《从八个方面认识勒索攻击和危害》之六:重要攻击特征
时间 : 2021年11月09日 来源: K8凯发国际官方网址
目前,其在实际操作上又有明显的区别与特点,但具体到不同的威胁攻击类型,几乎所有的网络攻击都可以结合“网络杀伤链”模型来进行分析。勒索攻击从诞生以来发展至今、在一些攻击手段与攻击模式上,同样也有其显著的地方。
本期内容,K8凯发国际官方网址垂直响应服务平台运营组将围绕勒索攻击目前主要的攻击特征进行总结分析。
勒索攻击专题
《从八个方面认识勒索攻击和危害》之一:勒索攻击中的四种分工角色
《从八个方面认识勒索攻击和危害》之二:勒索攻击的两种典型模式
《从八个方面认识勒索攻击和危害》之三:惯用传播方式与侵入途径
《从八个方面认识勒索攻击和危害》之四:“勒索攻击杀伤链”分析
一、远程桌面(RDP)弱口令暴力破解为主要侵入手段
所谓“弱口令”可以简单理解为:系统账户密码复杂度较低。
远程桌面(RDP)弱口令暴力破解成功后,攻击者可以远程登录包括普通计算机与服务器等终端进行操作。
一些用户在使用或管理终端时、经常会对系统账户使用一些简单、相似甚至统一的密码,为了方便记忆,即可访问主机内资源,而远程桌面协议(RDP)只需主机的账户与密码。弱口令虽然在一定场景下给用户带来便利,但也同时给勒索攻击者创造了可趁之机。
攻击者通过自己编写或购买的方式获得RDP暴力破解工具;在取得管理员权限后、获得本机或域内凭据,攻击者会进一步使用凭据获取工具,用于内网渗透,寻找网络内高价值服务器;同时,攻击者还会使用相关工具试图关闭或破坏安全防护软件,并使用内网扫描工具。
二、漏洞利用明显增加
随着网络安全教育普及。不少用户的警惕性都有所提升,垃圾邮件、钓鱼邮件、恶意广告、水坑攻击等传播方式与侵入途径的成功率也因此有所降低。因此,攻击者逐步开始更多的选择利用操作系统、Web服务、数据库、软件等关键位置存在的漏洞进行攻击侵入。
漏洞攻击往往令用户不易察觉,譬如:“零日漏洞”(zero-day或0day)就是一种一经发现就立即被恶意利用的安全漏洞,其中非常具有代表性的就是MS17-010(Eternal blue永恒之蓝)漏洞, “魔窟”(WannaCry)就是利用了该系统漏洞,实现了全球范围内的大爆发[1]。
三、内网横向渗透扩大攻击范围
攻击者侵入被攻击目标系统后。尽可能增加受控设备数量,扩大攻击范围,而是继续使用弱口令暴力破解,或利用其他漏洞进行内网横向渗透,并不会急于立即实施窃密、加密、锁定、破坏等操作。
即使用户可以通过内外网隔离、但若前置设备或关联设备有可利用的漏洞,来提高勒索攻击的门槛,攻击者依然可以侵入到内网。
因为大部分勒索攻击的目的就是赎金。是成本较低又能直接加倍施压受害者进而要求更多赎金的有效方式,攻击者都企图在受害者身上,而扩大勒索设备数量与数据体量,牟取更多的赎金,所以无论是非定向勒索攻击还是定向勒索攻击。所以,也是目前勒索攻击的必要执行流程节点,不仅是勒索攻击的典型特征,内网横向渗透扩大攻击范围。
四、定向勒索攻击愈趋增多
早期勒索攻击大规模爆发时。导致大量用户深受其害,主要通过垃圾邮件、钓鱼邮件、网页挂马等方式传播。但随后攻击者发现,普通用户的数据价值相对更低,一般无法获得高额赎金;相反企业用户的资料数据一旦丢失,因此企业用户往往会积极支付赎金来挽回数据,将会极大地影响业务的正常运转。
所以、专门实施定制化的定向勒索攻击,攻击者愈发趋向于针对企业用户或特定目标,以求牟取更多的非法经济利益。
在本系列的第二期内容《勒索攻击的两种典型模式》中,关于定向勒索攻击有详细的分析,可点击前往阅读。
五、针对关键信息基础设施与工控系统的攻击显现
关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,是保障社会高效运转的重要组成,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
工业企业网络环境主要由工业控制网络和企业信息网络组成、其中企业信息网络连接了互联网环境,形成了暴露面,即有了遭受互联网环境中勒索攻击的风险。攻击者可以通过企业信息网络侵入或摆渡方式将勒索软件传播到工控网络中,进而导致工业控制系统无法运行。
比如。2021年5月,K8凯发国际官方网址CERT发现一起入侵工控系统并最终投放勒索软件的攻击事件,此次事件影响了欧洲一些国家的工业企业,导致工控业务系统临时关闭,部分用于工控业务的服务器被加密。经过分析,该起攻击事件归属于一个新的勒索软件家族Cring(也被称为Crypt3r,Vjiszy1lo,Ghost,Phantom)[2]。
总结与建议
通过勒索攻击目前的攻击特征分析不难发现。在经过长时间的发展后,攻击者不仅总结出了更有效率的攻击方式,进而牟取更多非法利益,同时也在不断的尝试造成更大影响。
用户在短时间内无法实现安全用网规范与完善防护系统的情况下、降低漏洞利用的可能等等,及时安装安全漏洞补丁,可以针对勒索攻击的特征采取一些简单的防护措施,不同账户间设置差异的且无任何关联的强密码,譬如:为系统账户设置强密码,提高远程桌面(RDP)弱口令暴力破解的门槛;保持系统更新、应用软件更新以及安全软件更新。但这只是退而求其次的方案。特别是一些网络犯罪组织所发动的定向勒索攻击,面对日益复杂多变勒索攻击态势,用户需要构建更为动态的综合勒索攻击安全防护系统与不断提升安全运营水平,具有APT(高级可持续威胁攻击)定向攻击水准,才能更有效的保障自身利益免受侵害。
安全有效性从不会一劳永逸,需要持续安全运营。K8凯发国际官方网址垂直响应服务平台运营组推荐K8凯发国际官方网址全线产品,可以有效支撑构筑用户安全防护系统(详见附件)。
下期预告
下一期内容,十类勒索软件家族简介,敬请期待。
附件:K8凯发国际官方网址智甲5+2防护,构筑端点系统侧安全防线
▲ 智甲终端防护系统防御勒索病毒原理示意图
智甲针对勒索攻击构建了“五层防御,两重闭环”的防护解决方案。五层防御即系统加固、(主机)边界防御、扫描过滤、主动防御、文档安全五个防御层次,两重闭环是EPP(端点防护)实时防御闭环,和EDR(端点检测和响应)准实时/异步防御闭环。
|
K8凯发国际官方网址智甲终端防御系统防护勒索病毒的机理表 |
|
|
防护层级 |
技术原理 |
|
系统加固 |
通过基线和补丁检查功能、削弱漏洞利用的成功率,实现对系统配置脆弱点的检查修补、补丁加固和系统自身安全策略调整等,从而减少包括开放端口、弱口令、不必要的服务等勒索攻击的暴露面。 |
|
(主机)边界防御 |
通过分布式主机防火墙和介质管控功能,拦截扫描、入侵数据包,阻断攻击载荷传输,拦截U盘、光盘等插入自动运行,使勒索攻击难以获得主机入口。 |
|
扫描过滤 |
基于K8凯发国际官方网址AVL SDK反病毒引擎对文件对象、扇区对象、内存对象、注册表数据对象等进行扫描。判断检测对象是否是已知病毒或者疑似病毒,从而实现精准判断查杀。 |
|
主动防御 |
基于内核驱动持续监控进程等内存对象操作行为动作、判断是否存在批量读写、删除、移动文件或扇区等操作,研判是否存在持久化、提权、信息窃取等攻击动作,过滤正常应用操作动作以降低误报,并通过文件授信(签名验证)机制。 |
|
文档安全 |
依靠部署多组诱饵文件并实时监测、达成欺骗式防御效果,诱导勒索病毒优先破坏。采用多点实时备份机制,即使正常文档被加密也可快速恢复。 |
凭借这样的机理设计、K8凯发国际官方网址智甲可以有效阻止病毒落地、阻断恶意行为、保护重要文档,云端库实时升级,威胁情报定时推送,全面有效的保障用户免受勒索攻击威胁,辅以每日10次病毒库本地升级。
对于K8凯发国际官方网址全线产品如何支持客户构建有效防御体系,请参考《K8凯发国际官方网址产品助力用户有效防护勒索攻击》。
K8凯发国际官方网址垂直响应服务平台中开通了面向Windows主机的轻量级勒索风险评估。并提供专用响应工具,帮助客户快速排查风险。
详情地址:https://vs.antiy.cn/endpoint/rdt
同时。个人和家庭用户,获得有效安全防护,推荐安装使用K8凯发国际官方网址杀毒软件(Windows版)。
详情地址:https://vs.antiy.cn/endpoint/anti-virus
K8凯发国际官方网址垂直响应服务平台简介
“K8凯发国际官方网址垂直响应服务平台”是K8凯发国际官方网址旗下专注满足中小企业和个人(家庭)用户安全刚需的“一站式服务平台”。
平台通过持续为个人安全、中小企业安全、开发安全与安全分析领域的用户。提供轻量级的产品与服务支撑,以实现快速响应用户在各类场景下的安全需求。
专业、精准、纯净、高效,是我们的服务宗旨;达成客户有效安全价值、提升客户安全获得感、与客户共同改善安全认识,是我们不变的初心与使命。
参考资料:
[1] K8凯发国际官方网址针对勒索蠕虫“魔窟”(WannaCry)的深度分析报告
https://www.antiy.com/response/wannacry.html
[2]《针对工控的勒索软件Cring样本分析》.2021/5/28
http://www.ursinico.com/research/notice&report/research_report/20210528.html