by 高渐离

近些年,我们经常看到很多机构包括水利,电力,能源,医疗等基础设施机构甚至包括政府被勒索软件攻击。还有些团伙丝毫没有下限,利用疫情传播勒索软件,攻击医院。一旦攻击成功,带来的不仅是财务损失,而是患者的生命。

作为安全从业人员,我们需要思考,勒索软件到底意味着啥。我们的检测和防御体系如何应对这种挑战。这里我们看下微软情报团队如何看待勒索软件的趋势变化。

勒索最大的变化:从自动化到手动

很多人对勒索软件最深的印象还停留在2017年,WannaCry。

当年WannaCry利用永恒之蓝自动传播,导致校园网,医疗等机构大量文件被锁。我印象中公安的部分系统也被锁了,留下了这个经典界面。熊猫烧香在WannaCry面前不过是个弟弟。

安全从业人员这么经典的共同回忆,已然不多了。近几年大家的共同回忆只有挖矿了。各大公司安全人员打招呼的方式都是,听说你们那有30台主机被用来挖矿了?对方微微一笑,给你一个too naive的表情。不,是300台。

如果世界上的安全事件都像挖矿这样单纯又简单,这该是怎样的一个和谐社会啊!

然而,一切并没有如此简单。

在我们以为,通过公网封禁端口,给服务器打补丁就能解决问题的时候,勒索攻击者已经默默从自动化的勒索攻击变成了手动攻击。按微软的话说,就是:

勒索攻击采用了一些国家级黑客APT攻击的手法。

对检测和响应的影响:只不过是个挖矿?

在该报告里,微软提到了一个很有意思的地方。其实我们在《从金融黑客组织TA505和朝鲜国家队Lazarus思考钓鱼邮件分析》也有提到过类似观点。

微软追踪了一个勒索组织 PARINACOTA ,这个组织一开始可能使用攻陷的主机进行挖矿,发钓鱼邮件以及做代理。几周后再回来部署Wadhrama勒索软件

这个组织非常暴力,通常控制网络中的一台机器后,在一个小时内完成勒索。

所以,你还敢说这只不过是一个挖矿么?

微软还提到,黑客经常使用商业恶意软件,类似于各种常规bot。往往被运营人员所忽略。不就一个常规bot告警嘛,重装下就好了。更有甚者,这个常规bot已经被杀软杀了啊,不用管了。

这里微软拿Ryuk举了个例子。一开始使用Trickbot打点,然后部署Ryuk勒索软件。

所以,微软认为当出现了Emotet,Dridex,Tickbot这些类似的告警,我们应该第一时间处置,并做系统被完全攻陷的假设来应对

勒索方式变化

先前的勒索是通过加密用户文件,导致用户业务受损,要求用户交赎金。

而现在,如果用户不交赎金,勒索者已经开始尝试放出被加密的数据,通过GDPR的压力来迫使受害者屈服。

微软追踪的三个团伙的TTP

为啥说市面上对勒索软件的分析很多都是屎?

因为对于勒索软件,很多分析文章都只是分析勒索软件本身的功能。这对我们应对勒索软件的威胁并没有多大意义。

我们需要更多的Focus在攻击者全链路的攻击手法。通过多点布控,延缓和阻止攻击。

这里提供微软跟踪的三个团伙的TTP。

PARINACOTA

InitialAccess:RDP爆破,使用NLbrute.exe或者ForcerX,爆破admin,administrator,guest,test等账户

DefenseEvasion:关闭杀软,使用wevutil.exe清除日志

PrivilegeEscalation:粘滞键提权等

CredentialAccess:Mimikatz ,ProcDump,以及使用findstr搜索特定cookie

Persistence:修改注册表,允许RDP远程连接。安装远程管理软件或者后门。本地管理员组添加账户。添加Run或者Startup目录的自启动项。

Doppelpaymer

Ryuk

如何延缓和阻止攻击

微软给出了一个应对图。

但是,我觉得这个不够。

有一些关键点我想提一下。

方案一 端上阻断

我先前在freebuf发过一个《基于异常行为的未知勒索软件检测》,代码链接:https://github.com/mogongtech/RansomDetection

核心思路就是投递诱饵文件,用诱饵文件对文件名进行占位,例如生成aaaa.txt,aaa.doc, zzz.xls,zzz.sql, zzz.db这样的诱饵文件,然后进行文件监控,一旦出现写入行为则进行拦截以及告警。

方案二 核心文件保护

使用微软提供的Controlled Folder Access功能,对存放重要文档的目录设置进程白名单

详情参见:https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-atp/controlled-folders。

方案三 系统治理

  1. 使用代理访问网络

  2. 阻止非可信域名二进制文件下载

  3. 限制工作站之间的通信,做好网络隔离

  4. 禁用宏

  5. 启用备份

  6. 打补丁

方案四 US-CERT给出的方案

以上方法可以综合使用。

甲方安全人员该做啥?

随着勒索攻击方式的演进和勒索商业模式的变化,勒索带来的危害已经不仅仅是业务停摆,还包括公开的用户数据泄露事件

甲方安全人员需要建立更多的纵深体系来检测和防御这个灰犀牛。安全运营人员也要时刻注意着头上悬着的达摩克利斯之剑。因为你漏掉的一个挖矿事件,一个bot事件,很可能会带来一次勒索的灾难。

在网络犯罪的这个战场上,没有人或组织可以高高挂起。我们要时刻揣着敬畏之心,建立更广泛的联盟,共同打击包括勒索在内的网络犯罪

提供一个老外总结的历史勒索软件的检测特征和防御方法。

链接:https://pan.baidu.com/s/1L5JixKCppDEd4TCTzlveMA提取码:0qjf

参考

[1] https://www.microsoft.com/security/blog/2020/03/05/human-operated-ransomware-attacks-a-preventable-disaster/

[2] https://www.us-cert.gov/ncas/alerts/TA17-181A

声明:本文来自落水轩,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。