1. 威客安全首页
  2. 安全资讯

从自动化到手动,勒索攻击的变化你都了解吗?

近些年,我们经常看到很多机构包括水利,电力,能源,医疗等基础设施机构甚至包括政府被勒索软件攻击。还有些团伙丝毫没有下限,利用疫情传播勒索软件,攻击医院。一旦攻击成功,其后果不仅是财务损失,还有可能危及患者的生命。


作为安全从业人员,我们需要思考勒索软件到底意味着什么,我们的检测和防御体系如何应对这种挑战?今天的文章,大家就和e小安一起了解微软情报团队如何看待勒索软件的趋势变化。


勒索最大的变化:从自动化到手动

很多人对勒索软件最深的印象还停留在2017年的WannaCry。当年WannaCry利用永恒之蓝自动传播,导致校园网,医疗等机构大量文件被锁。我印象中公安的部分系统也被锁了,留下了这个经典界面。熊猫烧香在WannaCry面前不过是个弟弟。


从自动化到手动,勒索攻击的变化你都了解吗?


安全从业人员这么经典的共同回忆,已然不多了。近几年大家的共同回忆只有挖矿了。各大公司安全人员打招呼的方式都是,听说你们那有30台主机被用来挖矿了?对方微微一笑,给你一个too naive的表情。不,是300台。

如果世界上的安全事件都像挖矿这样单纯又简单,这该是怎样的一个和谐社会啊!

然而,一切并没有如此简单。

在我们以为,通过公网封禁端口,给服务器打补丁就能解决问题的时候,勒索攻击者已经从自动化的勒索攻击变成了手动攻击。按微软的话说,就是:


从自动化到手动,勒索攻击的变化你都了解吗?

勒索攻击采用了一些国家级黑客APT攻击的手法。


对检测和响应的影响:只不过是个挖矿?

在该报告里,微软提到了一个很有意思的地方:微软追踪了一个勒索组织 PARINACOTA ,这个组织一开始可能使用攻陷的主机进行挖矿,发钓鱼邮件以及做代理。几周后再回来部署Wadhrama勒索软件。


从自动化到手动,勒索攻击的变化你都了解吗?

这个组织非常暴力,通常控制网络中的一台机器后,在一个小时内完成勒索。


从自动化到手动,勒索攻击的变化你都了解吗?

所以,你还敢说这只不过是一个挖矿吗?


微软还提到,黑客经常使用商业恶意软件,类似于各种常规bot,往往被运营人员所忽略。


从自动化到手动,勒索攻击的变化你都了解吗?

这里微软拿Ryuk举了个例子。一开始使用Trickbot打点,然后部署Ryuk勒索软件。


从自动化到手动,勒索攻击的变化你都了解吗?
从自动化到手动,勒索攻击的变化你都了解吗?

所以,微软认为当出现了Emotet,Dridex,Tickbot这些类似的告警,我们应该第一时间处置,并假设系统被完全攻陷来应对。


勒索方式变化

先前的勒索是通过加密用户文件,导致用户业务受损,要求用户交赎金。

而现在,如果用户不交赎金,勒索者已经开始尝试放出被加密的数据,通过GDPR的压力来迫使受害者屈服。


为啥说市面上对勒索软件的分析很多都是用处不大?因为对于勒索软件,很多分析文章都只是分析勒索软件本身的功能。这对我们应对勒索软件的威胁并没有多大意义。

我们需要更多的Focus在攻击者全链路的攻击手法。通过多点布控,延缓和阻止攻击。

这里提供微软跟踪的三个团伙的TTP。


PARINACOTA

从自动化到手动,勒索攻击的变化你都了解吗?


InitialAccess:RDP爆破,使用NLbrute.exe或者ForcerX,爆破admin,administrator,guest,test等账户。

DefenseEvasion:关闭杀软,使用wevutil.exe清除日志。

PrivilegeEscalation:粘滞键提权等。

CredentialAccess:Mimikatz ,ProcDump,以及使用findstr搜索特定cookie。

Persistence:修改注册表,允许RDP远程连接。安装远程管理软件或者后门。本地管理员组添加账户。添加Run或者Startup目录的自启动项。


Doppelpaymer

从自动化到手动,勒索攻击的变化你都了解吗?


Ryuk

从自动化到手动,勒索攻击的变化你都了解吗?


但是,我觉得这些还不够。有一些关键点我想提一下。


方案一 端上阻断

核心思路就是投递诱饵文件,用诱饵文件对文件名进行占位,例如生成aaaa.txt,aaa.doc, zzz.xls,zzz.sql, zzz.db这样的诱饵文件,然后进行文件监控,一旦出现写入行为则进行拦截以及告警。


方案二 核心文件保护

使用微软提供的Controlled Folder Access功能,对存放重要文档的目录设置进程白名单。


方案三 系统治理

● 使用代理访问网络

● 阻止非可信域名二进制文件下载

● 限制工作站之间的通信,做好网络隔离

● 禁用宏

● 启用备份

● 打补丁


方案四  US-CERT给出的方案

从自动化到手动,勒索攻击的变化你都了解吗?

以上方法可以综合使用。


甲方安全人员如何做?


随着勒索攻击方式的演进和勒索商业模式的变化,勒索带来的危害已经不仅仅是业务停摆,还包括公开的用户数据泄露事件。

甲方安全人员需要建立更多的纵深体系来检测和防御。安全运营人员也要时刻注意着头上悬着的达摩克利斯之剑。因为你漏掉的一个挖矿事件,一个bot事件,很可能会带来一次勒索的灾难。

在维护网络安全的这个战场上,没有人或组织可以高高挂起。我们要时刻揣着敬畏之心,建立更广泛的联盟,共同打击包括勒索在内的网络犯罪。


来源:落水轩


从自动化到手动,勒索攻击的变化你都了解吗?

原文始发于微信公众号(e安在线):从自动化到手动,勒索攻击的变化你都了解吗?

本文转为转载文章,本文观点不代表威客安全立场。

发表评论

登录后才能评论

联系我们

15110186328

在线咨询:点击这里给我发消息

邮件:zhanglei@jinlongsec.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code
X