【認(rèn)識(shí)勒索攻擊和危害】之慣用傳播方式與侵入途徑
2021年12月30日
可能部分用戶還沒(méi)有認(rèn)識(shí)到��,如今的網(wǎng)絡(luò)環(huán)境的每一步應(yīng)用場(chǎng)景,幾乎都有可能被攻擊者利用成勒索攻擊的傳播方式與侵入途徑�。
基于歷史勒索攻擊分 析報(bào)告及相關(guān)資料,將目前已知的攻擊者慣用傳播方式與侵入途徑進(jìn)行了歸類整理����,通過(guò)本文呈現(xiàn),旨在為用戶制定勒索攻擊防護(hù)方案時(shí)提供參考�����。
一��、郵件傳播侵入
一般為垃圾郵件、釣魚(yú)郵件與魚(yú)叉式釣魚(yú)郵件�,邏輯是通過(guò)郵件中的時(shí)事熱點(diǎn)信息或與受害者相關(guān)的內(nèi)容(包括標(biāo)題),誘使用戶點(diǎn)擊或運(yùn)行內(nèi)嵌了勒索軟件的附件(格式多為Word文檔���、Excel表格����、JavaScript腳本或exe文件等)�,或打開(kāi)郵件正文中的惡意鏈接。用戶一旦進(jìn)行相關(guān)操作���,勒索軟件將會(huì)自動(dòng)下載和運(yùn)行�����。
垃圾郵件在非定向勒索攻擊中較為常見(jiàn)�����,以“廣撒網(wǎng)”的方式進(jìn)行傳播���,郵件內(nèi)容一般為時(shí)事熱點(diǎn)、廣告���、促銷信息或偽裝成打招呼郵件(如標(biāo)題為“好久不見(jiàn)”等)�����。
釣魚(yú)郵件與魚(yú)叉式釣魚(yú)郵件則常用于定向勒索攻擊中�,由于攻擊者通常在事前已通過(guò)偵察手段獲取到了受害者的相關(guān)信息���,因此會(huì)將郵件包裝成官方或工作伙伴發(fā)送的郵件(如:“XX最新政策信息”���、“XX年度XX工作表”、“公司將升級(jí)XX系統(tǒng)”等相關(guān)標(biāo)題與內(nèi)容)�,甚至?xí)7率烊税l(fā)信的語(yǔ)氣,增加收件人上當(dāng)?shù)母怕省?/span>
這類傳播及侵入的目標(biāo)多為企業(yè)�����、高校��、醫(yī)院機(jī)構(gòu)等單位��,這些單位組織中的本地設(shè)備通常保存有較重要的文件����,一旦侵入成功�����,即可造成極大威脅�����。
例:安天曾在《LooCipher勒索軟件分析報(bào)告》中指出:LooCipher勒索軟件主要通過(guò)垃圾郵件進(jìn)行傳播��,郵件附件為包含惡意宏代碼的Word文檔����。該文檔誘使用戶啟用宏以查看文檔內(nèi)容�����,宏代碼的功能為連接Tor服務(wù)器并下載執(zhí)行程序���,將該文件重命名為L(zhǎng)ooCipher.exe�����,然后執(zhí)行該文件����。
二、系統(tǒng)或軟件漏洞
攻擊者利用各類系統(tǒng)或軟件漏洞(包括已公開(kāi)且已發(fā)布補(bǔ)丁的漏洞)組合��,或通過(guò)黑色產(chǎn)業(yè)鏈中的漏洞利用套件(如:Exploit Kit)來(lái)傳播勒索軟件��。
由于未能及時(shí)修補(bǔ)漏洞�����,因此用戶即便沒(méi)有不安全用網(wǎng)行為����,也可能遭到攻擊者侵入����;同時(shí),攻擊者還會(huì)掃描同一網(wǎng)絡(luò)中存在漏洞的其他設(shè)備���,以擴(kuò)大威脅攻擊范圍���。
例:“魔窟”(WannaCry)就是利用Windows操作系統(tǒng)中,名為“永恒之藍(lán)”的安全漏洞進(jìn)行全球范圍傳播的�����。
三、弱口令暴力破解(遠(yuǎn)程桌面控制)
由于部分服務(wù)器會(huì)使用弱口令(可簡(jiǎn)單理解為復(fù)雜度較低的密碼)遠(yuǎn)程登錄����,攻擊者便利用這一弱點(diǎn)實(shí)施暴力破解,實(shí)現(xiàn)遠(yuǎn)程登陸并手動(dòng)下載運(yùn)行勒索軟件�。譬如:通過(guò)弱口令嘗試暴力破解RDP端口、SSH端口和數(shù)據(jù)庫(kù)端口等���。
即使服務(wù)器安裝了安全軟件�,攻擊者也可手動(dòng)將其退出����。該手段具有較高的隱蔽性、機(jī)動(dòng)性�,因此極難被安全軟件發(fā)現(xiàn)。
例:2021年3月����,安天就曾發(fā)布《對(duì)HelpYou勒索軟件的分析報(bào)告》,發(fā)現(xiàn)該勒索軟除了通過(guò)郵件之外�����,還可以利用RDP弱口令滲透進(jìn)行傳播。
四���、僵尸網(wǎng)絡(luò)
僵尸網(wǎng)絡(luò)是指:采用一種或多種傳播方式����,將大量主機(jī)感染bot程序(僵尸程序)病毒�����,從而在控制者和被感染主機(jī)之間所形成的一個(gè)可一對(duì)多控制的網(wǎng)絡(luò)��。
例:攻擊者利用已經(jīng)被僵尸網(wǎng)絡(luò)控制的系統(tǒng)主機(jī)進(jìn)行病毒傳播��,特點(diǎn)是傳播范圍廣�����,隱秘性高��,感染速度快���。2021年8月,安天發(fā)布了《對(duì)AstraLocker勒索軟件的分析報(bào)告》����,該勒索軟件主要通過(guò)垃圾郵件和僵尸網(wǎng)絡(luò)進(jìn)行傳播��。
五��、惡意廣告鏈接(網(wǎng)頁(yè)掛馬)
攻擊者會(huì)向網(wǎng)頁(yè)代理投放廣告(彈窗廣告�����、懸浮窗廣告等)�����,并在其中植入跳轉(zhuǎn)鏈接��,從而避開(kāi)針對(duì)廣告系統(tǒng)的安全機(jī)制��,誘導(dǎo)用戶點(diǎn)擊廣告�、訪問(wèn)網(wǎng)站并觸發(fā)惡意代碼���,進(jìn)而下載勒索軟件并執(zhí)行����。
有些攻擊者則會(huì)選擇直接攻擊網(wǎng)站�����,并植入惡意代碼,用戶一旦訪問(wèn)就會(huì)感染�����。
也有一些攻擊者會(huì)自主搭建包含惡意代碼的網(wǎng)站��,或者仿造制作與知名站點(diǎn)相似的“假網(wǎng)站”����,以此來(lái)誘騙用戶訪問(wèn)。
例:安天在《對(duì)Maze勒索軟件的分析》中發(fā)現(xiàn)�,該勒索軟件擅長(zhǎng)使用FalloutEK漏洞利用工具,或通過(guò)網(wǎng)頁(yè)掛馬的方式傳播��;被掛馬的網(wǎng)頁(yè)���,多用于黃賭毒以及某些軟件內(nèi)嵌的廣告頁(yè)面等�����。
六、軟件供應(yīng)鏈(信任轉(zhuǎn)嫁)
軟件供應(yīng)鏈攻擊是指利用軟件供應(yīng)商與最終用戶之間的信任關(guān)系�����,在合法軟件正常傳播、安裝和升級(jí)過(guò)程中�,通過(guò)軟件供應(yīng)商的各種疏忽或漏洞,對(duì)合法軟件進(jìn)行劫持或篡改����,從而繞過(guò)傳統(tǒng)安全產(chǎn)品檢查達(dá)到傳播侵入的攻擊類型。
例:2021年7月3日����,美國(guó)技術(shù)管理軟件供應(yīng)商Kaseya遭遇REvil勒索軟件的攻擊。REvil團(tuán)伙在Kaseya供應(yīng)鏈攻擊中利用了0day漏洞��。據(jù)媒體報(bào)道�����,至少有1000家企業(yè)受到了攻擊的影響�,受害者來(lái)自至少17個(gè)國(guó)家,包括英國(guó)���、南非�����、加拿大�、阿根廷、墨西哥����、印度尼西亞、新西蘭和肯尼亞等��。而REvil勒索團(tuán)伙當(dāng)時(shí)索要的贖金高達(dá)7000萬(wàn)美元���。
七��、移動(dòng)存儲(chǔ)介質(zhì)
攻擊者通過(guò)隱藏U盤(pán)��、移動(dòng)硬盤(pán)等移動(dòng)存儲(chǔ)介質(zhì)中的原有文件���,創(chuàng)建與移動(dòng)存儲(chǔ)介質(zhì)盤(pán)符、圖標(biāo)等相同的快捷方式并植入病毒�����,一旦用戶點(diǎn)擊就會(huì)運(yùn)行勒索軟件���,或運(yùn)行專門用于收集和回傳設(shè)備信息的木馬程序����,便于未來(lái)實(shí)施針對(duì)性的勒索軟件攻擊行為���。
由于PE類文件(常見(jiàn)后綴為exe��、dll���、ocx、sys����、com的都是PE文件)被感染后具有了感染其他文件的能力,如果此文件被用戶攜帶(U盤(pán)���、移動(dòng)硬盤(pán)��、網(wǎng)絡(luò)上傳等)到別的設(shè)備上運(yùn)行�,就會(huì)使得其他設(shè)備的文件也被全部感染�。許多內(nèi)網(wǎng)隔離環(huán)境,就是被藏在移動(dòng)存儲(chǔ)介質(zhì)里的惡意軟件感染的�。
例:2021年3月,安天捕獲到的BleachGap勒索軟件就具備添加自啟動(dòng)�����、改寫(xiě)MBR、通過(guò)可移動(dòng)介質(zhì)傳播等多項(xiàng)特征�����。
八���、水坑攻擊
攻擊者在受害者必經(jīng)之路設(shè)置了一個(gè)“水坑(陷阱)”�����,致使受害者上當(dāng)��。譬如:攻擊者會(huì)分析攻擊目標(biāo)的上網(wǎng)活動(dòng)規(guī)律��,尋找攻擊目標(biāo)經(jīng)常訪問(wèn)的網(wǎng)站的弱點(diǎn)�����,先將此網(wǎng)站“攻破”并植入攻擊代碼�����,一旦攻擊目標(biāo)訪問(wèn)該網(wǎng)站就會(huì)“中招”��。
例:勒索軟件“Bad Rabbit”就曾采用水坑攻擊的方式傳播����,通過(guò)偽裝成Adobe flashplayer欺騙用戶安裝��,感染后會(huì)在局域網(wǎng)內(nèi)擴(kuò)散���。
江蘇國(guó)駿-打造安全可信的網(wǎng)絡(luò)世界
為IT提升價(jià)值
http://borgatopiano.com.cn/
免費(fèi)咨詢熱線:400-6776-989
關(guān)注公眾號(hào)
獲取免費(fèi)咨詢和安全服務(wù)
