【認識勒索攻擊和危害】之“勒索攻擊殺傷鏈”分析
2021年12月31日
將從定向勒索攻擊切入���,結(jié)合“網(wǎng)絡殺傷鏈”模型��,分析總結(jié)出勒索攻擊的重要流程節(jié)點與相互邏輯關(guān)系,以便用戶明確各階段防護重點���。
勒索攻擊專題
《從八個方面認識勒索攻擊和危害》之一:勒索攻擊中的四種分工角色
《從八個方面認識勒索攻擊和危害》之二:勒索攻擊的兩種典型模式
《從八個方面認識勒索攻擊和危害》之三:慣用傳播方式與侵入途徑
勒索攻擊的手段不斷地在變化�,攻擊水平也在不斷地提升��,但攻擊流程的共性總是存在的�。理解攻擊流程中各節(jié)點的價值,可以對其中的相關(guān)節(jié)點進行層層阻斷�����,幫助用戶建立更加安全縝密的防護體系�����。
本期內(nèi)容將從定向勒索攻擊切入���,結(jié)合“網(wǎng)絡殺傷鏈”模型�,分析總結(jié)出勒索攻擊的重要流程節(jié)點與相互邏輯關(guān)系,盡可能通過簡單易懂的方式介紹“勒索攻擊殺傷鏈”�����,以便用戶明確各階段防護重點����。
注:“網(wǎng)絡殺傷鏈”的概念源自軍事領域,它是一個描述攻擊環(huán)節(jié)的模型���,網(wǎng)空威脅可劃分為7個階段��,分別是“偵察-武器構(gòu)建-載荷投送-突防利用-安裝植入-通信控制-達成目標”��。該理論也可以用來反制此類攻擊�����,即“反殺傷鏈”����,分別是“發(fā)現(xiàn)-定位-跟蹤-瞄準-打擊-達成目標”六個環(huán)節(jié)�。
▲勒索攻擊殺傷鏈示意圖
一��、偵察
攻擊者首先會收集信息以確定被攻擊目標�,并偵察被攻擊目標系統(tǒng)的防護薄弱環(huán)節(jié)�。
1. 收集基礎信息:以定向勒索攻擊為主的威脅攻擊發(fā)起前,攻擊者會通過主動掃描����、網(wǎng)絡釣魚以及在“暗網(wǎng)”黑市購買等方式,收集被攻擊目標的網(wǎng)絡信息��、身份信息����、主機信息�、組織信息等,如:電子郵件地址���、連接互聯(lián)網(wǎng)的服務器等���,以豐富制定攻擊計劃所需要的信息儲備。
2. 發(fā)現(xiàn)攻擊入口: 攻擊者通過漏洞掃描�、網(wǎng)絡嗅探等方式,發(fā)現(xiàn)目標網(wǎng)絡和系統(tǒng)存在的安全隱患���,找到網(wǎng)絡攻擊的突破口����。
二、武器構(gòu)建
攻擊準備階段��,攻擊者可能會根據(jù)發(fā)現(xiàn)的漏洞開發(fā)具有針對性的攻擊“武器”����,或者通過合作的方式從其他渠道獲取成熟的攻擊“武器”;之后����,攻擊者會利用在偵察階段獲取的被攻擊目標的網(wǎng)絡、漏洞�����、主機��、身份和組織等畫像信息����,嘗試制定攻擊計劃,并基于計劃部署參與人員、開發(fā)攻擊工具�����、確認技術(shù)細節(jié)等攻擊資源�。
三、載荷投遞
當準備工作結(jié)束�,攻擊者并不能馬上發(fā)動勒索攻擊,而是需要通過網(wǎng)絡郵件����、遠程桌面(RDP)弱口令暴力破解、僵尸網(wǎng)絡����、網(wǎng)頁掛馬、軟件供應鏈����、移動存儲介質(zhì)����、水坑攻擊等傳播與侵入途徑,將攻擊“武器”投遞到目標位置���。
四���、漏洞利用
這一階段��,攻擊者除了需要獲取更高級別的控制權(quán)限��,以擴大攻擊范圍之外�,還會想盡辦法繞開或關(guān)閉殺毒軟件�,保障勒索攻擊實施的效率與效果。
1. 獲取控制權(quán)限: 攻擊者獲取到目標網(wǎng)絡和系統(tǒng)的控制權(quán)限后���,會進一步通過修改域策略設置等方式提升自身權(quán)限�����。
2. 擴大攻擊范圍: 攻擊者還會再繼續(xù)尋找系統(tǒng)內(nèi)部漏洞���,通過內(nèi)網(wǎng)橫向滲透,盡可能增加受控設備數(shù)量���,擴大攻擊范圍�����;此外�,攻擊者還會利用權(quán)限執(zhí)行修改注冊表、混淆文件信息�、手動退出安全防護軟件等操作,以保障勒索軟件的安裝植入效率與運行效果����。
五、安裝植入勒索軟件
確保攻擊范圍�、環(huán)境與設備可控后,攻擊者會通過腳本���、手動植入等手段��,部署投放勒索軟件�����,待受害者將其觸發(fā)或攻擊者手動啟動����。
六���、通信控制
攻擊者通過建立遠程控制目標系統(tǒng)的路徑,以保障在對被攻擊目標實施竊密、加密的攻擊行動全程可控��。
七��、目標達成
在這一階段�,攻擊者會先將被攻擊目標的數(shù)據(jù)進行竊取,并在對數(shù)據(jù)完成加密后��,留下勒索信息����,要求受害者支付贖金。
1. 竊取數(shù)據(jù): 獲取受害者數(shù)據(jù)(包括文本��、圖片�����、音頻�、視頻等應用數(shù)據(jù),重要文件��、磁盤引導記錄等系統(tǒng)數(shù)據(jù)�,以及數(shù)據(jù)庫類文件),并回傳數(shù)據(jù)至指定服務器(定向勒索攻擊因事前已詳細偵察受害者�����,會專注竊取敏感、重要及涉密部分數(shù)據(jù))����。
2. 加密勒索: 完成數(shù)據(jù)竊取后,勒索軟件加密磁盤文件�,攻擊者通常會以桌面壁紙顯示或彈窗勒索信息,也有些攻擊者會在桌面留下包含勒索信息的.txt文檔�����;一般內(nèi)容包括:勒索攻擊的情況���、攻擊者聯(lián)系方式(如“暗網(wǎng)”聯(lián)系方式��、電子郵箱等)���、贖金支付地址、贖金額度�����、支付時限��、要求受害者盡快支付贖金的威脅施壓信息(如:不支付贖金就會曝光數(shù)據(jù))等��。
注:也有受害者每操作一次設備(哪怕正常點擊一次鼠標)就彈窗一次勒索信息的現(xiàn)象�。
需要明確的時,在勒索攻擊中���,不論是定向勒索攻擊還是非定向勒索攻擊�,攻擊者的最終目的是獲得贖金�����,或者通過出售竊取而來的數(shù)據(jù)獲利��。
總結(jié)
通過“勒索攻擊殺傷鏈”可以發(fā)現(xiàn)�,應對勒索攻擊的關(guān)鍵在于預防,建立安全用網(wǎng)規(guī)范�����、保持安全用網(wǎng)習慣�、及時修補漏洞、構(gòu)建動態(tài)的綜合防護體系���,才能有效的層層阻斷��,從根本上提升防護能力����。
江蘇國駿-打造安全可信的網(wǎng)絡世界
為IT提升價值
http://borgatopiano.com.cn/
免費咨詢熱線:400-6776-989
關(guān)注公眾號
獲取免費咨詢和安全服務
