整合營(yíng)銷服務(wù)商
電腦端+手機(jī)端+微信端=數(shù)據(jù)同步管理
免費(fèi)咨詢熱線:
電腦端+手機(jī)端+微信端=數(shù)據(jù)同步管理
免費(fèi)咨詢熱線:
“加密程序”是指發(fā)現(xiàn)企業(yè)網(wǎng)絡(luò)漏洞的程序,這些程序利用這些漏洞進(jìn)入網(wǎng)絡(luò),獲取企業(yè)的重要信息,然后從公司管理層勒索錢財(cái)。顯然,這些程序是由人創(chuàng)建的,他們可以聯(lián)合成犯罪團(tuán)伙,也可以單獨(dú)行動(dòng)。
“雖然勒索軟件的主要目標(biāo)仍然集中在北美、拉丁美洲、歐洲、亞太地區(qū),但最近幾年俄羅斯也不再被認(rèn)為是一個(gè)避風(fēng)港。根據(jù)Group-IB的數(shù)據(jù),僅在2021年,勒索軟件對(duì)俄羅斯公司的攻擊數(shù)量就增加了200%以上。”
近年來,通過加密程序的網(wǎng)絡(luò)攻擊正在增加。不幸的是,這一趨勢(shì)也影響了俄羅斯——僅在2021年,這種攻擊的數(shù)量就增加了三倍以上。
正因如此,俄文版的Oleg Skulkin的書籍才顯得如此及時(shí),作者不僅是俄羅斯的杰出專家,也是國(guó)際數(shù)字法證領(lǐng)域的專家。作者講述了關(guān)于加密程序的所有內(nèi)容——從攻擊歷史到數(shù)字證據(jù)。在他的敘述中,程序代碼片段和彩色截圖看起來都很自然。
“對(duì)IT基礎(chǔ)設(shè)施漏洞的細(xì)致偵察及其為部署勒索軟件的準(zhǔn)備工作可以為網(wǎng)絡(luò)犯罪分子帶來數(shù)百萬(wàn)美元的加密貨幣收入。”
根據(jù)作者的觀點(diǎn)(這一觀點(diǎn)基于其在信息安全領(lǐng)域超過十年的工作經(jīng)驗(yàn)),如果理解勒索軟件攻擊的生命周期,企業(yè)可以保護(hù)其網(wǎng)絡(luò)和資金。這一生命周期在本書的第二章以及最后一章中詳細(xì)描述,作者幫助讀者學(xué)習(xí)如何重建所有勒索軟件所遵循的通用攻擊生命周期,無論它們具有何種個(gè)性特征。
“新冠病毒加劇了這一局面——許多公司為員工提供了遠(yuǎn)程工作的機(jī)會(huì),并被迫開放了他們的服務(wù)器,這些服務(wù)器成為了包括勒索軟件運(yùn)營(yíng)商在內(nèi)的各種惡意行為者的目標(biāo)。”
本書特點(diǎn):
適用對(duì)象:
一個(gè)黑客團(tuán)隊(duì)攻擊政府服務(wù)器,加密并提取三十多個(gè)部門的重要數(shù)據(jù),經(jīng)濟(jì)停滯,執(zhí)法部門無能為力,民眾走上街頭要求政府辭職,國(guó)家進(jìn)入緊急狀態(tài)……這不是Netflix的電視劇情節(jié),而是2022年春季真實(shí)發(fā)生的事情,當(dāng)時(shí)Conti勒索軟件攻擊了整個(gè)哥斯達(dá)黎加國(guó)家。
連續(xù)四年,勒索軟件攻擊成為最嚴(yán)重和破壞性最大的網(wǎng)絡(luò)威脅之一,甚至被稱為第一大網(wǎng)絡(luò)威脅。受害者可能是像東芝公司或Colonial Pipeline這樣的跨國(guó)公司,也可能是小型私營(yíng)企業(yè)。一次成功的攻擊就能完全癱瘓生產(chǎn),使公司失去資金(贖金金額高達(dá)數(shù)億美元)和敏感數(shù)據(jù),攻擊者可以先行下載并出售這些數(shù)據(jù),以迫使受害者妥協(xié)。雖然勒索軟件的主要目標(biāo)仍在北美、拉美、歐洲和亞太地區(qū),但俄羅斯近年來也不再是一個(gè)安全港灣。根據(jù)Group-IB的數(shù)據(jù),僅在2021年,俄羅斯公司遭受勒索軟件攻擊的次數(shù)就增加了200%以上。
2022年上半年,這一數(shù)量比2021年第一季度增加了四倍。當(dāng)偶爾(不常)有逮捕事件發(fā)生時(shí),勒索軟件運(yùn)營(yíng)者會(huì)短暫隱藏并清理痕跡,進(jìn)行品牌重塑。但說勒索軟件的黃昏已經(jīng)到來還為時(shí)過早。Group-IB計(jì)算機(jī)取證實(shí)驗(yàn)室團(tuán)隊(duì)在大多數(shù)人尚未看到勒索軟件嚴(yán)重威脅時(shí)就開始關(guān)注它們。書籍作者奧列格·斯庫(kù)爾金不僅在俄羅斯,而且在國(guó)際數(shù)字取證領(lǐng)域都是重要人物。他在信息安全領(lǐng)域工作超過十年,撰寫和合著了五本關(guān)于取證和事件調(diào)查的書籍。
奧列格是研究報(bào)告、網(wǎng)絡(luò)研討會(huì)和技術(shù)博客的常駐作者,內(nèi)容涉及勒索軟件帝國(guó)的發(fā)展及最活躍的犯罪集團(tuán):Conti、OldGremline、LockBit、Hive、REvil。讀者將詳細(xì)了解勒索軟件的歷史、運(yùn)營(yíng)者使用的戰(zhàn)術(shù)和技術(shù),以及如何調(diào)查這些攻擊。這本書對(duì)于數(shù)字取證、事件響應(yīng)、主動(dòng)威脅搜尋、網(wǎng)絡(luò)情報(bào)以及相關(guān)領(lǐng)域的專業(yè)人士來說都是必不可少的。
Group-IB
人為操控的勒索軟件攻擊徹底改變了現(xiàn)代威脅格局,成為許多組織面臨的主要威脅——這也是為什么各類組織都在提高警惕并準(zhǔn)備應(yīng)對(duì)此類事件的原因。
這本書將帶你了解現(xiàn)代勒索軟件攻擊的世界。書中特別關(guān)注基于威脅情報(bào)分析的主動(dòng)防御方法,幫助應(yīng)對(duì)和防范此類攻擊。
這本書將吸引廣泛的技術(shù)專家——從學(xué)習(xí)網(wǎng)絡(luò)安全的學(xué)生,到中小企業(yè)的系統(tǒng)和網(wǎng)絡(luò)管理員,甚至是希望深入了解人為操控勒索軟件攻擊的事件響應(yīng)專家和網(wǎng)絡(luò)威脅分析師。
第一章《現(xiàn)代勒索軟件攻擊的歷史》介紹了人為操控勒索軟件攻擊的世界及其歷史。
第二章《現(xiàn)代勒索軟件攻擊的生命周期》簡(jiǎn)要描述了現(xiàn)代攻擊者在勒索軟件攻擊中的行為方式。
第三章《事件響應(yīng)流程》描述了應(yīng)對(duì)勒索軟件攻擊相關(guān)事件的響應(yīng)流程。
第四章《網(wǎng)絡(luò)情報(bào)與勒索軟件》概述了關(guān)于勒索軟件攻擊的網(wǎng)絡(luò)情報(bào)。
第五章《勒索軟件團(tuán)伙的戰(zhàn)術(shù)、技術(shù)和程序》詳細(xì)描述了勒索軟件攻擊者常用的戰(zhàn)術(shù)、技術(shù)、方法和工具。
第六章《勒索軟件相關(guān)的威脅情報(bào)數(shù)據(jù)收集》概述了收集勒索軟件攻擊相關(guān)情報(bào)的不同來源和方法。
第七章《數(shù)字取證證據(jù)及其主要來源》概述了響應(yīng)事件時(shí)可用于重建攻擊生命周期的各種取證證據(jù)來源。
第八章《初始訪問方法》提供了關(guān)于攻擊者使用的初始訪問方法的實(shí)用研究。
第九章《后利用方法》討論了攻擊者使用的各種后利用方法。
第十章《數(shù)據(jù)竊取方法》研究了使用的數(shù)據(jù)竊取方法。
第十一章《勒索軟件部署方法》研究了勒索軟件的不同部署方法。
第十二章《統(tǒng)一的勒索軟件攻擊生命周期》描述了攻擊生命周期的獨(dú)特概念,以及勒索軟件的使用。
勒索軟件攻擊已經(jīng)成為2020年繼COVID-19之后的第二次大流行的攻擊方式——不幸的是,它還在繼續(xù)發(fā)展。一些攻擊者停止了活動(dòng),但很快就會(huì)有新一代網(wǎng)絡(luò)犯罪分子填補(bǔ)他們的位置。
現(xiàn)在這些攻擊已經(jīng)廣為人知,但它們?cè)缭谥腤annaCry和NotPetya勒索軟件爆發(fā)之前就已經(jīng)開始了。與不受控制的勒索軟件不同,這些勒索軟件由不同的運(yùn)營(yíng)商及其同伙操控。對(duì)IT基礎(chǔ)設(shè)施漏洞的詳細(xì)偵察及其為部署勒索軟件的準(zhǔn)備工作可以為網(wǎng)絡(luò)犯罪分子帶來數(shù)百萬(wàn)美元的加密貨幣收入。
有很多著名的勒索軟件攻擊案例。在本章中,我們將重點(diǎn)討論幾個(gè)具有歷史意義的重要案例,包括現(xiàn)代IT環(huán)境中最具代表性的威脅——勒索軟件即服務(wù)。
我們將討論以下案例:
SamSam運(yùn)營(yíng)商于2016年初出現(xiàn),徹底改變了勒索軟件威脅格局。他們的目標(biāo)不是普通用戶和單個(gè)設(shè)備,而是通過手動(dòng)操作攻擊各種公司,滲透網(wǎng)絡(luò),盡可能多地加密設(shè)備,包括那些包含最重要數(shù)據(jù)的設(shè)備。
攻擊目標(biāo)范圍廣泛,包括醫(yī)療和教育領(lǐng)域的企業(yè),甚至整個(gè)城市。一個(gè)典型的例子是2018年3月遭受攻擊的喬治亞州亞特蘭大市,恢復(fù)基礎(chǔ)設(shè)施的成本約為270萬(wàn)美元。
通常,攻擊者利用公開應(yīng)用程序中的漏洞,例如JBOSS系統(tǒng),或者通過猜測(cè)RDP服務(wù)器的密碼來獲得對(duì)目標(biāo)網(wǎng)絡(luò)的初始訪問權(quán)。為了獲得更高的訪問權(quán)限,他們使用了一系列常見的黑客工具和漏洞利用程序,包括臭名昭著的Mimikatz,該工具可以獲取域管理員的憑證。之后,SamSam運(yùn)營(yíng)商掃描內(nèi)網(wǎng)收集可用主機(jī)的信息,將勒索軟件復(fù)制到每臺(tái)主機(jī)上,并使用另一個(gè)常用的雙重用途工具PsExec運(yùn)行它。
圖片 1.1:SamSam勒索信息示例
攻擊者使用暗網(wǎng)中的支付網(wǎng)站。受害者收到勒索軟件生成的贖金要求和解密信息的通知(見圖1.1)。
根據(jù)Sophos的數(shù)據(jù),2016年至2018年間,攻擊者賺取了約600萬(wàn)美元(來源:https://www.sophos.com/en-us/medialibrary/PDFs/technical-papers/SamSam-The-Almost-Six-Million-Dollar-Ransomware.pdf)。
2018年11月28日,F(xiàn)BI公開了起訴書,指控Faramarz Shahi Savandi和Mohammad Mehdi Shah Mansouri參與了SamSam勒索軟件的國(guó)際傳播。
圖片 1.2:FBI通緝海報(bào)片段
這兩名嫌疑人來自伊朗。起訴書公布后,這些罪犯至少以SamSam的名義結(jié)束了他們的犯罪活動(dòng)。
SamSam案件表明,對(duì)公司進(jìn)行勒索軟件攻擊可能非常有利可圖,隨之出現(xiàn)了新的類似犯罪團(tuán)伙。其中一個(gè)例子是BitPaymer勒索軟件。
BitPaymer勒索軟件與Evil Corp有關(guān),這是一家被認(rèn)為源自俄羅斯的網(wǎng)絡(luò)犯罪組織。這個(gè)勒索軟件標(biāo)志著人為操控攻擊的新趨勢(shì)——獵殺大型目標(biāo)。
一切始于2017年8月,當(dāng)時(shí)BitPaymer的運(yùn)營(yíng)者成功攻擊了幾家NHS Lanarkshire的醫(yī)院,并要求高達(dá)23萬(wàn)美元的贖金(53比特幣)。
為了獲得初始訪問權(quán)限,該組織使用了其長(zhǎng)期使用的工具——Dridex木馬。木馬允許攻擊者加載PowerShell Empire,一個(gè)流行的后期利用框架,以便在網(wǎng)絡(luò)中橫向移動(dòng)并獲取高級(jí)權(quán)限,包括使用Mimikatz,就像SamSam的運(yùn)營(yíng)者一樣。罪犯利用組策略修改在整個(gè)企業(yè)中部署勒索軟件,這使他們能夠向每個(gè)主機(jī)發(fā)送腳本以啟動(dòng)勒索軟件的實(shí)例。
攻擊者通過電子郵件和在線聊天與受害者溝通。
圖片 1.3:BitPaymer勒索信息示例
2019年6月,基于BitPaymer的新勒索軟件DoppelPaymer出現(xiàn)。據(jù)稱它由Evil Corp的一個(gè)子集團(tuán)管理 。
2019年11月13日,F(xiàn)BI發(fā)布了一個(gè)聲明,指控Maxim Viktorovich Yakubets和Igor Olegovich Turashev操作Dridex木馬。
圖片 1.4:FBI通緝海報(bào)片段
Maxim Viktorovich Yakubets目前因多項(xiàng)網(wǎng)絡(luò)犯罪指控被通緝。據(jù)報(bào)道,懸賞500萬(wàn)美元捉拿他。
當(dāng)然,Dridex并不是唯一用于人為操控勒索軟件攻擊的木馬。另一個(gè)顯著的例子是與Ryuk勒索軟件密切相關(guān)的Trickbot。
Ryuk勒索軟件將大型獵物的捕獵提升到了一個(gè)新的水平。這種勒索軟件與Trickbot組織(也稱為Wizard Spider)有關(guān),并且至今仍然活躍。
根據(jù)AdvIntel的數(shù)據(jù),該組織在其歷史上攻擊了各種組織,賺取了至少1.5億美元(來源:https://www.advanced-intel.com/post/crime-laundering-primer-inside-ryuk-crime-crypto-ledger-risky-asian-crypto-traders) 。
某些時(shí)候,Ryuk被稱為三重威脅,因?yàn)楦腥就ǔ腅motet木馬開始,然后下載Trickbot,后者用于加載后期利用工具和最終部署勒索軟件。通常,Trickbot用于加載PowerShell Empire代理或Cobalt Strike Beacon,這是另一個(gè)非常流行的后期利用框架的一部分。
最近,該團(tuán)伙改變了工具集,開始使用一種名為Bazar的新木馬。值得注意的是,他們開始使用“vishing”(語(yǔ)音釣魚)。釣魚郵件不包含惡意文件或鏈接,而僅包含虛假的付費(fèi)訂閱信息和一個(gè)電話號(hào)碼,用于取消訂閱。如果受害者撥打了電話,操作員會(huì)指導(dǎo)他們下載惡意的Microsoft Office文件,打開并啟用宏,從而感染計(jì)算機(jī)Bazar木馬。與Trickbot一樣,該木馬用于加載和運(yùn)行后期利用框架——通常是Cobalt Strike。
攻擊者使用了多種方法來啟動(dòng)Ryuk,包括前面提到的PsExec和組策略修改。起初,他們提供電子郵件地址以便受害者與他們聯(lián)系,但很快就開始使用Tor的洋蔥服務(wù)。
https://www.advanced-intel.com/post/crime-laundering-primer-inside-ryuk-crime-crypto-ledger-risky-asian-crypto-traders
圖1.5. 贖金消息中的指示[3]
Ryuk勒索軟件的運(yùn)營(yíng)者仍然活躍,根據(jù)AdvIntel和HYAS的數(shù)據(jù),他們已經(jīng)賺取了超過1.5億美元(來源:https://www.advanced-intel.com/post/crime-laundering-primer-inside-ryuk-crime-crypto-ledger-risky-asian-crypto-traders)。
2021年6月4日,F(xiàn)BI公布了一份文件,指控Alla Witte(也稱為Max)與負(fù)責(zé)創(chuàng)建和傳播Trickbot木馬的跨國(guó)組織有關(guān)。
一些與Ryuk相關(guān)的人是Emotet僵尸網(wǎng)絡(luò)的運(yùn)營(yíng)者。他們?cè)?021年1月被荷蘭、德國(guó)、美國(guó)、英國(guó)、法國(guó)、立陶宛、加拿大和烏克蘭的執(zhí)法部門聯(lián)合行動(dòng)中逮捕。最終當(dāng)局完全控制了僵尸網(wǎng)絡(luò)的基礎(chǔ)設(shè)施。
圖1.6. Emotet運(yùn)營(yíng)者的工作環(huán)境
盡管攻擊者被逮捕,但“勒索游戲”吸引了越來越多的網(wǎng)絡(luò)犯罪分子。因此,出現(xiàn)了另一個(gè)現(xiàn)象——勒索軟件即服務(wù)。
2019年是勒索軟件即服務(wù)(RaaS)流行的一年,至今它仍然是主要趨勢(shì)。許多勒索軟件開發(fā)者開始向各種攻擊者提供他們的產(chǎn)品,以換取贖金的一部分。
REvil、LockBit、Ragnar Locker、Nefilim只是一些通過勒索軟件即服務(wù)模型傳播的勒索軟件家族。即使多個(gè)攻擊者使用相同類型的勒索軟件,他們的策略、技術(shù)和程序也可能非常不同。
然而,目前許多攻擊者使用同樣的方法:在實(shí)際部署勒索軟件之前提取數(shù)據(jù)。這一趨勢(shì)由2019年的Maze勒索軟件運(yùn)營(yíng)者設(shè)立。目前幾乎所有實(shí)施類似攻擊的攻擊者都有自己的網(wǎng)站泄露數(shù)據(jù)(Data Leak Site, DLS)。
以下是DoppelPaymer勒索軟件運(yùn)營(yíng)中使用的DLS示例。
圖1.7. DoppelPaymer的DLS[4]
通常,攻擊的發(fā)起者不會(huì)親自管理整個(gè)攻擊生命周期,而是利用其他攻擊者的服務(wù)。例如,他們可能與初始訪問經(jīng)紀(jì)人合作,這些經(jīng)紀(jì)人允許他們進(jìn)入被攻破的公司網(wǎng)絡(luò)。在某些情況下,他們可能會(huì)支付專業(yè)的滲透測(cè)試人員(pentesters)以提升權(quán)限或繞過保護(hù)措施,以便在整個(gè)企業(yè)范圍內(nèi)無縫地啟動(dòng)勒索軟件。
參與該項(xiàng)目的攻擊者可以從贖金中獲得不同份額。通常,開發(fā)者獲得約20%,攻擊的發(fā)起者獲得約50%,初始訪問經(jīng)紀(jì)人獲得10%,其余部分歸輔助攻擊者,例如滲透測(cè)試員或談判人員。
勒索軟件即服務(wù)目前非常普遍。根據(jù)Group-IB Ransomware Uncovered 2020/2021報(bào)告(https://www.group-ib.com/resources/research-hub/ransomware-2021/),2020年64%的勒索軟件攻擊是由與RaaS相關(guān)的人員實(shí)施的。
與NetWalker勒索軟件相關(guān)的一個(gè)人,Sebastien Vachon-Desjardins,加拿大公民,于2021年1月被指控。他據(jù)稱通過勒索賺取了超過2760萬(wàn)美元。
另一個(gè)例子是與Egregor勒索軟件相關(guān)的兩個(gè)人,他們?cè)诜▏?guó)當(dāng)局的幫助下被捕,通過跟蹤付給他們的贖金支付。還有一個(gè)例子是與Clop勒索軟件相關(guān)的人,他們幫助攻擊者洗錢,也在2021年6月被捕。
因此,勒索軟件即服務(wù)使許多網(wǎng)絡(luò)犯罪分子——甚至那些缺乏技能和資源的人——加入了“勒索游戲”。這是使人類驅(qū)動(dòng)的勒索軟件攻擊成為網(wǎng)絡(luò)大流行的一個(gè)重要因素。
在本章中,您了解了現(xiàn)代勒索軟件攻擊的歷史,并對(duì)攻擊者的策略、技術(shù)和程序、他們的商業(yè)模式——甚至一些幕后人物有了一些了解。
https://www.group-ib.com/resources/research-hub/ransomware-2021/
在下一章中,我們將深入了解與勒索軟件相關(guān)的現(xiàn)代威脅圖景,并專注于攻擊的生命周期——從初始訪問到實(shí)際部署勒索軟件。
使用勒索軟件的攻擊可能非常復(fù)雜,特別是當(dāng)涉及大型企業(yè)時(shí)。因此,在深入了解技術(shù)細(xì)節(jié)之前,了解典型攻擊的生命周期非常重要。了解攻擊的生命周期有助于安全專業(yè)人員正確重建事件并在各個(gè)階段做出正確的響應(yīng)決策。
如您從第1章“現(xiàn)代勒索軟件攻擊的歷史”中所知,勒索軟件即服務(wù)可以由一群人或一系列個(gè)別攻擊者管理。這意味著策略、技術(shù)和程序可能會(huì)有很大不同,但在大多數(shù)情況下,攻擊生命周期大致相同,因?yàn)楣粽咄ǔS袃蓚€(gè)主要目標(biāo)——從目標(biāo)網(wǎng)絡(luò)中竊取機(jī)密信息并在企業(yè)范圍內(nèi)部署勒索軟件。
在本章中,我們將簡(jiǎn)要討論人類驅(qū)動(dòng)的勒索軟件攻擊的各個(gè)階段,以形成對(duì)這些攻擊生命周期的清晰理解,并準(zhǔn)備好深入技術(shù)細(xì)節(jié)。
本章將討論以下主題:
任何攻擊都從獲得初始訪問開始。這可以通過連接到內(nèi)部網(wǎng)絡(luò)的VPN、通過有針對(duì)性的釣魚傳播的木馬、通過入侵公共應(yīng)用程序的web接口,甚至通過供應(yīng)鏈攻擊(另一個(gè)術(shù)語(yǔ)是第三方攻擊)來實(shí)現(xiàn)。
三種最常見的初始攻擊向量是通過遠(yuǎn)程桌面協(xié)議(RDP)獲得訪問權(quán)限、有針對(duì)性的釣魚和利用軟件漏洞。
以下是Coveware收集的截至2021年第二季度最常見的勒索軟件攻擊向量的統(tǒng)計(jì)數(shù)據(jù)(來源:https://www.coveware.com/blog/2021/7/23/q2-ransom-payment-amounts-decline-as-ransomware-becomes-a-national-security-priority)。
圖2.1. Coveware認(rèn)為的最常見勒索軟件攻擊向量
我們將詳細(xì)探討每一個(gè),并輔以示例。
多年來,RDP一直是攻擊者訪問目標(biāo)網(wǎng)絡(luò)的最常見方式。從第1章“現(xiàn)代勒索軟件攻擊的歷史”中,您已經(jīng)知道其被SamSam運(yùn)營(yíng)者使用。當(dāng)然,SamSam不是唯一的例子。目前,許多攻擊者都使用這個(gè)向量——包括偶爾為之的攻擊者,如Dharma勒索軟件運(yùn)營(yíng)者,以及有目標(biāo)的組織團(tuán)伙,如REvil。
大流行加劇了這種情況——許多公司為員工提供遠(yuǎn)程工作機(jī)會(huì),不得不開放他們的服務(wù)器,成為各種攻擊者的目標(biāo),包括勒索軟件運(yùn)營(yíng)者。
例如,通過Shodan搜索工具公開的端口3389(RDP的默認(rèn)端口)可以看到數(shù)百萬(wàn)臺(tái)設(shè)備。
圖2.2. 端口3389開放的設(shè)備數(shù)量
簡(jiǎn)單的搜索就能返回?cái)?shù)百萬(wàn)結(jié)果——這就是為什么這個(gè)初始攻擊向量在勒索軟件運(yùn)營(yíng)者中如此受歡迎的原因之一。
在實(shí)踐中,攻擊者不一定親自攻擊這些服務(wù)器,他們可能只是購(gòu)買對(duì)它們的訪問權(quán)限。勒索軟件即服務(wù)的運(yùn)營(yíng)者不僅可以租用勒索軟件,還可以從所謂的初始訪問經(jīng)紀(jì)人那里購(gòu)買企業(yè)網(wǎng)絡(luò)訪問權(quán)限。這些經(jīng)紀(jì)人通常不參與后期利用階段,更常見的是,他們以分成的形式(通常約為贖金的10%)出售或分享初始訪問權(quán)限。
有時(shí)勒索軟件運(yùn)營(yíng)者甚至?xí)诘叵抡搲习l(fā)帖,吸引初始訪問經(jīng)紀(jì)人的注意。例如,Crylock勒索軟件運(yùn)營(yíng)者發(fā)布了一條消息,表明他們有意購(gòu)買各種類型的企業(yè)網(wǎng)絡(luò)訪問權(quán)限。
圖2.3. 地下論壇上的帖子
我們接下來將討論另一個(gè)非常流行的初始攻擊向量——有針對(duì)性的釣魚。
有針對(duì)性的釣魚涉及使用社會(huì)工程學(xué)。攻擊者操縱用戶打開惡意附件或點(diǎn)擊危險(xiǎn)鏈接,從而獲取可用于獲得VPN訪問權(quán)限的憑證,或如您從第1章“現(xiàn)代勒索軟件攻擊的歷史”中所知,用于感染設(shè)備的木馬程序。起初,許多攻擊者使用這些惡意軟件進(jìn)行銀行欺詐,但它們也用于獲得企業(yè)網(wǎng)絡(luò)的初始訪問權(quán)限。
最常見的此類木馬例子包括:
當(dāng)然,這不是一個(gè)完整的列表——這里只列出了最常見的為勒索軟件運(yùn)營(yíng)者鋪平道路的工具。
通常,這些木馬的運(yùn)營(yíng)者會(huì)進(jìn)行大規(guī)模的垃圾郵件活動(dòng),主要針對(duì)企業(yè)用戶。最常見的做法是使用郵件鏈劫持——攻擊者從被攻破的電子郵件地址發(fā)送惡意文件作為對(duì)真實(shí)郵件的回復(fù)。
圖2.4. Qakbot運(yùn)營(yíng)者的郵件鏈劫持示例5
在某些情況下,攻擊者會(huì)使用更復(fù)雜的方法:如第1章“現(xiàn)代勒索軟件攻擊的歷史”中所述,BazarLoader的運(yùn)營(yíng)者也使用了語(yǔ)音釣魚(vishing)。
以下是此類釣魚郵件的示例。
https://mybook.ru/author/oleg-skulkin/shifrovalshiki-kak-reagirovat-na-ataki-s-ispolzova/Text/link.html
圖2.5. 用于傳播BazarLoader的釣魚郵件示例6
如您所見,這種情況下沒有惡意附件。相反,攻擊者要求受害者不要回復(fù)郵件,而是致電虛假公司以取消訂閱。
如果受害者撥打電話,虛假的呼叫中心工作人員會(huì)引導(dǎo)他們?cè)L問網(wǎng)站,自行打開惡意文檔并啟用宏,以便下載并運(yùn)行BazarLoader。
我們將在后面的章節(jié)中討論這些木馬的啟動(dòng)和隱藏技術(shù)細(xì)節(jié),但請(qǐng)記住,攻擊者可以使用這些木馬在被攻破的主機(jī)上下載其他工具,以進(jìn)行后期利用步驟并獲得特權(quán)賬戶以在網(wǎng)絡(luò)中推進(jìn)。
在我們總結(jié)初始攻擊向量的討論之前,我們將回顧一些允許勒索軟件運(yùn)營(yíng)者獲得網(wǎng)絡(luò)訪問權(quán)限的軟件漏洞。
軟件漏洞讓許多初始訪問經(jīng)紀(jì)人賺取了數(shù)十萬(wàn)美元,但通過勒索軟件即服務(wù)賺取了數(shù)百萬(wàn)美元。
當(dāng)然,不是每個(gè)漏洞都能讓攻擊者獲得網(wǎng)絡(luò)的初始訪問權(quán)限。最常用的漏洞是那些允許遠(yuǎn)程執(zhí)行代碼或獲取憑證文件的漏洞。
一個(gè)很好的漏洞例子是Pulse Secure VPN應(yīng)用程序。例如,CVE-2019-11510漏洞允許攻擊者獲取易受攻擊設(shè)備的用戶名和未加密密碼,以用于訪問網(wǎng)絡(luò)。
另一個(gè)在勒索軟件運(yùn)營(yíng)者中流行的漏洞是FortiGate VPN服務(wù)器中的CVE-2018-13379漏洞。它也允許攻擊者讀取未加密的憑證文件。
Citrix ADC和Gateway中的CVE-2019-19781漏洞也被許多勒索軟件團(tuán)伙廣泛利用——它允許攻擊者遠(yuǎn)程上傳和執(zhí)行惡意代碼并執(zhí)行其他后期利用操作。
另一個(gè)例子是Accellion Legacy File Transfer Appliance中的多個(gè)漏洞,包括CVE-2021-27101、CVE-2021-27102、CVE-2021-27103和CVE-2021-27104,被Clop勒索軟件團(tuán)伙利用。
最后,在某些情況下,攻擊者甚至能夠利用零日漏洞——這些是系統(tǒng)或設(shè)備中已知但尚未修復(fù)的漏洞。2021年7月,REvil團(tuán)伙成功利用了Kaseya VSA遠(yuǎn)程管理服務(wù)中的多個(gè)漏洞,并啟動(dòng)了惡意更新包,導(dǎo)致勒索軟件的部署。這次攻擊影響了許多Kaseya的客戶,包括綜合IT基礎(chǔ)設(shè)施管理服務(wù)提供商,因此攻擊者要求了巨額贖金——7000萬(wàn)美元。
圖2.6. REvil攻擊DLS的相關(guān)信息7
當(dāng)然,獲得網(wǎng)絡(luò)的初始訪問權(quán)限只是第一步。在大多數(shù)情況下,攻擊者需要提升權(quán)限、獲取憑證、進(jìn)行網(wǎng)絡(luò)偵察和其他后期利用操作。
訪問網(wǎng)絡(luò)只是工作的一半。在許多情況下,攻擊者對(duì)網(wǎng)絡(luò)不夠了解,只能訪問有限權(quán)限的賬戶,無法禁用安全控制措施并在網(wǎng)絡(luò)中推進(jìn)以獲取機(jī)密數(shù)據(jù)和部署勒索軟件。
后期利用操作取決于訪問類型。例如,如果攻擊者有VPN訪問權(quán)限,他們可以掃描網(wǎng)絡(luò)中的漏洞,以確保在網(wǎng)絡(luò)中的推進(jìn)。
不要驚訝——臭名昭著的EternalBlue漏洞(CVE-2017-0144)在許多企業(yè)網(wǎng)絡(luò)中仍然非常普遍,包括一些大型企業(yè)。
另一個(gè)廣泛用于勒索軟件運(yùn)營(yíng)者的漏洞是Zerologon(CVE-2020-1472)。它允許攻擊者在幾次點(diǎn)擊內(nèi)訪問域控制器。
使用各種木馬的攻擊者通常從使用Windows內(nèi)置服務(wù)(如net.exe、nltest等)進(jìn)行網(wǎng)絡(luò)和Active Directory目錄服務(wù)的診斷開始,然后使用第三方工具加載到被攻破的主機(jī)上。最常見的工具包括:
https://mybook.ru/author/oleg-skulkin/shifrovalshiki-kak-reagirovat-na-ataki-s-ispolzova/Text/link.html
這些工具允許收集有關(guān)用戶和組、計(jì)算機(jī)、子網(wǎng)、域權(quán)限和Active Directory內(nèi)信任關(guān)系的信息。
如果攻擊者通過RDP訪問被攻破的節(jié)點(diǎn),他們通常使用各種工具——從網(wǎng)絡(luò)掃描器到密碼轉(zhuǎn)儲(chǔ)器。以下是一些最常用的工具:
在某些情況下,特別是當(dāng)攻擊者已經(jīng)有了服務(wù)器的初始訪問權(quán)限時(shí),他們幾乎可以立即通過加載工具集的一部分來獲取提升權(quán)限的賬戶憑證,例如創(chuàng)建LSASS(Local Security Authority Subsystem Service)進(jìn)程內(nèi)存的快照。
另一個(gè)現(xiàn)代勒索軟件攻擊的典型特點(diǎn)是廣泛使用各種后期利用框架。我?guī)缀蹩梢钥隙懵犝f過Cobalt Strike。這是最廣泛使用的框架,不僅被網(wǎng)絡(luò)犯罪分子使用,還被國(guó)家支持的黑客使用。
但這只是一個(gè)例子。在響應(yīng)勒索軟件攻擊時(shí),您還可能遇到:
這些服務(wù)使勒索軟件運(yùn)營(yíng)者能夠解決各種任務(wù):掃描網(wǎng)絡(luò)、提升權(quán)限、轉(zhuǎn)儲(chǔ)憑證、加載和運(yùn)行第三方工具和腳本、使用各種方法在網(wǎng)絡(luò)中橫向移動(dòng)等。
另一個(gè)重要的步驟是確保后備訪問。具體來說,他們可能會(huì)傳播已經(jīng)用于獲得初始訪問權(quán)限的木馬、在遠(yuǎn)程主機(jī)上啟動(dòng)后期利用框架組件,甚至在某些服務(wù)器上安裝合法的遠(yuǎn)程訪問軟件,如TeamViewer。
一旦攻擊者對(duì)他們侵入的網(wǎng)絡(luò)有了足夠的了解并獲得了提升的權(quán)限,他們就可以開始實(shí)現(xiàn)主要目標(biāo)——數(shù)據(jù)盜竊和勒索軟件部署。
數(shù)據(jù)盜竊有時(shí)被稱為數(shù)據(jù)泄露、數(shù)據(jù)導(dǎo)出或數(shù)據(jù)外流,它在勒索軟件運(yùn)營(yíng)者中非常流行。幾乎所有與人類驅(qū)動(dòng)的勒索軟件攻擊有關(guān)的攻擊者都有自己的網(wǎng)站泄露數(shù)據(jù)(Data Leak Site, DLS)。他們?cè)谶@些網(wǎng)站上發(fā)布有關(guān)成功攻擊的信息——甚至在公司拒絕支付贖金時(shí)發(fā)布被盜數(shù)據(jù)。
被盜數(shù)據(jù)的量可以有很大差異。在某些情況下,這只是幾個(gè)GB的數(shù)據(jù),而在其他情況下可能達(dá)到TB級(jí)別。外流的數(shù)據(jù)可能包括信用卡信息、社會(huì)安全號(hào)碼(SSN)、個(gè)人身份信息(PII)、受保護(hù)的健康信息(PHI)和國(guó)家醫(yī)療服務(wù)提供者標(biāo)識(shí)符(NPI),以及公司的私密和機(jī)密信息。
下圖展示了Conti勒索軟件使用的DLS示例。
圖2.7. Conti勒索軟件的DLS8
大多數(shù)此類網(wǎng)站位于暗網(wǎng),通常通過Tor瀏覽器訪問。如果您想使用普通的Web瀏覽器跟蹤這些網(wǎng)站的變化,建議使用Ransomwatch項(xiàng)目(https://www.ransomwatch.org/)。該網(wǎng)站自動(dòng)捕獲并發(fā)布各種勒索軟件運(yùn)營(yíng)者DLS的截圖。
攻擊者可能會(huì)花費(fèi)相當(dāng)長(zhǎng)的時(shí)間從被攻破的網(wǎng)絡(luò)中提取數(shù)據(jù)——有時(shí)長(zhǎng)達(dá)幾個(gè)月。在此期間,他們可能會(huì)找到最機(jī)密的數(shù)據(jù),并確保額外的遠(yuǎn)程訪問手段,以防止初始訪問方法被揭露和封鎖。
通常有兩種數(shù)據(jù)外流方法。第一種情況下,攻擊者可能會(huì)為此目的設(shè)置一個(gè)服務(wù)器或使用發(fā)起攻擊的服務(wù)器,例如,通過后期利用框架。
在這種情況下,攻擊者通常使用合法的工具(如WinSCP或FileZilla)進(jìn)行數(shù)據(jù)盜竊。檢測(cè)這些工具可能非常困難,尤其是如果公司的安全團(tuán)隊(duì)沒有專門的威脅監(jiān)控組。
通常數(shù)據(jù)需要先被收集,但在某些情況下,可以直接從文件服務(wù)器中提取數(shù)據(jù)而無需歸檔。
另一種方法是使用公共云存儲(chǔ)服務(wù),如MEGA、DropMeFiles等。攻擊者可以使用這些存儲(chǔ)服務(wù)在他們的DLS上發(fā)布數(shù)據(jù)。
以下是Everest勒索軟件運(yùn)營(yíng)者盜取的數(shù)據(jù)上傳至DropMeFiles的示例。
圖2.8. Everest勒索軟件運(yùn)營(yíng)者發(fā)布的被盜數(shù)據(jù)
為了以這種方式上傳數(shù)據(jù),攻擊者可以使用普通的Web瀏覽器,或在某些情況下使用相應(yīng)的客戶端應(yīng)用程序。例如,Nefilim勒索軟件的運(yùn)營(yíng)者在目標(biāo)主機(jī)上安裝了MEGAsync來上傳數(shù)據(jù)。
另一個(gè)明顯的例子是Mount Locker的合作伙伴使用Amazon S3存儲(chǔ)來竊取收集到的數(shù)據(jù)。AWS和其他云解決方案對(duì)于大規(guī)模的數(shù)據(jù)盜竊非常有幫助,因此在沒有適當(dāng)管理和監(jiān)督的情況下使用這些解決方案對(duì)攻擊者非常有利。
一旦所有機(jī)密數(shù)據(jù)(至少?gòu)墓粽叩慕嵌葋砜矗┍惶崛〕鰜恚芎φ叩木W(wǎng)絡(luò)就可以準(zhǔn)備部署勒索軟件了。
您認(rèn)為勒索軟件運(yùn)營(yíng)者的最大敵人是誰(shuí)?沒錯(cuò),是備份——如果它們受到保護(hù)并存放在安全的地方。但它們有一個(gè)顯著的弱點(diǎn)——攻擊者可以刪除它們。
不幸的是,系統(tǒng)管理員經(jīng)常忘記3-2-1規(guī)則(3份備份存儲(chǔ)在2種不同的介質(zhì)上,其中1份存放在異地),也忘記了為備份服務(wù)器使用單獨(dú)的賬戶并啟用多因素認(rèn)證的必要性。如今,妥善保護(hù)備份不僅對(duì)于防止勒索軟件至關(guān)重要,而且對(duì)于企業(yè)遵守行業(yè)法規(guī)也至關(guān)重要。
如果沒有足夠的安全措施,攻擊者可以輕易訪問備份服務(wù)器并刪除所有可用的備份。在這種情況下,受害公司別無選擇,只能支付贖金。
一些勒索軟件內(nèi)置了刪除典型備份解決方案文件擴(kuò)展名的功能。例如,TinyCryptor刪除的備份文件擴(kuò)展名列表如下:
您可能知道,Windows操作系統(tǒng)內(nèi)置了一個(gè)名為卷影復(fù)制服務(wù)(Volume Shadow Copy Service)的備份機(jī)制。它創(chuàng)建文件甚至卷的備份,使用戶可以將數(shù)據(jù)恢復(fù)到以前的狀態(tài)。
當(dāng)然,勒索軟件運(yùn)營(yíng)者注意到了Windows的這一功能——大多數(shù)勒索軟件都會(huì)禁用它并刪除所有可用的卷影副本。
備份并不是勒索軟件運(yùn)營(yíng)者唯一的敵人。另一個(gè)敵人是可以有效阻止勒索軟件執(zhí)行的安全軟件——當(dāng)然,如果它們正常運(yùn)行的話。
攻擊者可以將勒索軟件添加到排除列表中,或者直接禁用現(xiàn)有的安全軟件。在這一步,攻擊者通常已經(jīng)擁有了域管理員權(quán)限,因此他們可以部署批處理腳本,操作組策略來達(dá)到目的。當(dāng)然,這不是唯一的方法——也可以通過安全軟件的控制臺(tái)界面禁用它。
勒索軟件部署的方法有很多,包括修改組策略、使用PsExec,甚至手動(dòng)復(fù)制和啟動(dòng)——這取決于網(wǎng)絡(luò)犯罪分子的偏好。
另一個(gè)重要的點(diǎn)是系統(tǒng)必須保持可訪問,以便受害者可以收到電子郵件或鏈接與攻擊者聯(lián)系。這就是為什么許多勒索軟件會(huì)將系統(tǒng)文件夾添加到排除列表中的原因。以下是Darkside勒索軟件排除列表中的文件夾:
有趣的是,排除列表中包含了tor browser文件夾。因?yàn)镈arkside有一個(gè)暗網(wǎng)中的受害者門戶,只有通過Tor瀏覽器才能訪問。
一旦勒索軟件部署完成,攻擊者就準(zhǔn)備與受害者討論贖金金額。有時(shí)他們會(huì)分別要求解密贖金和刪除被盜數(shù)據(jù)的贖金。
有時(shí)攻擊并不會(huì)到此結(jié)束。例如,眾所周知,與REvil團(tuán)伙有關(guān)的攻擊者會(huì)對(duì)拒絕付款的受害者進(jìn)行DDoS攻擊。
現(xiàn)在您對(duì)典型的勒索軟件攻擊階段有了清晰的理解。盡管在戰(zhàn)術(shù)、技術(shù)和程序方面這些攻擊可能有很大差異,但主要目標(biāo)幾乎總是相同的:獲得域的完全控制,竊取最有價(jià)值的機(jī)密數(shù)據(jù),并部署勒索軟件。
在下一章中,我們將探討事件響應(yīng)過程及其應(yīng)對(duì)現(xiàn)代勒索軟件攻擊的六個(gè)階段。
您已經(jīng)對(duì)現(xiàn)代勒索軟件攻擊有了相當(dāng)了解,因此是時(shí)候探討事件響應(yīng)過程了。分析過程可能看起來有點(diǎn)枯燥,但理解它們非常重要——這將幫助您更快速地響應(yīng)事件。
我們不會(huì)停留在您已經(jīng)知道的事情上。相反,我們將探討美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)開發(fā)的經(jīng)典事件響應(yīng)過程,并結(jié)合勒索軟件攻擊的實(shí)際案例和經(jīng)驗(yàn)進(jìn)行講解。
這個(gè)過程在《計(jì)算機(jī)安全事件處理指南》(Computer Security Incident Handling Guide)中由Paul Cichonski、Tom Millar、Tim Grance和Karen Scarfone提出。至今,全球許多事件響應(yīng)團(tuán)隊(duì)在實(shí)踐中仍然使用它。我不會(huì)在這里復(fù)述這篇文章——我將分享我的意見和經(jīng)驗(yàn),以便您在閱讀或重讀時(shí)能更好地理解它。
在本章中,我們將探討事件響應(yīng)過程的各個(gè)階段,并討論以下主題:
事件準(zhǔn)備是事件響應(yīng)過程中的一個(gè)重要部分。這不僅涉及團(tuán)隊(duì),還涉及被攻擊的IT基礎(chǔ)設(shè)施。想象一下,如果您必須應(yīng)對(duì)一個(gè)與勒索軟件相關(guān)的事件,但您的基礎(chǔ)設(shè)施完全被加密,并且只運(yùn)行基礎(chǔ)級(jí)別的日志記錄和防病毒軟件。聽起來很可怕,但這正是我所調(diào)查的許多事件的實(shí)際情況——公司在受到攻擊之前不會(huì)考慮安全問題。
非常重要的是要認(rèn)識(shí)到您的基礎(chǔ)設(shè)施缺乏安全控制和人員。為此,您不需要等待實(shí)際的事件發(fā)生——在許多情況下,簡(jiǎn)單的滲透測(cè)試就足夠了。
一些公司即使在成功的勒索軟件攻擊之后也不考慮安全問題。一個(gè)顯著的例子是澳大利亞的運(yùn)輸和物流公司Toll Group。2020年2月,該公司遭到Netwalker勒索軟件運(yùn)營(yíng)者的攻擊。5月,Toll Group恢復(fù)正常運(yùn)行,立即又被另一個(gè)團(tuán)伙Nefilim勒索軟件成功攻擊。
如您所見,勒索軟件的世界非常殘酷,因此準(zhǔn)備團(tuán)隊(duì)和IT基礎(chǔ)設(shè)施應(yīng)對(duì)威脅至關(guān)重要。
實(shí)際上,公司不一定需要內(nèi)部的事件響應(yīng)團(tuán)隊(duì)。許多服務(wù)公司提供此類服務(wù),包括識(shí)別和分析威脅,并提供消除威脅的指導(dǎo)。
此外,公司還可以利用外部管理檢測(cè)和響應(yīng)(Managed Detection and Response, MDR)團(tuán)隊(duì)的服務(wù),這些團(tuán)隊(duì)負(fù)責(zé)監(jiān)控和響應(yīng)。
當(dāng)然,如果需要,公司可以在內(nèi)部創(chuàng)建事件響應(yīng)團(tuán)隊(duì),作為安全部門或內(nèi)部安全運(yùn)營(yíng)中心(Security Operations Center, SOC)的一部分。
首先,這種團(tuán)隊(duì)必須具備響應(yīng)事件的能力。以下是具體含義:
在事件響應(yīng)過程中,能夠收集必要的數(shù)據(jù)至關(guān)重要——從單一的運(yùn)行進(jìn)程的工件到完整的事件日志或注冊(cè)表文件。我們一直使用自己的擴(kuò)展檢測(cè)和響應(yīng)(Extended Detection and Response, XDR)解決方案Group-IB MXDR,這是市場(chǎng)上眾多解決方案之一。重要的是,選擇的解決方案能夠監(jiān)控整個(gè)基礎(chǔ)設(shè)施,從任何主機(jī)收集數(shù)據(jù),并在必要時(shí)進(jìn)行主動(dòng)威脅搜索。雖然這些任務(wù)可以通過部署各種腳本來解決,但這種方法可能不太高效,并顯著增加事件響應(yīng)的時(shí)間。
數(shù)據(jù)收集很重要,但分析更重要。XDR數(shù)據(jù)可以節(jié)省大量時(shí)間,但如果不可用,您需要使用各種數(shù)字取證工具,包括商業(yè)和開源工具。這些工具可以提高處理速度,但不幸的是,它們無法加速分析——因?yàn)槔账鬈浖舻姆治觯瓦@些攻擊本身一樣,總是由人來執(zhí)行。另一個(gè)重要的點(diǎn)是,必須訪問良好的威脅情報(bào)來源:這將加快分析速度,并幫助您更好地理解您正在尋找的內(nèi)容。最后,需要進(jìn)行培訓(xùn)。培訓(xùn)可以通過各種形式進(jìn)行:在教練指導(dǎo)下,通過預(yù)錄視頻,借助網(wǎng)絡(luò)研討會(huì)——甚至只是閱讀一份好的威脅報(bào)告或書籍(例如這本書)。
這是一個(gè)非常重要的方面。在事件響應(yīng)團(tuán)隊(duì)中應(yīng)分配職責(zé)——至少一個(gè)人負(fù)責(zé)與管理層的互動(dòng),另一個(gè)人負(fù)責(zé)與技術(shù)人員的溝通。
本節(jié)中寫的內(nèi)容僅適用于內(nèi)部事件響應(yīng)團(tuán)隊(duì)成員,也就是說,您可以與其他團(tuán)隊(duì)溝通并向他們提供IT基礎(chǔ)設(shè)施配置建議。
在事件響應(yīng)過程中,最糟糕的情況是缺乏通訊和空白(或太短)的事件日志。如您所知,在某些情況下,攻擊者在實(shí)際部署勒索軟件之前可能會(huì)在基礎(chǔ)設(shè)施中待上數(shù)周,為了追蹤他們到第一個(gè)被攻破的主機(jī),您需要該期間內(nèi)的所有日志。
這在實(shí)踐中是如何運(yùn)作的?假設(shè)您通過命令jump psexec_psh發(fā)現(xiàn)主機(jī)上運(yùn)行了Cobalt Strike Beacon——這種情況很常見,通常會(huì)記錄創(chuàng)建新服務(wù)的事件ID為7045的系統(tǒng)日志。我們首先關(guān)注的通常是啟動(dòng)源——這并不難找到,例如,通過系統(tǒng)登錄(事件ID 4624)。難題出現(xiàn)在服務(wù)創(chuàng)建兩周前,而您的安全日志僅記錄了最近三天的事件。
另一個(gè)例子是防火墻。防火墻確實(shí)不能阻止0day,但它們可以在事件響應(yīng)中非常有用——當(dāng)然,前提是您保留了需要的時(shí)間段的日志。
我曾處理過一個(gè)案例,我們?cè)谝粋€(gè)小時(shí)內(nèi)確定了所有用于初始訪問的主機(jī)。攻擊者使用目標(biāo)釣魚電子郵件附件獲取初始訪問權(quán)限,但這次他們攻擊了四臺(tái)主機(jī)。我們快速找到其中一臺(tái)主機(jī),因?yàn)樗挥糜诓渴鹄账鬈浖覀儼l(fā)現(xiàn)該主機(jī)在四個(gè)月前被攻破。客戶妥善保存了日志,因此我們能夠回溯四個(gè)月,通過與命令和控制服務(wù)器的通訊識(shí)別其他受感染的主機(jī)。
在我的實(shí)踐中,有一次我們?cè)谝粋€(gè)小時(shí)內(nèi)確定了所有用于初始訪問的主機(jī)。攻擊者通過帶有惡意附件的目標(biāo)釣魚電子郵件獲取了初始訪問權(quán)限,但這次他們攻擊的不止一臺(tái)主機(jī),而是四臺(tái)。我們很快找到了其中一臺(tái),因?yàn)樗挥糜诓渴鹄账鬈浖覀儼l(fā)現(xiàn)這臺(tái)主機(jī)在四個(gè)月前被攻破。我們的客戶很好地保留了日志,因此我們能夠回溯四個(gè)月,通過與命令和控制服務(wù)器的通信識(shí)別出另外三臺(tái)主機(jī)。如果沒有這些日志,查找工作可能會(huì)花費(fèi)更多時(shí)間,而攻擊者也有機(jī)會(huì)改變戰(zhàn)術(shù)、技術(shù)和程序(TTPs),并植入新的后門。
我想你已經(jīng)明白,仔細(xì)保存日志對(duì)于應(yīng)對(duì)任何事件至關(guān)重要。如果你目前還沒有保存日志,一定要實(shí)施日志保存和管理流程。每個(gè)行業(yè)都有自己的規(guī)則和規(guī)定,涉及到日志的保存和管理。一定要查清哪些要求適用于你的組織。
另一個(gè)與基礎(chǔ)設(shè)施相關(guān)的重要方面是技術(shù)安全措施。我之前提到過XDR(擴(kuò)展檢測(cè)和響應(yīng))。你可能會(huì)問,為什么是XDR,而不是市場(chǎng)上的其他許多解決方案?原因在于,XDR可以用于監(jiān)控、威脅搜尋、收集取證數(shù)據(jù),更重要的是,它可以阻止惡意文件并隔離受感染的主機(jī)。當(dāng)然,安全信息和事件管理(SIEM)工具也能提供監(jiān)控、警報(bào)和威脅搜尋功能,但它們不能阻止惡意文件或隔離主機(jī),而這在應(yīng)對(duì)勒索軟件攻擊時(shí)尤為關(guān)鍵。另一方面,SIEM工具可以長(zhǎng)期保存日志,因此如果你處理的是長(zhǎng)期事件,正確配置的SIEM可能發(fā)揮關(guān)鍵作用。
當(dāng)然,這不僅僅是關(guān)于XDR:它只是最現(xiàn)代和有效的防止和應(yīng)對(duì)事件的工具。工具越多,處理事件就越容易。
現(xiàn)在我們來看看威脅檢測(cè)和分析的階段。
這是事件響應(yīng)過程中最重要的兩個(gè)階段。為什么?如果檢測(cè)和分析失敗,很可能你的基礎(chǔ)設(shè)施或客戶的基礎(chǔ)設(shè)施將被某種勒索軟件加密。
有兩種可能的情況:
通常,如果攻擊已經(jīng)發(fā)生,確定你遇到的勒索軟件變種并不難——只需閱讀勒索信息。這些信息通常包含指向門戶網(wǎng)站的鏈接,受害者可以在這些門戶網(wǎng)站上與攻擊者進(jìn)行談判。
圖3.1. BlackMatter勒索軟件的門戶網(wǎng)站
如圖3.1所示,這些門戶網(wǎng)站向受害者提供了大量信息,包括贖金金額、支付細(xì)節(jié)、被盜數(shù)據(jù)——甚至提供測(cè)試解密和聊天支持。但更重要的是,屏幕頂部顯示了勒索軟件家族的名稱——BlackMatter。利用這些信息,你可以繼續(xù)了解該攻擊者通常使用的TTP。
你可以從各種公開來源獲得一些信息,我們將在第6章“收集勒索軟件相關(guān)的網(wǎng)絡(luò)威脅數(shù)據(jù)”中詳細(xì)討論這一點(diǎn)。此外,訪問商業(yè)網(wǎng)絡(luò)威脅分析平臺(tái)也非常有用。
圖3.2. Group-IB威脅情報(bào)平臺(tái)上的BlackMatter檔案
為什么這很方便?這些平臺(tái)包含了關(guān)于勒索軟件的豐富信息,包括戰(zhàn)略、操作和戰(zhàn)術(shù)層面的內(nèi)容。你可以找到關(guān)于勒索軟件TTP的信息,包括它們使用的工具、漏洞等。此外,你還會(huì)看到許多不同的妥協(xié)指標(biāo),如哈希值、文件名和IP地址。最后,通常還有關(guān)于目標(biāo)國(guó)家和行業(yè)的信息。我們將在第4章“網(wǎng)絡(luò)威脅情報(bào)和勒索軟件”中更詳細(xì)地討論這個(gè)主題。
擁有這些信息后,你就可以推測(cè)攻擊者如何獲得初始訪問權(quán)限,并使用了哪些手段來提升權(quán)限、獲取憑證、在網(wǎng)絡(luò)中橫向移動(dòng)等。
讓我們看看我們?cè)谇皫渍轮杏懻撨^的一個(gè)例子——Ryuk勒索軟件。
如果攻擊已經(jīng)發(fā)生并且文件已被加密,你需要找到勒索軟件的部署源及其使用的方法。Ryuk通常從域控制器部署。假設(shè)你很幸運(yùn)找到了具體的控制器,但問題在于,由于日志記錄不足,你無法看到連接到這臺(tái)服務(wù)器的源頭。
然后你分析已有的網(wǎng)絡(luò)威脅信息,發(fā)現(xiàn)與Ryuk相關(guān)的攻擊者通常使用Cobalt Strike、AdFind和Bloodhound等工具,并通過目標(biāo)釣魚郵件獲得初始訪問權(quán)限,傳送Trickbot或BazarLoader。
現(xiàn)在你知道該找什么——勒索軟件運(yùn)營(yíng)者非常喜歡使用各種后期利用框架,如Cobalt Strike,而這些框架通常會(huì)留下大量的痕跡,可以在事件響應(yīng)過程中找到。關(guān)于數(shù)字取證工件的來源,你可以在第7章“數(shù)字取證工件及其主要來源”中了解更多。
重要的是,威脅主體的TTP信息不僅對(duì)于事件響應(yīng)很重要,也對(duì)預(yù)防事件有幫助,因此,如果你或你的團(tuán)隊(duì)成員找到了關(guān)于攻擊者行為的信息,應(yīng)立即調(diào)整安全措施以應(yīng)對(duì)。
讓我們看看當(dāng)攻擊還未發(fā)生時(shí)的情況——勒索軟件尚未部署,但已經(jīng)有一些入侵前兆。它們是什么樣的?
我們已經(jīng)知道,攻擊者通常使用Trickbot或BazarLoader來獲得初始訪問權(quán)限。這意味著我們必須對(duì)任何與這些威脅相關(guān)的事件作出反應(yīng),例如來自防病毒軟件的警報(bào)。即使攻擊已經(jīng)發(fā)生,防病毒軟件也可以有用,因?yàn)楣粽呤褂玫母鞣N工具中有些無法避免被檢測(cè)到。因此,這些警報(bào)可以提示我們?cè)诤笃诶眠^程中攻擊者的行動(dòng)路徑。
此外,隔離工作站(如果可行且不會(huì)影響業(yè)務(wù)流程)并檢查是否有其他未發(fā)現(xiàn)的工件也非常重要。如果你成功發(fā)現(xiàn)并刪除了BazarLoader的變種,內(nèi)存中可能還留有Cobalt Strike Beacon,而威脅主體可能已經(jīng)在網(wǎng)絡(luò)中進(jìn)一步移動(dòng)。
同樣,針對(duì)網(wǎng)絡(luò)或Active Directory的偵查活動(dòng)的痕跡也很重要。如果你發(fā)現(xiàn)了諸如使用AdFind之類的活動(dòng),必須判斷它是否合法并作出反應(yīng)。
這當(dāng)然不是全部例子——我們將在第5章“勒索軟件團(tuán)伙的戰(zhàn)術(shù)、技術(shù)和程序”中更詳細(xì)地討論。
現(xiàn)在我們來談?wù)劧糁啤⑾突謴?fù)。
一旦你了解了所面對(duì)的攻擊類型,就可以采取遏制措施。
最明顯的措施是阻止與命令和控制服務(wù)器的連接。沒有連接,攻擊者很難對(duì)網(wǎng)絡(luò)造成損害——當(dāng)然,前提是他們沒有計(jì)劃執(zhí)行某些任務(wù),比如啟動(dòng)一個(gè)帶有其他命令服務(wù)器地址的后門。
因此,可能需要將整個(gè)網(wǎng)絡(luò)與互聯(lián)網(wǎng)斷開連接。這取決于攻擊的生命周期階段——如果你在攻擊的早期發(fā)現(xiàn)攻擊,隔離整個(gè)網(wǎng)絡(luò)可能是多余的,但如果攻擊者已經(jīng)在你的網(wǎng)絡(luò)中存在一個(gè)月,最好謹(jǐn)慎行事。
許多勒索軟件運(yùn)營(yíng)者使用合法的遠(yuǎn)程訪問應(yīng)用程序,如:
這意味著,一旦你發(fā)現(xiàn)了事件,最好立即阻止這些程序。
如你所知,大多數(shù)攻擊者都會(huì)竊取數(shù)據(jù)。因此,如果你看到勒索軟件前兆的活動(dòng)痕跡,并懷疑攻擊者仍在網(wǎng)絡(luò)中,最好阻止訪問常用的云文件共享服務(wù),如MEGA、DropMeFiles、MediaFire等。
在某些情況下——尤其是當(dāng)你面對(duì)初始訪問時(shí)——隔離受感染的主機(jī)可能已經(jīng)足夠。實(shí)際上,這應(yīng)該在分析階段之前完成,以防止攻擊者在網(wǎng)絡(luò)中進(jìn)一步移動(dòng)。
網(wǎng)絡(luò)犯罪分子總是試圖獲取更高的權(quán)限和有效的賬戶憑證,因此,如果你發(fā)現(xiàn)任何表明賬戶憑證被泄露的證據(jù),應(yīng)立即更改其密碼。
如果你已經(jīng)將攻擊者與被攻破的網(wǎng)絡(luò)隔離,并且沒有新的惡意活動(dòng)痕跡出現(xiàn),可以開始刪除惡意軟件和攻擊者使用的工具。
刪除腳本和不需要安裝的服務(wù)很簡(jiǎn)單。
遠(yuǎn)程訪問工具如TeamViewer有方便的卸載程序,因此從受感染的主機(jī)中刪除它們并不困難。
刪除惡意軟件則稍微復(fù)雜一些。例如,它們可能是無文件的,只存在于內(nèi)存中,不會(huì)在磁盤上留下副本。如果惡意軟件在被感染的系統(tǒng)中保持持久性,這種情況相當(dāng)常見,它將在重新啟動(dòng)后仍然存在于內(nèi)存中。
以下是一些用于勒索軟件攻擊的惡意軟件常用的持久性機(jī)制:
如果你已經(jīng)刪除了惡意軟件,有時(shí)可以不刪除持久性機(jī)制,但這有時(shí)可能導(dǎo)致誤報(bào)威脅。有一次我的客戶發(fā)現(xiàn)了一個(gè)與Cobalt Strike相關(guān)的惡意服務(wù)——我的團(tuán)隊(duì)立即做出了反應(yīng),但很快發(fā)現(xiàn)這只是幾年前客戶團(tuán)隊(duì)處理過的一次攻擊的殘留物。
所以,你已經(jīng)阻止了命令服務(wù)器,修改了泄露賬戶的密碼,刪除了惡意軟件和攻擊者的工具。這樣夠了嗎?你準(zhǔn)備重新啟動(dòng)這個(gè)工作站或服務(wù)器了嗎?如果你百分之百確信一切都已清除,那為什么不呢?如果不確定,最好重新從映像中部署系統(tǒng)。
另一種情況是,網(wǎng)絡(luò)已經(jīng)被加密。在這種情況下,通常只有兩個(gè)選擇:與網(wǎng)絡(luò)犯罪分子談判并支付贖金,或者從頭開始重建基礎(chǔ)設(shè)施。
在第一種情況下,攻擊者提供的解密器可能會(huì)帶來額外的問題。以下是另一個(gè)例子:ProLock勒索軟件運(yùn)營(yíng)者在2020年4月至6月期間活躍,一些受害者同意支付贖金并獲得了解密器。但問題在于,解密器不能正常工作,解密過程中超過64MB的文件會(huì)被損壞。當(dāng)這個(gè)問題曝光后,攻擊者的聲譽(yù)受損,不久ProLock就消失了。
當(dāng)然,并非所有解密器都工作不良。許多攻擊者提供的可執(zhí)行文件確實(shí)能夠解密所有文件。但這并不保證支付贖金后系統(tǒng)的安全——已知有攻擊者一次又一次地攻擊同一家公司,試圖賺取更多的錢。
因此,在成功的攻擊后——尤其是如果組織決定支付贖金——改善安全狀況以防范未來的攻擊是極其重要的。這就是事件后處理階段的目的。
在最后階段,事件響應(yīng)團(tuán)隊(duì)?wèi)?yīng)該幫助受害公司了解攻擊者為何成功,以及如何避免類似的情況。
根據(jù)使用勒索軟件的不同,事件的生命周期可能完全不同。根據(jù)你發(fā)現(xiàn)的內(nèi)容,你可以提供一系列建議。讓我們看看一些通用的建議。
如我們所知,許多勒索軟件攻擊始于公開可訪問的RDP服務(wù)器,因此一個(gè)好的建議是選擇其他遠(yuǎn)程訪問方法,或?yàn)檫@些RDP連接實(shí)施多因素認(rèn)證。
對(duì)于公開可訪問的基礎(chǔ)設(shè)施部分,組織應(yīng)確保修補(bǔ)所有漏洞,特別是那些允許攻擊者獲取有效賬戶憑證或遠(yuǎn)程執(zhí)行代碼的漏洞。
如果攻擊者通過目標(biāo)釣魚獲取訪問權(quán)限,可能需要對(duì)員工進(jìn)行額外培訓(xùn),或提高郵件流量的安全性,例如實(shí)施惡意軟件“沙箱”系統(tǒng),這些系統(tǒng)會(huì)分析所有進(jìn)出郵件中的附件和鏈接。
同樣地,內(nèi)部網(wǎng)絡(luò)安全產(chǎn)品——在某些情況下,只需正確配置它們,而在其他情況下,則需要更換它們。此外,可能還需要額外的監(jiān)控能力和受過培訓(xùn)的人員。
最后,如果現(xiàn)有的備份最終被刪除(如你所知,這是攻擊者的常見策略),組織應(yīng)考慮備份保護(hù),例如實(shí)施3-2-1規(guī)則,為備份服務(wù)器使用單獨(dú)賬戶,并為任何類型的訪問實(shí)施多因素認(rèn)證。
這不是事件后處理的全部?jī)?nèi)容,而只是一些示例,幫助你理解通常在這個(gè)階段做什么。
希望現(xiàn)在你對(duì)典型的事件響應(yīng)過程有了更清晰的理解。你可以在NIST編寫的《計(jì)算機(jī)安全事件處理指南》中找到更多信息。
在這一章中,我們討論了事件響應(yīng)過程的各個(gè)階段,讓你對(duì)抗擊勒索軟件攻擊的主要步驟有了清晰的認(rèn)識(shí)。我們將繼續(xù)研究這個(gè)問題,以便你能夠更好地了解細(xì)節(jié)。
你已經(jīng)知道,網(wǎng)絡(luò)威脅情報(bào)是事件響應(yīng)過程的重要組成部分,因此在下一章中,我們將討論不同層次的分析,并特別關(guān)注勒索軟件攻擊。我們將查看公開的威脅報(bào)告,并從中提取不同類型的數(shù)據(jù),以便充分了解它們的區(qū)別。
網(wǎng)絡(luò)威脅情報(bào)是應(yīng)對(duì)事件的重要組成部分。讀完前一章后,你應(yīng)該對(duì)當(dāng)前的威脅形勢(shì)和攻擊者使用的方法有了清晰的了解。現(xiàn)在,快速進(jìn)行分析并進(jìn)入應(yīng)對(duì)事件的下一階段是至關(guān)重要的。
接下來,我們將討論各種類型的網(wǎng)絡(luò)威脅信息:戰(zhàn)略信息、操作信息和戰(zhàn)術(shù)信息。實(shí)踐總是勝過理論,因此在我們的討論中,我們將分析一個(gè)公開的報(bào)告,嘗試從中提取各種類型的分析數(shù)據(jù)。
因此,在本章中,我們將通過勒索軟件的視角來審視所有類型的網(wǎng)絡(luò)威脅數(shù)據(jù):
網(wǎng)絡(luò)威脅的戰(zhàn)略信息通常面向決策者:首席信息安全官(CISO)、首席信息官(CIO)、首席技術(shù)官(CTO)等。它包括對(duì)攻擊者活動(dòng)和動(dòng)機(jī)的全局描述,并回答“誰(shuí)”和“為什么”的問題。這些信息為CISO、CIO和其他網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者提供技術(shù)和戰(zhàn)術(shù)知識(shí),幫助他們預(yù)見威脅領(lǐng)域的新趨勢(shì)。
因此,“誰(shuí)”指的是針對(duì)組織的攻擊者,而“為什么”則是他們的動(dòng)機(jī)。
從動(dòng)機(jī)的角度來看,網(wǎng)絡(luò)犯罪分子相當(dāng)可預(yù)測(cè),他們的主要目標(biāo)是從受害者那里獲取金錢。通常,這涉及到相當(dāng)可觀的金額。
另一個(gè)重要的問題是哪些組織成為攻擊目標(biāo)。例如,一些勒索軟件運(yùn)營(yíng)者不會(huì)攻擊醫(yī)院、政府機(jī)構(gòu)、關(guān)鍵基礎(chǔ)設(shè)施等。BlackMatter運(yùn)營(yíng)者就是一個(gè)很好的例子,他們禁止其同伙攻擊某些類別的組織(見圖4.1)。
現(xiàn)在讓我們看看SentinelLabs團(tuán)隊(duì)的公開報(bào)告《Hive攻擊:針對(duì)醫(yī)療行業(yè)的人類操作勒索軟件分析》(Hive Attacks | Analysis of the Human-Operated Ransomware Targeting Healthcare)。報(bào)告可在以下鏈接查看:https://labs.sentinelone.com/hive-attacks-analysis-of-the-human-operated-ransomware-targeting-healthcare/
圖4.1. BlackMatter勒索軟件網(wǎng)站上的規(guī)則部分
第一個(gè)重要的戰(zhàn)略事實(shí)是,使用Hive勒索軟件的攻擊者的目標(biāo)是醫(yī)療機(jī)構(gòu)。是的,一些運(yùn)營(yíng)者及其同伙可能專門針對(duì)特定的業(yè)務(wù)領(lǐng)域或行業(yè),有時(shí)是在特定的國(guó)家。例如,研究人員描述了對(duì)俄亥俄州Memorial Healthcare System醫(yī)院的攻擊,導(dǎo)致該組織不得不將急診患者從其多個(gè)醫(yī)院轉(zhuǎn)移到其他機(jī)構(gòu)。攻擊者非常清楚,醫(yī)療行業(yè)是一個(gè)有利可圖的環(huán)境,包含大量數(shù)據(jù)。醫(yī)療行業(yè)有許多入口點(diǎn),允許攻擊者隨心所欲地滲透和移動(dòng)。如果我們嘗試深入分析這一點(diǎn),并分析在攻擊者泄漏數(shù)據(jù)網(wǎng)站(DLS)上可以找到的受害者數(shù)據(jù),可以發(fā)現(xiàn)更多與攻擊相關(guān)的數(shù)據(jù)(見圖4.2)。
由于受害者名單不僅限于醫(yī)療機(jī)構(gòu),分析可以提供更詳細(xì)的目標(biāo)概覽。這使得決策者能夠清楚地了解他們的業(yè)務(wù)是否真的面臨威脅。
圖4.2. Hive泄漏數(shù)據(jù)網(wǎng)站上的受害者信息
此外,從報(bào)告中可以看出,使用Hive勒索軟件的團(tuán)伙非常活躍。他們?cè)?021年6月底開始活動(dòng),已經(jīng)進(jìn)行了至少30次成功的攻擊。這一事實(shí)也有助于在防御策略中確定優(yōu)先事項(xiàng)。
讓我們進(jìn)一步分析報(bào)告中可以提取的網(wǎng)絡(luò)威脅的操作信息。
網(wǎng)絡(luò)威脅的操作信息幫助我們了解攻擊者的能力,了解他們的基礎(chǔ)設(shè)施,當(dāng)然還有他們的戰(zhàn)術(shù)、技術(shù)和程序。這種信息讓我們知道“如何”和“在哪里”,因此它面向安全運(yùn)營(yíng)中心(SOC)分析師、事件響應(yīng)專家、威脅獵人等。
你可能已經(jīng)明白,“如何”的答案讓安全人員能夠收集關(guān)于犯罪者使用的各種戰(zhàn)術(shù)、技術(shù)和程序的信息,并幫助發(fā)現(xiàn)和消除它們。回答“在哪里”可以讓我們知道在哪里尋找實(shí)施各種戰(zhàn)術(shù)、技術(shù)和程序的痕跡,這使得我們可以采取預(yù)防性措施。
讓我們繼續(xù)分析SentinelLabs關(guān)于Hive勒索軟件的報(bào)告,并專注于“技術(shù)分析”部分。
描述戰(zhàn)術(shù)、技術(shù)和程序(TTPs)的最佳結(jié)構(gòu)之一是MITRE ATT&CK?。
MITRE ATT&CK?是一個(gè)關(guān)于攻擊者在網(wǎng)絡(luò)攻擊中采取的行動(dòng)的知識(shí)庫(kù)和分類系統(tǒng)。它由以下主要部分組成:
在本書中,我們將頻繁引用MITRE ATT&CK?,因此如果你不熟悉這個(gè)知識(shí)庫(kù),可以訪問官方網(wǎng)站:https://attack.mitre.org/
在SentinelLabs報(bào)告的“技術(shù)分析”部分,首先我們看到初始攻擊向量可能不同。遺憾的是,報(bào)告中沒有具體說明可能的選項(xiàng)。
但我們立即了解到攻擊者最喜歡的后期利用框架是Cobalt Strike。不過,報(bào)告中沒有詳細(xì)說明它在攻擊中的具體使用方式。與此同時(shí),研究人員分享了有關(guān)另一種工具的信息,即ConnectWise——一種被攻擊者用于維持對(duì)被攻破網(wǎng)絡(luò)訪問的合法遠(yuǎn)程管理工具。正如你從第3章“事件響應(yīng)過程”中所知,這種工具在與勒索軟件相關(guān)的團(tuán)伙中非常普遍。
MITRE ATT&CK?中記錄了這種方法。其ID為T1219,名稱為Remote Access Software(https://attack.mitre.org/techniques/T1219/)。該方法的要點(diǎn)是,攻擊者可以使用各種遠(yuǎn)程訪問工具,如TeamViewer、AnyDesk等,作為備用訪問受感染主機(jī)的通信渠道。
接下來我們看看報(bào)告中描述的其他方法。
首先,我們看到攻擊者使用cmd.exe來啟動(dòng)可執(zhí)行文件。現(xiàn)在我們知道了子技術(shù),即Windows命令外殼(T1059.003)。
此外,攻擊者使用rundll32.exe繞過保護(hù)措施——這是通過簽名二進(jìn)制代理執(zhí)行的子技術(shù)(T1218.011)。
最后,我們看到的主要目標(biāo)是獲取憑證。在這種情況下,攻擊者通過濫用系統(tǒng)庫(kù)comsvcs.dll來獲取lsass.exe進(jìn)程的轉(zhuǎn)儲(chǔ),即操作系統(tǒng)憑證轉(zhuǎn)儲(chǔ)子技術(shù)——本地安全認(rèn)證子系統(tǒng)服務(wù)(LSASS)內(nèi)存轉(zhuǎn)儲(chǔ)(T1003.001)。
為什么要進(jìn)行轉(zhuǎn)儲(chǔ)?因?yàn)橄到y(tǒng)會(huì)在其內(nèi)存中存儲(chǔ)各種憑證元素,如果攻擊者能將內(nèi)存內(nèi)容轉(zhuǎn)儲(chǔ)到磁盤,他們就能使用各種工具提取有效的憑證。
為了在明文中啟用憑證緩存,攻擊者使用cmd.exe修改了注冊(cè)表:
這是MITRE ATT&CK?中記錄的另一種方法,即修改注冊(cè)表(T1112)。
報(bào)告中另一個(gè)重要的事實(shí)是,攻擊者在后期利用階段使用了ADRecon。這是另一個(gè)流行的工具,許多勒索軟件運(yùn)營(yíng)者在網(wǎng)絡(luò)偵察階段使用它來從Active Directory環(huán)境中提取各種工件。同樣,報(bào)告中沒有說明它在此次活動(dòng)中的具體使用方式。然而,由于這是一個(gè)基于PowerShell的工具,我們可以確定另一個(gè)子技術(shù),即命令和腳本解釋器——PowerShell(T1059.001)。PowerShell腳本非常普遍,你幾乎在所有與勒索軟件攻擊相關(guān)的事件中都會(huì)遇到它們。
報(bào)告的下一部分專注于分析Hive勒索軟件本身。這也可能揭示攻擊者的TTP。首先,我們看到該程序是用Go語(yǔ)言編寫的,這在勒索軟件創(chuàng)作者中越來越受歡迎。另一個(gè)重要點(diǎn)是,該程序使用UPX進(jìn)行打包,這是一種常見的打包工具,許多攻擊者用它來繞過一些防護(hù)措施。這里我們涉及到文件或信息混淆子技術(shù)——軟件包(T1027.002)。
接下來,我們看到另一種非常普遍的方法,即許多與勒索軟件相關(guān)的犯罪分子使用的方法——停止多個(gè)進(jìn)程和服務(wù),以便不受干擾地加密所有文件。MITRE ATT&CK?中也記錄了這種方法——停止服務(wù)(T1489)。
繼續(xù),我們看到勒索軟件創(chuàng)建了一個(gè)名為hive.bat的批處理文件,用于刪除惡意程序的組件。以下是它的內(nèi)容:
這里我們涉及到在主機(jī)上清除痕跡的子技術(shù)——?jiǎng)h除文件(T1070.004)。
這并不是勒索軟件創(chuàng)建的唯一批處理文件。另一個(gè)名為shadow.bat的文件被用來刪除陰影副本,以防止使用操作系統(tǒng)的內(nèi)置功能恢復(fù)文件。
以下是該命令文件的內(nèi)容:
這里涉及到抑制系統(tǒng)恢復(fù)能力的方法(T1490)。
最后,勒索軟件最重要的技術(shù)之一是加密數(shù)據(jù),以對(duì)受害者施加影響(T1486)。
讓我們將找到的數(shù)據(jù)匯總到一張表中。
表4.1. MITRE ATT&CK匯總表
正如表中所示,我們無法從報(bào)告中重建整個(gè)攻擊生命周期,但我們?nèi)匀惶崛×嗽S多TTP,這些知識(shí)可以在應(yīng)對(duì)事件和主動(dòng)威脅搜尋中使用。
我們將在第6章“收集與勒索軟件相關(guān)的網(wǎng)絡(luò)威脅數(shù)據(jù)”中繼續(xù)分析可用報(bào)告。
網(wǎng)絡(luò)威脅的戰(zhàn)術(shù)信息用于各種安全產(chǎn)品的工作,如安全信息和事件管理系統(tǒng)(SIEM)、防火墻、入侵檢測(cè)/防護(hù)系統(tǒng)(IDS/IPS)等。這些產(chǎn)品利用妥協(xié)指標(biāo)(IoC)。
這一層次的網(wǎng)絡(luò)威脅信息集中于“什么”——具體發(fā)生了什么。傳統(tǒng)上,這種分析最為常見,許多供應(yīng)商提供所謂的供稿——新聞提要或最新信息提要,但目前越來越多的組織轉(zhuǎn)向TTP,因?yàn)閭鹘y(tǒng)的指標(biāo)生命周期非常短。
在大多數(shù)情況下,這些指標(biāo)包括IP地址、域名和哈希值。通常哈希值有以下幾種類型:
這些指標(biāo)可以通過MISP等網(wǎng)絡(luò)威脅分析平臺(tái)進(jìn)行共享,可以用于研究和檢測(cè)。
回到我們正在分析的報(bào)告。報(bào)告中有一個(gè)“妥協(xié)指標(biāo)”部分。它包含多個(gè)哈希值,包括SHA1和SHA256類型。由于這些是同一文件的哈希值,我們專注于第一種類型——SHA1:
如果使用VirusTotal(https://www.virustotal.com/)等分析各種惡意內(nèi)容的服務(wù),可以發(fā)現(xiàn)所有這些哈希值都與Hive勒索軟件的變種有關(guān)。
圖4.3. VirusTotal中一個(gè)哈希值的記錄
從檢測(cè)的角度來看,它們并不十分有用,因?yàn)榇蠖鄶?shù)情況下,勒索軟件的版本是專為每次攻擊定制的,這意味著它們的哈希值不會(huì)匹配。
此外,報(bào)告中還提到了與Cobalt Strike Beacon相關(guān)的IP地址。你總可以收集更多關(guān)于IP地址的信息,特別是那些與各種后期利用框架相關(guān)的IP地址。例如,可以檢查服務(wù)器是否與Cobalt Strike相關(guān)(見圖4.4)。
圖4.4. Group-IB MXDR平臺(tái)收集的關(guān)于檢查過的IP地址的信息
Group-IB MXDR平臺(tái)具有構(gòu)建關(guān)系圖的功能,可以用于收集關(guān)于你收集的指標(biāo)的更多信息。圖4.4中我們看到IP地址176.123.8.228屬于Cobalt Strike服務(wù)器,因此安全團(tuán)隊(duì)?wèi)?yīng)當(dāng)阻止或檢查它。
如你所見,即使分析一個(gè)簡(jiǎn)短的公開報(bào)告,有經(jīng)驗(yàn)的分析師也能收集足夠的網(wǎng)絡(luò)威脅信息,這對(duì)應(yīng)對(duì)事件非常有用。
在本章中,我們討論了各種類型的網(wǎng)絡(luò)威脅信息,包括戰(zhàn)略信息、操作信息和戰(zhàn)術(shù)信息,它們的區(qū)別和目標(biāo)受眾。我們還分析了一份公開的威脅報(bào)告,提取了不同類型的數(shù)據(jù),以便你能清晰地了解它們的區(qū)別。
你已經(jīng)知道,TTP是攻擊者行為最重要的要素,因此在下一章中,我們將討論許多真實(shí)生活中的例子,以便你有一個(gè)豐富的實(shí)際信息來源,了解人類操作的勒索軟件攻擊。
from zgao.top
谷Live / 實(shí)地探訪 / 熱點(diǎn)探秘/ 深度探討
要問最近美國(guó)科技圈的最大新聞是什么?當(dāng)然是亞馬遜創(chuàng)始人貝索斯宣布離婚啊!
本周三,世界首富貝索斯在一條推文中透露,在嘗試分居后,他和妻子麥肯齊決定離婚,但兩人“仍將是朋友”。最近,兩人還成立了一個(gè)慈善組織,幫助無家可歸的人,特別是無家可歸的兒童。貝索斯還說,盡管他們將分別開始新的“事業(yè)和生活冒險(xiǎn)”,但這對(duì)有四個(gè)孩子的夫婦——三個(gè)兒子和一個(gè)女兒——將“仍然是一個(gè)家庭”。
人家連離個(gè)婚都這么帶科技感……
而就在幾天前,亞馬遜才喜提“世界最高市值公司”的稱號(hào)。
當(dāng)年說著“洗碗的男人最性感”的貝索斯這回要去哪洗刷刷了?吃瓜圈中表示很關(guān)心。
據(jù)人口普查統(tǒng)計(jì),全世界范圍內(nèi),夫妻最容易離婚的十個(gè)國(guó)家中,美國(guó)占到了第 7 位,離婚率接近50%。換句話說,每?jī)蓪?duì)夫妻結(jié)婚,其中就會(huì)有一對(duì)在未來離婚。
因此,首富離婚,群眾們并沒有大驚小怪。群眾們更關(guān)心的是:離婚后貝索斯前妻能分到多少錢?據(jù)說,此次“分手費(fèi)”或高達(dá) 660 億美元,這將成為史上最貴的離婚,貝索斯的前妻也有望成為世界女首富。
不過人家貝索斯表示了,兩人并沒有因財(cái)產(chǎn)問題搞得不愉快。這是一次和平分手。
但是,并不是所有人都能夠像貝索斯夫婦一樣在離婚時(shí)仍然可以心平氣和地商議財(cái)務(wù)與孩子的撫養(yǎng)問題的。
在美國(guó),離婚官司打個(gè)幾年都正常。夫妻之間反目成仇的、孩子因?yàn)楦改戈P(guān)系不和夾在中間的例子比比皆是。那么,就沒有什么好的辦法來解決這些問題嗎?
你別說,還真有。人們可以用約會(huì) APP 談戀愛、結(jié)婚,為啥不能用 APP 幫助自己離婚呢?今天,小探就帶各位瞅瞅,世界各地那些離婚助力器 APP。這些 APP,希望提供離婚前、離婚中、離婚后的“離婚一條龍”服務(wù)……
就是開不了口,讓她/他知道
當(dāng)愛情走到了盡頭?如何開口說出“分手”二字?如果當(dāng)時(shí)人開不了口,能不能讓科技幫忙捎個(gè)口信?
在英國(guó),一家名為 amicable.io(有話好好說)的公司研發(fā)了一套集 APP 與人工離婚專家為一體的系統(tǒng),專門為夫妻提供更加方便、實(shí)用的離婚服務(wù)。
這家成立于 2015 年的公司,希望能夠幫助離婚當(dāng)事人省去前前后后似乎永遠(yuǎn)不會(huì)停下的口角戰(zhàn)與律師之間的周旋。而是讓雙方在 APP 上分別寫下自己對(duì)于婚姻狀況的想法,希望在離婚后得到的財(cái)務(wù),以及如何共同撫養(yǎng)孩子的想法。
簡(jiǎn)言之就是,讓對(duì)方看到自己對(duì)于離婚的期待。(聽著怎么這么別扭……)
“有話好好說”的 APP 界面
這個(gè) APP 一經(jīng)面市就在英國(guó)國(guó)內(nèi)獲得好評(píng)(英國(guó)人這是多想離婚……)。
因?yàn)檫@款 APP 不僅僅可以起到向?qū)Ψ絺鬟_(dá)信息的作用,還會(huì)根據(jù)當(dāng)事人的具體情況,為當(dāng)事人量身定做“離婚套餐”:在離婚中你應(yīng)該獲得怎樣的賠償、孩子的撫養(yǎng)權(quán)應(yīng)該歸誰(shuí)對(duì)孩子更好等建議方案。
而這些本應(yīng)該是離婚律師讓你簽署的一份有一份文件,直接可以由 APP 代勞,從而也為當(dāng)事人省了一筆不小的律師費(fèi)。
對(duì)于收費(fèi),“有話好好說”采取了分月購(gòu)買的套餐模式。最基本的套餐售價(jià) 100 英鎊(約1000人民幣)一個(gè)月,需要訂購(gòu)三個(gè)月。這適用于雙方?jīng)]有需要共同撫養(yǎng)的孩子以及財(cái)務(wù)糾紛的情況。
如果涉及財(cái)產(chǎn)及孩子撫養(yǎng),每個(gè)月則會(huì)加收 100 磅。
最貴的一種套餐每個(gè)月收費(fèi) 475 英鎊(約 4000 多人民幣),不僅提供線上文件服務(wù),還會(huì)提供專門的婚姻指導(dǎo)老師與金融財(cái)務(wù)指導(dǎo)。
要知道,在英國(guó),離婚者平均每年在離婚訴訟費(fèi)、律師費(fèi)等可想費(fèi)用的花銷高達(dá) 500 億英鎊(也就是人民幣接近5000億)!
而“有話好好說” APP 則想要打破這種冗長(zhǎng)、花費(fèi)高的離婚辦理模式。更重要的是,它可以為離婚雙方節(jié)省近 90% 的費(fèi)用!
“有話好好說” 平臺(tái)創(chuàng)建人 Kate Daly 在采訪中表示,“平臺(tái)并不是律所,但是卻能同時(shí)幫助離婚的雙方,讓雙方的抵觸情緒變得小,并且我們收費(fèi)更加合理。”
近幾十年來,離婚產(chǎn)業(yè),在歐洲和美國(guó)一直很興旺。如何能改變這種“傳統(tǒng)”行業(yè)高收費(fèi)的現(xiàn)狀,尤其是在科技互聯(lián)網(wǎng)時(shí)代日益成熟的時(shí)候?這一直很多創(chuàng)業(yè)者所思考的。
玩著“游戲”就把婚離了
當(dāng)大家為財(cái)產(chǎn)所屬權(quán)大打出手的時(shí)候,一款名為 iSplit Divorce 的 APP 可能會(huì)讓當(dāng)事人平靜下來。
正如它的名字 Split (拆分),這款 APP 就是來幫雙方合理拆分財(cái)產(chǎn)與債務(wù)的。使用也極為方便。在 APP 上填好家里的財(cái)務(wù)、以及負(fù)債,然后就像玩游戲一樣,根據(jù)自己的想法,把這些小圖標(biāo)拽拽拽,自己想要的歸到一欄,想留給對(duì)方的拽到另外一欄。之后,只要把最后的結(jié)果發(fā)給對(duì)方就可以了。而且這款 APP 售價(jià)只要1.99 美金!當(dāng)然,小探希望大家一輩子都用不上它……
處理財(cái)產(chǎn)的時(shí)候,大量的文件會(huì)讓很多人很頭痛。在 Apple Store 平臺(tái)上有一款售價(jià)4.99美金的 Divorce Log 軟件。為了幫離婚雙方保存好各種文件與信息,這款 APP 讓用戶把重要文件全部放到一個(gè)私密的個(gè)人平臺(tái)上,而不是在自己電腦上的各個(gè)文件夾里,或者在自己的律師手里。
小探想說一句:想要重要文件不丟失,那應(yīng)該用區(qū)塊鏈技術(shù)啊!對(duì)了也有不少值得關(guān)注的助你離婚 Dapp 。
區(qū)塊鏈技術(shù)讓婚離得更順利
區(qū)塊鏈技術(shù)自誕生起,去中心化、高度加密性等優(yōu)點(diǎn)就讓其在金融領(lǐng)域很受歡迎。尤其是以太坊智能合約的出現(xiàn),讓不少人想讓區(qū)塊鏈更加簡(jiǎn)化離婚手續(xù)。
一位來自加拿大多倫多的軟件開發(fā)者 Matthew Rappard 為了讓離婚夫婦少花費(fèi)律師費(fèi),設(shè)計(jì)了一款以太幣支持的Dapp StonePaper ,并將其與律師編寫的合同相結(jié)合。于是,用戶將能夠完全通過該服務(wù)發(fā)起和完成法律事務(wù)。
對(duì)于區(qū)塊鏈上數(shù)據(jù)的“不可篡改性”,任何人都可以看到已創(chuàng)建特定合同并且可以驗(yàn)證它合同的真實(shí)性,但未經(jīng)用戶許其他任何人都無法讀取。相比之下,在普通數(shù)據(jù)庫(kù)中,合同可能容易被篡改。
具體如何應(yīng)用?舉個(gè)例子:離婚后,母親沒有收到子女撫養(yǎng)費(fèi),可以對(duì)區(qū)塊鏈提出申訴,這會(huì)自動(dòng)通知父親,并開始為法庭案件提供必要的文書工作。而這一過程中,并不需要雇傭律師來打這場(chǎng)官司。
之后,父親可以使用相同的合同生成報(bào)告,為自己辯護(hù),支付子女撫養(yǎng)費(fèi),或采取其他必要步驟來解決問題。所有付款都可以通過區(qū)塊鏈進(jìn)行,以便法院擁有所有交易的完整清單。這將理想地降低上法庭的成本,并允許用戶自己解決許多法律問題。
這款名為 StonePaper 的 Dapp 還為每個(gè)用戶提供唯一的身份。
“你會(huì)創(chuàng)建一個(gè)帳戶,創(chuàng)建一個(gè)以太坊錢包,然后銀行或律師會(huì)發(fā)誓這個(gè)錢包屬于你。現(xiàn)在,如果你去任何網(wǎng)站并簽署文件,當(dāng)你點(diǎn)擊'發(fā)送',那整個(gè)文件是用這個(gè)錢包進(jìn)行數(shù)字簽名的。由于律師或銀行同意說錢包是你,這意味著只有你可以把它放在區(qū)塊鏈上。” 創(chuàng)始人在接受采訪時(shí)說。
并且,StonePaper 將為其推薦人們使用的合同提供開源代碼。隨著技術(shù)越來越普遍,人們將“破解法律”并編寫自己的法律。
那么,區(qū)塊鏈上的安全怎么樣?畢竟,DAO 當(dāng)年被黑客攻擊的事情還歷歷在目呢!
Matthew 表示,雖然 DAO 黑客為智能合約帶來了很多問題,但 StonePaper 不會(huì)受到類似黑客攻擊。
“DAO 黑客并不是以太坊中的安全漏洞,而是 DAO 運(yùn)行的軟件中的一個(gè)漏洞,”他說,并補(bǔ)充說 StonePaper 已經(jīng)從中吸取了教訓(xùn)。 “只有在訪問它的錢包是其中一個(gè)簽名者時(shí)才能修改StonePaper 合同。這有效地阻止黑客以密碼保護(hù)計(jì)算機(jī)的方式。如果簽字人試圖破解合同,那么根據(jù)法律,這被視為違反合同,用戶將受到處罰。“
小探看來,區(qū)塊鏈在2019年說不定會(huì)成為離婚者們的福音。。。
離婚并不是結(jié)束
說了這么多幫助夫妻雙方離婚的APP,小探想說:結(jié)婚與離婚其實(shí)并不只是兩個(gè)人的事情。
小探上小學(xué)的時(shí)候?qū)懽魑模瑸榱寺犂蠋煹脑捯吧鷦?dòng)、感人、深刻”,經(jīng)常編造一些媽媽離家出走、爸爸被抓進(jìn)監(jiān)獄、從小父母離異跟爺爺奶奶長(zhǎng)大的故事。后來爹媽知道了結(jié)結(jié)實(shí)實(shí)給小探揍了一頓,于是小探的作文就再?zèng)]得過優(yōu)秀。
但是,在實(shí)際生活中,孩子經(jīng)常會(huì)成為父母離異的犧牲品。如何在離婚后仍能夠讓孩子感受到父母雙方的關(guān)愛、健康愉快的成長(zhǎng)?對(duì)于這個(gè)問題,有很多 APP 都開始想辦法助力父母。
其中美國(guó)的一家公司研發(fā)了一款名為 Our Family Wizard 的 APP。在這個(gè)平臺(tái)上,父母?jìng)儾恍枰押⒆幼鳛閭髀曂玻看巫尯⒆訆A在中間 “告訴你爸這個(gè)月的撫養(yǎng)費(fèi)他還沒打給我!”。
平臺(tái)上有父母共同日歷、交流信箱、花費(fèi)記錄、日記、重要事件提醒等設(shè)置,讓爸爸媽媽們即使分開了也能共同撫育孩子,讓他們健康快樂地成長(zhǎng)。
像這樣的 APP 還有很多。目的只有一個(gè):希望家長(zhǎng)們能把離婚對(duì)孩子的影響降到最小。
對(duì)于很多人來說,離婚并不是結(jié)束,反而是一段新的旅程的開始。
記得小探曾經(jīng)采訪過一位斯坦福生物學(xué)的教授。這位教授曾對(duì)著一群女博士們說過:
如果沒有意外,你們當(dāng)中 50% 的人在未來會(huì)離婚。那么,請(qǐng)你不要在家庭與事業(yè)兩者間,毫不猶豫地選擇家庭。
而這位教授的母親,在阿根廷與他的父親離異后,獨(dú)自帶著他到美國(guó)生活。從未讀過大學(xué)的她直接從博士讀起,現(xiàn)在這位教授的母親是麻省理工學(xué)院的終身教授。
所以說,離婚或許也沒有那么可怕,也希望今天小探介紹的這些 APP 能夠幫助那些需要的人。你們說,首富會(huì)愿意用么....
好,小探當(dāng)然最后祝大家新年感情順利!永遠(yuǎn)別用到這些APP!
*請(qǐng)認(rèn)真填寫需求信息,我們會(huì)在24小時(shí)內(nèi)與您取得聯(lián)系。
