勒索軟件正在繼續(xù)困擾著眾多組織���,而且問題似乎只會(huì)日趨嚴(yán)重。因此�����,各類目標(biāo)組織(包括政府機(jī)構(gòu)和私人企業(yè)等)的捍衛(wèi)者必須尋求更有效的防御措施才能更好地抵御這種威脅����。
理想狀態(tài)下,這些防御措施應(yīng)該包括組織主動(dòng)尋找已知的勒索軟件攻擊者所使用的策略����、技術(shù)和程序(TTP)。這種威脅捕獲可以幫助防御者在偵查階段發(fā)現(xiàn)攻擊�����,以阻止攻擊者進(jìn)一步實(shí)現(xiàn)數(shù)據(jù)泄露或系統(tǒng)鎖定的惡意目的。
但是��,具體應(yīng)該如何做呢?
首先�����,也許我們應(yīng)該先要接受現(xiàn)行的防御措施不起作用的事實(shí)���。確實(shí)����,勒索軟件事件響應(yīng)公司Coveware報(bào)告稱���,勒索軟件仍在繼續(xù)為網(wǎng)絡(luò)犯罪分子創(chuàng)造豐厚利潤。
【這些是Coveware每季度調(diào)查的數(shù)千起案件中的受害者所支付的平均和中位數(shù)贖金�����。盡管平均值最近有所下降����,但總體利潤仍然很高?�!?/p>
勒索軟件防御的狀態(tài)似乎并沒有改善,或者至少可以說����,根本趕不上攻擊者不斷創(chuàng)新的速度。安全公司Emsisoft在《勒索軟件趨勢綜述》中表示��,去年�,至少有113個(gè)聯(lián)邦、州����、縣和市政府及機(jī)構(gòu)受到勒索軟件的影響,而與此同時(shí)���,勒索軟件的數(shù)量與2019年受到影響的數(shù)量完全相同�。此外���,去年����,全球有1300多家公司(大多數(shù)為美國企業(yè))丟失了包括知識(shí)產(chǎn)權(quán)和其他敏感信息在內(nèi)的數(shù)據(jù)�����。
當(dāng)然,這些數(shù)字還只是包括那些公開報(bào)告自身曾遭受勒索軟件感染���,或是被盜數(shù)據(jù)出現(xiàn)在泄露站點(diǎn)上的企業(yè)���。由于此類犯罪活動(dòng)的漏報(bào)率很高,所以可以肯定的是�,勒索軟件的實(shí)際攻擊水平可能遠(yuǎn)遠(yuǎn)高出所報(bào)告的水平。
但是值得注意的是���,Emsisoft公司通過對比2019年與2020年的數(shù)據(jù)��,結(jié)果并未發(fā)現(xiàn)勒索軟件受害者的數(shù)量有增長的趨勢�,反而����,基本持平�����。
Emsisoft該公司威脅顧問Brett Callow表示�����,
- “盡管2020年的新冠疫情導(dǎo)致全球向遠(yuǎn)程工作過渡,但是與2019年相比���,2020年受勒索軟件影響數(shù)量仍然相對持平����。這可能是因?yàn)橐咔榻o網(wǎng)絡(luò)犯罪造成的問題與對組織造成的問題一樣多�。由于全球辦公模式改變,攻擊面也隨之發(fā)生了變化���,威脅行為者也需要花費(fèi)時(shí)間進(jìn)行調(diào)整-這可能就是疫情初期勒索事件數(shù)量大幅下降的原因所在�����?����!?/li>
大型勒索軟件運(yùn)營商對技術(shù)專家需求激增
McAfee Advanced Threat Research網(wǎng)絡(luò)調(diào)查和紅隊(duì)負(fù)責(zé)人John Fokker表示����,鑒于勒索軟件可能帶來的潛在利潤���,越來越多的運(yùn)營商紛紛加入勒索軟件市場��,并不斷擴(kuò)大其人才規(guī)模�����。成功的大型運(yùn)營商所尋求的一些頂級技能包括:滲透測試-使用Metasploit和Cobalt Strike等工具�����。除此之外�,還需要熟悉系統(tǒng)管理工具和環(huán)境,包括網(wǎng)絡(luò)連接的存儲(chǔ)和備份(例如��,使用Microsoft Hyper-V)���。
VMware網(wǎng)絡(luò)安全戰(zhàn)略負(fù)責(zé)人Tom Kellermann表示����,無論對被入侵的系統(tǒng)造成什么影響�,獲得組織訪問權(quán)限并保留該訪問權(quán)限仍然是重中之重����。一般而言,勒索軟件具有14種以上的規(guī)避技術(shù)�����。其中包括虛擬化、逃避沙箱��、修改注冊表�����、混淆文件和禁用安全工具等等��。
但是最重要的���,還是要得益于rootkit的復(fù)興����。在更高層次上���,rootkit是一系列工具或技術(shù)的集合�����,可讓惡意軟件潛入系統(tǒng)深層�,對操作系統(tǒng)不可見。計(jì)算機(jī)處理器有不同層次的執(zhí)行權(quán)限(ring 0-3)��,攻擊者可利用這些權(quán)限層次來玩弄運(yùn)行在高層的程序���。例如��,Windows和Linux之類的操作系統(tǒng)�����,有用戶空間和內(nèi)核空間之分��。在最高層��,你只需要知道內(nèi)核空間(ring0)比用戶空間(ring3)權(quán)限高就行了��。如果你有個(gè)程序需要列出目錄中的文件列表����,你可以調(diào)用用戶空間函數(shù)來做這事��,但調(diào)用內(nèi)核函數(shù)同樣可以��。
如果惡意程序獲得內(nèi)核權(quán)限����,就可以“欺騙”運(yùn)行在用戶空間的程序。因此�����,如果某程序以用戶空間函數(shù)調(diào)用來掃描文件系統(tǒng)����,內(nèi)核rootkit就可以在它解析文件的時(shí)候欺騙之。在該用戶空間函數(shù)掃描到惡意文件的時(shí)候��,rootkit可以騙它說�,“這些不是你要找的文件”,或者更具體講���,就是簡單地繞過這些文件���,不將它們作為該用戶空間程序的執(zhí)行結(jié)果加以返回。
簡言之�����,惡意軟件有時(shí)候可以用rootkit功能對本地反病毒(AV)軟件隱身——通過對操作系統(tǒng)本身隱藏文件�����、網(wǎng)絡(luò)連接或其他東西。
可以說�����,rootkit的復(fù)興改變了游戲規(guī)則��,尤其是當(dāng)我們看到“反事件響應(yīng)”——從刪除日志到實(shí)際破壞基礎(chǔ)架構(gòu)或數(shù)據(jù)在內(nèi)的所有事情——激增時(shí)���。但是�����,攻擊者入侵后的頭等大事通常是加劇受害者的恢復(fù)難度����。首先����,他們會(huì)滲透備份,以阻止其恢復(fù)進(jìn)程��。
基礎(chǔ)防御
對于企業(yè)組織來說�����,任務(wù)很明確:擁有完善的勒索軟件防御措施及其他準(zhǔn)備���。
網(wǎng)絡(luò)安全公司FireEye在最近的一份報(bào)告中表示���,
- “組織需要為勒索軟件攻擊做好準(zhǔn)備。這意味著要確保將網(wǎng)絡(luò)分割開來��,確保已制定了實(shí)際計(jì)劃��,并已與高級領(lǐng)導(dǎo)者和其他關(guān)鍵人員進(jìn)行了桌面練習(xí)����,以便每個(gè)人都準(zhǔn)備采取最佳行動(dòng)。組織應(yīng)制定事件響應(yīng)服務(wù)級別協(xié)議(SLA)�����。 他們還應(yīng)該建立安全的備份�����,以便團(tuán)隊(duì)在必要時(shí)可以利用該備份完成恢復(fù)����?!?/li>
另一項(xiàng)重要的防御措施:使所有軟件保持最新狀態(tài)�����。根據(jù)調(diào)查顯示����,利用尚未修補(bǔ)的已知漏洞仍然“是威脅參與者中最流行的初始訪問媒介之一”,尤其是對那些針對更大型目標(biāo)以獲取更多贖金的大型游戲獵人而言���。
專家還建議使用多因素身份驗(yàn)證來保護(hù)遠(yuǎn)程桌面協(xié)議和虛擬網(wǎng)絡(luò)訪問����。如果沒有多因素身份驗(yàn)證�����,攻擊者只需要強(qiáng)行使用或竊取有效的憑據(jù)即可遠(yuǎn)程訪問系統(tǒng)��。而如果具有多因素身份驗(yàn)證�����,即便攻擊者獲取正確的憑據(jù),也不可能僅通過使用這些憑據(jù)來進(jìn)行遠(yuǎn)程訪問�。
最后,培訓(xùn)員工(尤其是網(wǎng)絡(luò)安全團(tuán)隊(duì))���,以更好地預(yù)防和應(yīng)對此類攻擊仍然至關(guān)重要����。
威脅捕獲:提防13種TTP
為了更好地確定何時(shí)遭到了破壞���,專家建議組織主動(dòng)尋找可能在其網(wǎng)絡(luò)內(nèi)部的勒索軟件攻擊者。以下是勒索軟件運(yùn)營者在攻擊活動(dòng)中廣泛應(yīng)用的一些策略�、技術(shù)和程序(TTP),組織必須進(jìn)行監(jiān)控:
- AdFind:Group-IB說��,這種命令行Active Directory工具像眾多合法實(shí)用程序一樣����,被許多網(wǎng)絡(luò)犯罪分子使用。
- 高級IP掃描程序(Advanced IP Scanner):開發(fā)人員Famatech表示�����,其免費(fèi)的網(wǎng)絡(luò)掃描程序“可以顯示所有網(wǎng)絡(luò)設(shè)備��,使您能夠訪問共享文件夾,可以遠(yuǎn)程控制計(jì)算機(jī)(通過RDP和Radmin)����,甚至可以遠(yuǎn)程關(guān)閉計(jì)算機(jī)?!惫粽哂袝r(shí)候還會(huì)簡單地將其從官網(wǎng)上下載到系統(tǒng)中,作為其網(wǎng)絡(luò)滲透工作的一部分�����。
- “銀行”木馬:Trickbot和Qakbot一開始都是屬于銀行木馬惡意軟件類型���,后來經(jīng)過重新設(shè)計(jì)主要用于幫助犯罪團(tuán)伙獲取對系統(tǒng)的初始訪問權(quán)限��,然后釋放其他類型的惡意軟件�,包括勒索軟件����。卡巴斯基實(shí)驗(yàn)室全球研究與分析團(tuán)隊(duì)的Ariel Jungheit表示���,由于這種類型的惡意軟件和勒索軟件之間的交集越來越多�,我們認(rèn)為公司應(yīng)該更仔細(xì)地調(diào)查感染�����,而不是僅僅重新構(gòu)想機(jī)器然后繼續(xù)前進(jìn)。
- BitLocker驅(qū)動(dòng)器加密(BitLocker Drive Encryption):如今���,該工具已經(jīng)內(nèi)置于Windows的最新版本中����,除非得到正確管理�����,否則攻擊者可以使用它對每臺(tái)個(gè)人電腦(PC)進(jìn)行強(qiáng)制加密�。VMware安全策略負(fù)責(zé)人Rick McElroy警告稱��,要知道��,勒索系統(tǒng)并不總是需要惡意軟件才能實(shí)現(xiàn)�。
- ClearLock:攻擊者正使用這種屏幕鎖定工具,使系統(tǒng)管理員和其他人員無法登錄并取消加密過程�。
- 云存儲(chǔ)(Cloud Storage):勒索軟件運(yùn)營者通常使用云存儲(chǔ)從受感染的網(wǎng)絡(luò)中竊取敏感數(shù)據(jù)。攻擊者用來發(fā)送竊取數(shù)據(jù)的前三個(gè)站點(diǎn)是Google Drive��、Amazon Simple Storage Service和Mega文件共享服務(wù)�。
- Cobalt Strike:約70%的犯罪團(tuán)伙使用該滲透測試工具參與大型游戲狩獵活動(dòng)�。
- 漏洞:勒索軟件團(tuán)伙非常鐘愛遠(yuǎn)程訪問服務(wù)中的漏洞�,例如Pulse Secure中的CVE-2019-11510漏洞以及Pulse Secure、Fortinet和Palo Alto產(chǎn)品中的漏洞��。這些漏洞可以使攻擊者輕松地遠(yuǎn)程訪問受害者的基礎(chǔ)架構(gòu)���。
- IObit卸載程序:該Windows實(shí)用程序旨在安裝不需要的文件�����。犯罪分子經(jīng)常使用該工具停用或幫助規(guī)避防病毒軟件�����。
- Mimikatz:這款免費(fèi)工具可用于轉(zhuǎn)儲(chǔ)Windows密碼����,并幫助攻擊者提升特權(quán)�����。目前����,該工具仍被廣泛應(yīng)用��,通常情況下���,部署這些工具時(shí),攻擊者甚至不必費(fèi)心重新命名或嘗試隱藏它�。
- NLBrute:旨在暴力破解各種RDP密碼。
- NS2:擁有惡意軟件的黑客使用該實(shí)用程序來安裝可用的網(wǎng)絡(luò)驅(qū)動(dòng)器和共享�,以使他們的惡意代碼傳播得更遠(yuǎn)。
- PsExec:這是一個(gè)輕型的telnet替代工具����,它使您無需手動(dòng)安裝客戶端軟件即可執(zhí)行其他系統(tǒng)上的進(jìn)程,并且可以獲得與控制臺(tái)應(yīng)用程序相當(dāng)?shù)耐耆换バ?����。它最?qiáng)大的功能之一是在遠(yuǎn)程系統(tǒng)和遠(yuǎn)程支持工具(如IpConfig)中啟動(dòng)交互式命令提示窗口��,以便顯示無法通過其他方式顯示的有關(guān)遠(yuǎn)程系統(tǒng)的信息����。許多犯罪團(tuán)伙正利用它來幫助摧毀受害者組織���。
一切準(zhǔn)備都會(huì)有回報(bào)
將資源用于威脅捕獲和監(jiān)視已知的TTP�����,以及部署必要的防御措施��,并不能阻止所有使用勒索軟件的攻擊者�。組織仍然可能會(huì)淪為目標(biāo),并且受到損害��,因此��,制定預(yù)防和恢復(fù)策略同樣至關(guān)重要�����,這包括實(shí)施完善的事件響應(yīng)策略����。
但是,企業(yè)組織可以竭盡所能增加勒索軟件攻擊者的攻擊難度��,這可能會(huì)使犯罪分子放棄對其進(jìn)行攻擊轉(zhuǎn)而攻擊其他地方��。同樣地���,不斷完善響應(yīng)策略可以更好地抑制正在進(jìn)行的攻擊所帶來的影響����,從網(wǎng)絡(luò)中驅(qū)逐攻擊者,并且更快地減輕損害�。與勒索軟件防御的所有方面一樣,一切準(zhǔn)備和機(jī)會(huì)都一定會(huì)有回報(bào)的����。
本文翻譯自:https://www.bankinfosecurity.com/ransomware-beware-13-tactics-tools-procedures-a-16072?rf=2021-03-01_ENEWS_SUB_BIS__Slot1_ART16072&mkt_tok=eyJpIjoiTVdJeE9USXlOek01WmpJdyIsInQiOiJxMFh2RTZjbjBpaHRKQkFJamhmSlE2UXNGWUl4ekRVM2lOcU1yT1g4ZmdXRzYzWTVYNmk3aEJTQmtCOThVcll1KzA0SUMxdjdrVndOQWFNSHd5QUZmOHpqSXJNXC9EQ1pzaGE1eldvbEpZVUhDQ0pDM0Qxb3Y4KysxOUlmQ1BQUVkifQ%3D%3D如若轉(zhuǎn)載,請注明原文地址����。
當(dāng)前文章:勒索軟件:提防13種技術(shù)、工具和程序(TTP)
網(wǎng)站網(wǎng)址:
http://uogjgqi.cn/article/cccpoid.html
