【認(rèn)識勒索攻擊和危害】之勒索攻擊中的四種分工角色
2021年12月30日
本文主要闡述勒索攻擊已發(fā)展成為分工明細(xì)的產(chǎn)業(yè)化犯罪趨勢��,用戶應(yīng)予以重視并及時防護(hù)。更多關(guān)于勒索攻擊的分析和防護(hù)建議���,請持續(xù)關(guān)注��。
早期的勒索攻擊多半是攻擊者從編寫勒索病毒到投放勒索病毒一條龍完成的���,但如今的勒索攻擊已發(fā)展成為分工明細(xì)的產(chǎn)業(yè)化犯罪活動����。
一次完整的勒索攻擊鏈條里,或者說在一個勒索攻擊犯罪團(tuán)伙�����,一般會有多種分工角色����。不同攻擊活動間又有很大差異,有的攻擊中同一個人或同一個組織會扮演多重角色��;也有攻擊中分工會更細(xì)致�。分工確實(shí)成為勒索攻擊犯罪活動的顯著特點(diǎn),特別是出現(xiàn)了RaaS(Ransomware as a Service�,勒索即服務(wù))這種模式化的新犯罪活動����,將勒索攻擊轉(zhuǎn)變?yōu)椤吧虡I(yè)服務(wù)行為”��,通過會員���、訂閱或定制���,向其他“攻擊者”售賣勒索攻擊相關(guān)服務(wù)。RaaS的出現(xiàn)���,不僅降低了勒索攻擊的準(zhǔn)入門檻(甚至無需任何網(wǎng)絡(luò)攻防技術(shù)與知識即可發(fā)起攻擊)��,也增加了勒索攻擊的防護(hù)難度����,特別是帶來了巨大的“內(nèi)鬼”作案風(fēng)險�。
▲ 勒索攻擊犯罪鏈條中的角色分工
1. 勒索軟件開發(fā)方: 主要負(fù)責(zé)勒索攻擊中軟件、工具��、生成器等相關(guān)能力的開發(fā)�,是整個攻擊中的上游制毒者。
在RaaS模式中���,除了勒索攻擊能力的相關(guān)標(biāo)品開發(fā)�,也接受勒索攻擊能力的相關(guān)定制開發(fā);主要通過地下平臺或“暗網(wǎng)”�����,實(shí)現(xiàn)勒索軟件的定制�。
2. 勒索攻擊行為發(fā)起方: 是實(shí)現(xiàn)把勒索軟件定向投放到受害場景的行為角色。其有可能是一個個體�,也可能是一個由組織者和執(zhí)行者組成的團(tuán)伙。
2.1 組織者: 通過合作分成的方式�,組織開發(fā)者開發(fā)/定制勒索軟件或勒索服務(wù)平臺(RaaS,勒索即服務(wù))�;聯(lián)合渠道商傳播勒索軟件�����;串聯(lián)代理商與受害者獲得聯(lián)系獲取贖金等��。
2.2 執(zhí)行者: 勒索攻擊實(shí)施階段的重要節(jié)點(diǎn)事務(wù)執(zhí)行�,主要包括:系統(tǒng)入侵、勒索部署����、竊密加密���、勒索贖金等。
3. 勒索攻擊中的渠道方: 勒索攻擊可能是攻擊者定向發(fā)動的�,也可能與其他的一些掌握肉雞資源的犯罪組織合作。例如常見的方式是利用僵尸網(wǎng)絡(luò)大規(guī)模發(fā)送釣魚郵件��,譬如此前全球最大的僵尸網(wǎng)絡(luò)Necurs(于2020年3月11日由微軟宣布被搗毀)�����,以及目前仍在活躍且較知名的Mirai�����、Gafgyt����、Mozi等?�;趥鞑ゴ螖?shù)�,僵尸網(wǎng)絡(luò)仍是目前勒索軟件的主要傳播渠道。
4. 勒索攻擊中的代理方: 主要負(fù)責(zé)拓展和助攻勒索贖金繳納的成功率��;與勒索發(fā)起方同樣是合作分成收益關(guān)系��,還有的本身就是和攻擊者沆瀣一氣的團(tuán)伙成員。代理方一般會通過網(wǎng)絡(luò)關(guān)鍵詞��、多媒體���、信息流等廣告宣傳���,聲稱自己能夠解密各類勒索攻擊加密的文件。但實(shí)際存在多種情況:有的是利用受害者不知道如何使用虛擬貨幣交易���,賺取手續(xù)費(fèi)���;有的則是利用相關(guān)事件,來詐騙勒索受害者�。此前我國公安部門就曾打擊掉一家以數(shù)據(jù)恢復(fù)為名義,實(shí)際上和勒索攻擊勾結(jié)的所謂“數(shù)據(jù)恢復(fù)公司”��。
值得警惕的新角色“內(nèi)鬼”:
當(dāng)前政企機(jī)構(gòu)要警惕的是在勒索即服務(wù)全面降低了勒索攻擊門檻后�,內(nèi)鬼對自身所在單位進(jìn)行勒索攻擊的風(fēng)險會提升����,需要增加預(yù)防。
值得一提的是����,勒索攻擊產(chǎn)業(yè)化��、鏈條化后����,勒索犯罪團(tuán)伙時刻都在與安全工作者們隔空對抗�����,試圖找到更多繞過安全機(jī)制的方法��。這也是防護(hù)能力需要持續(xù)升級改善的根本原因��。安全有效性從不會一勞永逸�����,而需要持續(xù)安全運(yùn)營�。
勒索攻擊的分工鏈條化,增加了攻擊的能力和隱蔽性�。從政企機(jī)構(gòu)網(wǎng)絡(luò)客戶角度,構(gòu)建有效防御體系才能更好應(yīng)對日趨復(fù)雜的勒索攻擊�����,做好防患未然。從社會治理角度看�����,推動有效治理僵尸木馬蠕蟲����,削弱勒索攻擊的分發(fā)能力;對勒索攻擊活動進(jìn)行持續(xù)跟蹤分析溯源�,形成國際協(xié)同的司法打擊能力,都是工作抓手��。特別是要倡導(dǎo)��,在遭遇勒索攻擊成功的情況下���,堅決不交贖金的理念��,面對犯罪活動不妥協(xié)���,就是對正義的支持�。
▲ 終端防護(hù)系統(tǒng)防御勒索病毒原理示意圖
針對勒索攻擊構(gòu)建了“五層防御,兩重閉環(huán)”的防護(hù)解決方案。五層防御即系統(tǒng)加固�����、(主機(jī))邊界防御���、掃描過濾��、主動防御�、文檔安全五個防御層次��,兩重閉環(huán)是EPP(端點(diǎn)防護(hù))實(shí)時防御閉環(huán)�,和EDR(端點(diǎn)檢測和響應(yīng))準(zhǔn)實(shí)時/異步防御閉環(huán)。
終端防御系統(tǒng)防護(hù)勒索病毒的機(jī)理表 |
防護(hù)層級 | 技術(shù)原理 |
系統(tǒng)加固 | 通過基線和補(bǔ)丁檢查功能���,實(shí)現(xiàn)對系統(tǒng)配置脆弱點(diǎn)的檢查修補(bǔ)��、補(bǔ)丁加固和系統(tǒng)自身安全策略調(diào)整等��,從而減少包括開放端口����、弱口令�、不必要的服務(wù)等勒索攻擊的暴露面�����,削弱漏洞利用的成功率�。 |
(主機(jī))邊界防御 | 通過分布式主機(jī)防火墻和介質(zhì)管控功能�����,攔截掃描��、入侵?jǐn)?shù)據(jù)包����,阻斷攻擊載荷傳輸,攔截U盤���、光盤等插入自動運(yùn)行�,使勒索攻擊難以獲得主機(jī)入口��。 |
掃描過濾 | 基于安天AVL SDK反病毒引擎對文件對象�、扇區(qū)對象、內(nèi)存對象��、注冊表數(shù)據(jù)對象等進(jìn)行掃描�,判斷檢測對象是否是已知病毒或者疑似病毒�����,從而實(shí)現(xiàn)精準(zhǔn)判斷查殺。 |
主動防御 | 基于內(nèi)核驅(qū)動持續(xù)監(jiān)控進(jìn)程等內(nèi)存對象操作行為動作�����,研判是否存在持久化����、提權(quán)、信息竊取等攻擊動作��,判斷是否存在批量讀寫����、刪除、移動文件或扇區(qū)等操作�����,并通過文件授信(簽名驗(yàn)證)機(jī)制�,過濾正常應(yīng)用操作動作以降低誤報。 |
文檔安全 | 依靠部署多組誘餌文件并實(shí)時監(jiān)測�,誘導(dǎo)勒索病毒優(yōu)先破壞�����,達(dá)成欺騙式防御效果�����。采用多點(diǎn)實(shí)時備份機(jī)制�����,即使正常文檔被加密也可快速恢復(fù)���。 |
文字來源:安天
江蘇國駿-打造安全可信的網(wǎng)絡(luò)世界
為IT提升價值
http://xufei-js.cn/
免費(fèi)咨詢熱線:400-6776-989
關(guān)注公眾號
獲取免費(fèi)咨詢和安全服務(wù)
