北京 - 2019年8月5日 - 針對性勒索軟件攻擊已迅速成為最危險的網(wǎng)絡犯罪威脅之一。在過去的兩年里，隨著勒索軟件攻擊團伙的不斷涌現(xiàn)，遭受針對性勒索軟件攻擊的企業(yè)數(shù)量也大幅上漲。
 
針對性勒索軟件可能會給企業(yè)或組織帶來十分嚴重甚至毀滅性的影響。攻擊者通常會盡最大可能嘗試加密更多的計算機，他們的攻擊目標大多為服務器和日常計算機，并且絕大部分攻擊會嘗試加密或破壞備份數(shù)據(jù)。遭到攻擊的企業(yè)可能會發(fā)生重大的運營中斷事件，失去對重要數(shù)據(jù)和服務的訪問權(quán)限。除了勒索軟件清除工作造成的高額財務支出，企業(yè)還會因此蒙受業(yè)務損失，同時名譽也會受到損害。
 
面對這種復雜難堪的局面，一些遭到攻擊的企業(yè)會考慮支付巨額贖金。也正是因此，越來越多的網(wǎng)絡罪犯將目光投向了針對性勒索軟件。
 
賽門鐵克在最新發(fā)布的白皮書中指出，自 2018 年初以來，遭遇針對性勒索軟件攻擊的企業(yè)數(shù)量迅速增加。
 

威脅系數(shù)與日俱增 

大量新興的針對性勒索軟件犯罪團伙不斷涌現(xiàn)，攻擊數(shù)量大幅增加。在過去的一段時間內(nèi)，只有 SamSam (Ransom.SamSam) 這一個已知的犯罪團伙，它們曾經(jīng)將攻擊矛頭指向了美國境內(nèi)的一系列企業(yè)。然而，SamSam的成功也意味著會有更多犯罪團伙爭相進入這一利基市場，牟取不義之財。2018 年初，另一個犯罪團伙 Ryuk (Ransom.Hermes) 進入了人們的視線，它的月攻擊數(shù)量很快便超過了Samsam。
 
到 2019 年初，針對性勒索軟件數(shù)量倍增，多個犯罪團伙相繼出現(xiàn)，包括 GoGalocker（又稱 LockerGoga）(Ransom.GoGalocker)、MegaCortex (Ransom.MegaCortex) 和 RobbinHood (Ransom.Robbinhood)。除了專門發(fā)動針對性攻擊的犯罪團伙以外，還出現(xiàn)了大量勒索軟件犯罪團伙，例如 GandCrab（Ransom.GandCrab） 和 Crysis（又名 Dharma）(Ransom.Crysis)，據(jù)報道，這些團伙不僅發(fā)動無差別攻擊，還會實施針對性攻擊。
 
去年遭遇針對性勒索軟件攻擊的企業(yè)數(shù)量成倍增加。
 

圖：2017 年 1 月至 2019 年 5 月遭到針對性勒索軟件攻擊的企業(yè)數(shù)量，按攻擊者劃分（堆積柱形圖）

 
新型威脅

GoGalocker于2019 年 1 月首次被發(fā)現(xiàn) ，它是企業(yè)當前面臨的典型性針對性勒索軟件攻擊之一。勒索軟件背后的攻擊者都擁有極強的知識與技能儲備，為了同時加密盡可能多的設備，他們會滲透到受害者的網(wǎng)絡當中，部署一系列工具來入侵并獲取網(wǎng)絡拓撲，同時使用各種技術來逃避檢測。
 
在實施攻擊時，GoGalocker 會借用大量間諜組織的工具和技術，廣泛利用公開的黑客工具和現(xiàn)行戰(zhàn)術。一旦侵入受害者的網(wǎng)絡，攻擊者就會運行 PowerShell 命令來啟動 shellcode，以接收攻擊者的命令，進而控制服務器。然后，攻擊者會部署多種工具以入侵網(wǎng)絡并竊取憑據(jù)：
 

• PuTTY：一個用于創(chuàng)建 SSH 會話的命令行實用程序。
•  
• Mimikatz (Hacktool.Mimikatz)：一款免費的工具，能夠根據(jù)配置更改權(quán)限、導出安全證書并將 Windows 密碼恢復為純文本形式。
•  
• Wolf-x-full：一款多用途工具，能夠查詢一系列遠程設備的基本信息，查看安裝程序列表，卸載程序，禁用 Windows 用戶帳戶控制 (UAC) 和 UAC 遠程限制，以及禁用 Windows 防火墻。

 
GoGalocker 會在攻擊期間部署大量檢測規(guī)避技術，例如使用合法憑證對勒索軟件進行數(shù)字簽名，以提高其可信任度。在安裝勒索軟件之前，攻擊者通常還會嘗試禁用安全軟件，這一行為并非利用安全軟件中的固有缺陷或漏洞來禁用安全軟件，而是使用被盜的管理員憑證來關閉或卸載安全軟件。
 
賽門鐵克觀察到，部分攻擊者一旦完成網(wǎng)絡拓撲獲取，便會使用批處理文件將勒索軟件傳播到多臺計算機中，然后再執(zhí)行加密過程。
 
最后，為了謹慎起見，攻擊者也會注銷當前用戶。再某種特定情況下，他們還會使用 net.exe 命令更改本地用戶和管理員密碼，以阻止其他人登錄并停止加密過程。
 
自 2019 年初首次出現(xiàn)以來，GoGalocker 已經(jīng)對眾多行業(yè)進行了攻擊，其中包括計算機服務、會計和審計、咨詢、金融服務、電動工具、建筑和施工、出版、印刷、金屬和倉儲。其中 23% 的目標企業(yè)位于美國，但除此之外，還有較高比例的受害者位于斯堪的納維亞半島，包括芬蘭 (23％)、挪威(15％) 和瑞典 (8％)。
 
與 MegaCortex 的關聯(lián)

在此項調(diào)研中，最有趣的發(fā)現(xiàn)之一便是 GoGalocker 和 MegaCortex 之間的關聯(lián)。這兩個勒索軟件都存在以下操作行為：
 

• 在 C:\\ 中創(chuàng)建一個日志文件
•  
• 采用主/從模式
•  
• 在 Boost 庫中使用模塊進程間通信共享數(shù)據(jù)，并在主從設備之間進行通信
•  
• 在加密前使用函數(shù)枚舉邏輯驅(qū)動器
•  
• 使用本機函數(shù)來處理目標文件：
•  
  • NtOpenFile、NtReadFile、NtWriteFile、NtClose
  •  
• 使用 AES-128-CTR 加密文件
•  
• 完成加密過程后，執(zhí)行命令 “cipher.exe /w” 擦除未使用的數(shù)據(jù)

 
除此之外，MegaCortex 和 GoGalocker 可執(zhí)行文件Rich Header的編譯過程使用了幾乎相同版本的 Visual Studio 2017（次構(gòu)建版本 27030 和次構(gòu)建版本 27027）。最后，兩個勒索軟件都在攻擊中使用了 Cobalt Strike 惡意軟件，MegaCortex攻擊所使用的Cobalt Strike的一個特征就是連接到一個早前已經(jīng)與GoGalocker相關聯(lián)的IP地址。
 
從表面看起來， MegaCortex 和 GoGalocker 背后可能是同一犯罪團伙，但實則感染前的某些活動將其分別指向不同的犯罪團伙。更合理的解釋是這兩個勒索軟件是由同一第三方開發(fā)人員為兩個獨立的攻擊團伙而開發(fā)。
 
強有力的防御措施成為必要

對數(shù)百臺計算機和服務器進行加密的勒索軟件攻擊，有可能成為企業(yè)遇到的、最具破壞性和代價最高的網(wǎng)絡攻擊形式之一。在過去 12 個月里，針對性勒索軟件攻擊數(shù)量激增，這也意味著企業(yè)需要進一步了解這一威脅，并確保能夠?qū)嵤┛煽康闹丿B防御措施。
 
防護解決方案

賽門鐵克開發(fā)了以下防護解決方案，以保護客戶免遭這些攻擊：
基于文件的保護：
 

• Hacktool.Mimikatz
• Ransom.Crysis
• Ransom.GandCrab
• Ransom.GoGalocker
• Ransom.Hermes
• Ransom.MegaCortex
• Ransom.Robbinhood
• Ransom.SamSam

 
企業(yè)防御措施

賽門鐵克建議用戶遵守以下最佳做法，以有效防御針對性勒索軟件攻擊：
本地環(huán)境：
 

• 確保您擁有最新版本的 PowerShell，并已啟用日志記錄。
•  
• 限制對 RDP 服務的訪問：僅允許來自特定且已知的 IP 地址 RDP，并確保使用多因素身份驗證。
•  
• 使用文件服務器資源管理器 (FSRM) 確保擁有在文件共享上寫入已知勒索軟件擴展的能力，要求用戶具有寫入權(quán)限。
•  
• 制定周全計劃，考慮通知外部各方。確保以適當?shù)姆绞酵ㄖ�必要企業(yè)，例如 FBI或其他執(zhí)法機構(gòu)/部門，請務必及時制定周全計劃。
•  
• 創(chuàng)建“跳袋 (jump bag)”，將所有關鍵管理信息的硬拷貝和歸檔軟拷貝存放其中。為保護這些關鍵信息的可用性免遭破壞，請務必將其存放在跳袋中，包括解決問題所需的硬件和軟件。如果將加密網(wǎng)絡文件信息存放在網(wǎng)絡上，根本無法起到保護作用。
•  
• 適當?shù)貙徍撕涂刂乒芾韼�戶的使用情況。您還可以在執(zhí)行管理工作時部署一次性憑據(jù)，以防止管理憑據(jù)被盜用。
•  
• 為管理工具創(chuàng)建使用記錄：攻擊者借助大量管理工具在網(wǎng)絡中橫向移動，并可以借此防止被檢測到。一個賬戶在少數(shù)系統(tǒng)上以管理員身份運行 psinfo / psexec 可能沒有問題，但一個賬戶在所有系統(tǒng)上都運行 psinfo / psexec 就可疑了。
•  

電子郵件：
 

• 啟用雙因素身份驗證，以防止憑據(jù)在網(wǎng)絡釣魚攻擊期間遭到破壞。
•  

• 加強電子郵件系統(tǒng)周邊的安全架構(gòu)，以最大限度地減少最終到達用戶收件箱的垃圾郵件數(shù)量，并確保能夠遵循與電子郵件系統(tǒng)相關的最佳做法，包括使用 SPF 和其他防御措施來抵御針對性網(wǎng)絡釣魚攻擊。
•  

備份：
 

• 異地保存?zhèn)浞莞北尽０才女惖卮鎯�，包括至少每個月中的每周完整備份和每日增量備份。
•  
• 實施本地脫機備份。確保您的備份未連接到網(wǎng)絡，以防被勒索軟件加密。
•  
• 驗證并測試服務器級備份解決方案。這一方案應該已成為災難恢復過程中的一部分。
•  
• 確保對備份和備份數(shù)據(jù)庫的文件級訪問權(quán)限。不要讓您的備份被人加密。
•  
• 測試恢復功能。確�；謴凸δ軡M足業(yè)務需求。

 
其他信息

如欲了解有關針對性勒索軟件的更多信息，請下載白皮書 - 針對性勒索軟件：ISTR 專題報告

標簽： 勒索軟件 

版權(quán)申明：本站文章部分自網(wǎng)絡，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。