今年,IBM Security发布了《2022勒索软件权威指南》,旨在帮助组织加强知识和防御勒索软件威胁,在遭遇攻击时快速响应并及时修复。不同的部分涉及攻击之前和期间的阶段,最关键和时间敏感的部分位于初始响应部分。

勒索软件感染:日常风险

勒索软件攻击受害者的客户数量迅速增加。大多数感染案例始于员工在连接公司网络的设备上点击恶意邮件启动恶意软件。通常勒索软件通过恶意电子邮件附件进行传播,但还有其他感染途径。勒索软件可以通过浏览器漏洞注入用户的浏览器会话。

攻击者漏洞利用工具破坏系统并植入“Webshell”或“后门”,甚至远程访问木马。最近的攻击还包括从企业的云基础设施并转移到本地网络的漏洞。首先,攻击者在受感染的环境中进行部署,然后开始横向移动、提权操作,旨在感染尽可能多的设备。

最终用户:第一道防线

最终用户或员工教育是预防勒索软件攻击工作的核心要素。最终用户是抵御攻击的第一道防线。最终用户应知道如何识别异常以及如何报告。快速识别和报告恶意活动可以减轻攻击的整体影响,节省时间和费用。如果员工无法识别安全事件或不知道如何报告,攻击活动可能会持续在整个网络中蔓延。

并非所有勒索软件都是平等创建的

2013年起勒索软件迅速发展。新的恶意软件家族层出不穷,大量恶意软件开发人员加入勒索软件领域。大多数现代勒索软件使用有效且不可逆的加密密码,但并非所有勒索软件都同样有效。与其他网络犯罪一样,攻击有效性取决于攻击者的水平和经验,同时还取决于攻击者是否能够泄露试图用作勒索杠杆的关键数据。加密数据是否可以通过解密密钥释放或通过逆向工程解决是理解攻击的重要元素。了解这些信息可以帮助防御者做出有效的响应。

典型的勒索软件活动

并非所有勒索软件都是平等创建的,但大多数代码在登陆新感染的设备时会执行相似的操作列表。

C2通信

当计算机感染勒索软件时,恶意软件可能会通过将加密的系统信息发送到命令和控制(C&C) 服务器(C2) 来生成网络流量。但是,加密过程本身不需要与 C2 通信。如果勒索软件无法连接到 C2,则会在开始加密之前联系C2 节点以检索密钥的勒索软件可能会导致失败的可能性提升。它也可以在完成任务之前被检测到。通常,勒索软件包含加密所需的公钥,并可在本地使用,无需远程获取。

禁用安全和系统还原,删除卷影副本

大多数勒索软件变体采取的另一个常见措施是终止,可能会干扰文件加密的硬编码进程和服务列表,例如数据库、安全应用程序和备份服务。某些变体还会搜索并尝试卸载已知的防病毒程序或其他安全应用程序。

其他典型活动是阻止和禁用操作系统可能启用的系统还原功能。

许多变体将运行命令来执行以下一项或多项任务:

  • 删除卷影副本

  • 擦除可用空间

  • 清除事件日志

  • 关闭有助于恢复损坏系统的服务

由于它们经常登陆单个用户设备,大多数勒索软件变体旨在加密用户通常创建和使用的文件。这些变体忽略并且不影响操作系统用来保持计算机运行的文件类型。目标是保持计算机正常运行,以便受害者支付赎金。

蠕虫:无需管理权限

众所周知,勒索软件具有很强的传染性。对单个机器的攻击很快演变为系统性问题,与其他恶意软件不同,大多数勒索软件感染并不需要管理权限。相反,该恶意软件依赖于最基本的用户将在其分配的联网设备上操作的权限级别。众所周知,通过网络蠕虫的勒索软件攻击会在公司文件共享服务器中植入恶意代码,并使用这些文件夹轻松移动到其他用户设备。勒索软件在整个网络中上演的另一种方式是攻击者一方的人工干预。通常威胁者会使用攻击性工具横向移动,例如,滥用Cobalt Strike。它们还可以大量使用 Windows 工具,例如PowerShell 脚本和Windows Management Instrumentation (WMI)。

数字勒索:勒索软件引发的数据泄露

数字勒索是当今最常见的勒索软件攻击模型。这种混合攻击模式始于经典的勒索软件攻击,要求为加密文件付费。攻击者从受害者身上窃取大量敏感数据,威胁受害者如果拒绝支付赎金,则公开数据,从未造成数据泄露。

勒索软件:破坏性攻击

虽然大多数勒索软件攻击似乎都是为了经济利益而设计的,但并非所有攻击者都有这些动机。在某些情况下,看似勒索软件攻击实际上是一种破坏性攻击,旨在破坏数字资产和数据,而不是最终将其释放给合法所有者。破坏性攻击使用恶意软件擦除系统组件、破坏数据并使企业设备无法运行。这种类型的恶意软件作为主要由民族国家行为者使用,在2022 年 2月俄罗斯入侵乌克兰期间,至少有两种不同的恶意软件针对乌克兰组织部署。

三重勒索:追加DDoS攻击

2021年勒索软件勒索趋势是扩展到“三重勒索”策略。在这种类型的攻击中,文件加密、窃取数据并威胁要对受影响的组织进行DDoS 攻击。在此期间受害者的网络可能被两次恶意攻击挟持。数据被加密,网络被垃圾流量侵占。在后台,攻击者增加了威胁暴露敏感数据的杠杆作用。

勒索软件事件的生命周期

为了描述勒索软件事件的生命周期,本文档使用美国国家标准与技术研究院(NIST) 概述的方法可参见国际视野】美联邦政府《网络安全事件和漏洞响应手册》解析。NIST计算机安全事件处理指南中进一步描述了该过程。NIST会定期更新这些文件。

在主动攻击范围内,应包括以下步骤:

  • 准备

  • 检测和分析

  • 遏制、根除与恢复

  • 事件后活动

每个步骤将在以下部分中进一步详细说明。

图1:事件响应生命周期(基于NIST)

事件响应:准备

详细说明事件响应过程的所有方面超出了本文档的范围。但以下建议作为组织可以采取的步骤来帮助准备并可能防止勒索软件事件。由于勒索软件变种和攻击策略的快速和持续发展,NIST 事件响应生命周期的准备阶段是最重要的。

当检测到恶意勒索软件文件时,因为数据已经被加密,阻止攻击可能为时已晚,。但是,仍有机会遏制攻击,甚至可能完全停止攻击的某些部分。成功与否在很大程度上取决于是否有经过演练的成熟组织策略和应对计划。以下部分指出了一些不应忽视的准备要素。

基于角色的最终用户教育

积极主动的最终用户教育和培训对于帮助防止所有类型的危害至关重要,遇到安全事件的常常是最终用户。培训应强调识别网络钓鱼、商业电子邮件泄露 (BEC)欺诈、恶意垃圾邮件(malspam)以及扩展勒索软件和恶意软件事件。即使是保护周密的环境,用户也是第一道防线,因此建议对最终用户进行以下领域的定期培训:

  • 可能遇到的威胁类型

  • 应该采取和避免的行动

  • 报告问题的方式和地点

归根结底,具有安全意识的员工队伍是一种可实现的文化资产,可以作为组织整体安全态势的成本效益放大器。

电子邮件是主要的感染媒介

研究表明,电子邮件仍然是勒索软件攻击的主要入口。网络钓鱼是2021 年的主要攻击途径,网络钓鱼为攻击者提供了一种熟悉且通常有利可图的方式来接触潜在受害者并对其发起攻击。

经常对用户进行电子邮件安全教育。考虑一个执行定期、未经通知的模拟网络钓鱼练习的活动,其中员工收到模拟恶意行为的电子邮件或附件。成功的教育活动需要生成点击可疑附件或链接的用户数量的基线,然后对员工进行教育。此后,开展后续活动以量化组织内提高的意识。测试活动可以在内部创建,也可以外包给专门从事此类网络安全意识活动的公司。

宏作为感染媒介

恶意软件(包括勒索软件)通常分布在最不可能被电子邮件过滤器和安全系统阻止的生产力文件中。通过宏分发恶意软件是一种成熟但有效的技术。从1990 年代中期开始,网络犯罪分子就开始使用这种传统的攻击方法,持续对用户和公司网络构成高风险。

大多数情况下,恶意代码隐藏在常见的工作工具中,为了引诱用户启用代码运行,恶意软件隐藏在宏中,这些宏将在用户不知情的情况下启动脚本。因此,禁用不必要的宏有助于建立额外的防御层,并有助于阻止潜在风险的宏启用。

值得注意的是,微软在2022 年宣布将在Office 中默认阻止互联网宏。此更改将有助于遏制恶意宏的效力,但仍需要意识和控制来降低风险。

最佳实践

  • 就电子邮件附件中宏的风险进行持续的用户教育;

  • 提供更严格的宏通知以帮助用户自我识别风险行为;

  • 确保组织策略是最新的;

  • 阻止宏在 Word、Excel 和 来自 Internet 的 PowerPoint 文档。

更改默认密码

确保所有默认密码都已更改,并定期检查整个基础架构,以确认没有任何内容被跳过或忽略。

尽可能部署多因素身份验证

密码可能是最容易窃取的数据之一,并且在被泄露的在线记录中大量存在。在每个可能的登录系统中部署多因素身份验证(MFA),以确保被盗密码或被忽视的默认登录凭据不容易被攻击者使用。更广泛地使用MFA 可以帮助减少BEC 事件和成功使用被盗凭据。

从电子邮件中去除并禁止带有可执行文件的附件

大多数组织配置电子邮件服务器以禁止发送或接收带有可执行文件作为附件的电子邮件。这种设置是攻击者选择发送带有隐藏可执行恶意软件的压缩存档附件的电子邮件的原因之一。可以降低附件通过电子邮件控制的风险。通过配置电子邮件服务器来删除任何可执行文件,包括存档中不受密码保护且具有EXE、COM或 SCR扩展名的文件,从而做到这一点。此外,考虑在允许发送到用户邮箱之前剥离 .JS扩展名。处理 Office文档的一种潜在解决方案是将受信任(签名)宏列入白名单并阻止所有其他宏。在需要将新的业务文档宏列入许可名单的情况下,应该对这一活动进行变更管理,以确保存在完整的审计跟踪。

保护端点防病毒解决方案

保护端点防病毒解决方案不是威胁检测的唯一保护机制。尽管如此,它们应该是初始机制并部署到整个组织的所有用户。组织应确保使用最新的病毒定义更新防病毒解决方案,以优化其有效性。组织应考虑将指定的防病毒产品用于不同目的:如台式机、用于服务器、电子邮件网关,此策略可以为新出现的威胁提供最佳覆盖。

限制从“临时”文件夹执行程序恶意软件使用

“临时”文件夹作为初始执行点,勒索软件也不例外。如果可能,请使用组策略对象 (GPO) 或软件限制策略(SRP) 来限制从通用“临时”文件夹和用户配置文件中的“临时”文件夹中执行任何程序,更强大的解决方案是Windows AppLocker。此工具不仅可以禁用临时文件夹中的可执行文件,还可以禁用许多恶意软件和勒索软件系列使用的其他非标准文件夹

完善漏洞管理

完善漏洞管理,及时修补漏洞。正确识别和优先考虑最关键的漏洞采用更广泛、更科学和自动化的方法,包括关联来自各种来源的威胁和漏洞数据,识别正在积极被武器化的漏洞,并对最严重的漏洞进行排序以进行优先修复。

保持积极和最新的补丁管理策略

组织应采用积极的补丁管理策略,尤其是针对大量员工使用的浏览器漏洞,尽可能自动推送并及时应用补丁。如果补丁无法应用于高风险问题,则应采取隔离考虑、缓解控制和补偿控制等措施,以尽量减少潜在风险。

提高 DNS可见性、sinkhole和 Web 过滤功能

对于勒索软件,恶意软件的初始域名服务器(DNS) 解析有时依赖于其运营商的域生成算法(DGA)。这种设置使得识别和阻止已知的坏域变得更加困难,因为恶意软件可以生成和使用数千个不同的域名来访问C&C 服务器。

尽管如此,对企业DNS 的良好可见性在处理事件时非常有用,并且可以提供早期预警系统。搜索和监控 DNS 请求的能力允许安全团队查看模式,例如频繁的DGA 样式 DNS请求。

组织还应考虑实施DNS 沉洞功能,而不是在出口网关处直接阻止指定的Internet 协议(Ips) 或域。

使用sinkhole 允许组织将域和IP 重定向到特定的内部服务器,该服务器可以为尝试访问被阻止站点的用户提供建议。当计算机尝试访问有风险的域时,sinkhole还可以提供实时通知。组织应考虑实施的另一个有用的控制是基于信誉的Web 过滤功能。

实施最低权限原则

由于勒索软件针对本地系统和网络共享上的常见用户文件,因此建议组织对公司网络上的文件访问应用最低权限方法,从而根据日常工作的需要,为每个用户授予必要的最低权限。删除本地管理权限可以限制人为错误和恶意行为者。

禁用 Flash

Adobe Flash已成为勒索软件的一个有据可查的感染媒介。由于越来越多的安全漏洞,一些互联网浏览器已经采取措施默认阻止Flash。Flash生命周期结束 (EOL)发生在 2020年底。由于 Adobe不分发或更新Flash,因此请停止使用以限制其可能产生的风险。

禁用 Windows宿主机

过去几年中,勒索软件和其他恶意软件对JavaScript 或VBScript 的使用有所增加。恶意软件作者经常使用脚本,因为默认情况下在所有Windows 系统上都启用了宿主机(WSH)。

可以通过组策略集中阻止一些恶意脚本的可能性。创建以下注册表项和值以禁用:

HKEY_LOCAL_MACHINE\\\\SOFTWARE\\\\Microsoft\\\\Windows

ScriptHost\\\\Settings\\\\ Enabled

设置Valuedata Enabled 0

此操作有助于限制可能尝试使用JavaScript 或VBScript 运行感染例程的勒索软件或其他恶意软件。用户不会运行脚本,而是会在屏幕上看到 WSH通知,警告他们禁用脚本。

图2:WindowsScript Host disabled 消息

请注意,禁用WSH 将阻止用户运行依赖于WSH 的所有脚本,包括VBScript 和JScript 脚本。

聘用黑客

为了最大限度地减少攻击者找到进入您网络的途径的可能性,组织必须不断努力寻找和修复影响其最重要的应用程序、网络、硬件和人员的可利用漏洞。建议确定并测试您的环境是否存在可能让犯罪分子获得访问权限的缺陷和弱点。包括ATM、区块链、物联网、汽车和云平台等所需的专业测试。

制定和演练事件响应计划

事件响应计划使公司能够在威胁、中断或灾难的压力情况下迅速有效地采取行动,这些情况可能会影响组织在各个层面的运营。事件响应计划专门针对威胁数字资产和数据访问的情况。制定计划,以便做出彻底的响应,当问题出现时,将混乱和恐慌引起的决策降至最低。事件响应计划的方法应包括检测、遏制、根除和重建操作的明显阶段,但不应就此结束。事件发生后,根本原因分析应指导经验教训阶段,使组织能够继续完善计划并微调未来的行动。

场景一:网络用户尝试访问网络共享上的文件并发现它已加密

假设用户尝试访问共享文件夹并在该位置找到加密文件。在这种情况下,用户正在访问网络某处受感染计算机上的网络共享。勒索软件以用户的权限级别运行,通过网络共享并加密用户在文件夹中运行时可以访问的所有文件。要控制初始感染,找到受感染的计算机或计算机非常重要且时间敏感。缩小受感染用户的范围最常见的方法是查看已加密文件的文件所有权权限。还可以检查在每个文件夹中创建的新文件的所有权权限,通知用户文件已被加密。新文件通常会继承执行勒索软件的用户权限,将文件所有者的名称显示为最初感染勒索软件的用户账户。

场景二:用户尝试访问本地文件并发现已加密

假设计算机被感染,用户发现本地系统上的文件已加密且无法访问,但用户尚未收到屏幕上的勒索消息。大多数勒索软件变体在它们加密的每个文件夹中都会留下一个文本文件或HTML文件,通知用户文件已被加密并被扣留以勒索赎金。在这种情况下,加密过程很可能已经在进行中,但尚未完成其周期。在这种情况下,应立即关闭受害计算机。恶意进程很可能处于活动状态,并且仍在通过本地和可能的网络驱动器上的各种文件夹,使它们无法访问。系统也可以关闭,但让机器休眠可能会找到一些勒索软件变体保存在内存中的解密密钥。此外,指示员工避免重新启动机器,因为该操作可以重新启动勒索软件的加密过程并再次运行它。

场景三:用户在计算机上收到勒索消息

加密过程完成后,受感染计算机的屏幕上会显示一条消息,通知用户他们的文件已被加密,并提供支付赎金的方法。除了通知用户他们被感染并帮助安全团队意识到事件正在发生之外,显示的消息还可以帮助确定哪个勒索软件变体已被用于攻击组织。应通过使用移动设备截取屏幕截图或照片来捕获任何显示的消息,并将其作为收集的有关事件的取证信息的一部分保存。

图3:来自勒索软件攻击者的示例消息—在本例中为Ryuk

场景四:大规模文件操作警报

安全团队了解持续勒索软件情况的另一种方法是看到文件操作阈值大大超出其正常的日常记录。此类警报通常来自已设置相应规则的安全信息和事件管理(SIEM) 解决方案。

事件响应:分析

分析阶段主要关注识别行动中的勒索软件的特定变体及确定恶意软件如何进入组织(也称为根本原因分析)这两个领域的问题。

恶意软件识别

在开始事件的分析阶段时,必须在进入遏制阶段之前识别出危害环境的勒索软件的特定变体。例如,某些版本的勒索软件可以使用横向移动功能,而其他版本则不能。了解感染环境的特定勒索软件代码的能力会影响遏制和根除工作。

初始根本原因分析

应执行精简级别的根本原因分析(RCA),以帮助安全团队了解勒索软件如何进入数字环境。

虽然正式的RCA 可以等到事件后活动阶段,但精简的RCA 可以帮助组织计划并进入遏制阶段。如果没有初始 RCA,感染周期很可能会重演。在恢复阶段之前执行初始 RCA 也很重要。否则,组织可能会花费大量时间和精力来恢复文件,结果却发现它们再次被重新加密。

电子邮件入口点

勒索软件最常见的两个进入组织的入口点是通过带有附件的未经请求的电子邮件,或通过尝试通过下载感染的网络浏览器漏洞。

如果员工收到包含勒索软件的未经请求的电子邮件,组织应快速搜索以识别其他员工邮箱中可能未打开的其他电子邮件。应立即提取并清除这些电子邮件,以防止被打开。

路过式下载入口

Web浏览器漏洞的确定要复杂一些,但最初的RCA 可能依赖于组织的补丁管理基础设施。适当的分析将有助于确定导致感染的初始网站,从而允许组织阻止从其网络访问该网站。

利用和手动感染

使用勒索软件的攻击者进入组织的另一种方式是利用特定的软件或服务器漏洞。这些攻击者在网络的关键区域手动植入勒索软件,以感染尽可能多的设备。

事件响应:遏制

遏制阶段是响应计划的关键部分。当系统被识别为可能存在勒索软件时,应立即将计算机从网络中删除,包括WIFI连接。未能迅速将受感染的系统与网络隔离可能会增加事件的影响。在这种情况下,允许恶意软件继续加密本地系统或网络共享上的更多文件并增加您的恢复工作。

运行端点检测和响应(EDR)

运行端点检测和响应(EDR) 安全自动化对于任何攻击都至关重要,尤其是对于勒索软件感染。

  • EDR 可以帮助检测早期阶段的攻击,从而减少对基础设施的影响。

  • EDR 可以帮助完全隔离受感染的设备,使它们保持通电但与网络断开连接。 这样,受感染的设备会保留重要的取证数据,但不能继续在本地系统之外造成损害。

  • EDR 可以在恢复周期中进一步帮助取证。

最后的遏制:终止访问

如果无法快速确定勒索软件感染的来源以及加密过程的来源,请考虑将文件共享或共享脱机作为最后的手段。此操作有助于将风险和对业务的影响降至最低。不需要关闭文件服务器,但应终止对文件共享的所有访问。但并不建议更改共享位置中文件的权限。根据文件的数量,权限传播可能需要数小时,并且允许加密过程在此期间继续进行。

事件响应:根除

根除阶段涉及从整个组织的受感染系统中删除勒索软件。根据攻击的范围,此操作可能会很长,并且可能涉及用户设备以及攻击者设法影响的更多关键机器和服务。任何被识别为受感染的系统都应该从受信任的来源重建。依靠安全保存的受信任模板和设置来应对此类感染等情况。

此外,根本原因分析可能会显示勒索软件通过电子邮件或其他用户可以访问的机制渗透到组织中。应通过以下步骤检查和处理这些机制:

  • 如果 RCA 发现恶意软件最初是通过电子邮件到达的,则组织应搜索并清除邮件存储中仍待处理的所有现有邮件。 此外,请考虑隔离任何收到电子邮件或打开电子邮件的系统,直到您确认勒索软件未在这些系统上执行。

  • 如果 RCA 发现勒索软件是通过网络浏览器漏洞到达的,则应阻止和监控这些网站。 然后,评估是否需要更新或删除任何易受攻击的浏览器组件。

  • 作为预防措施,应更改所有受影响用户的密码。

事件响应:恢复

在开始恢复过程之前,组织完成遏制并确定感染的根本原因非常重要。

修补漏洞

如果RCA发现攻击是由易受攻击的系统造成的,则必须修补这些漏洞以防止未来的攻击。如系统无法修补,则进行隔离,并确保补偿控制到位,以最大限度地降低暴露风险。

加密可以逆转吗?

可能无法从备份中完全恢复文件。在这些情况下,组织可能会寻找在不支付赎金的情况下破解加密的方法,或者可能在受感染的系统上找到解密密钥。了解勒索软件感染的变种和版本可能有助于确定选项。它还可以帮助恢复阶段,并为有关如何进行恢复以及每条潜在路线的后果的决策提供信息。

网络危机管理计划

虽然勒索软件攻击在内部具有高度破坏性,但攻击范围可能会有所不同。对整个业务的影响需要对危机级别的网络攻击做出更强有力的响应,这种攻击超出了传统的事件响应范围并威胁到您的整个组织。在最坏的情况下,这些攻击可能会永久损害组织。

成功修复危机级别的网络攻击不仅需要雄厚的技术能力,还需要灵活的整体业务响应,使组织能够一致地响应,而不是孤立地响应。

支付赎金:需要考虑的事项

支付赎金并不能保证数据恢复

支付赎金不等于即时恢复数据,使用解密密钥恢复很少是即时的。解密文件是一项手动任务,每个文件都必须单独解密,这可能是一项艰巨且耗时的工作。

支付赎金可能触犯联邦法律

支付赎金需求的上涨催生了一种新型业务:勒索软件谈判者。这个新领域的私营公司提供帮助公司谈判和支付赎金的费用。然而支付赎金前,还有其他因素需要考虑,一些国家受到美国政府的制裁,因此向这些国家的网络犯罪分子支付赎金可能构成联邦犯罪。

支付赎金可强化其商业模式

向网络犯罪分子付款可强化其商业模式,并不断资助网络犯罪和该生态系统支持的其他犯罪活动。

事件响应:事件后活动

事件后活动是响应计划的重要组成部分,发生任何事件后,无论大小,建议与相关利益相关者会面,讨论有效的要素和无效的要素。“经验教训”分析可以帮助组织逐步改进流程,并确保更有效地处理未来的事件,从而最大限度地减少潜在影响。分析还应包括用于帮助检测和保护基础设施的技术控制。同时分析技术的有效性可以阐明任何需要的架构修改、撤资或对可以保持安全成熟度模型不断发展的安全技术的新投资。

声明:本文来自天极智库,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。