【認識勒索攻擊和危害】之勒索攻擊的兩種典型模式
2021年12月30日
本篇內容將圍繞勒索攻擊的兩種典型模式:非定向勒索攻擊與定向勒索攻擊展開。
在上一篇內容《勒索攻擊中的四種分工角色》中,介紹了勒索攻擊發(fā)展成為分工明細的產業(yè)化犯罪顯著特征����,并提出了簡單的治理和防護建議�����。
部分用戶對于遭遇勒索攻擊的風險可能往往有兩種誤解����,有些用戶認為,自身資產價值不高���,勒索攻擊不會找上自己���;也有的用戶認為,勒索攻擊是一種比較低級的風險���,不會突破自己的防護體系����。為了澄清這些誤解,安天垂直響應服務平臺運營組在本篇中分析勒索攻擊的兩種模式:非定向勒索攻擊與定向勒索攻擊�。
在安天《2020年網絡安全威脅年報》中曾提出:勒索軟件制作者開始關注攻擊成本和攻擊效率,勒索軟件的攻擊方式�����,從最初的廣撒網尋找目標�����,逐漸地變成對有價值的攻擊目標進行定向勒索��。
因勢利導����,造成了當前勒索攻擊方向模式發(fā)展的兩級分化:
既有傳統:非定向大規(guī)模傳播->加密數據->收取贖金->解密數據的單線作業(yè)模式;
也有新型:定向攻擊->數據竊取->加密數據->收取贖金解密->不交贖金->曝光數據的新型作業(yè)鏈條模式�����。
▲ 非定向與定向勒索攻擊圖示
從目標導向理解即為:
1����、非定向勒索攻擊:不求單個目標贖金高,但求目標多��;
2、定向勒索攻擊:不求目標多�����,只求單個目標贖金高��。
方向一:非定向勒索攻擊
早期非定向攻擊者會采用傳統的擴散蠕蟲或釣魚投放等方式���,進行發(fā)散式的傳播,且不會預先對目標進行偵察����、評估與篩選,對于攻擊的收益也不會有精確預估�����。而當前��,非定向勒索攻擊者大多會選用RaaS(勒索即服務)平臺或僵尸網絡渠道�����,采取“廣撒網”的方式對勒索軟件進行傳播侵入��,威脅攻擊對象主要為中小企業(yè)與政府機構單位。
同時�,由于RaaS模式降低了攻擊者的準入門檻,因此更助推了非定向勒索攻擊的攻擊者參與人數的提升�����。
需要明確的是����,部分用戶對非定向勒索攻擊存有誤解,認為其威脅能力并不高����,而事實上,非定向勒索攻擊只是沒有達到能與定向攻擊相較的威脅能力而已�,實際威脅能力仍然不容小覷。
無論是近些年較為活躍的提供RaaS平臺服務的家族DopplePaymer�、Egregor、Netwalker���、REvil/Sodinokibi�、DarkSide����、Ryuk�,以及今年7月首次出現的BlackMatter��,都具有較高的威脅能力�。
注:提供RaaS服務只是勒索攻擊家族為了提高非法收益,通過“價值多向變現”而拓展的商業(yè)模式����,并不意味其只提供RaaS服務,其同樣會自主發(fā)動非定向或定向勒索攻擊���。
憑借傳播覆蓋面積足夠廣����、攻擊頻次足夠多�����、參與攻擊人數多等“優(yōu)勢”���,非定向勒索攻擊同樣是持續(xù)的勒索攻擊安全防護工作重點。
方向二:定向勒索攻擊
大部分的定向勒索攻擊是由具備更高水平的攻擊者組織發(fā)動的����,能力接近或可達到APT(高級持續(xù)性威脅)攻擊的水平���。
定向勒索攻擊的特征是,事先有非常明確的攻擊目標��,再“有組織�、有預謀、有步驟”的發(fā)動威脅攻擊����,以求牟取巨額收益。
定向勒索攻擊與APT攻擊高度相似����,有鮮明的殺傷鏈化特點,攻擊者會:
1��、預先篩選出攻擊目標��;由于其目的是大額甚至巨額的勒索贖金����,因此,其主要瞄準的往往是中大型企業(yè)�、重要政府部門/機構、軍隊單位以及關系民生的關基設施與工控系統。
2��、通過偵察手段收集����、評估攻擊目標詳細安全防護信息,針對性制定嚴密的攻擊計劃方案�,精確計算投入成本和潛在回報(ROI)。
3����、根據攻擊計劃方案,充分投入部署攻擊資源���,如:攻擊人員規(guī)模�、多種攻擊工具�、0day漏洞、高級惡意代碼等���;也包括可能獲得“內鬼”的支持與配合。
基于以上信息���,可以看到定向勒索攻擊有超級突防能力����。
因此,用戶既要做好安全的基本面�,避免遭遇非定向勒索攻擊;同時�����,對于有高價值資產的用戶則需進一步提高安全防護系統和安全運營水平��,防御定向勒索攻擊�。
▲ 終端防護系統防御勒索病毒原理示意圖
針對勒索攻擊構建了“五層防御,兩重閉環(huán)”的防護解決方案���。五層防御即系統加固����、(主機)邊界防御�、掃描過濾、主動防御�、文檔安全五個防御層次,兩重閉環(huán)是EPP(端點防護)實時防御閉環(huán)�,和EDR(端點檢測和響應)準實時/異步防御閉環(huán)。
終端防御系統防護勒索病毒的機理表 |
防護層級 | 技術原理 |
系統加固 | 通過基線和補丁檢查功能����,實現對系統配置脆弱點的檢查修補�����、補丁加固和系統自身安全策略調整等�����,從而減少包括開放端口�、弱口令���、不必要的服務等勒索攻擊的暴露面���,削弱漏洞利用的成功率。 |
(主機)邊界防御 | 通過分布式主機防火墻和介質管控功能��,攔截掃描����、入侵數據包,阻斷攻擊載荷傳輸����,攔截U盤、光盤等插入自動運行��,使勒索攻擊難以獲得主機入口�。 |
掃描過濾 | 基于安天AVL SDK反病毒引擎對文件對象、扇區(qū)對象���、內存對象����、注冊表數據對象等進行掃描�����,判斷檢測對象是否是已知病毒或者疑似病毒����,從而實現精準判斷查殺。 |
主動防御 | 基于內核驅動持續(xù)監(jiān)控進程等內存對象操作行為動作���,研判是否存在持久化���、提權、信息竊取等攻擊動作����,判斷是否存在批量讀寫�、刪除����、移動文件或扇區(qū)等操作,并通過文件授信(簽名驗證)機制���,過濾正常應用操作動作以降低誤報���。 |
文檔安全 | 依靠部署多組誘餌文件并實時監(jiān)測,誘導勒索病毒優(yōu)先破壞���,達成欺騙式防御效果�。采用多點實時備份機制���,即使正常文檔被加密也可快速恢復�����。 |
文字來源:安天
江蘇國駿-打造安全可信的網絡世界
為IT提升價值
http://xufei-js.cn/
免費咨詢熱線:400-6776-989
關注公眾號
獲取免費咨詢和安全服務
