北京 - 2019年8月5日 - 針對(duì)性勒索軟件攻擊已迅速成為最危險(xiǎn)的網(wǎng)絡(luò)犯罪威脅之一。在過去的兩年里，隨著勒索軟件攻擊團(tuán)伙的不斷涌現(xiàn)，遭受針對(duì)性勒索軟件攻擊的企業(yè)數(shù)量也大幅上漲。
 
針對(duì)性勒索軟件可能會(huì)給企業(yè)或組織帶來十分嚴(yán)重甚至毀滅性的影響。攻擊者通常會(huì)盡最大可能嘗試加密更多的計(jì)算機(jī)，他們的攻擊目標(biāo)大多為服務(wù)器和日常計(jì)算機(jī)，并且絕大部分攻擊會(huì)嘗試加密或破壞備份數(shù)據(jù)。遭到攻擊的企業(yè)可能會(huì)發(fā)生重大的運(yùn)營(yíng)中斷事件，失去對(duì)重要數(shù)據(jù)和服務(wù)的訪問權(quán)限。除了勒索軟件清除工作造成的高額財(cái)務(wù)支出，企業(yè)還會(huì)因此蒙受業(yè)務(wù)損失，同時(shí)名譽(yù)也會(huì)受到損害。
 
面對(duì)這種復(fù)雜難堪的局面，一些遭到攻擊的企業(yè)會(huì)考慮支付巨額贖金。也正是因此，越來越多的網(wǎng)絡(luò)罪犯將目光投向了針對(duì)性勒索軟件。
 
賽門鐵克在最新發(fā)布的白皮書中指出，自 2018 年初以來，遭遇針對(duì)性勒索軟件攻擊的企業(yè)數(shù)量迅速增加。
 

威脅系數(shù)與日俱增 

大量新興的針對(duì)性勒索軟件犯罪團(tuán)伙不斷涌現(xiàn)，攻擊數(shù)量大幅增加。在過去的一段時(shí)間內(nèi)，只有 SamSam (Ransom.SamSam) 這一個(gè)已知的犯罪團(tuán)伙，它們?cè)��?jīng)將攻擊矛頭指向了美國(guó)境內(nèi)的一系列企業(yè)。然而，SamSam的成功也意味著會(huì)有更多犯罪團(tuán)伙爭(zhēng)相進(jìn)入這一利基市場(chǎng)，牟取不義之財(cái)。2018 年初，另一個(gè)犯罪團(tuán)伙 Ryuk (Ransom.Hermes) 進(jìn)入了人們的視線，它的月攻擊數(shù)量很快便超過了Samsam。
 
到 2019 年初，針對(duì)性勒索軟件數(shù)量倍增，多個(gè)犯罪團(tuán)伙相繼出現(xiàn)，包括 GoGalocker（又稱 LockerGoga）(Ransom.GoGalocker)、MegaCortex (Ransom.MegaCortex) 和 RobbinHood (Ransom.Robbinhood)。除了專門發(fā)動(dòng)針對(duì)性攻擊的犯罪團(tuán)伙以外，還出現(xiàn)了大量勒索軟件犯罪團(tuán)伙，例如 GandCrab（Ransom.GandCrab） 和 Crysis（又名 Dharma）(Ransom.Crysis)，據(jù)報(bào)道，這些團(tuán)伙不僅發(fā)動(dòng)無差別攻擊，還會(huì)實(shí)施針對(duì)性攻擊。
 
去年遭遇針對(duì)性勒索軟件攻擊的企業(yè)數(shù)量成倍增加。
 

圖：2017 年 1 月至 2019 年 5 月遭到針對(duì)性勒索軟件攻擊的企業(yè)數(shù)量，按攻擊者劃分（堆積柱形圖）

 
新型威脅

GoGalocker于2019 年 1 月首次被發(fā)現(xiàn) ，它是企業(yè)當(dāng)前面臨的典型性針對(duì)性勒索軟件攻擊之一。勒索軟件背后的攻擊者都擁有極強(qiáng)的知識(shí)與技能儲(chǔ)備，為了同時(shí)加密盡可能多的設(shè)備，他們會(huì)滲透到受害者的網(wǎng)絡(luò)當(dāng)中，部署一系列工具來入侵并獲取網(wǎng)絡(luò)拓?fù)洌�同時(shí)使用各種技術(shù)來逃避檢測(cè)。
 
在實(shí)施攻擊時(shí)，GoGalocker 會(huì)借用大量間諜組織的工具和技術(shù)，廣泛利用公開的黑客工具和現(xiàn)行戰(zhàn)術(shù)。一旦侵入受害者的網(wǎng)絡(luò)，攻擊者就會(huì)運(yùn)行 PowerShell 命令來啟動(dòng) shellcode，以接收攻擊者的命令，進(jìn)而控制服務(wù)器。然后，攻擊者會(huì)部署多種工具以入侵網(wǎng)絡(luò)并竊取憑據(jù)：
 

• PuTTY：一個(gè)用于創(chuàng)建 SSH 會(huì)話的命令行實(shí)用程序。
•  
• Mimikatz (Hacktool.Mimikatz)：一款免費(fèi)的工具，能夠根據(jù)配置更改權(quán)限、導(dǎo)出安全證書并將 Windows 密碼恢復(fù)為純文本形式。
•  
• Wolf-x-full：一款多用途工具，能夠查詢一系列遠(yuǎn)程設(shè)備的基本信息，查看安裝程序列表，卸載程序，禁用 Windows 用戶帳戶控制 (UAC) 和 UAC 遠(yuǎn)程限制，以及禁用 Windows 防火墻。

 
GoGalocker 會(huì)在攻擊期間部署大量檢測(cè)規(guī)避技術(shù)，例如使用合法憑證對(duì)勒索軟件進(jìn)行數(shù)字簽名，以提高其可信任度。在安裝勒索軟件之前，攻擊者通常還會(huì)嘗試禁用安全軟件，這一行為并非利用安全軟件中的固有缺陷或漏洞來禁用安全軟件，而是使用被盜的管理員憑證來關(guān)閉或卸載安全軟件。
 
賽門鐵克觀察到，部分攻擊者一旦完成網(wǎng)絡(luò)拓?fù)浍@取，便會(huì)使用批處理文件將勒索軟件傳播到多臺(tái)計(jì)算機(jī)中，然后再執(zhí)行加密過程。
 
最后，為了謹(jǐn)慎起見，攻擊者也會(huì)注銷當(dāng)前用戶。再某種特定情況下，他們還會(huì)使用 net.exe 命令更改本地用戶和管理員密碼，以阻止其他人登錄并停止加密過程。
 
自 2019 年初首次出現(xiàn)以來，GoGalocker 已經(jīng)對(duì)眾多行業(yè)進(jìn)行了攻擊，其中包括計(jì)算機(jī)服務(wù)、會(huì)計(jì)和審計(jì)、咨詢、金融服務(wù)、電動(dòng)工具、建筑和施工、出版、印刷、金屬和倉儲(chǔ)。其中 23% 的目標(biāo)企業(yè)位于美國(guó)，但除此之外，還有較高比例的受害者位于斯堪的納維亞半島，包括芬蘭 (23％)、挪威(15％) 和瑞典 (8％)。
 
與 MegaCortex 的關(guān)聯(lián)

在此項(xiàng)調(diào)研中，最有趣的發(fā)現(xiàn)之一便是 GoGalocker 和 MegaCortex 之間的關(guān)聯(lián)。這兩個(gè)勒索軟件都存在以下操作行為：
 

• 在 C:\\ 中創(chuàng)建一個(gè)日志文件
•  
• 采用主/從模式
•  
• 在 Boost 庫中使用模塊進(jìn)程間通信共享數(shù)據(jù)，并在主從設(shè)備之間進(jìn)行通信
•  
• 在加密前使用函數(shù)枚舉邏輯驅(qū)動(dòng)器
•  
• 使用本機(jī)函數(shù)來處理目標(biāo)文件：
•  
  • NtOpenFile、NtReadFile、NtWriteFile、NtClose
  •  
• 使用 AES-128-CTR 加密文件
•  
• 完成加密過程后，執(zhí)行命令 “cipher.exe /w” 擦除未使用的數(shù)據(jù)

 
除此之外，MegaCortex 和 GoGalocker 可執(zhí)行文件Rich Header的編譯過程使用了幾乎相同版本的 Visual Studio 2017（次構(gòu)建版本 27030 和次構(gòu)建版本 27027）。最后，兩個(gè)勒索軟件都在攻擊中使用了 Cobalt Strike 惡意軟件，MegaCortex攻擊所使用的Cobalt Strike的一個(gè)特征就是連接到一個(gè)早前已經(jīng)與GoGalocker相關(guān)聯(lián)的IP地址。
 
從表面看起來， MegaCortex 和 GoGalocker 背后可能是同一犯罪團(tuán)伙，但實(shí)則感染前的某些活動(dòng)將其分別指向不同的犯罪團(tuán)伙。更合理的解釋是這兩個(gè)勒索軟件是由同一第三方開發(fā)人員為兩個(gè)獨(dú)立的攻擊團(tuán)伙而開發(fā)。
 
強(qiáng)有力的防御措施成為必要

對(duì)數(shù)百臺(tái)計(jì)算機(jī)和服務(wù)器進(jìn)行加密的勒索軟件攻擊，有可能成為企業(yè)遇到的、最具破壞性和代價(jià)最高的網(wǎng)絡(luò)攻擊形式之一。在過去 12 個(gè)月里，針對(duì)性勒索軟件攻擊數(shù)量激增，這也意味著企業(yè)需要進(jìn)一步了解這一威脅，并確保能夠?qū)嵤┛煽康闹丿B防御措施。
 
防護(hù)解決方案

賽門鐵克開發(fā)了以下防護(hù)解決方案，以保護(hù)客戶免遭這些攻擊：
基于文件的保護(hù)：
 

• Hacktool.Mimikatz
• Ransom.Crysis
• Ransom.GandCrab
• Ransom.GoGalocker
• Ransom.Hermes
• Ransom.MegaCortex
• Ransom.Robbinhood
• Ransom.SamSam

 
企業(yè)防御措施

賽門鐵克建議用戶遵守以下最佳做法，以有效防御針對(duì)性勒索軟件攻擊：
本地環(huán)境：
 

• 確保您擁有最新版本的 PowerShell，并已啟用日志記錄。
•  
• 限制對(duì) RDP 服務(wù)的訪問：僅允許來自特定且已知的 IP 地址 RDP，并確保使用多因素身份驗(yàn)證。
•  
• 使用文件服務(wù)器資源管理器 (FSRM) 確保擁有在文件共享上寫入已知勒索軟件擴(kuò)展的能力，要求用戶具有寫入權(quán)限。
•  
• 制定周全計(jì)劃，考慮通知外部各方。確保以適當(dāng)?shù)姆绞酵ㄖ�必要企業(yè)，例如 FBI或其他執(zhí)法機(jī)構(gòu)/部門，請(qǐng)務(wù)必及時(shí)制定周全計(jì)劃。
•  
• 創(chuàng)建“跳袋 (jump bag)”，將所有關(guān)鍵管理信息的硬拷貝和歸檔軟拷貝存放其中。為保護(hù)這些關(guān)鍵信息的可用性免遭破壞，請(qǐng)務(wù)必將其存放在跳袋中，包括解決問題所需的硬件和軟件。如果將加密網(wǎng)絡(luò)文件信息存放在網(wǎng)絡(luò)上，根本無法起到保護(hù)作用。
•  
• 適當(dāng)?shù)貙徍撕涂刂乒芾韼�戶的使用情況。您還可以在執(zhí)行管理工作時(shí)部署一次性憑據(jù)，以防止管理憑據(jù)被盜用。
•  
• 為管理工具創(chuàng)建使用記錄：攻擊者借助大量管理工具在網(wǎng)絡(luò)中橫向移動(dòng)，并可以借此防止被檢測(cè)到。一個(gè)賬戶在少數(shù)系統(tǒng)上以管理員身份運(yùn)行 psinfo / psexec 可能沒有問題，但一個(gè)賬戶在所有系統(tǒng)上都運(yùn)行 psinfo / psexec 就可疑了。
•  

電子郵件：
 

• 啟用雙因素身份驗(yàn)證，以防止憑據(jù)在網(wǎng)絡(luò)釣魚攻擊期間遭到破壞。
•  

• 加強(qiáng)電子郵件系統(tǒng)周邊的安全架構(gòu)，以最大限度地減少最終到達(dá)用戶收件箱的垃圾郵件數(shù)量，并確保能夠遵循與電子郵件系統(tǒng)相關(guān)的最佳做法，包括使用 SPF 和其他防御措施來抵御針對(duì)性網(wǎng)絡(luò)釣魚攻擊。
•  

備份：
 

• 異地保存?zhèn)浞莞北�。安排異地存�?chǔ)，包括至少每個(gè)月中的每周完整備份和每日增量備份。
•  
• 實(shí)施本地脫機(jī)備份。確保您的備份未連接到網(wǎng)絡(luò)，以防被勒索軟件加密。
•  
• 驗(yàn)證并測(cè)試服務(wù)器級(jí)備份解決方案。這一方案應(yīng)該已成為災(zāi)難恢復(fù)過程中的一部分。
•  
• 確保對(duì)備份和備份數(shù)據(jù)庫的文件級(jí)訪問權(quán)限。不要讓您的備份被人加密。
•  
• 測(cè)試恢復(fù)功能。確�；謴�(fù)功能滿足業(yè)務(wù)需求。

 
其他信息

如欲了解有關(guān)針對(duì)性勒索軟件的更多信息，請(qǐng)下載白皮書 - 針對(duì)性勒索軟件：ISTR 專題報(bào)告

標(biāo)簽： 勒索軟件 

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。