【認(rèn)識(shí)勒索攻擊和危害】之勒索攻擊中的四種分工角色
2021年12月30日
本文主要闡述勒索攻擊已發(fā)展成為分工明細(xì)的產(chǎn)業(yè)化犯罪趨勢(shì)����,用戶應(yīng)予以重視并及時(shí)防護(hù)�。更多關(guān)于勒索攻擊的分析和防護(hù)建議,請(qǐng)持續(xù)關(guān)注��。
早期的勒索攻擊多半是攻擊者從編寫勒索病毒到投放勒索病毒一條龍完成的,但如今的勒索攻擊已發(fā)展成為分工明細(xì)的產(chǎn)業(yè)化犯罪活動(dòng)����。
一次完整的勒索攻擊鏈條里����,或者說(shuō)在一個(gè)勒索攻擊犯罪團(tuán)伙,一般會(huì)有多種分工角色�����。不同攻擊活動(dòng)間又有很大差異��,有的攻擊中同一個(gè)人或同一個(gè)組織會(huì)扮演多重角色�����;也有攻擊中分工會(huì)更細(xì)致�。分工確實(shí)成為勒索攻擊犯罪活動(dòng)的顯著特點(diǎn),特別是出現(xiàn)了RaaS(Ransomware as a Service�����,勒索即服務(wù))這種模式化的新犯罪活動(dòng)����,將勒索攻擊轉(zhuǎn)變?yōu)椤吧虡I(yè)服務(wù)行為”�����,通過(guò)會(huì)員����、訂閱或定制��,向其他“攻擊者”售賣勒索攻擊相關(guān)服務(wù)����。RaaS的出現(xiàn),不僅降低了勒索攻擊的準(zhǔn)入門檻(甚至無(wú)需任何網(wǎng)絡(luò)攻防技術(shù)與知識(shí)即可發(fā)起攻擊)�����,也增加了勒索攻擊的防護(hù)難度��,特別是帶來(lái)了巨大的“內(nèi)鬼”作案風(fēng)險(xiǎn)�。
▲ 勒索攻擊犯罪鏈條中的角色分工
1. 勒索軟件開(kāi)發(fā)方: 主要負(fù)責(zé)勒索攻擊中軟件、工具�、生成器等相關(guān)能力的開(kāi)發(fā),是整個(gè)攻擊中的上游制毒者��。
在RaaS模式中,除了勒索攻擊能力的相關(guān)標(biāo)品開(kāi)發(fā)�,也接受勒索攻擊能力的相關(guān)定制開(kāi)發(fā);主要通過(guò)地下平臺(tái)或“暗網(wǎng)”���,實(shí)現(xiàn)勒索軟件的定制。
2. 勒索攻擊行為發(fā)起方: 是實(shí)現(xiàn)把勒索軟件定向投放到受害場(chǎng)景的行為角色�。其有可能是一個(gè)個(gè)體,也可能是一個(gè)由組織者和執(zhí)行者組成的團(tuán)伙���。
2.1 組織者: 通過(guò)合作分成的方式�����,組織開(kāi)發(fā)者開(kāi)發(fā)/定制勒索軟件或勒索服務(wù)平臺(tái)(RaaS�����,勒索即服務(wù))����;聯(lián)合渠道商傳播勒索軟件��;串聯(lián)代理商與受害者獲得聯(lián)系獲取贖金等���。
2.2 執(zhí)行者: 勒索攻擊實(shí)施階段的重要節(jié)點(diǎn)事務(wù)執(zhí)行���,主要包括:系統(tǒng)入侵�、勒索部署����、竊密加密、勒索贖金等���。
3. 勒索攻擊中的渠道方: 勒索攻擊可能是攻擊者定向發(fā)動(dòng)的�����,也可能與其他的一些掌握肉雞資源的犯罪組織合作���。例如常見(jiàn)的方式是利用僵尸網(wǎng)絡(luò)大規(guī)模發(fā)送釣魚郵件,譬如此前全球最大的僵尸網(wǎng)絡(luò)Necurs(于2020年3月11日由微軟宣布被搗毀)�����,以及目前仍在活躍且較知名的Mirai���、Gafgyt����、Mozi等?�;趥鞑ゴ螖?shù)��,僵尸網(wǎng)絡(luò)仍是目前勒索軟件的主要傳播渠道��。
4. 勒索攻擊中的代理方: 主要負(fù)責(zé)拓展和助攻勒索贖金繳納的成功率�����;與勒索發(fā)起方同樣是合作分成收益關(guān)系���,還有的本身就是和攻擊者沆瀣一氣的團(tuán)伙成員。代理方一般會(huì)通過(guò)網(wǎng)絡(luò)關(guān)鍵詞�、多媒體、信息流等廣告宣傳�,聲稱自己能夠解密各類勒索攻擊加密的文件。但實(shí)際存在多種情況:有的是利用受害者不知道如何使用虛擬貨幣交易�����,賺取手續(xù)費(fèi)���;有的則是利用相關(guān)事件����,來(lái)詐騙勒索受害者。此前我國(guó)公安部門就曾打擊掉一家以數(shù)據(jù)恢復(fù)為名義�,實(shí)際上和勒索攻擊勾結(jié)的所謂“數(shù)據(jù)恢復(fù)公司”。
值得警惕的新角色“內(nèi)鬼”:
當(dāng)前政企機(jī)構(gòu)要警惕的是在勒索即服務(wù)全面降低了勒索攻擊門檻后��,內(nèi)鬼對(duì)自身所在單位進(jìn)行勒索攻擊的風(fēng)險(xiǎn)會(huì)提升��,需要增加預(yù)防���。
值得一提的是�����,勒索攻擊產(chǎn)業(yè)化����、鏈條化后����,勒索犯罪團(tuán)伙時(shí)刻都在與安全工作者們隔空對(duì)抗,試圖找到更多繞過(guò)安全機(jī)制的方法。這也是防護(hù)能力需要持續(xù)升級(jí)改善的根本原因�����。安全有效性從不會(huì)一勞永逸�����,而需要持續(xù)安全運(yùn)營(yíng)�����。
勒索攻擊的分工鏈條化��,增加了攻擊的能力和隱蔽性����。從政企機(jī)構(gòu)網(wǎng)絡(luò)客戶角度��,構(gòu)建有效防御體系才能更好應(yīng)對(duì)日趨復(fù)雜的勒索攻擊���,做好防患未然��。從社會(huì)治理角度看�,推動(dòng)有效治理僵尸木馬蠕蟲(chóng),削弱勒索攻擊的分發(fā)能力����;對(duì)勒索攻擊活動(dòng)進(jìn)行持續(xù)跟蹤分析溯源,形成國(guó)際協(xié)同的司法打擊能力�,都是工作抓手。特別是要倡導(dǎo)���,在遭遇勒索攻擊成功的情況下����,堅(jiān)決不交贖金的理念����,面對(duì)犯罪活動(dòng)不妥協(xié),就是對(duì)正義的支持����。
▲ 終端防護(hù)系統(tǒng)防御勒索病毒原理示意圖
針對(duì)勒索攻擊構(gòu)建了“五層防御,兩重閉環(huán)”的防護(hù)解決方案���。五層防御即系統(tǒng)加固��、(主機(jī))邊界防御�����、掃描過(guò)濾�����、主動(dòng)防御�����、文檔安全五個(gè)防御層次��,兩重閉環(huán)是EPP(端點(diǎn)防護(hù))實(shí)時(shí)防御閉環(huán)��,和EDR(端點(diǎn)檢測(cè)和響應(yīng))準(zhǔn)實(shí)時(shí)/異步防御閉環(huán)�����。
終端防御系統(tǒng)防護(hù)勒索病毒的機(jī)理表 |
防護(hù)層級(jí) | 技術(shù)原理 |
系統(tǒng)加固 | 通過(guò)基線和補(bǔ)丁檢查功能�,實(shí)現(xiàn)對(duì)系統(tǒng)配置脆弱點(diǎn)的檢查修補(bǔ)���、補(bǔ)丁加固和系統(tǒng)自身安全策略調(diào)整等���,從而減少包括開(kāi)放端口、弱口令、不必要的服務(wù)等勒索攻擊的暴露面�����,削弱漏洞利用的成功率��。 |
(主機(jī))邊界防御 | 通過(guò)分布式主機(jī)防火墻和介質(zhì)管控功能�,攔截掃描、入侵?jǐn)?shù)據(jù)包�,阻斷攻擊載荷傳輸,攔截U盤�、光盤等插入自動(dòng)運(yùn)行,使勒索攻擊難以獲得主機(jī)入口�。 |
掃描過(guò)濾 | 基于安天AVL SDK反病毒引擎對(duì)文件對(duì)象、扇區(qū)對(duì)象���、內(nèi)存對(duì)象�����、注冊(cè)表數(shù)據(jù)對(duì)象等進(jìn)行掃描����,判斷檢測(cè)對(duì)象是否是已知病毒或者疑似病毒����,從而實(shí)現(xiàn)精準(zhǔn)判斷查殺��。 |
主動(dòng)防御 | 基于內(nèi)核驅(qū)動(dòng)持續(xù)監(jiān)控進(jìn)程等內(nèi)存對(duì)象操作行為動(dòng)作��,研判是否存在持久化����、提權(quán)�����、信息竊取等攻擊動(dòng)作���,判斷是否存在批量讀寫���、刪除、移動(dòng)文件或扇區(qū)等操作����,并通過(guò)文件授信(簽名驗(yàn)證)機(jī)制,過(guò)濾正常應(yīng)用操作動(dòng)作以降低誤報(bào)��。 |
文檔安全 | 依靠部署多組誘餌文件并實(shí)時(shí)監(jiān)測(cè)�����,誘導(dǎo)勒索病毒優(yōu)先破壞�,達(dá)成欺騙式防御效果。采用多點(diǎn)實(shí)時(shí)備份機(jī)制��,即使正常文檔被加密也可快速恢復(fù)��。 |
文字來(lái)源:安天
江蘇國(guó)駿-打造安全可信的網(wǎng)絡(luò)世界
為IT提升價(jià)值
http://hbshty.cn/
免費(fèi)咨詢熱線:400-6776-989
關(guān)注公眾號(hào)
獲取免費(fèi)咨詢和安全服務(wù)
