COVID-19全球大流行,讓遠(yuǎn)程工作變得越來越普遍,全球的商業(yè)領(lǐng)袖被迫對(duì)他們的基礎(chǔ)設(shè)施進(jìn)行通宵更改,IT主管和安全運(yùn)營團(tuán)隊(duì)面臨巨大的壓力。然而,勒索軟件組織并沒有停止,攻擊持續(xù)增長。
在此文章中,我們將對(duì)最近的勒索軟件活動(dòng)作深入分析。下面,我們將介紹:
易受攻擊且不受監(jiān)控的聯(lián)網(wǎng)系統(tǒng)非常容易被入侵
各種各樣的勒索軟件攻擊手法分析
針對(duì)主動(dòng)攻擊的即時(shí)響應(yīng)措施
建立安全防護(hù)體系,以防御網(wǎng)絡(luò)免受人工投毒攻擊
Bitdefender GravityZone:針對(duì)復(fù)雜且范圍廣泛的人工勒索軟件的協(xié)同防御
易受攻擊且不受監(jiān)控的聯(lián)網(wǎng)系統(tǒng)容易被入侵
黑客入侵后,可在環(huán)境中保持相對(duì)休眠狀態(tài),直到他們確定了部署勒索軟件的適當(dāng)時(shí)機(jī)。
具有以下弱點(diǎn)的系統(tǒng)易受攻擊:
無多因素身份驗(yàn)證(MFA)的遠(yuǎn)程桌面協(xié)議(RDP)或虛擬桌面端點(diǎn)
使用弱密碼的舊系統(tǒng),例如Windows Server 2003和Windows Server 2008
配置錯(cuò)誤的系統(tǒng),Web服務(wù)器,包括IIS,電子健康記錄(EHR)軟件
未修補(bǔ)的系統(tǒng),你需要特別關(guān)注:CVE-2017-11882, CVE-2017-0199, CVE-2017-5638, CVE-2012-0158 , CVE-2019-0604, CVE-2017-0143, CVE-2018-4878, CVE-2017-8759, CVE-2015-1641, CVE-2018-7600, CVE-2019-0604, CVE- 2020-0688, CVE-2020-10189
攻擊者經(jīng)常使用工具(例如Mimikatz和Cobalt Strike)竊取憑證,橫向移動(dòng),網(wǎng)絡(luò)偵察和泄露數(shù)據(jù)。在這些活動(dòng)中,黑客可以訪問特權(quán)較高的管理員憑據(jù),并準(zhǔn)備在受到干擾時(shí)采取可能更具破壞性的措施。
在攻擊者部署了勒索軟件的網(wǎng)絡(luò)上,他們故意在某些端點(diǎn)上維護(hù)其存在,目的是在支付贖金或重建系統(tǒng)后重新啟動(dòng)惡意活動(dòng)。我們觀察到幾乎所有的黑客組織在攻擊過程中都在查看和竊取數(shù)據(jù),隨后他們可以在暗網(wǎng)中將公司的網(wǎng)絡(luò)訪問憑據(jù)出售,再次獲利。
所以,你需要主動(dòng)修補(bǔ)/監(jiān)控聯(lián)網(wǎng)的系統(tǒng),并采取緩解措施,以降低攻擊風(fēng)險(xiǎn)。
各種各樣的勒索軟件攻擊手法分析
盡管個(gè)別活動(dòng)和勒索軟件系列具有以下各節(jié)所述的獨(dú)特屬性,但這些勒索軟件活動(dòng)往往結(jié)合了人工投毒攻擊,它們通常采用了類似的攻擊戰(zhàn)術(shù),至于執(zhí)行的Payload,完全取決于其個(gè)人風(fēng)格。
RobbinHood勒索軟件
RobbinHood勒索軟件會(huì)利用易受攻擊的驅(qū)動(dòng)程序來關(guān)閉安全軟件,它們通常對(duì)暴露資產(chǎn)進(jìn)行遠(yuǎn)程桌面爆破。他們最終獲得特權(quán)憑證,主要是具有共享或通用密碼的本地管理員帳戶,以及具有域管理員特權(quán)的服務(wù)帳戶。像Ryuk和其他廣為宣傳的勒索軟件組一樣,RobbinHood運(yùn)營商會(huì)留下新的本地和Active Directory用戶帳戶,以便在刪除惡意軟件和工具后重新獲得訪問權(quán)限。
Vatet loader勒索軟件
攻擊者通常會(huì)轉(zhuǎn)移基礎(chǔ)結(jié)構(gòu),技術(shù)和工具,以避開執(zhí)法部門或安全研究人員的調(diào)查。Vatet是Cobalt Strike框架的自定義加載程序,早在2018年11月就已在勒索軟件活動(dòng)中出現(xiàn),它是最近活動(dòng)中浮出水面的工具之一。
該工具背后的小組似乎特別針對(duì)醫(yī)院,援助組織,生物制藥,醫(yī)療設(shè)備制造商和其他關(guān)鍵行業(yè)。他們是這段時(shí)間里最多產(chǎn)的勒索軟件運(yùn)營商之一,已經(jīng)造成了數(shù)十起案件。為了訪問目標(biāo)網(wǎng)絡(luò),他們利用CVE-2019-19781,RDP爆破并發(fā)送包含啟動(dòng)惡意PowerShell命令的.lnk文件的電子郵件。一旦進(jìn)入網(wǎng)絡(luò),他們就會(huì)竊取憑據(jù)(包括存儲(chǔ)在憑據(jù)管理器庫中的憑據(jù)),并橫向移動(dòng)直到獲得域管理員權(quán)限。
NetWalker勒索軟件
NetWalker運(yùn)營商發(fā)送大量的COVID-19信息的釣魚郵件,來鎖定醫(yī)院和醫(yī)療保健商。這些電子郵件包含了惡意.vbs附件。除此之外,他們還使用錯(cuò)誤配置的基于IIS的應(yīng)用程序來啟動(dòng)Mimikatz并竊取憑據(jù),從而破壞了網(wǎng)絡(luò),他們隨后又使用這些憑據(jù)來啟動(dòng)PsExec,并最終部署了NetWalker勒索軟件。
PonyFinal勒索軟件
這種基于Java的勒索軟件被認(rèn)為是新穎的,但是活動(dòng)并不罕見。其經(jīng)營者入侵了面向互聯(lián)網(wǎng)的Web系統(tǒng),并獲得了特權(quán)憑證。為了建立持久性,他們使用PowerShell命令啟動(dòng)系統(tǒng)工具mshta.exe,并基于常見的PowerShell攻擊框架設(shè)置反向shell。他們還使用合法的工具來維護(hù)遠(yuǎn)程桌面連接。
Maze 勒索軟件
Maze是首批出售被盜數(shù)據(jù)的勒索軟件,Maze繼續(xù)以技術(shù)提供商和公共服務(wù)為目標(biāo)。Maze有攻擊托管服務(wù)提供商(MSP)來訪問MSP客戶數(shù)據(jù)和網(wǎng)絡(luò)的記錄。
Maze通過電子郵件發(fā)送,其運(yùn)營商在使用通用媒介(例如RDP爆破)獲得訪問權(quán)限后,將Maze部署到了網(wǎng)絡(luò)。一旦進(jìn)入網(wǎng)絡(luò),他們就會(huì)竊取憑證,橫向移動(dòng)以訪問資源并竊取數(shù)據(jù),然后部署勒索軟件。
竊取憑證獲得對(duì)域管理員帳戶的控制權(quán)之后,勒索軟件運(yùn)營商使用Cobalt Strike,PsExec和大量其他工具來部署各種payload并訪問數(shù)據(jù)。他們使用計(jì)劃任務(wù)和服務(wù)建立了無文件持久化,這些任務(wù)和服務(wù)啟動(dòng)了基于PowerShell的遠(yuǎn)程Shell。他們還使用被盜的域管理員權(quán)限打開Windows遠(yuǎn)程管理以進(jìn)行持久控制。為了削弱安全控制以準(zhǔn)備勒索軟件部署,他們通過組策略操縱了各種設(shè)置。
REvil/Sodinokibi勒索勒索軟件
REvil(也稱為Sodinokibi)可能是第一個(gè)利用Pulse VPN中的網(wǎng)絡(luò)設(shè)備漏洞竊取憑據(jù)以訪問網(wǎng)絡(luò)的勒索軟件,Sodinokibi訪問MSP以及訪問客戶的網(wǎng)絡(luò)后,盜竊并出售客戶的文檔和訪問權(quán),聲名狼藉。在COVID-19危機(jī)期間,他們繼續(xù)開展這項(xiàng)活動(dòng),以MSP和其他組織(例如地方政府)為目標(biāo)。REvil在漏洞利用方面與其它組織有所不同,但攻擊手法與許多其他組織類似,它們?cè)?jīng)依賴于像Mimikatz這樣的憑據(jù)盜竊工具和PsExec等工具進(jìn)行橫向移動(dòng)和偵察。
其他勒索軟件系列
在此期間,其他人工投毒的勒索軟件系列包括:
Paradise,曾經(jīng)直接通過電子郵件分發(fā),但現(xiàn)在用人工投毒勒索軟件攻擊(Bitdefender已推出免費(fèi)的解密工具)
RagnarLocker,大量使用被盜的憑據(jù),RDP爆破和Cobalt Strike攻擊
MedusaLocker,可能通過現(xiàn)有的Trickbot感染進(jìn)行部署
LockBit,使用公開的滲透測(cè)試工具CrackMapExec進(jìn)行橫向移動(dòng)
針對(duì)主動(dòng)攻擊的即時(shí)響應(yīng)措施
我們強(qiáng)烈建議組織立即檢查是否有與這些勒索軟件攻擊有關(guān)的警報(bào),并優(yōu)先進(jìn)行調(diào)查和補(bǔ)救。防御者應(yīng)注意的與這些攻擊有關(guān)的惡意行為包括:
惡意PowerShell,Cobalt Strike和其他滲透測(cè)試工具
盜竊憑據(jù)活動(dòng),例如可疑訪問lsass.exe系統(tǒng)服務(wù)
任何篡改安全事件日志,取證工件,例如USNJournal或安全代理的行為
使用 BitDefender GravityZone Elite Security 和 BitDefender GravityZon Ultra Security 的客戶可以在管理控制臺(tái)實(shí)時(shí)查閱每個(gè)安全事件的詳細(xì)調(diào)查報(bào)告,以獲取有關(guān)相關(guān)警報(bào),包含詳細(xì)的攻擊時(shí)間表,查看緩解建議,響應(yīng)措施。
圖1- Bitdefender GravityZone控制臺(tái),事件,調(diào)查視圖
如果您的網(wǎng)絡(luò)受到影響,請(qǐng)立即執(zhí)行以下范圍和調(diào)查活動(dòng),以了解此安全事件的影響。僅僅使用危害指標(biāo),payload,可疑文件來確定這些威脅的影響并不是一個(gè)持久的解決方案,因?yàn)榇蠖鄶?shù)勒索軟件活動(dòng)都為活動(dòng)使用“一次性”套件,一旦確定了安全軟件具有檢測(cè)能力,便經(jīng)常更改其工具和系統(tǒng)。
—調(diào)查受影響的端點(diǎn)和憑據(jù)
調(diào)查受這些攻擊影響的端點(diǎn),并標(biāo)識(shí)這些端點(diǎn)上存在的所有憑據(jù)。假定攻擊者可以使用這些憑據(jù),并且所有關(guān)聯(lián)帳戶都受到了威脅。請(qǐng)注意,攻擊者不僅可以轉(zhuǎn)儲(chǔ)已登錄交互式或RDP會(huì)話的帳戶的憑據(jù),還可以轉(zhuǎn)儲(chǔ)存儲(chǔ)在注冊(cè)表的LSA Secrets部分中的服務(wù)帳戶和計(jì)劃任務(wù)的緩存的憑據(jù)和密碼。
檢查Windows事件日志中是否存在泄漏后登錄,查看審核失敗事件,查看事件ID為4624,登錄類型為2或10的事件。對(duì)于其他任何時(shí)間范圍,請(qǐng)檢查登錄類型4或5。
—隔離被入侵的端點(diǎn)
從管理控制臺(tái)中立即隔離可疑的或已成為橫向移動(dòng)目標(biāo)的端點(diǎn),或使用高級(jí)搜尋語法查詢搜索相關(guān)IOC的方法找到這些端點(diǎn),從已知的受影響的端點(diǎn)尋找橫向運(yùn)動(dòng)。
Bitdefender管理控制臺(tái)具有隔離主機(jī),遠(yuǎn)程連接功能,如下:
圖2- Bitdefender GravityZone控制臺(tái),事件分析,隔離主機(jī),遠(yuǎn)程連接視圖
—安全加固
您可以使用Bitdefender漏洞掃描與補(bǔ)丁管理,風(fēng)險(xiǎn)管理來修復(fù)端點(diǎn)的漏洞,配置錯(cuò)誤:
計(jì)劃漏洞掃描和安裝補(bǔ)丁,主動(dòng)發(fā)現(xiàn)資產(chǎn)的漏洞清單,確定優(yōu)先級(jí),自動(dòng)修復(fù)操作系統(tǒng)和第三方程序漏洞,Bitdefender允許安全管理員和IT管理員無縫協(xié)作以解決問題。
設(shè)置風(fēng)險(xiǎn)掃描計(jì)劃,主動(dòng)評(píng)估端點(diǎn)的攻擊面,例如:Windows安全基線掃描,配置錯(cuò)誤,程序漏洞等
配置防火墻策略,阻止未經(jīng)授權(quán)的網(wǎng)絡(luò)訪問
通過事件搜尋,查找和解決攻擊源
圖3- Bitdefender GravityZone控制臺(tái),補(bǔ)丁清單視圖
圖4- Bitdefender GravityZone控制臺(tái),風(fēng)險(xiǎn)管理,公司風(fēng)險(xiǎn)評(píng)分和態(tài)勢(shì)視圖
圖5- Bitdefender GravityZone控制臺(tái),安全風(fēng)險(xiǎn)視圖
圖6 安全報(bào)表-網(wǎng)絡(luò)事件,查看攻擊者IP
—檢查和重置被惡意軟件感染的設(shè)備
許多勒索軟件運(yùn)營商通過Emotet和Trickbot等惡意軟件感染,然后進(jìn)入目標(biāo)網(wǎng)絡(luò)。這些惡意軟件家族通常被認(rèn)為是銀行木馬,已被用來提供各種payload,包括持久化工件。研究和補(bǔ)救任何已知的感染,并認(rèn)為它們可能是復(fù)雜的人類對(duì)手的病媒。在重建受影響的端點(diǎn)或重置密碼之前,請(qǐng)確保檢查暴露的憑據(jù),其他payload和橫向移動(dòng)。
建立安全防護(hù)體系,以防御網(wǎng)絡(luò)免受人工投毒攻擊
勒索軟件運(yùn)營商仍在不斷挖掘新的攻擊目標(biāo),防御者應(yīng)使用所有可用工具主動(dòng)評(píng)估風(fēng)險(xiǎn)。您應(yīng)該繼續(xù)執(zhí)行經(jīng)過驗(yàn)證的預(yù)防性解決方案- 設(shè)置復(fù)雜的密碼,并定期更改,最小特權(quán),保持操作系統(tǒng)和應(yīng)用程序最新,安裝超一流的反病毒軟件,保持更新,系統(tǒng)遵循Windows安全基線設(shè)置,配置防火墻,執(zhí)行備份- 來阻止這些攻擊,利用監(jiān)視工具不斷改善安全。
應(yīng)用以下措施可使您的網(wǎng)絡(luò)更靈活地抵御新的勒索攻擊,橫向移動(dòng):
使用LAPS之類的工具隨機(jī)化本地管理員密碼。
應(yīng)用帳戶鎖定策略。
利用Bitdefender的漏洞掃描與補(bǔ)丁管理功能修復(fù)漏洞
使用Bitdefender風(fēng)險(xiǎn)管理評(píng)估安全風(fēng)險(xiǎn),并修復(fù)風(fēng)險(xiǎn)指標(biāo)。
利用主機(jī)防火墻限制橫向移動(dòng)。屏蔽445端口會(huì)嚴(yán)重破壞對(duì)手的活動(dòng)。
配置內(nèi)網(wǎng)的計(jì)算機(jī)通過Bitdefender中繼轉(zhuǎn)發(fā)云安全查詢,以獲取最新的威脅情報(bào),涵蓋快速發(fā)展的攻擊工具和技術(shù)。基于云的機(jī)器學(xué)習(xí)保護(hù)可阻止絕大多數(shù)新的和未知的變種。
打開密碼保護(hù)功能,以防止攻擊者卸載安全軟件。
開啟Bitdefender的高級(jí)威脅防護(hù),網(wǎng)絡(luò)攻擊防護(hù),無文件攻擊防護(hù),HyperDetect可調(diào)節(jié)機(jī)器學(xué)習(xí),云沙盒,高級(jí)反漏洞利用模塊,從各個(gè)維度屏蔽黑客的活動(dòng)
攔截高級(jí)勒索軟件
阻止漏洞利用
阻止利用autoit.exe, bitsadmin.exe, cscript.exe, java.exe, javaw.exe, miprvse.exe, net.exe, netsh.exe, powershell.exe, powershell_ise.exe, py.exe, python.exe, regedit.exe, regsvr32.exe, rundll32.exe, schtasks.exe, PsExec和 wscript.exe等執(zhí)行無文件攻擊
阻止從Windows本地安全授權(quán)子系統(tǒng)(lsass.exe)竊取憑據(jù)
阻止犯罪軟件
自動(dòng)化分析可疑文件
Bitdefender GravityZone:針對(duì)復(fù)雜且范圍廣泛的人工勒索軟件的協(xié)同防御
人工投毒勒索軟件攻擊代表了不同級(jí)別的威脅,因?yàn)楣粽呱瞄L于系統(tǒng)管理和發(fā)現(xiàn)安全配置錯(cuò)誤,因此可以以最小路徑快速入侵。如果碰壁,他們可以熟練地嘗試其它方法突破??偠灾?人工投毒勒索軟件攻擊是非常復(fù)雜的,沒有兩次攻擊是完全相同的。
Bitdefender GravityZone提供了協(xié)調(diào)的防御,Bitdefender具有世界頂級(jí)的預(yù)防技術(shù),可以發(fā)現(xiàn)完整的攻擊鏈并自動(dòng)阻止復(fù)雜的攻擊,例如人工投毒的勒索軟件。
Bitdefender GravityZone從端點(diǎn)、網(wǎng)絡(luò)、云等等多個(gè)維度,全方位洞察整個(gè)基礎(chǔ)架構(gòu)中的所有網(wǎng)絡(luò)攻擊和可疑活動(dòng),實(shí)時(shí)阻止惡意威脅和流量。
通過內(nèi)置的智能,自動(dòng)化和SIEM集成,Bitdefender GravityZone可以阻止攻擊,消除其持久性并自動(dòng)修復(fù)受影響的資產(chǎn),主動(dòng)評(píng)估資產(chǎn)的攻擊面,協(xié)助您自動(dòng)修復(fù)。它可以關(guān)聯(lián)傳感器并合并警報(bào),以幫助防御者確定事件的優(yōu)先級(jí)以進(jìn)行調(diào)查和響應(yīng)。Bitdefender GravityZone還提供了獨(dú)特的事件搜尋功能,可以進(jìn)一步幫助防御者識(shí)別攻擊蔓延并獲得組織特定的見解以加強(qiáng)防御。
圖7- Bitdefender GravityZone解決方案架構(gòu)圖,全面保護(hù)端點(diǎn),數(shù)據(jù)中心,超融合基礎(chǔ)架構(gòu),云,郵件,網(wǎng)絡(luò),Iot,遠(yuǎn)程辦公等
欲了解更多,請(qǐng)?jiān)L問Bitdefender中國官網(wǎng)
電話咨詢:
掃一掃,關(guān)注Bitdefender公眾號(hào)
申請(qǐng)創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!