【認識勒索攻擊和危害】之慣用傳播方式與侵入途徑
2021年12月30日
可能部分用戶還沒有認識到��,如今的網(wǎng)絡(luò)環(huán)境的每一步應(yīng)用場景����,幾乎都有可能被攻擊者利用成勒索攻擊的傳播方式與侵入途徑。
基于歷史勒索攻擊分 析報告及相關(guān)資料����,將目前已知的攻擊者慣用傳播方式與侵入途徑進行了歸類整理��,通過本文呈現(xiàn)���,旨在為用戶制定勒索攻擊防護方案時提供參考���。
一、郵件傳播侵入
一般為垃圾郵件�、釣魚郵件與魚叉式釣魚郵件,邏輯是通過郵件中的時事熱點信息或與受害者相關(guān)的內(nèi)容(包括標題)�,誘使用戶點擊或運行內(nèi)嵌了勒索軟件的附件(格式多為Word文檔、Excel表格�、JavaScript腳本或exe文件等),或打開郵件正文中的惡意鏈接�。用戶一旦進行相關(guān)操作�,勒索軟件將會自動下載和運行�。
垃圾郵件在非定向勒索攻擊中較為常見,以“廣撒網(wǎng)”的方式進行傳播��,郵件內(nèi)容一般為時事熱點�、廣告、促銷信息或偽裝成打招呼郵件(如標題為“好久不見”等)�����。
釣魚郵件與魚叉式釣魚郵件則常用于定向勒索攻擊中��,由于攻擊者通常在事前已通過偵察手段獲取到了受害者的相關(guān)信息���,因此會將郵件包裝成官方或工作伙伴發(fā)送的郵件(如:“XX最新政策信息”�����、“XX年度XX工作表”��、“公司將升級XX系統(tǒng)”等相關(guān)標題與內(nèi)容)��,甚至會模仿熟人發(fā)信的語氣�,增加收件人上當?shù)母怕省?/span>
這類傳播及侵入的目標多為企業(yè)、高校���、醫(yī)院機構(gòu)等單位�����,這些單位組織中的本地設(shè)備通常保存有較重要的文件���,一旦侵入成功,即可造成極大威脅�。
例:安天曾在《LooCipher勒索軟件分析報告》中指出:LooCipher勒索軟件主要通過垃圾郵件進行傳播,郵件附件為包含惡意宏代碼的Word文檔����。該文檔誘使用戶啟用宏以查看文檔內(nèi)容��,宏代碼的功能為連接Tor服務(wù)器并下載執(zhí)行程序�,將該文件重命名為LooCipher.exe,然后執(zhí)行該文件����。
二、系統(tǒng)或軟件漏洞
攻擊者利用各類系統(tǒng)或軟件漏洞(包括已公開且已發(fā)布補丁的漏洞)組合��,或通過黑色產(chǎn)業(yè)鏈中的漏洞利用套件(如:Exploit Kit)來傳播勒索軟件。
由于未能及時修補漏洞����,因此用戶即便沒有不安全用網(wǎng)行為,也可能遭到攻擊者侵入����;同時,攻擊者還會掃描同一網(wǎng)絡(luò)中存在漏洞的其他設(shè)備�,以擴大威脅攻擊范圍。
例:“魔窟”(WannaCry)就是利用Windows操作系統(tǒng)中�����,名為“永恒之藍”的安全漏洞進行全球范圍傳播的����。
三、弱口令暴力破解(遠程桌面控制)
由于部分服務(wù)器會使用弱口令(可簡單理解為復雜度較低的密碼)遠程登錄�����,攻擊者便利用這一弱點實施暴力破解��,實現(xiàn)遠程登陸并手動下載運行勒索軟件��。譬如:通過弱口令嘗試暴力破解RDP端口、SSH端口和數(shù)據(jù)庫端口等���。
即使服務(wù)器安裝了安全軟件�����,攻擊者也可手動將其退出���。該手段具有較高的隱蔽性、機動性�,因此極難被安全軟件發(fā)現(xiàn)。
例:2021年3月����,安天就曾發(fā)布《對HelpYou勒索軟件的分析報告》,發(fā)現(xiàn)該勒索軟除了通過郵件之外����,還可以利用RDP弱口令滲透進行傳播����。
四、僵尸網(wǎng)絡(luò)
僵尸網(wǎng)絡(luò)是指:采用一種或多種傳播方式�,將大量主機感染bot程序(僵尸程序)病毒����,從而在控制者和被感染主機之間所形成的一個可一對多控制的網(wǎng)絡(luò)��。
例:攻擊者利用已經(jīng)被僵尸網(wǎng)絡(luò)控制的系統(tǒng)主機進行病毒傳播���,特點是傳播范圍廣����,隱秘性高�����,感染速度快���。2021年8月�,安天發(fā)布了《對AstraLocker勒索軟件的分析報告》�,該勒索軟件主要通過垃圾郵件和僵尸網(wǎng)絡(luò)進行傳播。
五��、惡意廣告鏈接(網(wǎng)頁掛馬)
攻擊者會向網(wǎng)頁代理投放廣告(彈窗廣告���、懸浮窗廣告等)����,并在其中植入跳轉(zhuǎn)鏈接,從而避開針對廣告系統(tǒng)的安全機制���,誘導用戶點擊廣告��、訪問網(wǎng)站并觸發(fā)惡意代碼�,進而下載勒索軟件并執(zhí)行���。
有些攻擊者則會選擇直接攻擊網(wǎng)站����,并植入惡意代碼��,用戶一旦訪問就會感染�。
也有一些攻擊者會自主搭建包含惡意代碼的網(wǎng)站,或者仿造制作與知名站點相似的“假網(wǎng)站”�,以此來誘騙用戶訪問。
例:安天在《對Maze勒索軟件的分析》中發(fā)現(xiàn)�����,該勒索軟件擅長使用FalloutEK漏洞利用工具��,或通過網(wǎng)頁掛馬的方式傳播��;被掛馬的網(wǎng)頁���,多用于黃賭毒以及某些軟件內(nèi)嵌的廣告頁面等���。
六、軟件供應(yīng)鏈(信任轉(zhuǎn)嫁)
軟件供應(yīng)鏈攻擊是指利用軟件供應(yīng)商與最終用戶之間的信任關(guān)系��,在合法軟件正常傳播��、安裝和升級過程中�����,通過軟件供應(yīng)商的各種疏忽或漏洞����,對合法軟件進行劫持或篡改,從而繞過傳統(tǒng)安全產(chǎn)品檢查達到傳播侵入的攻擊類型��。
例:2021年7月3日��,美國技術(shù)管理軟件供應(yīng)商Kaseya遭遇REvil勒索軟件的攻擊��。REvil團伙在Kaseya供應(yīng)鏈攻擊中利用了0day漏洞。據(jù)媒體報道����,至少有1000家企業(yè)受到了攻擊的影響,受害者來自至少17個國家����,包括英國、南非�����、加拿大����、阿根廷、墨西哥��、印度尼西亞�����、新西蘭和肯尼亞等���。而REvil勒索團伙當時索要的贖金高達7000萬美元����。
七�、移動存儲介質(zhì)
攻擊者通過隱藏U盤、移動硬盤等移動存儲介質(zhì)中的原有文件��,創(chuàng)建與移動存儲介質(zhì)盤符����、圖標等相同的快捷方式并植入病毒,一旦用戶點擊就會運行勒索軟件���,或運行專門用于收集和回傳設(shè)備信息的木馬程序�,便于未來實施針對性的勒索軟件攻擊行為�。
由于PE類文件(常見后綴為exe、dll���、ocx��、sys��、com的都是PE文件)被感染后具有了感染其他文件的能力���,如果此文件被用戶攜帶(U盤�、移動硬盤�、網(wǎng)絡(luò)上傳等)到別的設(shè)備上運行,就會使得其他設(shè)備的文件也被全部感染�����。許多內(nèi)網(wǎng)隔離環(huán)境����,就是被藏在移動存儲介質(zhì)里的惡意軟件感染的。
例:2021年3月���,安天捕獲到的BleachGap勒索軟件就具備添加自啟動����、改寫MBR��、通過可移動介質(zhì)傳播等多項特征��。
八�����、水坑攻擊
攻擊者在受害者必經(jīng)之路設(shè)置了一個“水坑(陷阱)”,致使受害者上當����。譬如:攻擊者會分析攻擊目標的上網(wǎng)活動規(guī)律,尋找攻擊目標經(jīng)常訪問的網(wǎng)站的弱點��,先將此網(wǎng)站“攻破”并植入攻擊代碼�����,一旦攻擊目標訪問該網(wǎng)站就會“中招”�����。
例:勒索軟件“Bad Rabbit”就曾采用水坑攻擊的方式傳播�����,通過偽裝成Adobe flashplayer欺騙用戶安裝�����,感染后會在局域網(wǎng)內(nèi)擴散���。
江蘇國駿-打造安全可信的網(wǎng)絡(luò)世界
為IT提升價值
http://xufei-js.cn/
免費咨詢熱線:400-6776-989
關(guān)注公眾號
獲取免費咨詢和安全服務(wù)
