【認(rèn)識(shí)勒索攻擊和危害】之勒索攻擊的兩種典型模式
2021年12月30日
本篇內(nèi)容將圍繞勒索攻擊的兩種典型模式:非定向勒索攻擊與定向勒索攻擊展開(kāi)���。
在上一篇內(nèi)容《勒索攻擊中的四種分工角色》中���,介紹了勒索攻擊發(fā)展成為分工明細(xì)的產(chǎn)業(yè)化犯罪顯著特征,并提出了簡(jiǎn)單的治理和防護(hù)建議�����。
部分用戶對(duì)于遭遇勒索攻擊的風(fēng)險(xiǎn)可能往往有兩種誤解���,有些用戶認(rèn)為�����,自身資產(chǎn)價(jià)值不高�,勒索攻擊不會(huì)找上自己�;也有的用戶認(rèn)為,勒索攻擊是一種比較低級(jí)的風(fēng)險(xiǎn)��,不會(huì)突破自己的防護(hù)體系����。為了澄清這些誤解�����,安天垂直響應(yīng)服務(wù)平臺(tái)運(yùn)營(yíng)組在本篇中分析勒索攻擊的兩種模式:非定向勒索攻擊與定向勒索攻擊���。
在安天《2020年網(wǎng)絡(luò)安全威脅年報(bào)》中曾提出:勒索軟件制作者開(kāi)始關(guān)注攻擊成本和攻擊效率,勒索軟件的攻擊方式��,從最初的廣撒網(wǎng)尋找目標(biāo)��,逐漸地變成對(duì)有價(jià)值的攻擊目標(biāo)進(jìn)行定向勒索�����。
因勢(shì)利導(dǎo)��,造成了當(dāng)前勒索攻擊方向模式發(fā)展的兩級(jí)分化:
既有傳統(tǒng):非定向大規(guī)模傳播->加密數(shù)據(jù)->收取贖金->解密數(shù)據(jù)的單線作業(yè)模式����;
也有新型:定向攻擊->數(shù)據(jù)竊取->加密數(shù)據(jù)->收取贖金解密->不交贖金->曝光數(shù)據(jù)的新型作業(yè)鏈條模式。
▲ 非定向與定向勒索攻擊圖示
從目標(biāo)導(dǎo)向理解即為:
1����、非定向勒索攻擊:不求單個(gè)目標(biāo)贖金高�,但求目標(biāo)多����;
2�����、定向勒索攻擊:不求目標(biāo)多����,只求單個(gè)目標(biāo)贖金高。
方向一:非定向勒索攻擊
早期非定向攻擊者會(huì)采用傳統(tǒng)的擴(kuò)散蠕蟲(chóng)或釣魚(yú)投放等方式��,進(jìn)行發(fā)散式的傳播�,且不會(huì)預(yù)先對(duì)目標(biāo)進(jìn)行偵察、評(píng)估與篩選��,對(duì)于攻擊的收益也不會(huì)有精確預(yù)估�����。而當(dāng)前�,非定向勒索攻擊者大多會(huì)選用RaaS(勒索即服務(wù))平臺(tái)或僵尸網(wǎng)絡(luò)渠道,采取“廣撒網(wǎng)”的方式對(duì)勒索軟件進(jìn)行傳播侵入��,威脅攻擊對(duì)象主要為中小企業(yè)與政府機(jī)構(gòu)單位���。
同時(shí)�,由于RaaS模式降低了攻擊者的準(zhǔn)入門(mén)檻,因此更助推了非定向勒索攻擊的攻擊者參與人數(shù)的提升���。
需要明確的是�����,部分用戶對(duì)非定向勒索攻擊存有誤解��,認(rèn)為其威脅能力并不高���,而事實(shí)上,非定向勒索攻擊只是沒(méi)有達(dá)到能與定向攻擊相較的威脅能力而已�,實(shí)際威脅能力仍然不容小覷。
無(wú)論是近些年較為活躍的提供RaaS平臺(tái)服務(wù)的家族DopplePaymer��、Egregor��、Netwalker��、REvil/Sodinokibi�����、DarkSide、Ryuk����,以及今年7月首次出現(xiàn)的BlackMatter�����,都具有較高的威脅能力�。
注:提供RaaS服務(wù)只是勒索攻擊家族為了提高非法收益,通過(guò)“價(jià)值多向變現(xiàn)”而拓展的商業(yè)模式�����,并不意味其只提供RaaS服務(wù)��,其同樣會(huì)自主發(fā)動(dòng)非定向或定向勒索攻擊��。
憑借傳播覆蓋面積足夠廣����、攻擊頻次足夠多、參與攻擊人數(shù)多等“優(yōu)勢(shì)”�����,非定向勒索攻擊同樣是持續(xù)的勒索攻擊安全防護(hù)工作重點(diǎn)。
方向二:定向勒索攻擊
大部分的定向勒索攻擊是由具備更高水平的攻擊者組織發(fā)動(dòng)的�����,能力接近或可達(dá)到APT(高級(jí)持續(xù)性威脅)攻擊的水平����。
定向勒索攻擊的特征是,事先有非常明確的攻擊目標(biāo)���,再“有組織�、有預(yù)謀���、有步驟”的發(fā)動(dòng)威脅攻擊�����,以求牟取巨額收益����。
定向勒索攻擊與APT攻擊高度相似��,有鮮明的殺傷鏈化特點(diǎn),攻擊者會(huì):
1�����、預(yù)先篩選出攻擊目標(biāo)�����;由于其目的是大額甚至巨額的勒索贖金�,因此�����,其主要瞄準(zhǔn)的往往是中大型企業(yè)�、重要政府部門(mén)/機(jī)構(gòu)、軍隊(duì)單位以及關(guān)系民生的關(guān)基設(shè)施與工控系統(tǒng)����。
2、通過(guò)偵察手段收集�、評(píng)估攻擊目標(biāo)詳細(xì)安全防護(hù)信息,針對(duì)性制定嚴(yán)密的攻擊計(jì)劃方案��,精確計(jì)算投入成本和潛在回報(bào)(ROI)����。
3�����、根據(jù)攻擊計(jì)劃方案����,充分投入部署攻擊資源�,如:攻擊人員規(guī)模、多種攻擊工具���、0day漏洞��、高級(jí)惡意代碼等�����;也包括可能獲得“內(nèi)鬼”的支持與配合�����。
基于以上信息����,可以看到定向勒索攻擊有超級(jí)突防能力。
因此�����,用戶既要做好安全的基本面�,避免遭遇非定向勒索攻擊;同時(shí)�����,對(duì)于有高價(jià)值資產(chǎn)的用戶則需進(jìn)一步提高安全防護(hù)系統(tǒng)和安全運(yùn)營(yíng)水平���,防御定向勒索攻擊。
▲ 終端防護(hù)系統(tǒng)防御勒索病毒原理示意圖
針對(duì)勒索攻擊構(gòu)建了“五層防御����,兩重閉環(huán)”的防護(hù)解決方案。五層防御即系統(tǒng)加固��、(主機(jī))邊界防御�、掃描過(guò)濾、主動(dòng)防御���、文檔安全五個(gè)防御層次����,兩重閉環(huán)是EPP(端點(diǎn)防護(hù))實(shí)時(shí)防御閉環(huán),和EDR(端點(diǎn)檢測(cè)和響應(yīng))準(zhǔn)實(shí)時(shí)/異步防御閉環(huán)��。
終端防御系統(tǒng)防護(hù)勒索病毒的機(jī)理表 |
防護(hù)層級(jí) | 技術(shù)原理 |
系統(tǒng)加固 | 通過(guò)基線和補(bǔ)丁檢查功能��,實(shí)現(xiàn)對(duì)系統(tǒng)配置脆弱點(diǎn)的檢查修補(bǔ)��、補(bǔ)丁加固和系統(tǒng)自身安全策略調(diào)整等��,從而減少包括開(kāi)放端口�、弱口令、不必要的服務(wù)等勒索攻擊的暴露面�,削弱漏洞利用的成功率。 |
(主機(jī))邊界防御 | 通過(guò)分布式主機(jī)防火墻和介質(zhì)管控功能�����,攔截掃描����、入侵?jǐn)?shù)據(jù)包,阻斷攻擊載荷傳輸���,攔截U盤(pán)���、光盤(pán)等插入自動(dòng)運(yùn)行���,使勒索攻擊難以獲得主機(jī)入口。 |
掃描過(guò)濾 | 基于安天AVL SDK反病毒引擎對(duì)文件對(duì)象�����、扇區(qū)對(duì)象�����、內(nèi)存對(duì)象����、注冊(cè)表數(shù)據(jù)對(duì)象等進(jìn)行掃描,判斷檢測(cè)對(duì)象是否是已知病毒或者疑似病毒����,從而實(shí)現(xiàn)精準(zhǔn)判斷查殺���。 |
主動(dòng)防御 | 基于內(nèi)核驅(qū)動(dòng)持續(xù)監(jiān)控進(jìn)程等內(nèi)存對(duì)象操作行為動(dòng)作����,研判是否存在持久化、提權(quán)�、信息竊取等攻擊動(dòng)作,判斷是否存在批量讀寫(xiě)��、刪除��、移動(dòng)文件或扇區(qū)等操作�����,并通過(guò)文件授信(簽名驗(yàn)證)機(jī)制��,過(guò)濾正常應(yīng)用操作動(dòng)作以降低誤報(bào)���。 |
文檔安全 | 依靠部署多組誘餌文件并實(shí)時(shí)監(jiān)測(cè)�����,誘導(dǎo)勒索病毒優(yōu)先破壞�,達(dá)成欺騙式防御效果��。采用多點(diǎn)實(shí)時(shí)備份機(jī)制�,即使正常文檔被加密也可快速恢復(fù)。 |
文字來(lái)源:安天
江蘇國(guó)駿-打造安全可信的網(wǎng)絡(luò)世界
為IT提升價(jià)值
http://czzdkc.cn/
免費(fèi)咨詢熱線:400-6776-989
關(guān)注公眾號(hào)
獲取免費(fèi)咨詢和安全服務(wù)
