不堪設想,只好硬著頭皮將附件下載並開啟,結果什麼都沒有出現,心想或許是惡作劇郵件。
之後張秘書無意間至控制器查看,才知道剛剛某個網卡唯一位置的電腦曾與惡意網域通訊的紀錄,找到同事A的電腦,並告知A電腦的狀況,好在使用了這個防護機制,讓同事A免於遭受勒索的命運,電腦中的重要資訊也安然無事,事後再加強同事A的安全觀念,並完全移除A電腦中的惡意程式。
結語
網路縮短人與人之間的距離,無時無刻地可透過電子郵件或是通訊軟體聯絡,在如此方便的時代,大家是否曾懷疑過,傳送郵件訊息的人真的是當事人?網路犯罪行為層出不窮,透過社交工程換取情資、散布惡意連結與惡意程式皆時有所聞,除了養成備份的好習慣、資安概念與端點防護是不可少的之外,若可透過軟體定義網路在網路設立安全防線,即可使安全等級向上提升。
本文主要探討勒索軟體在Windows作業系統之下的行為表現,對加密前後網路層級所產生的問題流量進行分析歸納,並利用此專屬於勒索軟體的惡意名單列表作為偵測依據。大規模建置軟體定義網路後,使用流量表結合惡意列表加快問題流量的判斷,過濾出惡意封包,即時終止後續惡意連線通訊,提前預防惡意侵害,杜絕個人機密資料外流。
<本文作者:中央警察大學資訊密碼暨建構實驗室(ICCL),民國87年12月成立,目前由王旭正教授領軍,實驗室成員共有20名,並致力於資訊安全、資料隱藏與資料快速搜尋之研究,以確保人們於網際網路世界的安全。(http://hera.im.cpu.edu.tw)>