【認(rèn)識勒索攻擊和危害】之勒索攻擊的兩種典型模式
2021年12月30日
本篇內(nèi)容將圍繞勒索攻擊的兩種典型模式:非定向勒索攻擊與定向勒索攻擊展開����。
在上一篇內(nèi)容《勒索攻擊中的四種分工角色》中����,介紹了勒索攻擊發(fā)展成為分工明細(xì)的產(chǎn)業(yè)化犯罪顯著特征��,并提出了簡單的治理和防護(hù)建議�。
部分用戶對于遭遇勒索攻擊的風(fēng)險(xiǎn)可能往往有兩種誤解,有些用戶認(rèn)為��,自身資產(chǎn)價(jià)值不高��,勒索攻擊不會找上自己��;也有的用戶認(rèn)為��,勒索攻擊是一種比較低級的風(fēng)險(xiǎn)��,不會突破自己的防護(hù)體系��。為了澄清這些誤解�����,安天垂直響應(yīng)服務(wù)平臺運(yùn)營組在本篇中分析勒索攻擊的兩種模式:非定向勒索攻擊與定向勒索攻擊����。
在安天《2020年網(wǎng)絡(luò)安全威脅年報(bào)》中曾提出:勒索軟件制作者開始關(guān)注攻擊成本和攻擊效率�����,勒索軟件的攻擊方式���,從最初的廣撒網(wǎng)尋找目標(biāo),逐漸地變成對有價(jià)值的攻擊目標(biāo)進(jìn)行定向勒索�。
因勢利導(dǎo),造成了當(dāng)前勒索攻擊方向模式發(fā)展的兩級分化:
既有傳統(tǒng):非定向大規(guī)模傳播->加密數(shù)據(jù)->收取贖金->解密數(shù)據(jù)的單線作業(yè)模式��;
也有新型:定向攻擊->數(shù)據(jù)竊取->加密數(shù)據(jù)->收取贖金解密->不交贖金->曝光數(shù)據(jù)的新型作業(yè)鏈條模式��。
▲ 非定向與定向勒索攻擊圖示
從目標(biāo)導(dǎo)向理解即為:
1����、非定向勒索攻擊:不求單個(gè)目標(biāo)贖金高���,但求目標(biāo)多��;
2���、定向勒索攻擊:不求目標(biāo)多,只求單個(gè)目標(biāo)贖金高。
方向一:非定向勒索攻擊
早期非定向攻擊者會采用傳統(tǒng)的擴(kuò)散蠕蟲或釣魚投放等方式�����,進(jìn)行發(fā)散式的傳播��,且不會預(yù)先對目標(biāo)進(jìn)行偵察����、評估與篩選,對于攻擊的收益也不會有精確預(yù)估��。而當(dāng)前�����,非定向勒索攻擊者大多會選用RaaS(勒索即服務(wù))平臺或僵尸網(wǎng)絡(luò)渠道����,采取“廣撒網(wǎng)”的方式對勒索軟件進(jìn)行傳播侵入,威脅攻擊對象主要為中小企業(yè)與政府機(jī)構(gòu)單位�。
同時(shí),由于RaaS模式降低了攻擊者的準(zhǔn)入門檻�����,因此更助推了非定向勒索攻擊的攻擊者參與人數(shù)的提升。
需要明確的是���,部分用戶對非定向勒索攻擊存有誤解��,認(rèn)為其威脅能力并不高���,而事實(shí)上,非定向勒索攻擊只是沒有達(dá)到能與定向攻擊相較的威脅能力而已����,實(shí)際威脅能力仍然不容小覷。
無論是近些年較為活躍的提供RaaS平臺服務(wù)的家族DopplePaymer���、Egregor���、Netwalker��、REvil/Sodinokibi��、DarkSide����、Ryuk�����,以及今年7月首次出現(xiàn)的BlackMatter�,都具有較高的威脅能力�。
注:提供RaaS服務(wù)只是勒索攻擊家族為了提高非法收益,通過“價(jià)值多向變現(xiàn)”而拓展的商業(yè)模式�����,并不意味其只提供RaaS服務(wù)��,其同樣會自主發(fā)動非定向或定向勒索攻擊�����。
憑借傳播覆蓋面積足夠廣�、攻擊頻次足夠多、參與攻擊人數(shù)多等“優(yōu)勢”�,非定向勒索攻擊同樣是持續(xù)的勒索攻擊安全防護(hù)工作重點(diǎn)。
方向二:定向勒索攻擊
大部分的定向勒索攻擊是由具備更高水平的攻擊者組織發(fā)動的��,能力接近或可達(dá)到APT(高級持續(xù)性威脅)攻擊的水平�����。
定向勒索攻擊的特征是,事先有非常明確的攻擊目標(biāo)����,再“有組織、有預(yù)謀����、有步驟”的發(fā)動威脅攻擊,以求牟取巨額收益�����。
定向勒索攻擊與APT攻擊高度相似��,有鮮明的殺傷鏈化特點(diǎn)�����,攻擊者會:
1����、預(yù)先篩選出攻擊目標(biāo)���;由于其目的是大額甚至巨額的勒索贖金���,因此��,其主要瞄準(zhǔn)的往往是中大型企業(yè)�����、重要政府部門/機(jī)構(gòu)�、軍隊(duì)單位以及關(guān)系民生的關(guān)基設(shè)施與工控系統(tǒng)����。
2、通過偵察手段收集����、評估攻擊目標(biāo)詳細(xì)安全防護(hù)信息,針對性制定嚴(yán)密的攻擊計(jì)劃方案����,精確計(jì)算投入成本和潛在回報(bào)(ROI)。
3�、根據(jù)攻擊計(jì)劃方案,充分投入部署攻擊資源�,如:攻擊人員規(guī)模、多種攻擊工具���、0day漏洞���、高級惡意代碼等�;也包括可能獲得“內(nèi)鬼”的支持與配合����。
基于以上信息,可以看到定向勒索攻擊有超級突防能力���。
因此����,用戶既要做好安全的基本面�����,避免遭遇非定向勒索攻擊���;同時(shí)��,對于有高價(jià)值資產(chǎn)的用戶則需進(jìn)一步提高安全防護(hù)系統(tǒng)和安全運(yùn)營水平����,防御定向勒索攻擊��。
▲ 終端防護(hù)系統(tǒng)防御勒索病毒原理示意圖
針對勒索攻擊構(gòu)建了“五層防御��,兩重閉環(huán)”的防護(hù)解決方案���。五層防御即系統(tǒng)加固�����、(主機(jī))邊界防御���、掃描過濾、主動防御�、文檔安全五個(gè)防御層次,兩重閉環(huán)是EPP(端點(diǎn)防護(hù))實(shí)時(shí)防御閉環(huán)��,和EDR(端點(diǎn)檢測和響應(yīng))準(zhǔn)實(shí)時(shí)/異步防御閉環(huán)��。
終端防御系統(tǒng)防護(hù)勒索病毒的機(jī)理表 |
防護(hù)層級 | 技術(shù)原理 |
系統(tǒng)加固 | 通過基線和補(bǔ)丁檢查功能���,實(shí)現(xiàn)對系統(tǒng)配置脆弱點(diǎn)的檢查修補(bǔ)��、補(bǔ)丁加固和系統(tǒng)自身安全策略調(diào)整等�,從而減少包括開放端口、弱口令�、不必要的服務(wù)等勒索攻擊的暴露面,削弱漏洞利用的成功率�。 |
(主機(jī))邊界防御 | 通過分布式主機(jī)防火墻和介質(zhì)管控功能,攔截掃描��、入侵?jǐn)?shù)據(jù)包��,阻斷攻擊載荷傳輸��,攔截U盤��、光盤等插入自動運(yùn)行�����,使勒索攻擊難以獲得主機(jī)入口�。 |
掃描過濾 | 基于安天AVL SDK反病毒引擎對文件對象、扇區(qū)對象���、內(nèi)存對象���、注冊表數(shù)據(jù)對象等進(jìn)行掃描���,判斷檢測對象是否是已知病毒或者疑似病毒,從而實(shí)現(xiàn)精準(zhǔn)判斷查殺����。 |
主動防御 | 基于內(nèi)核驅(qū)動持續(xù)監(jiān)控進(jìn)程等內(nèi)存對象操作行為動作����,研判是否存在持久化、提權(quán)�、信息竊取等攻擊動作,判斷是否存在批量讀寫���、刪除���、移動文件或扇區(qū)等操作,并通過文件授信(簽名驗(yàn)證)機(jī)制�����,過濾正常應(yīng)用操作動作以降低誤報(bào)����。 |
文檔安全 | 依靠部署多組誘餌文件并實(shí)時(shí)監(jiān)測,誘導(dǎo)勒索病毒優(yōu)先破壞,達(dá)成欺騙式防御效果����。采用多點(diǎn)實(shí)時(shí)備份機(jī)制,即使正常文檔被加密也可快速恢復(fù)�����。 |
文字來源:安天
江蘇國駿-打造安全可信的網(wǎng)絡(luò)世界
為IT提升價(jià)值
http://borgatopiano.com.cn/
免費(fèi)咨詢熱線:400-6776-989
關(guān)注公眾號
獲取免費(fèi)咨詢和安全服務(wù)
