【認(rèn)識(shí)勒索攻擊和危害】之勒索攻擊的兩種典型模式
2021年12月30日
本篇內(nèi)容將圍繞勒索攻擊的兩種典型模式:非定向勒索攻擊與定向勒索攻擊展開�����。
在上一篇內(nèi)容《勒索攻擊中的四種分工角色》中�,介紹了勒索攻擊發(fā)展成為分工明細(xì)的產(chǎn)業(yè)化犯罪顯著特征����,并提出了簡單的治理和防護(hù)建議。
部分用戶對(duì)于遭遇勒索攻擊的風(fēng)險(xiǎn)可能往往有兩種誤解,有些用戶認(rèn)為���,自身資產(chǎn)價(jià)值不高�,勒索攻擊不會(huì)找上自己�����;也有的用戶認(rèn)為����,勒索攻擊是一種比較低級(jí)的風(fēng)險(xiǎn)��,不會(huì)突破自己的防護(hù)體系�����。為了澄清這些誤解��,安天垂直響應(yīng)服務(wù)平臺(tái)運(yùn)營組在本篇中分析勒索攻擊的兩種模式:非定向勒索攻擊與定向勒索攻擊���。
在安天《2020年網(wǎng)絡(luò)安全威脅年報(bào)》中曾提出:勒索軟件制作者開始關(guān)注攻擊成本和攻擊效率��,勒索軟件的攻擊方式�,從最初的廣撒網(wǎng)尋找目標(biāo),逐漸地變成對(duì)有價(jià)值的攻擊目標(biāo)進(jìn)行定向勒索���。
因勢(shì)利導(dǎo)����,造成了當(dāng)前勒索攻擊方向模式發(fā)展的兩級(jí)分化:
既有傳統(tǒng):非定向大規(guī)模傳播->加密數(shù)據(jù)->收取贖金->解密數(shù)據(jù)的單線作業(yè)模式����;
也有新型:定向攻擊->數(shù)據(jù)竊取->加密數(shù)據(jù)->收取贖金解密->不交贖金->曝光數(shù)據(jù)的新型作業(yè)鏈條模式。
▲ 非定向與定向勒索攻擊圖示
從目標(biāo)導(dǎo)向理解即為:
1�����、非定向勒索攻擊:不求單個(gè)目標(biāo)贖金高��,但求目標(biāo)多���;
2���、定向勒索攻擊:不求目標(biāo)多,只求單個(gè)目標(biāo)贖金高���。
方向一:非定向勒索攻擊
早期非定向攻擊者會(huì)采用傳統(tǒng)的擴(kuò)散蠕蟲或釣魚投放等方式�����,進(jìn)行發(fā)散式的傳播��,且不會(huì)預(yù)先對(duì)目標(biāo)進(jìn)行偵察��、評(píng)估與篩選���,對(duì)于攻擊的收益也不會(huì)有精確預(yù)估��。而當(dāng)前����,非定向勒索攻擊者大多會(huì)選用RaaS(勒索即服務(wù))平臺(tái)或僵尸網(wǎng)絡(luò)渠道�����,采取“廣撒網(wǎng)”的方式對(duì)勒索軟件進(jìn)行傳播侵入��,威脅攻擊對(duì)象主要為中小企業(yè)與政府機(jī)構(gòu)單位��。
同時(shí)��,由于RaaS模式降低了攻擊者的準(zhǔn)入門檻���,因此更助推了非定向勒索攻擊的攻擊者參與人數(shù)的提升����。
需要明確的是�����,部分用戶對(duì)非定向勒索攻擊存有誤解���,認(rèn)為其威脅能力并不高���,而事實(shí)上,非定向勒索攻擊只是沒有達(dá)到能與定向攻擊相較的威脅能力而已���,實(shí)際威脅能力仍然不容小覷�����。
無論是近些年較為活躍的提供RaaS平臺(tái)服務(wù)的家族DopplePaymer�����、Egregor���、Netwalker����、REvil/Sodinokibi�、DarkSide、Ryuk����,以及今年7月首次出現(xiàn)的BlackMatter,都具有較高的威脅能力��。
注:提供RaaS服務(wù)只是勒索攻擊家族為了提高非法收益�����,通過“價(jià)值多向變現(xiàn)”而拓展的商業(yè)模式�����,并不意味其只提供RaaS服務(wù)�����,其同樣會(huì)自主發(fā)動(dòng)非定向或定向勒索攻擊��。
憑借傳播覆蓋面積足夠廣��、攻擊頻次足夠多���、參與攻擊人數(shù)多等“優(yōu)勢(shì)”��,非定向勒索攻擊同樣是持續(xù)的勒索攻擊安全防護(hù)工作重點(diǎn)�����。
方向二:定向勒索攻擊
大部分的定向勒索攻擊是由具備更高水平的攻擊者組織發(fā)動(dòng)的��,能力接近或可達(dá)到APT(高級(jí)持續(xù)性威脅)攻擊的水平����。
定向勒索攻擊的特征是���,事先有非常明確的攻擊目標(biāo)����,再“有組織�����、有預(yù)謀、有步驟”的發(fā)動(dòng)威脅攻擊��,以求牟取巨額收益���。
定向勒索攻擊與APT攻擊高度相似����,有鮮明的殺傷鏈化特點(diǎn)���,攻擊者會(huì):
1���、預(yù)先篩選出攻擊目標(biāo);由于其目的是大額甚至巨額的勒索贖金�,因此,其主要瞄準(zhǔn)的往往是中大型企業(yè)����、重要政府部門/機(jī)構(gòu)、軍隊(duì)單位以及關(guān)系民生的關(guān)基設(shè)施與工控系統(tǒng)����。
2����、通過偵察手段收集��、評(píng)估攻擊目標(biāo)詳細(xì)安全防護(hù)信息��,針對(duì)性制定嚴(yán)密的攻擊計(jì)劃方案��,精確計(jì)算投入成本和潛在回報(bào)(ROI)��。
3��、根據(jù)攻擊計(jì)劃方案�����,充分投入部署攻擊資源�����,如:攻擊人員規(guī)模�����、多種攻擊工具�����、0day漏洞���、高級(jí)惡意代碼等��;也包括可能獲得“內(nèi)鬼”的支持與配合���。
基于以上信息,可以看到定向勒索攻擊有超級(jí)突防能力��。
因此�,用戶既要做好安全的基本面,避免遭遇非定向勒索攻擊�����;同時(shí)���,對(duì)于有高價(jià)值資產(chǎn)的用戶則需進(jìn)一步提高安全防護(hù)系統(tǒng)和安全運(yùn)營水平�����,防御定向勒索攻擊���。
▲ 終端防護(hù)系統(tǒng)防御勒索病毒原理示意圖
針對(duì)勒索攻擊構(gòu)建了“五層防御����,兩重閉環(huán)”的防護(hù)解決方案��。五層防御即系統(tǒng)加固��、(主機(jī))邊界防御��、掃描過濾�、主動(dòng)防御�����、文檔安全五個(gè)防御層次����,兩重閉環(huán)是EPP(端點(diǎn)防護(hù))實(shí)時(shí)防御閉環(huán),和EDR(端點(diǎn)檢測(cè)和響應(yīng))準(zhǔn)實(shí)時(shí)/異步防御閉環(huán)��。
終端防御系統(tǒng)防護(hù)勒索病毒的機(jī)理表 |
防護(hù)層級(jí) | 技術(shù)原理 |
系統(tǒng)加固 | 通過基線和補(bǔ)丁檢查功能��,實(shí)現(xiàn)對(duì)系統(tǒng)配置脆弱點(diǎn)的檢查修補(bǔ)���、補(bǔ)丁加固和系統(tǒng)自身安全策略調(diào)整等���,從而減少包括開放端口���、弱口令、不必要的服務(wù)等勒索攻擊的暴露面�,削弱漏洞利用的成功率。 |
(主機(jī))邊界防御 | 通過分布式主機(jī)防火墻和介質(zhì)管控功能���,攔截掃描���、入侵?jǐn)?shù)據(jù)包,阻斷攻擊載荷傳輸�,攔截U盤、光盤等插入自動(dòng)運(yùn)行����,使勒索攻擊難以獲得主機(jī)入口。 |
掃描過濾 | 基于安天AVL SDK反病毒引擎對(duì)文件對(duì)象����、扇區(qū)對(duì)象、內(nèi)存對(duì)象����、注冊(cè)表數(shù)據(jù)對(duì)象等進(jìn)行掃描����,判斷檢測(cè)對(duì)象是否是已知病毒或者疑似病毒��,從而實(shí)現(xiàn)精準(zhǔn)判斷查殺���。 |
主動(dòng)防御 | 基于內(nèi)核驅(qū)動(dòng)持續(xù)監(jiān)控進(jìn)程等內(nèi)存對(duì)象操作行為動(dòng)作,研判是否存在持久化��、提權(quán)�、信息竊取等攻擊動(dòng)作,判斷是否存在批量讀寫�����、刪除��、移動(dòng)文件或扇區(qū)等操作�����,并通過文件授信(簽名驗(yàn)證)機(jī)制���,過濾正常應(yīng)用操作動(dòng)作以降低誤報(bào)���。 |
文檔安全 | 依靠部署多組誘餌文件并實(shí)時(shí)監(jiān)測(cè)��,誘導(dǎo)勒索病毒優(yōu)先破壞��,達(dá)成欺騙式防御效果��。采用多點(diǎn)實(shí)時(shí)備份機(jī)制���,即使正常文檔被加密也可快速恢復(fù)。 |
文字來源:安天
江蘇國駿-打造安全可信的網(wǎng)絡(luò)世界
為IT提升價(jià)值
http://hbshty.cn/
免費(fèi)咨詢熱線:400-6776-989
關(guān)注公眾號(hào)
獲取免費(fèi)咨詢和安全服務(wù)
