by 高渐离
近些年,我们经常看到很多机构包括水利,电力,能源,医疗等基础设施机构甚至包括政府被勒索软件攻击。还有些团伙丝毫没有下限,利用疫情传播勒索软件,攻击医院。一旦攻击成功,带来的不仅是财务损失,而是患者的生命。
作为安全从业人员,我们需要思考,勒索软件到底意味着啥。我们的检测和防御体系如何应对这种挑战。这里我们看下微软情报团队如何看待勒索软件的趋势变化。
勒索最大的变化:从自动化到手动
很多人对勒索软件最深的印象还停留在2017年,WannaCry。
当年WannaCry利用永恒之蓝自动传播,导致校园网,医疗等机构大量文件被锁。我印象中公安的部分系统也被锁了,留下了这个经典界面。熊猫烧香在WannaCry面前不过是个弟弟。
安全从业人员这么经典的共同回忆,已然不多了。近几年大家的共同回忆只有挖矿了。各大公司安全人员打招呼的方式都是,听说你们那有30台主机被用来挖矿了?对方微微一笑,给你一个too naive的表情。不,是300台。
如果世界上的安全事件都像挖矿这样单纯又简单,这该是怎样的一个和谐社会啊!
然而,一切并没有如此简单。
在我们以为,通过公网封禁端口,给服务器打补丁就能解决问题的时候,勒索攻击者已经默默从自动化的勒索攻击变成了手动攻击。按微软的话说,就是:
勒索攻击采用了一些国家级黑客APT攻击的手法。
对检测和响应的影响:只不过是个挖矿?
在该报告里,微软提到了一个很有意思的地方。其实我们在《从金融黑客组织TA505和朝鲜国家队Lazarus思考钓鱼邮件分析》也有提到过类似观点。
微软追踪了一个勒索组织 PARINACOTA ,这个组织一开始可能使用攻陷的主机进行挖矿,发钓鱼邮件以及做代理。几周后再回来部署Wadhrama勒索软件。
这个组织非常暴力,通常控制网络中的一台机器后,在一个小时内完成勒索。
所以,你还敢说这只不过是一个挖矿么?
微软还提到,黑客经常使用商业恶意软件,类似于各种常规bot。往往被运营人员所忽略。不就一个常规bot告警嘛,重装下就好了。更有甚者,这个常规bot已经被杀软杀了啊,不用管了。
这里微软拿Ryuk举了个例子。一开始使用Trickbot打点,然后部署Ryuk勒索软件。
所以,微软认为当出现了Emotet,Dridex,Tickbot这些类似的告警,我们应该第一时间处置,并做系统被完全攻陷的假设来应对。
勒索方式变化
先前的勒索是通过加密用户文件,导致用户业务受损,要求用户交赎金。
而现在,如果用户不交赎金,勒索者已经开始尝试放出被加密的数据,通过GDPR的压力来迫使受害者屈服。
微软追踪的三个团伙的TTP
为啥说市面上对勒索软件的分析很多都是屎?
因为对于勒索软件,很多分析文章都只是分析勒索软件本身的功能。这对我们应对勒索软件的威胁并没有多大意义。
我们需要更多的Focus在攻击者全链路的攻击手法。通过多点布控,延缓和阻止攻击。
这里提供微软跟踪的三个团伙的TTP。
PARINACOTA
InitialAccess:RDP爆破,使用NLbrute.exe或者ForcerX,爆破admin,administrator,guest,test等账户
DefenseEvasion:关闭杀软,使用wevutil.exe清除日志
PrivilegeEscalation:粘滞键提权等
CredentialAccess:Mimikatz ,ProcDump,以及使用findstr搜索特定cookie
Persistence:修改注册表,允许RDP远程连接。安装远程管理软件或者后门。本地管理员组添加账户。添加Run或者Startup目录的自启动项。
Doppelpaymer
Ryuk
如何延缓和阻止攻击
微软给出了一个应对图。
但是,我觉得这个不够。
有一些关键点我想提一下。
方案一 端上阻断
我先前在freebuf发过一个《基于异常行为的未知勒索软件检测》,代码链接:https://github.com/mogongtech/RansomDetection。
核心思路就是投递诱饵文件,用诱饵文件对文件名进行占位,例如生成aaaa.txt,aaa.doc, zzz.xls,zzz.sql, zzz.db这样的诱饵文件,然后进行文件监控,一旦出现写入行为则进行拦截以及告警。
方案二 核心文件保护
使用微软提供的Controlled Folder Access功能,对存放重要文档的目录设置进程白名单。
详情参见:https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-atp/controlled-folders。
方案三 系统治理
使用代理访问网络
阻止非可信域名二进制文件下载
限制工作站之间的通信,做好网络隔离
禁用宏
启用备份
打补丁
方案四 US-CERT给出的方案
以上方法可以综合使用。
甲方安全人员该做啥?
随着勒索攻击方式的演进和勒索商业模式的变化,勒索带来的危害已经不仅仅是业务停摆,还包括公开的用户数据泄露事件。
甲方安全人员需要建立更多的纵深体系来检测和防御这个灰犀牛。安全运营人员也要时刻注意着头上悬着的达摩克利斯之剑。因为你漏掉的一个挖矿事件,一个bot事件,很可能会带来一次勒索的灾难。
在网络犯罪的这个战场上,没有人或组织可以高高挂起。我们要时刻揣着敬畏之心,建立更广泛的联盟,共同打击包括勒索在内的网络犯罪。
提供一个老外总结的历史勒索软件的检测特征和防御方法。
链接:https://pan.baidu.com/s/1L5JixKCppDEd4TCTzlveMA提取码:0qjf
参考
[1] https://www.microsoft.com/security/blog/2020/03/05/human-operated-ransomware-attacks-a-preventable-disaster/
[2] https://www.us-cert.gov/ncas/alerts/TA17-181A
声明:本文来自落水轩,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。