勒索软件,这个网络犯罪的头号公敌,依旧猖獗。攻击者不仅索财,更图“名”,通过网站公开受害者身份,以此获名。2023年,LockBit等勒索团伙让米高梅、迪拜环球港务集团等巨头蒙受重创,提醒我们,即使是最坚固的城堡也有其弱点,企业不仅要准备好赎金,还可能面临重建系统的天文数字支出。
近期勒索事件层出不穷,包含:
勒索产业呈现“野蛮生长”态势
网络安全保险服务商Corvus发布的《2024 年第一季度勒索软件报告》显示,2024 年第一季度勒索软件攻击与去年同期相比增加了21%,创下一季度历史新高。报告还指出,针对医疗行业的勒索攻击较上一季度增加了38%,在所有行业中增幅最大。
如下图,医疗行业已经超越了制造、零售、政府等行业,成为了继信息技术服务、建筑之后的第三大最受勒索软件关注的目标行业:
在勒索软件时代发展早期,航空、医疗、能源和非营利组织通常会被勒索软件团伙划为“禁区”,一方面是因为在各大跨国集团身上已经能够赚得盆满钵满,另一方面也是因为早期的勒索软件团伙较为看重自身的“江湖声誉”,在发起攻击前会有所选择。
“产业化”勒索供应链发展
但随着勒索软件攻击团伙数量猛增,以及RaaS勒索软件即服务模式的兴起,发起勒索攻击的技术成本不断降低,大量的勒索软件附庸组织开始涌入,想要从“勒索市场”中分一杯羹的人变得越来越多,导致勒索攻击逐渐变得更加猖獗和激进。
勒索病毒“供应链”:
组织运营者
负责整体运作和统筹,包括资源调集和酬劳激励分配,一般有丰厚资本支撑;
勒索病毒作者
负责勒索软件开发和更新,包括解密工具的开发和维护等;
集成平台
负责集成平台开发和运营,包括服务器搭建以及各种渠道交互开发运营;
攻击者
负责攻击各个客户,攻击者可以是独立个体或者团队,按照攻击成功数量分成;
自动化的勒索工具
勒索攻击、感染、加密工具越来越自动化;
多重加密勒索
恢复勒索+泄密勒索+名誉勒索……
AI 技术或者说大模型已经成为了各行各业提升效率的重要工具。然而,作为一把双刃剑,大模型也正在被不法分子所利用,以提升勒索病毒攻击效率。毫不夸张地说,大模型或成为勒索病毒攻击的加速器。
加快开发效率
攻击者利用大模型技术极其强大的数据处理和自我学习能力,能迅速迭代和优化病毒代码,提高其隐蔽性和破坏力,极大缩短了开发周期。如此快速的勒索病毒开发效率,使得传统的单点防御措施很难跟上病毒变异的步伐;
扩大传播范围
丰富攻击手段
大模型技术还可以用于开发更为复杂的攻击手段。例如,通过自然语言处理和社交工程技巧,攻击者可以设计出更具说服力的钓鱼邮件,诱使客户主动下载和打开勒索病毒。此外,大模型还可以用于规避传统的安全防护措施,使得勒索病毒攻击防不胜防。
而以暗网、虚拟货币为代表的破坏式技术创新应用,带来了极为严重的负面影响,基于暗网的恶意软件研发和交易难以追踪,基于区块链技术的虚拟货币支付无法追溯,各国政府及执法机构难以有效打击网络犯罪。
勒索案例剖析
事件简介
某天,某公司多数核心数据服务器、业务服务器被加密,严重影响业务开展,业务迟迟无法恢复,迫于生产运营压力,选择了跟黑客攻击者协商赎金,通过交赎金,解密恢复数据。为了追踪黑客行为,对黑客比特币钱包地址进行追踪,发现了其产业化运作痕迹。
赎金谈判
与此同时,基于勒索信中的联系方式尝试与黑客进行谈判,从沟通中可以看出,攻击者并非单兵作战,内部组织架构明确,各司其职,整个勒索链条初步具备完善的运营体系。
赎金交易链
交易追踪
勒索攻击链分析
勒索病毒的攻击链也有很多种分类方式,我们可以先从攻击场景和组合方式这两种最基本的分类入手。勒索病毒攻击链可以从多个角度解读:
从攻击路径来看,其大致有三种场景,最终目标都是拿下内网核心资产。攻击场景包括:
具体来说,很多企业会有对外发布的应用,往往会有很多端口都是开放的,而这些端口当中就包括非常多的高危端口和系统漏洞,而黑客就可以利用高危端口和漏洞进行攻击。
在内网PC这样的攻击场景中,黑客往往是先通过我们的办公用的普通电脑作为跳板机。比如说我们可能员工在进行办公或者上网的时候,安全意识比较薄弱,下载了带有勒索病毒的盗版软件安装包,或者点击了恶意邮件中的链接,或者中了网站的水坑攻击等等。
还有就是分支组网,因为我们会发现很多大型集团性企业,他们的总部的安全建设往往是做得比较好的,但是在分支的安全建设上相对来说投入就会相对较低。但是网络安全会存在木桶效应,整体的网络安全防御效果,不仅要看做的最好的部分,还要看做的最薄弱的那部分。黑客可以通过攻击你最短的那个板,从而取得最初攻击的突破。目前威努特在工控系统下的建设和意义同样如此,在大力发展办公网的网络安全建设的同时,忽视工控网的安全建设亦会使得工控网成为网络架构的短板。
然后是从组合方式来看,勒索病毒攻击可以分为自动化集成式勒索病毒和半自动组合式勒索病毒。自动化集成式的勒索病毒,它本身就包括了传播的模块和加解密的模块,比如我们非常熟知的永恒之蓝这样一个勒索病毒就是属于这一类型,除此之外,还有那种半自动组合式的勒索病毒,他的加解密模块跟传播模块是分开的。比如像dark side勒索病毒。他就可以跟更多传统黑客攻击手段相结合。前者基本不需要人工干预,自动传播,后者需要攻击者人工参与,手段非常自由。
勒索病毒攻击场景
勒索病毒常见攻击途径和思路
场景一
攻击者利用SQL注入、WebShell上传、应用漏洞等方式获得外网应用区服务器的系统权限。
以外网应用区服务器作为跳板,通过RDP爆破、系统漏洞利用等方式获得数据中心关键服务器的系统权限。
场景二
攻击者利用钓鱼邮件、水坑攻击、恶意程序捆绑等方式获得办公网内PC的系统权限。
以办公网内PC作为跳板,通过RDP爆破、系统漏洞利用等方式获得数据中心关键服务器的系统权限。
场景三
攻击者通过各种手段入侵分支或互联的其他单位系统权限。
利用分支或互联单位的终端作为跳板,入侵目标用户数据中心服务器。
勒索病毒感染到传播的过程
以RDP爆破为主的感染控制
先通过RDP爆破进入内网,信息搜集获取服务器内多处Hash密码后再次内网扫描爆破,获取多台服务器权限。
典型代表:LockCrypt、 Crysis 、Planetary、GlobeImposter等
RDP登录容易成为勒索病毒攻击的关键路径,首先是因为它适合的攻击方法很多,不管是直接地对密码的窃取,或者利用漏洞,利用系统或者业务的漏洞,通过僵尸网络或者直接进行暴力破解,这个暴力破解可以是慢速的爆破,也可以是高速的短时间内的爆破。同样钓鱼攻击,也可以作为RDP登录系统的攻击方式。黑客登录之后要干什么?首先是他有一部分。勒索病毒的工具需要人工去操作,那么同时也需要黑客去判断,人工进行判断哪些资产属于有价值的、值得去勒索的核心资产。那么同时也包括黑客要人工去清理或者绕过像杀毒软件这些安全系统。
勒索病毒感染到传播的过程
钓鱼邮件
作为一种传统的攻击手段,在很早之前就被用于勒索病毒攻击中。
漏洞攻击
利用web应用系统漏洞植入病毒母体,再进而定向持续渗透或广播式的感染内部主机。
典型代表:Tellyouthepass、Cerber、Satan、Samas、SamSam、Jcry、Lucky等
事后解密可能性分析
老一批的勒索加密软件确实存在加密可能,如①勒索病毒内置密钥:硬编码得文件加密key容易被安全分析人员通过逆向分析的方式获得,进而开发出解密工具。②有C2(命令和控制服务器)负责生成加密key,且密钥容易被中间流量设备截获。有几率被解密。但是新型的勒索软件基本无法解密,勒索加密软件存在以下特点:
单点方案已捉襟见肘
亟需升级为体系化防御方案
面对大模型技术加剧的勒索病毒攻击,传统的单点防御方案早已捉襟见肘。这些方案往往只能应对已知的威胁,而难以应对不断变异和进化的新型病毒。因此,亟需升级为体系化防御方案,加固数据安全防线。为助力广大客户更加自信、从容地应对新时期的勒索病毒攻击,推出体系化防勒索病毒方案,从产品、技术、组织与管理等维度,在事前-事中-事后部署针对性防御措施,全方位提升业务连续性,不让勒索病毒有机可乘。
针对勒索病毒防治解决方案设计思路:
整体建设架构如下:
Part.1
事前预防
资产与漏洞管理
资产发现,基于资产指纹的主动发现,态势感知系统内置6000多种设备和应用指纹,自动发现系统中的资产和应用,自动生成系统资产清单(含基本信息、硬件信息、操作系统信息、变更记录、运行信息、端口和服务、资产会话、漏洞、告警、不合规配置项、资产风险值)。
联动漏洞扫描系统、基线配置核查系统等安全设备,将设备检查结果与资产信息整合,提供资产维度、设备类型维度、设备厂商维度等多维度统计分析。
部署基于终端的安全防护系统
主机防勒索系统设计了六大技术机制来支撑检测、防护、恢复三重技术手段的落地。
部署高级威胁检测系统监测网络入侵
通过全流量采集,结合攻击检测技术、情报碰撞、机器学习、AI智能分析,有效检测僵木蠕、恶意软件、加密流量、威胁攻击、溯源处置等。
防勒索病毒解决方案利用“杀伤链”理论发现勒索攻全过程:
在攻击尝试时发现问题及时告警,进行处置,避免攻击成功;
假设第一步攻击成功后,可在威胁横向扩散时候发现异常情况,进行告警通知及查杀处理,并可对威胁源进行隔离阻断,避免威胁进一步扩散。
部署备份与恢复系统提高数据可用性
构建一个完整的数据统一备份系统,将整个网络中的重要资源的所有关键业务数据进行集中备份,建立统一的备份与恢复策略,备份系统可以帮助机构在遭受勒索软件攻击时,恢复到未受感染的状态,避免支付赎金来解密数据。
Part.2
事中防御
诱饵诱捕
勒索病毒主要是破坏系统中的数据文件,如果我们在系统中投放诱饵文件,并持续监控对诱饵文件的操作,就可以判断操作行为主体是否是安全可信的。
一般来说,诱饵文件不会被正常的应用操作,操作系统用户也可从诱饵文件的内容中获悉其诱饵身份;只有勒索病毒无差别的访问、操作诱饵文件和真实数据文件,进而触发诱饵文件的陷阱,被防勒索系统捕获。防勒索系统采用静态诱饵投放和动态诱饵投喂两种方式部署诱饵文件。
基于异常勒索加密行为的分析与拦截
勒索病毒所体现出来的磁盘遍历、进程终止、文件加密、回收站清空等行为,实际上都是在调用操作系统底层驱动的指令,对应的我们可通过监测系统API、进程、文件、注册表、系统工具等底层驱动指令调用情况,来发现可疑的或潜在的恶意行为,及时干预以防止对数据文件造成破坏当然,行为异常只能说明是可疑的,但是没办法证实是有害的;而如果被访问的数据被加密了,则可以证实属于勒索病毒。这里需要引入另外一个熵值的概念。
熵是随机性的度量,随机度越高则熵值越高,勒索病毒为了对抗破解,会采用空间较大随机度较高的密钥进行数据加密,进而会导致文件熵值的显著升高,一般来说,未经加密的数据文件熵值往往介于4.8-7.2之间;而高于7.2的往往是被加密的数据文件;通过检测熵值变化幅度,及熵值增加后的具体数值,可以判断文件是否被加密,基于文件的加密状况,就可以判断访问文件的进程是否是勒索病毒。基于熵的检测机制贴合勒索病毒攻击数据文件被篡改的本质,具有较强的检测能力,无论是合法进程被注入、还是不可信的恶意进程,均能被有效检测,因此,行为监测具有抵御“供应链”攻击的能力。
基于访问行为关系的数据保护
任何针对数据文件的操作,均需要调用操作系统内部函数,勒索病毒也不例外,通过接管文件过滤驱动,可以监测数据文件打开、写入、删除、修改属性等行为。
进程防护
相当一部分勒索病毒会采用进程注入的方式发起攻击,注入到白进程后,能够有效对抗安全产品的检测,恶意软件一旦注入到系统服务的进程,即便发现后也无法直接干预,杀死被注入的系统进程会直接导致操作系统崩溃,针对系统进程注入发起的勒索攻击,只能采用事前的方式进行防范主机防勒索系统采用数字签名验证、远程线程创建禁用、DLL加载限制等方式,保护系统进程不被注入。
勒索病毒加密文件前,会优先终止业务进程,以解除文件占用,便于文件加密或删除操作;勒索病毒进程终止主要是针对数据库系统而设置,结构化数据价值较高,被勒索后赎金支付的概率也较大,数据库系统保持占用的数据文件无法被其他应用访问,数据库系统进程被终止会直接导致业务中断,因为数据文件被加密,被中断的业务短期内无法恢复,会造成很大的业务损失,因此,需要对关键业务进行保护,在操作系统层面进程中止主要包括2种方式,一是直接操作进程,强制进程退出或终止,二是进程的所有线程均已被终止;通过监测这两类进程终止的方式,防勒索系统可以对非法的进程终止的行为进行拦截阻断。
防勒索系统安装到操作系统后,会接管操作系统进程驱动,当有进程终止或线程退出指令时,防勒索系统会对指令来源和指令类型进行判断,如果是不可信的进程发起的跨进程、跨地址空间的指令行为,防勒索系统将会对指令操作进行拦截,从而避免勒索病毒对关键业务进程的破坏,在保障业务连续性的同时,保持关键应用对数据文件的持续占用,进而确保数据文件不会被加密勒索。
Part.3
事后恢复与溯源
备份数据监测
防勒索系统的备份机制并非是全盘备份,而是经过巧妙设计的按需触发,既可以实现勒索病毒的精准防范,又能确保最小的系统资源消耗。
日志分析与攻击链溯源
从海量数据中挖掘取证,挖掘时间窗口内相关的所有访问行为和安全事件,从纵向时间维度和横向访问维度展示攻击路径。
总 结
面对层出不穷的勒索手段,单一防御能力是有限的,面对不可逆的勒索攻击需要的是更系统化、立体化、更面向安全效果的安全方案,而基于不同的检测防御方案的组合构建纵深防护体系可以大大降低被勒索的可能。
其次,在波谲云诡的黑产行业发展与勒索攻击手段中,理论上不存在绝对安全的系统,网络安全建设是没有上限的,但众多单位的业务系统的网络安全建设预算是有上限的,与此同时,黑产的组织运营也是有成本的,每个系统运营者需要考虑是基于有限的预算在系统内全资产上构建相对完整的全链路的勒索防御体系,不断地拔高攻击成本是保障系统安全的有效方式。
本文地址: https://www.138btc.com/a/zixun/2025/0117/2248.html
版权声明:本文内容均来源于互联网 如有侵权联系删除
