【認識勒索攻擊和危害】之“勒索攻擊殺傷鏈”分析
2021年12月31日
將從定向勒索攻擊切入���,結(jié)合“網(wǎng)絡(luò)殺傷鏈”模型����,分析總結(jié)出勒索攻擊的重要流程節(jié)點與相互邏輯關(guān)系�����,以便用戶明確各階段防護重點�����。
勒索攻擊專題
《從八個方面認識勒索攻擊和危害》之一:勒索攻擊中的四種分工角色
《從八個方面認識勒索攻擊和危害》之二:勒索攻擊的兩種典型模式
《從八個方面認識勒索攻擊和危害》之三:慣用傳播方式與侵入途徑
勒索攻擊的手段不斷地在變化��,攻擊水平也在不斷地提升���,但攻擊流程的共性總是存在的�����。理解攻擊流程中各節(jié)點的價值����,可以對其中的相關(guān)節(jié)點進行層層阻斷�����,幫助用戶建立更加安全縝密的防護體系����。
本期內(nèi)容將從定向勒索攻擊切入�����,結(jié)合“網(wǎng)絡(luò)殺傷鏈”模型���,分析總結(jié)出勒索攻擊的重要流程節(jié)點與相互邏輯關(guān)系,盡可能通過簡單易懂的方式介紹“勒索攻擊殺傷鏈”�����,以便用戶明確各階段防護重點��。
注:“網(wǎng)絡(luò)殺傷鏈”的概念源自軍事領(lǐng)域�,它是一個描述攻擊環(huán)節(jié)的模型,網(wǎng)空威脅可劃分為7個階段�,分別是“偵察-武器構(gòu)建-載荷投送-突防利用-安裝植入-通信控制-達成目標”。該理論也可以用來反制此類攻擊�����,即“反殺傷鏈”��,分別是“發(fā)現(xiàn)-定位-跟蹤-瞄準-打擊-達成目標”六個環(huán)節(jié)�。
▲勒索攻擊殺傷鏈示意圖
一、偵察
攻擊者首先會收集信息以確定被攻擊目標���,并偵察被攻擊目標系統(tǒng)的防護薄弱環(huán)節(jié)���。
1. 收集基礎(chǔ)信息:以定向勒索攻擊為主的威脅攻擊發(fā)起前,攻擊者會通過主動掃描����、網(wǎng)絡(luò)釣魚以及在“暗網(wǎng)”黑市購買等方式,收集被攻擊目標的網(wǎng)絡(luò)信息��、身份信息����、主機信息、組織信息等��,如:電子郵件地址�����、連接互聯(lián)網(wǎng)的服務(wù)器等��,以豐富制定攻擊計劃所需要的信息儲備�����。
2. 發(fā)現(xiàn)攻擊入口: 攻擊者通過漏洞掃描、網(wǎng)絡(luò)嗅探等方式��,發(fā)現(xiàn)目標網(wǎng)絡(luò)和系統(tǒng)存在的安全隱患���,找到網(wǎng)絡(luò)攻擊的突破口����。
二�����、武器構(gòu)建
攻擊準備階段�����,攻擊者可能會根據(jù)發(fā)現(xiàn)的漏洞開發(fā)具有針對性的攻擊“武器”���,或者通過合作的方式從其他渠道獲取成熟的攻擊“武器”�;之后��,攻擊者會利用在偵察階段獲取的被攻擊目標的網(wǎng)絡(luò)����、漏洞���、主機、身份和組織等畫像信息�,嘗試制定攻擊計劃,并基于計劃部署參與人員����、開發(fā)攻擊工具�、確認技術(shù)細節(jié)等攻擊資源。
三����、載荷投遞
當(dāng)準備工作結(jié)束,攻擊者并不能馬上發(fā)動勒索攻擊�����,而是需要通過網(wǎng)絡(luò)郵件����、遠程桌面(RDP)弱口令暴力破解、僵尸網(wǎng)絡(luò)���、網(wǎng)頁掛馬���、軟件供應(yīng)鏈���、移動存儲介質(zhì)、水坑攻擊等傳播與侵入途徑���,將攻擊“武器”投遞到目標位置����。
四���、漏洞利用
這一階段�����,攻擊者除了需要獲取更高級別的控制權(quán)限��,以擴大攻擊范圍之外�����,還會想盡辦法繞開或關(guān)閉殺毒軟件���,保障勒索攻擊實施的效率與效果����。
1. 獲取控制權(quán)限: 攻擊者獲取到目標網(wǎng)絡(luò)和系統(tǒng)的控制權(quán)限后��,會進一步通過修改域策略設(shè)置等方式提升自身權(quán)限�����。
2. 擴大攻擊范圍: 攻擊者還會再繼續(xù)尋找系統(tǒng)內(nèi)部漏洞�����,通過內(nèi)網(wǎng)橫向滲透����,盡可能增加受控設(shè)備數(shù)量�,擴大攻擊范圍;此外��,攻擊者還會利用權(quán)限執(zhí)行修改注冊表���、混淆文件信息�、手動退出安全防護軟件等操作�����,以保障勒索軟件的安裝植入效率與運行效果。
五�����、安裝植入勒索軟件
確保攻擊范圍����、環(huán)境與設(shè)備可控后,攻擊者會通過腳本�、手動植入等手段,部署投放勒索軟件��,待受害者將其觸發(fā)或攻擊者手動啟動���。
六����、通信控制
攻擊者通過建立遠程控制目標系統(tǒng)的路徑����,以保障在對被攻擊目標實施竊密、加密的攻擊行動全程可控。
七���、目標達成
在這一階段�����,攻擊者會先將被攻擊目標的數(shù)據(jù)進行竊取����,并在對數(shù)據(jù)完成加密后���,留下勒索信息�,要求受害者支付贖金��。
1. 竊取數(shù)據(jù): 獲取受害者數(shù)據(jù)(包括文本�����、圖片�、音頻���、視頻等應(yīng)用數(shù)據(jù)��,重要文件����、磁盤引導(dǎo)記錄等系統(tǒng)數(shù)據(jù),以及數(shù)據(jù)庫類文件)�����,并回傳數(shù)據(jù)至指定服務(wù)器(定向勒索攻擊因事前已詳細偵察受害者��,會專注竊取敏感�、重要及涉密部分數(shù)據(jù))。
2. 加密勒索: 完成數(shù)據(jù)竊取后��,勒索軟件加密磁盤文件�,攻擊者通常會以桌面壁紙顯示或彈窗勒索信息,也有些攻擊者會在桌面留下包含勒索信息的.txt文檔���;一般內(nèi)容包括:勒索攻擊的情況��、攻擊者聯(lián)系方式(如“暗網(wǎng)”聯(lián)系方式��、電子郵箱等)�����、贖金支付地址�、贖金額度、支付時限����、要求受害者盡快支付贖金的威脅施壓信息(如:不支付贖金就會曝光數(shù)據(jù))等。
注:也有受害者每操作一次設(shè)備(哪怕正常點擊一次鼠標)就彈窗一次勒索信息的現(xiàn)象����。
需要明確的時,在勒索攻擊中�����,不論是定向勒索攻擊還是非定向勒索攻擊�����,攻擊者的最終目的是獲得贖金��,或者通過出售竊取而來的數(shù)據(jù)獲利��。
總結(jié)
通過“勒索攻擊殺傷鏈”可以發(fā)現(xiàn)�����,應(yīng)對勒索攻擊的關(guān)鍵在于預(yù)防���,建立安全用網(wǎng)規(guī)范����、保持安全用網(wǎng)習(xí)慣���、及時修補漏洞����、構(gòu)建動態(tài)的綜合防護體系��,才能有效的層層阻斷�����,從根本上提升防護能力�。
江蘇國駿-打造安全可信的網(wǎng)絡(luò)世界
為IT提升價值
http://hbshty.cn/
免費咨詢熱線:400-6776-989
關(guān)注公眾號
獲取免費咨詢和安全服務(wù)
