【認(rèn)識(shí)勒索攻擊和危害】之“勒索攻擊殺傷鏈”分析
2021年12月31日
將從定向勒索攻擊切入����,結(jié)合“網(wǎng)絡(luò)殺傷鏈”模型,分析總結(jié)出勒索攻擊的重要流程節(jié)點(diǎn)與相互邏輯關(guān)系���,以便用戶(hù)明確各階段防護(hù)重點(diǎn)。
勒索攻擊專(zhuān)題
《從八個(gè)方面認(rèn)識(shí)勒索攻擊和危害》之一:勒索攻擊中的四種分工角色
《從八個(gè)方面認(rèn)識(shí)勒索攻擊和危害》之二:勒索攻擊的兩種典型模式
《從八個(gè)方面認(rèn)識(shí)勒索攻擊和危害》之三:慣用傳播方式與侵入途徑
勒索攻擊的手段不斷地在變化�,攻擊水平也在不斷地提升���,但攻擊流程的共性總是存在的。理解攻擊流程中各節(jié)點(diǎn)的價(jià)值����,可以對(duì)其中的相關(guān)節(jié)點(diǎn)進(jìn)行層層阻斷,幫助用戶(hù)建立更加安全縝密的防護(hù)體系����。
本期內(nèi)容將從定向勒索攻擊切入,結(jié)合“網(wǎng)絡(luò)殺傷鏈”模型�,分析總結(jié)出勒索攻擊的重要流程節(jié)點(diǎn)與相互邏輯關(guān)系,盡可能通過(guò)簡(jiǎn)單易懂的方式介紹“勒索攻擊殺傷鏈”����,以便用戶(hù)明確各階段防護(hù)重點(diǎn)。
注:“網(wǎng)絡(luò)殺傷鏈”的概念源自軍事領(lǐng)域���,它是一個(gè)描述攻擊環(huán)節(jié)的模型����,網(wǎng)空威脅可劃分為7個(gè)階段�,分別是“偵察-武器構(gòu)建-載荷投送-突防利用-安裝植入-通信控制-達(dá)成目標(biāo)”。該理論也可以用來(lái)反制此類(lèi)攻擊,即“反殺傷鏈”����,分別是“發(fā)現(xiàn)-定位-跟蹤-瞄準(zhǔn)-打擊-達(dá)成目標(biāo)”六個(gè)環(huán)節(jié)。
▲勒索攻擊殺傷鏈?zhǔn)疽鈭D
一�����、偵察
攻擊者首先會(huì)收集信息以確定被攻擊目標(biāo)����,并偵察被攻擊目標(biāo)系統(tǒng)的防護(hù)薄弱環(huán)節(jié)。
1. 收集基礎(chǔ)信息:以定向勒索攻擊為主的威脅攻擊發(fā)起前��,攻擊者會(huì)通過(guò)主動(dòng)掃描�����、網(wǎng)絡(luò)釣魚(yú)以及在“暗網(wǎng)”黑市購(gòu)買(mǎi)等方式�����,收集被攻擊目標(biāo)的網(wǎng)絡(luò)信息�����、身份信息��、主機(jī)信息��、組織信息等�����,如:電子郵件地址�、連接互聯(lián)網(wǎng)的服務(wù)器等,以豐富制定攻擊計(jì)劃所需要的信息儲(chǔ)備���。
2. 發(fā)現(xiàn)攻擊入口: 攻擊者通過(guò)漏洞掃描����、網(wǎng)絡(luò)嗅探等方式�����,發(fā)現(xiàn)目標(biāo)網(wǎng)絡(luò)和系統(tǒng)存在的安全隱患�,找到網(wǎng)絡(luò)攻擊的突破口。
二�、武器構(gòu)建
攻擊準(zhǔn)備階段,攻擊者可能會(huì)根據(jù)發(fā)現(xiàn)的漏洞開(kāi)發(fā)具有針對(duì)性的攻擊“武器”�����,或者通過(guò)合作的方式從其他渠道獲取成熟的攻擊“武器”;之后�,攻擊者會(huì)利用在偵察階段獲取的被攻擊目標(biāo)的網(wǎng)絡(luò)、漏洞����、主機(jī)、身份和組織等畫(huà)像信息�����,嘗試制定攻擊計(jì)劃���,并基于計(jì)劃部署參與人員����、開(kāi)發(fā)攻擊工具�、確認(rèn)技術(shù)細(xì)節(jié)等攻擊資源��。
三����、載荷投遞
當(dāng)準(zhǔn)備工作結(jié)束����,攻擊者并不能馬上發(fā)動(dòng)勒索攻擊����,而是需要通過(guò)網(wǎng)絡(luò)郵件、遠(yuǎn)程桌面(RDP)弱口令暴力破解��、僵尸網(wǎng)絡(luò)�、網(wǎng)頁(yè)掛馬、軟件供應(yīng)鏈���、移動(dòng)存儲(chǔ)介質(zhì)�、水坑攻擊等傳播與侵入途徑�,將攻擊“武器”投遞到目標(biāo)位置。
四����、漏洞利用
這一階段,攻擊者除了需要獲取更高級(jí)別的控制權(quán)限���,以擴(kuò)大攻擊范圍之外���,還會(huì)想盡辦法繞開(kāi)或關(guān)閉殺毒軟件�����,保障勒索攻擊實(shí)施的效率與效果�。
1. 獲取控制權(quán)限: 攻擊者獲取到目標(biāo)網(wǎng)絡(luò)和系統(tǒng)的控制權(quán)限后�,會(huì)進(jìn)一步通過(guò)修改域策略設(shè)置等方式提升自身權(quán)限。
2. 擴(kuò)大攻擊范圍: 攻擊者還會(huì)再繼續(xù)尋找系統(tǒng)內(nèi)部漏洞����,通過(guò)內(nèi)網(wǎng)橫向滲透,盡可能增加受控設(shè)備數(shù)量����,擴(kuò)大攻擊范圍;此外���,攻擊者還會(huì)利用權(quán)限執(zhí)行修改注冊(cè)表��、混淆文件信息����、手動(dòng)退出安全防護(hù)軟件等操作���,以保障勒索軟件的安裝植入效率與運(yùn)行效果�。
五�����、安裝植入勒索軟件
確保攻擊范圍����、環(huán)境與設(shè)備可控后,攻擊者會(huì)通過(guò)腳本����、手動(dòng)植入等手段,部署投放勒索軟件����,待受害者將其觸發(fā)或攻擊者手動(dòng)啟動(dòng)。
六����、通信控制
攻擊者通過(guò)建立遠(yuǎn)程控制目標(biāo)系統(tǒng)的路徑,以保障在對(duì)被攻擊目標(biāo)實(shí)施竊密�、加密的攻擊行動(dòng)全程可控。
七����、目標(biāo)達(dá)成
在這一階段�,攻擊者會(huì)先將被攻擊目標(biāo)的數(shù)據(jù)進(jìn)行竊取�����,并在對(duì)數(shù)據(jù)完成加密后�,留下勒索信息,要求受害者支付贖金�。
1. 竊取數(shù)據(jù): 獲取受害者數(shù)據(jù)(包括文本、圖片����、音頻、視頻等應(yīng)用數(shù)據(jù)����,重要文件、磁盤(pán)引導(dǎo)記錄等系統(tǒng)數(shù)據(jù)����,以及數(shù)據(jù)庫(kù)類(lèi)文件),并回傳數(shù)據(jù)至指定服務(wù)器(定向勒索攻擊因事前已詳細(xì)偵察受害者�,會(huì)專(zhuān)注竊取敏感、重要及涉密部分?jǐn)?shù)據(jù))����。
2. 加密勒索: 完成數(shù)據(jù)竊取后���,勒索軟件加密磁盤(pán)文件����,攻擊者通常會(huì)以桌面壁紙顯示或彈窗勒索信息,也有些攻擊者會(huì)在桌面留下包含勒索信息的.txt文檔�����;一般內(nèi)容包括:勒索攻擊的情況���、攻擊者聯(lián)系方式(如“暗網(wǎng)”聯(lián)系方式�����、電子郵箱等)�、贖金支付地址�����、贖金額度��、支付時(shí)限、要求受害者盡快支付贖金的威脅施壓信息(如:不支付贖金就會(huì)曝光數(shù)據(jù))等�����。
注:也有受害者每操作一次設(shè)備(哪怕正常點(diǎn)擊一次鼠標(biāo))就彈窗一次勒索信息的現(xiàn)象�����。
需要明確的時(shí)�,在勒索攻擊中,不論是定向勒索攻擊還是非定向勒索攻擊�,攻擊者的最終目的是獲得贖金,或者通過(guò)出售竊取而來(lái)的數(shù)據(jù)獲利���。
總結(jié)
通過(guò)“勒索攻擊殺傷鏈”可以發(fā)現(xiàn)��,應(yīng)對(duì)勒索攻擊的關(guān)鍵在于預(yù)防�,建立安全用網(wǎng)規(guī)范��、保持安全用網(wǎng)習(xí)慣��、及時(shí)修補(bǔ)漏洞��、構(gòu)建動(dòng)態(tài)的綜合防護(hù)體系����,才能有效的層層阻斷�,從根本上提升防護(hù)能力�。
江蘇國(guó)駿-打造安全可信的網(wǎng)絡(luò)世界
為IT提升價(jià)值
http://czzdkc.cn/
免費(fèi)咨詢(xún)熱線:400-6776-989
關(guān)注公眾號(hào)
獲取免費(fèi)咨詢(xún)和安全服務(wù)
