COVID-19全球大流行,讓遠程工作變得越來越普遍,全球的商業(yè)領(lǐng)袖被迫對他們的基礎(chǔ)設(shè)施進行通宵更改,IT主管和安全運營團隊面臨巨大的壓力。然而,勒索軟件組織并沒有停止,攻擊持續(xù)增長。
在此文章中,我們將對最近的勒索軟件活動作深入分析。下面,我們將介紹:
易受攻擊且不受監(jiān)控的聯(lián)網(wǎng)系統(tǒng)非常容易被入侵
各種各樣的勒索軟件攻擊手法分析
針對主動攻擊的即時響應(yīng)措施
建立安全防護體系,以防御網(wǎng)絡(luò)免受人工投毒攻擊
Bitdefender GravityZone:針對復(fù)雜且范圍廣泛的人工勒索軟件的協(xié)同防御
易受攻擊且不受監(jiān)控的聯(lián)網(wǎng)系統(tǒng)容易被入侵
黑客入侵后,可在環(huán)境中保持相對休眠狀態(tài),直到他們確定了部署勒索軟件的適當時機。
具有以下弱點的系統(tǒng)易受攻擊:
無多因素身份驗證(MFA)的遠程桌面協(xié)議(RDP)或虛擬桌面端點
使用弱密碼的舊系統(tǒng),例如Windows Server 2003和Windows Server 2008
配置錯誤的系統(tǒng),Web服務(wù)器,包括IIS,電子健康記錄(EHR)軟件
未修補的系統(tǒng),你需要特別關(guān)注:CVE-2017-11882, CVE-2017-0199, CVE-2017-5638, CVE-2012-0158 , CVE-2019-0604, CVE-2017-0143, CVE-2018-4878, CVE-2017-8759, CVE-2015-1641, CVE-2018-7600, CVE-2019-0604, CVE- 2020-0688, CVE-2020-10189
攻擊者經(jīng)常使用工具(例如Mimikatz和Cobalt Strike)竊取憑證,橫向移動,網(wǎng)絡(luò)偵察和泄露數(shù)據(jù)。在這些活動中,黑客可以訪問特權(quán)較高的管理員憑據(jù),并準備在受到干擾時采取可能更具破壞性的措施。
在攻擊者部署了勒索軟件的網(wǎng)絡(luò)上,他們故意在某些端點上維護其存在,目的是在支付贖金或重建系統(tǒng)后重新啟動惡意活動。我們觀察到幾乎所有的黑客組織在攻擊過程中都在查看和竊取數(shù)據(jù),隨后他們可以在暗網(wǎng)中將公司的網(wǎng)絡(luò)訪問憑據(jù)出售,再次獲利。
所以,你需要主動修補/監(jiān)控聯(lián)網(wǎng)的系統(tǒng),并采取緩解措施,以降低攻擊風險。
各種各樣的勒索軟件攻擊手法分析
盡管個別活動和勒索軟件系列具有以下各節(jié)所述的獨特屬性,但這些勒索軟件活動往往結(jié)合了人工投毒攻擊,它們通常采用了類似的攻擊戰(zhàn)術(shù),至于執(zhí)行的Payload,完全取決于其個人風格。
RobbinHood勒索軟件
RobbinHood勒索軟件會利用易受攻擊的驅(qū)動程序來關(guān)閉安全軟件,它們通常對暴露資產(chǎn)進行遠程桌面爆破。他們最終獲得特權(quán)憑證,主要是具有共享或通用密碼的本地管理員帳戶,以及具有域管理員特權(quán)的服務(wù)帳戶。像Ryuk和其他廣為宣傳的勒索軟件組一樣,RobbinHood運營商會留下新的本地和Active Directory用戶帳戶,以便在刪除惡意軟件和工具后重新獲得訪問權(quán)限。
Vatet loader勒索軟件
攻擊者通常會轉(zhuǎn)移基礎(chǔ)結(jié)構(gòu),技術(shù)和工具,以避開執(zhí)法部門或安全研究人員的調(diào)查。Vatet是Cobalt Strike框架的自定義加載程序,早在2018年11月就已在勒索軟件活動中出現(xiàn),它是最近活動中浮出水面的工具之一。
該工具背后的小組似乎特別針對醫(yī)院,援助組織,生物制藥,醫(yī)療設(shè)備制造商和其他關(guān)鍵行業(yè)。他們是這段時間里最多產(chǎn)的勒索軟件運營商之一,已經(jīng)造成了數(shù)十起案件。為了訪問目標網(wǎng)絡(luò),他們利用CVE-2019-19781,RDP爆破并發(fā)送包含啟動惡意PowerShell命令的.lnk文件的電子郵件。一旦進入網(wǎng)絡(luò),他們就會竊取憑據(jù)(包括存儲在憑據(jù)管理器庫中的憑據(jù)),并橫向移動直到獲得域管理員權(quán)限。
NetWalker勒索軟件
NetWalker運營商發(fā)送大量的COVID-19信息的釣魚郵件,來鎖定醫(yī)院和醫(yī)療保健商。這些電子郵件包含了惡意.vbs附件。除此之外,他們還使用錯誤配置的基于IIS的應(yīng)用程序來啟動Mimikatz并竊取憑據(jù),從而破壞了網(wǎng)絡(luò),他們隨后又使用這些憑據(jù)來啟動PsExec,并最終部署了NetWalker勒索軟件。
PonyFinal勒索軟件
這種基于Java的勒索軟件被認為是新穎的,但是活動并不罕見。其經(jīng)營者入侵了面向互聯(lián)網(wǎng)的Web系統(tǒng),并獲得了特權(quán)憑證。為了建立持久性,他們使用PowerShell命令啟動系統(tǒng)工具mshta.exe,并基于常見的PowerShell攻擊框架設(shè)置反向shell。他們還使用合法的工具來維護遠程桌面連接。
Maze 勒索軟件
Maze是首批出售被盜數(shù)據(jù)的勒索軟件,Maze繼續(xù)以技術(shù)提供商和公共服務(wù)為目標。Maze有攻擊托管服務(wù)提供商(MSP)來訪問MSP客戶數(shù)據(jù)和網(wǎng)絡(luò)的記錄。
Maze通過電子郵件發(fā)送,其運營商在使用通用媒介(例如RDP爆破)獲得訪問權(quán)限后,將Maze部署到了網(wǎng)絡(luò)。一旦進入網(wǎng)絡(luò),他們就會竊取憑證,橫向移動以訪問資源并竊取數(shù)據(jù),然后部署勒索軟件。
竊取憑證獲得對域管理員帳戶的控制權(quán)之后,勒索軟件運營商使用Cobalt Strike,PsExec和大量其他工具來部署各種payload并訪問數(shù)據(jù)。他們使用計劃任務(wù)和服務(wù)建立了無文件持久化,這些任務(wù)和服務(wù)啟動了基于PowerShell的遠程Shell。他們還使用被盜的域管理員權(quán)限打開Windows遠程管理以進行持久控制。為了削弱安全控制以準備勒索軟件部署,他們通過組策略操縱了各種設(shè)置。
REvil/Sodinokibi勒索勒索軟件
REvil(也稱為Sodinokibi)可能是第一個利用Pulse VPN中的網(wǎng)絡(luò)設(shè)備漏洞竊取憑據(jù)以訪問網(wǎng)絡(luò)的勒索軟件,Sodinokibi訪問MSP以及訪問客戶的網(wǎng)絡(luò)后,盜竊并出售客戶的文檔和訪問權(quán),聲名狼藉。在COVID-19危機期間,他們繼續(xù)開展這項活動,以MSP和其他組織(例如地方政府)為目標。REvil在漏洞利用方面與其它組織有所不同,但攻擊手法與許多其他組織類似,它們曾經(jīng)依賴于像Mimikatz這樣的憑據(jù)盜竊工具和PsExec等工具進行橫向移動和偵察。
其他勒索軟件系列
在此期間,其他人工投毒的勒索軟件系列包括:
Paradise,曾經(jīng)直接通過電子郵件分發(fā),但現(xiàn)在用人工投毒勒索軟件攻擊(Bitdefender已推出免費的解密工具)
RagnarLocker,大量使用被盜的憑據(jù),RDP爆破和Cobalt Strike攻擊
MedusaLocker,可能通過現(xiàn)有的Trickbot感染進行部署
LockBit,使用公開的滲透測試工具CrackMapExec進行橫向移動
針對主動攻擊的即時響應(yīng)措施
我們強烈建議組織立即檢查是否有與這些勒索軟件攻擊有關(guān)的警報,并優(yōu)先進行調(diào)查和補救。防御者應(yīng)注意的與這些攻擊有關(guān)的惡意行為包括:
惡意PowerShell,Cobalt Strike和其他滲透測試工具
盜竊憑據(jù)活動,例如可疑訪問lsass.exe系統(tǒng)服務(wù)
任何篡改安全事件日志,取證工件,例如USNJournal或安全代理的行為
使用 BitDefender GravityZone Elite Security 和 BitDefender GravityZon Ultra Security 的客戶可以在管理控制臺實時查閱每個安全事件的詳細調(diào)查報告,以獲取有關(guān)相關(guān)警報,包含詳細的攻擊時間表,查看緩解建議,響應(yīng)措施。
圖1- Bitdefender GravityZone控制臺,事件,調(diào)查視圖
如果您的網(wǎng)絡(luò)受到影響,請立即執(zhí)行以下范圍和調(diào)查活動,以了解此安全事件的影響。僅僅使用危害指標,payload,可疑文件來確定這些威脅的影響并不是一個持久的解決方案,因為大多數(shù)勒索軟件活動都為活動使用“一次性”套件,一旦確定了安全軟件具有檢測能力,便經(jīng)常更改其工具和系統(tǒng)。
—調(diào)查受影響的端點和憑據(jù)
調(diào)查受這些攻擊影響的端點,并標識這些端點上存在的所有憑據(jù)。假定攻擊者可以使用這些憑據(jù),并且所有關(guān)聯(lián)帳戶都受到了威脅。請注意,攻擊者不僅可以轉(zhuǎn)儲已登錄交互式或RDP會話的帳戶的憑據(jù),還可以轉(zhuǎn)儲存儲在注冊表的LSA Secrets部分中的服務(wù)帳戶和計劃任務(wù)的緩存的憑據(jù)和密碼。
檢查Windows事件日志中是否存在泄漏后登錄,查看審核失敗事件,查看事件ID為4624,登錄類型為2或10的事件。對于其他任何時間范圍,請檢查登錄類型4或5。
—隔離被入侵的端點
從管理控制臺中立即隔離可疑的或已成為橫向移動目標的端點,或使用高級搜尋語法查詢搜索相關(guān)IOC的方法找到這些端點,從已知的受影響的端點尋找橫向運動。
Bitdefender管理控制臺具有隔離主機,遠程連接功能,如下:
圖2- Bitdefender GravityZone控制臺,事件分析,隔離主機,遠程連接視圖
—安全加固
您可以使用Bitdefender漏洞掃描與補丁管理,風險管理來修復(fù)端點的漏洞,配置錯誤:
計劃漏洞掃描和安裝補丁,主動發(fā)現(xiàn)資產(chǎn)的漏洞清單,確定優(yōu)先級,自動修復(fù)操作系統(tǒng)和第三方程序漏洞,Bitdefender允許安全管理員和IT管理員無縫協(xié)作以解決問題。
設(shè)置風險掃描計劃,主動評估端點的攻擊面,例如:Windows安全基線掃描,配置錯誤,程序漏洞等
配置防火墻策略,阻止未經(jīng)授權(quán)的網(wǎng)絡(luò)訪問
通過事件搜尋,查找和解決攻擊源
圖3- Bitdefender GravityZone控制臺,補丁清單視圖
圖4- Bitdefender GravityZone控制臺,風險管理,公司風險評分和態(tài)勢視圖
圖5- Bitdefender GravityZone控制臺,安全風險視圖
圖6 安全報表-網(wǎng)絡(luò)事件,查看攻擊者IP
—檢查和重置被惡意軟件感染的設(shè)備
許多勒索軟件運營商通過Emotet和Trickbot等惡意軟件感染,然后進入目標網(wǎng)絡(luò)。這些惡意軟件家族通常被認為是銀行木馬,已被用來提供各種payload,包括持久化工件。研究和補救任何已知的感染,并認為它們可能是復(fù)雜的人類對手的病媒。在重建受影響的端點或重置密碼之前,請確保檢查暴露的憑據(jù),其他payload和橫向移動。
建立安全防護體系,以防御網(wǎng)絡(luò)免受人工投毒攻擊
勒索軟件運營商仍在不斷挖掘新的攻擊目標,防御者應(yīng)使用所有可用工具主動評估風險。您應(yīng)該繼續(xù)執(zhí)行經(jīng)過驗證的預(yù)防性解決方案- 設(shè)置復(fù)雜的密碼,并定期更改,最小特權(quán),保持操作系統(tǒng)和應(yīng)用程序最新,安裝超一流的反病毒軟件,保持更新,系統(tǒng)遵循Windows安全基線設(shè)置,配置防火墻,執(zhí)行備份- 來阻止這些攻擊,利用監(jiān)視工具不斷改善安全。
應(yīng)用以下措施可使您的網(wǎng)絡(luò)更靈活地抵御新的勒索攻擊,橫向移動:
使用LAPS之類的工具隨機化本地管理員密碼。
應(yīng)用帳戶鎖定策略。
利用Bitdefender的漏洞掃描與補丁管理功能修復(fù)漏洞
使用Bitdefender風險管理評估安全風險,并修復(fù)風險指標。
利用主機防火墻限制橫向移動。屏蔽445端口會嚴重破壞對手的活動。
配置內(nèi)網(wǎng)的計算機通過Bitdefender中繼轉(zhuǎn)發(fā)云安全查詢,以獲取最新的威脅情報,涵蓋快速發(fā)展的攻擊工具和技術(shù)?;谠频臋C器學習保護可阻止絕大多數(shù)新的和未知的變種。
打開密碼保護功能,以防止攻擊者卸載安全軟件。
開啟Bitdefender的高級威脅防護,網(wǎng)絡(luò)攻擊防護,無文件攻擊防護,HyperDetect可調(diào)節(jié)機器學習,云沙盒,高級反漏洞利用模塊,從各個維度屏蔽黑客的活動
攔截高級勒索軟件
阻止漏洞利用
阻止利用autoit.exe, bitsadmin.exe, cscript.exe, java.exe, javaw.exe, miprvse.exe, net.exe, netsh.exe, powershell.exe, powershell_ise.exe, py.exe, python.exe, regedit.exe, regsvr32.exe, rundll32.exe, schtasks.exe, PsExec和 wscript.exe等執(zhí)行無文件攻擊
阻止從Windows本地安全授權(quán)子系統(tǒng)(lsass.exe)竊取憑據(jù)
阻止犯罪軟件
自動化分析可疑文件
Bitdefender GravityZone:針對復(fù)雜且范圍廣泛的人工勒索軟件的協(xié)同防御
人工投毒勒索軟件攻擊代表了不同級別的威脅,因為攻擊者擅長于系統(tǒng)管理和發(fā)現(xiàn)安全配置錯誤,因此可以以最小路徑快速入侵。如果碰壁,他們可以熟練地嘗試其它方法突破。總而言之,人工投毒勒索軟件攻擊是非常復(fù)雜的,沒有兩次攻擊是完全相同的。
Bitdefender GravityZone提供了協(xié)調(diào)的防御,Bitdefender具有世界頂級的預(yù)防技術(shù),可以發(fā)現(xiàn)完整的攻擊鏈并自動阻止復(fù)雜的攻擊,例如人工投毒的勒索軟件。
Bitdefender GravityZone從端點、網(wǎng)絡(luò)、云等等多個維度,全方位洞察整個基礎(chǔ)架構(gòu)中的所有網(wǎng)絡(luò)攻擊和可疑活動,實時阻止惡意威脅和流量。
通過內(nèi)置的智能,自動化和SIEM集成,Bitdefender GravityZone可以阻止攻擊,消除其持久性并自動修復(fù)受影響的資產(chǎn),主動評估資產(chǎn)的攻擊面,協(xié)助您自動修復(fù)。它可以關(guān)聯(lián)傳感器并合并警報,以幫助防御者確定事件的優(yōu)先級以進行調(diào)查和響應(yīng)。Bitdefender GravityZone還提供了獨特的事件搜尋功能,可以進一步幫助防御者識別攻擊蔓延并獲得組織特定的見解以加強防御。
圖7- Bitdefender GravityZone解決方案架構(gòu)圖,全面保護端點,數(shù)據(jù)中心,超融合基礎(chǔ)架構(gòu),云,郵件,網(wǎng)絡(luò),Iot,遠程辦公等
欲了解更多,請訪問Bitdefender中國官網(wǎng)
電話咨詢:
掃一掃,關(guān)注Bitdefender公眾號
申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!