作為安全從業人員,我們需要思考勒索軟件到底意味著什麼,我們的檢測和防禦體系如何應對這種挑戰?今天的文章,大家就和e小安一起了解微軟情報團隊如何看待勒索軟件的趨勢變化。
勒索最大的變化:從自動化到手動
很多人對勒索軟件最深的印象還停留在2017年的WannaCry。當年WannaCry利用永恆之藍自動傳播,導致校園網,醫療等機構大量文件被鎖。我印象中公安的部分系統也被鎖了,留下了這個經典界面。熊貓燒香在WannaCry面前不過是個弟弟。
安全從業人員這麼經典的共同回憶,已然不多了。近幾年大家的共同回憶只有挖礦了。各大公司安全人員打招呼的方式都是,聽說你們那有30臺主機被用來挖礦了?對方微微一笑,給你一個too naive的表情。不,是300臺。
如果世界上的安全事件都像挖礦這樣單純又簡單,這該是怎樣的一個和諧社會啊!
然而,一切並沒有如此簡單。
在我們以為,通過公網封禁端口,給服務器打補丁就能解決問題的時候,勒索攻擊者已經從自動化的勒索攻擊變成了手動攻擊。按微軟的話說,就是:
勒索攻擊採用了一些國家級黑客APT攻擊的手法。
對檢測和響應的影響:只不過是個挖礦?
在該報告裡,微軟提到了一個很有意思的地方:微軟追蹤了一個勒索組織 PARINACOTA ,這個組織一開始可能使用攻陷的主機進行挖礦,發釣魚郵件以及做代理。幾周後再回來部署Wadhrama勒索軟件。
這個組織非常暴力,通常控制網絡中的一臺機器後,在一個小時內完成勒索。
所以,你還敢說這只不過是一個挖礦嗎?
微軟還提到,黑客經常使用商業惡意軟件,類似於各種常規bot,往往被運營人員所忽略。
這裡微軟拿Ryuk舉了個例子。一開始使用Trickbot打點,然後部署Ryuk勒索軟件。
所以,微軟認為當出現了Emotet,Dridex,Tickbot這些類似的告警,我們應該第一時間處置,並假設系統被完全攻陷來應對。
勒索方式變化
先前的勒索是通過加密用戶文件,導致用戶業務受損,要求用戶交贖金。
而現在,如果用戶不交贖金,勒索者已經開始嘗試放出被加密的數據,通過GDPR的壓力來迫使受害者屈服。
為啥說市面上對勒索軟件的分析很多都是用處不大?因為對於勒索軟件,很多分析文章都只是分析勒索軟件本身的功能。這對我們應對勒索軟件的威脅並沒有多大意義。
我們需要更多的Focus在攻擊者全鏈路的攻擊手法。通過多點布控,延緩和阻止攻擊。
這裡提供微軟跟蹤的三個團伙的TTP。
PARINACOTA
InitialAccess:RDP爆破,使用NLbrute.exe或者ForcerX,爆破admin,administrator,guest,test等賬戶。
DefenseEvasion:關閉殺軟,使用wevutil.exe清除日誌。
PrivilegeEscalation:粘滯鍵提權等。
CredentialAccess:Mimikatz ,ProcDump,以及使用findstr搜索特定cookie。
Persistence:修改註冊表,允許RDP遠程連接。安裝遠程管理軟件或者後門。本地管理員組添加賬戶。添加Run或者Startup目錄的自啟動項。
Doppelpaymer
Ryuk
但是,我覺得這些還不夠。有一些關鍵點我想提一下。
方案一 端上阻斷
核心思路就是投遞誘餌文件,用誘餌文件對文件名進行佔位,例如生成aaaa.txt,aaa.doc, zzz.xls,zzz.sql, zzz.db這樣的誘餌文件,然後進行文件監控,一旦出現寫入行為則進行攔截以及告警。
方案二 核心文件保護
使用微軟提供的Controlled Folder Access功能,對存放重要文檔的目錄設置進程白名單。
方案三 系統治理
● 使用代理訪問網絡
● 阻止非可信域名二進制文件下載
● 限制工作站之間的通信,做好網絡隔離
● 禁用宏
● 啟用備份
● 打補丁
方案四 US-CERT給出的方案
以上方法可以綜合使用。
甲方安全人員如何做?
隨著勒索攻擊方式的演進和勒索商業模式的變化,勒索帶來的危害已經不僅僅是業務停擺,還包括公開的用戶數據洩露事件。
甲方安全人員需要建立更多的縱深體系來檢測和防禦。安全運營人員也要時刻注意著頭上懸著的達摩克利斯之劍。因為你漏掉的一個挖礦事件,一個bot事件,很可能會帶來一次勒索的災難。
在維護網絡安全的這個戰場上,沒有人或組織可以高高掛起。我們要時刻揣著敬畏之心,建立更廣泛的聯盟,共同打擊包括勒索在內的網絡犯罪。
閱讀更多 e安教育 的文章
