域名預(yù)訂/競(jìng)價(jià)，好“米”不錯(cuò)過(guò)

COVID-19全球大流行,讓遠(yuǎn)程工作變得越來(lái)越普遍,全球的商業(yè)領(lǐng)袖被迫對(duì)他們的基礎(chǔ)設(shè)施進(jìn)行通宵更改,IT主管和安全運(yùn)營(yíng)團(tuán)隊(duì)面臨巨大的壓力。然而,勒索軟件組織并沒(méi)有停止,攻擊持續(xù)增長(zhǎng)。

  在此文章中,我們將對(duì)最近的勒索軟件活動(dòng)作深入分析。下面,我們將介紹:

  易受攻擊且不受監(jiān)控的聯(lián)網(wǎng)系統(tǒng)非常容易被入侵

  各種各樣的勒索軟件攻擊手法分析

  針對(duì)主動(dòng)攻擊的即時(shí)響應(yīng)措施

  建立安全防護(hù)體系,以防御網(wǎng)絡(luò)免受人工投毒攻擊

  Bitdefender GravityZone:針對(duì)復(fù)雜且范圍廣泛的人工勒索軟件的協(xié)同防御

  易受攻擊且不受監(jiān)控的聯(lián)網(wǎng)系統(tǒng)容易被入侵

  黑客入侵后,可在環(huán)境中保持相對(duì)休眠狀態(tài),直到他們確定了部署勒索軟件的適當(dāng)時(shí)機(jī)。

  具有以下弱點(diǎn)的系統(tǒng)易受攻擊:

  無(wú)多因素身份驗(yàn)證(MFA)的遠(yuǎn)程桌面協(xié)議(RDP)或虛擬桌面端點(diǎn)

  使用弱密碼的舊系統(tǒng),例如Windows Server 2003和Windows Server 2008

  配置錯(cuò)誤的系統(tǒng),Web服務(wù)器,包括IIS,電子健康記錄(EHR)軟件

  未修補(bǔ)的系統(tǒng),你需要特別關(guān)注:CVE-2017-11882, CVE-2017-0199, CVE-2017-5638, CVE-2012-0158 , CVE-2019-0604, CVE-2017-0143, CVE-2018-4878, CVE-2017-8759, CVE-2015-1641, CVE-2018-7600, CVE-2019-0604, CVE- 2020-0688, CVE-2020-10189

  攻擊者經(jīng)常使用工具(例如Mimikatz和Cobalt Strike)竊取憑證,橫向移動(dòng),網(wǎng)絡(luò)偵察和泄露數(shù)據(jù)。在這些活動(dòng)中,黑客可以訪問(wèn)特權(quán)較高的管理員憑據(jù),并準(zhǔn)備在受到干擾時(shí)采取可能更具破壞性的措施。

  在攻擊者部署了勒索軟件的網(wǎng)絡(luò)上,他們故意在某些端點(diǎn)上維護(hù)其存在,目的是在支付贖金或重建系統(tǒng)后重新啟動(dòng)惡意活動(dòng)。我們觀察到幾乎所有的黑客組織在攻擊過(guò)程中都在查看和竊取數(shù)據(jù),隨后他們可以在暗網(wǎng)中將公司的網(wǎng)絡(luò)訪問(wèn)憑據(jù)出售,再次獲利。

  所以,你需要主動(dòng)修補(bǔ)/監(jiān)控聯(lián)網(wǎng)的系統(tǒng),并采取緩解措施,以降低攻擊風(fēng)險(xiǎn)。

  各種各樣的勒索軟件攻擊手法分析

  盡管個(gè)別活動(dòng)和勒索軟件系列具有以下各節(jié)所述的獨(dú)特屬性,但這些勒索軟件活動(dòng)往往結(jié)合了人工投毒攻擊,它們通常采用了類(lèi)似的攻擊戰(zhàn)術(shù),至于執(zhí)行的Payload,完全取決于其個(gè)人風(fēng)格。

  RobbinHood勒索軟件

  RobbinHood勒索軟件會(huì)利用易受攻擊的驅(qū)動(dòng)程序來(lái)關(guān)閉安全軟件,它們通常對(duì)暴露資產(chǎn)進(jìn)行遠(yuǎn)程桌面爆破。他們最終獲得特權(quán)憑證,主要是具有共享或通用密碼的本地管理員帳戶(hù),以及具有域管理員特權(quán)的服務(wù)帳戶(hù)。像Ryuk和其他廣為宣傳的勒索軟件組一樣,RobbinHood運(yùn)營(yíng)商會(huì)留下新的本地和Active Directory用戶(hù)帳戶(hù),以便在刪除惡意軟件和工具后重新獲得訪問(wèn)權(quán)限。

  Vatet loader勒索軟件

  攻擊者通常會(huì)轉(zhuǎn)移基礎(chǔ)結(jié)構(gòu),技術(shù)和工具,以避開(kāi)執(zhí)法部門(mén)或安全研究人員的調(diào)查。Vatet是Cobalt Strike框架的自定義加載程序,早在2018年11月就已在勒索軟件活動(dòng)中出現(xiàn),它是最近活動(dòng)中浮出水面的工具之一。

  該工具背后的小組似乎特別針對(duì)醫(yī)院,援助組織,生物制藥,醫(yī)療設(shè)備制造商和其他關(guān)鍵行業(yè)。他們是這段時(shí)間里最多產(chǎn)的勒索軟件運(yùn)營(yíng)商之一,已經(jīng)造成了數(shù)十起案件。為了訪問(wèn)目標(biāo)網(wǎng)絡(luò),他們利用CVE-2019-19781,RDP爆破并發(fā)送包含啟動(dòng)惡意PowerShell命令的.lnk文件的電子郵件。一旦進(jìn)入網(wǎng)絡(luò),他們就會(huì)竊取憑據(jù)(包括存儲(chǔ)在憑據(jù)管理器庫(kù)中的憑據(jù)),并橫向移動(dòng)直到獲得域管理員權(quán)限。

  NetWalker勒索軟件

  NetWalker運(yùn)營(yíng)商發(fā)送大量的COVID-19信息的釣魚(yú)郵件,來(lái)鎖定醫(yī)院和醫(yī)療保健商。這些電子郵件包含了惡意.vbs附件。除此之外,他們還使用錯(cuò)誤配置的基于IIS的應(yīng)用程序來(lái)啟動(dòng)Mimikatz并竊取憑據(jù),從而破壞了網(wǎng)絡(luò),他們隨后又使用這些憑據(jù)來(lái)啟動(dòng)PsExec,并最終部署了NetWalker勒索軟件。

  PonyFinal勒索軟件

  這種基于Java的勒索軟件被認(rèn)為是新穎的,但是活動(dòng)并不罕見(jiàn)。其經(jīng)營(yíng)者入侵了面向互聯(lián)網(wǎng)的Web系統(tǒng),并獲得了特權(quán)憑證。為了建立持久性,他們使用PowerShell命令啟動(dòng)系統(tǒng)工具mshta.exe,并基于常見(jiàn)的PowerShell攻擊框架設(shè)置反向shell。他們還使用合法的工具來(lái)維護(hù)遠(yuǎn)程桌面連接。

  Maze 勒索軟件

  Maze是首批出售被盜數(shù)據(jù)的勒索軟件,Maze繼續(xù)以技術(shù)提供商和公共服務(wù)為目標(biāo)。Maze有攻擊托管服務(wù)提供商(MSP)來(lái)訪問(wèn)MSP客戶(hù)數(shù)據(jù)和網(wǎng)絡(luò)的記錄。

  Maze通過(guò)電子郵件發(fā)送,其運(yùn)營(yíng)商在使用通用媒介(例如RDP爆破)獲得訪問(wèn)權(quán)限后,將Maze部署到了網(wǎng)絡(luò)。一旦進(jìn)入網(wǎng)絡(luò),他們就會(huì)竊取憑證,橫向移動(dòng)以訪問(wèn)資源并竊取數(shù)據(jù),然后部署勒索軟件。

  竊取憑證獲得對(duì)域管理員帳戶(hù)的控制權(quán)之后,勒索軟件運(yùn)營(yíng)商使用Cobalt Strike,PsExec和大量其他工具來(lái)部署各種payload并訪問(wèn)數(shù)據(jù)。他們使用計(jì)劃任務(wù)和服務(wù)建立了無(wú)文件持久化,這些任務(wù)和服務(wù)啟動(dòng)了基于PowerShell的遠(yuǎn)程Shell。他們還使用被盜的域管理員權(quán)限打開(kāi)Windows遠(yuǎn)程管理以進(jìn)行持久控制。為了削弱安全控制以準(zhǔn)備勒索軟件部署,他們通過(guò)組策略操縱了各種設(shè)置。

  REvil/Sodinokibi勒索勒索軟件

  REvil(也稱(chēng)為Sodinokibi)可能是第一個(gè)利用Pulse VPN中的網(wǎng)絡(luò)設(shè)備漏洞竊取憑據(jù)以訪問(wèn)網(wǎng)絡(luò)的勒索軟件,Sodinokibi訪問(wèn)MSP以及訪問(wèn)客戶(hù)的網(wǎng)絡(luò)后,盜竊并出售客戶(hù)的文檔和訪問(wèn)權(quán),聲名狼藉。在COVID-19危機(jī)期間,他們繼續(xù)開(kāi)展這項(xiàng)活動(dòng),以MSP和其他組織(例如地方政府)為目標(biāo)。REvil在漏洞利用方面與其它組織有所不同,但攻擊手法與許多其他組織類(lèi)似,它們?cè)?jīng)依賴(lài)于像Mimikatz這樣的憑據(jù)盜竊工具和PsExec等工具進(jìn)行橫向移動(dòng)和偵察。

  其他勒索軟件系列

  在此期間,其他人工投毒的勒索軟件系列包括:

  Paradise,曾經(jīng)直接通過(guò)電子郵件分發(fā),但現(xiàn)在用人工投毒勒索軟件攻擊(Bitdefender已推出免費(fèi)的解密工具)

  RagnarLocker,大量使用被盜的憑據(jù),RDP爆破和Cobalt Strike攻擊

  MedusaLocker,可能通過(guò)現(xiàn)有的Trickbot感染進(jìn)行部署

  LockBit,使用公開(kāi)的滲透測(cè)試工具CrackMapExec進(jìn)行橫向移動(dòng)

  針對(duì)主動(dòng)攻擊的即時(shí)響應(yīng)措施

  我們強(qiáng)烈建議組織立即檢查是否有與這些勒索軟件攻擊有關(guān)的警報(bào),并優(yōu)先進(jìn)行調(diào)查和補(bǔ)救。防御者應(yīng)注意的與這些攻擊有關(guān)的惡意行為包括:

  惡意PowerShell,Cobalt Strike和其他滲透測(cè)試工具

  盜竊憑據(jù)活動(dòng),例如可疑訪問(wèn)lsass.exe系統(tǒng)服務(wù)

  任何篡改安全事件日志,取證工件,例如USNJournal或安全代理的行為

  使用 BitDefender GravityZone Elite Security 和 BitDefender GravityZon Ultra Security 的客戶(hù)可以在管理控制臺(tái)實(shí)時(shí)查閱每個(gè)安全事件的詳細(xì)調(diào)查報(bào)告,以獲取有關(guān)相關(guān)警報(bào),包含詳細(xì)的攻擊時(shí)間表,查看緩解建議,響應(yīng)措施。

  圖1- Bitdefender GravityZone控制臺(tái),事件,調(diào)查視圖

  如果您的網(wǎng)絡(luò)受到影響,請(qǐng)立即執(zhí)行以下范圍和調(diào)查活動(dòng),以了解此安全事件的影響。僅僅使用危害指標(biāo),payload,可疑文件來(lái)確定這些威脅的影響并不是一個(gè)持久的解決方案,因?yàn)榇蠖鄶?shù)勒索軟件活動(dòng)都為活動(dòng)使用“一次性”套件,一旦確定了安全軟件具有檢測(cè)能力,便經(jīng)常更改其工具和系統(tǒng)。

  —調(diào)查受影響的端點(diǎn)和憑據(jù)

  調(diào)查受這些攻擊影響的端點(diǎn),并標(biāo)識(shí)這些端點(diǎn)上存在的所有憑據(jù)。假定攻擊者可以使用這些憑據(jù),并且所有關(guān)聯(lián)帳戶(hù)都受到了威脅。請(qǐng)注意,攻擊者不僅可以轉(zhuǎn)儲(chǔ)已登錄交互式或RDP會(huì)話(huà)的帳戶(hù)的憑據(jù),還可以轉(zhuǎn)儲(chǔ)存儲(chǔ)在注冊(cè)表的LSA Secrets部分中的服務(wù)帳戶(hù)和計(jì)劃任務(wù)的緩存的憑據(jù)和密碼。

  檢查Windows事件日志中是否存在泄漏后登錄,查看審核失敗事件,查看事件ID為4624,登錄類(lèi)型為2或10的事件。對(duì)于其他任何時(shí)間范圍,請(qǐng)檢查登錄類(lèi)型4或5。

  —隔離被入侵的端點(diǎn)

  從管理控制臺(tái)中立即隔離可疑的或已成為橫向移動(dòng)目標(biāo)的端點(diǎn),或使用高級(jí)搜尋語(yǔ)法查詢(xún)搜索相關(guān)IOC的方法找到這些端點(diǎn),從已知的受影響的端點(diǎn)尋找橫向運(yùn)動(dòng)。

  Bitdefender管理控制臺(tái)具有隔離主機(jī),遠(yuǎn)程連接功能,如下:

  圖2- Bitdefender GravityZone控制臺(tái),事件分析,隔離主機(jī),遠(yuǎn)程連接視圖

  —安全加固

  您可以使用Bitdefender漏洞掃描與補(bǔ)丁管理,風(fēng)險(xiǎn)管理來(lái)修復(fù)端點(diǎn)的漏洞,配置錯(cuò)誤:

  計(jì)劃漏洞掃描和安裝補(bǔ)丁,主動(dòng)發(fā)現(xiàn)資產(chǎn)的漏洞清單,確定優(yōu)先級(jí),自動(dòng)修復(fù)操作系統(tǒng)和第三方程序漏洞,Bitdefender允許安全管理員和IT管理員無(wú)縫協(xié)作以解決問(wèn)題。

  設(shè)置風(fēng)險(xiǎn)掃描計(jì)劃,主動(dòng)評(píng)估端點(diǎn)的攻擊面,例如:Windows安全基線(xiàn)掃描,配置錯(cuò)誤,程序漏洞等

  配置防火墻策略,阻止未經(jīng)授權(quán)的網(wǎng)絡(luò)訪問(wèn)

  通過(guò)事件搜尋,查找和解決攻擊源

  圖3- Bitdefender GravityZone控制臺(tái),補(bǔ)丁清單視圖

  圖4- Bitdefender GravityZone控制臺(tái),風(fēng)險(xiǎn)管理,公司風(fēng)險(xiǎn)評(píng)分和態(tài)勢(shì)視圖

  圖5- Bitdefender GravityZone控制臺(tái),安全風(fēng)險(xiǎn)視圖

  圖6 安全報(bào)表-網(wǎng)絡(luò)事件,查看攻擊者IP

  —檢查和重置被惡意軟件感染的設(shè)備

  許多勒索軟件運(yùn)營(yíng)商通過(guò)Emotet和Trickbot等惡意軟件感染,然后進(jìn)入目標(biāo)網(wǎng)絡(luò)。這些惡意軟件家族通常被認(rèn)為是銀行木馬,已被用來(lái)提供各種payload,包括持久化工件。研究和補(bǔ)救任何已知的感染,并認(rèn)為它們可能是復(fù)雜的人類(lèi)對(duì)手的病媒。在重建受影響的端點(diǎn)或重置密碼之前,請(qǐng)確保檢查暴露的憑據(jù),其他payload和橫向移動(dòng)。

  建立安全防護(hù)體系,以防御網(wǎng)絡(luò)免受人工投毒攻擊

  勒索軟件運(yùn)營(yíng)商仍在不斷挖掘新的攻擊目標(biāo),防御者應(yīng)使用所有可用工具主動(dòng)評(píng)估風(fēng)險(xiǎn)。您應(yīng)該繼續(xù)執(zhí)行經(jīng)過(guò)驗(yàn)證的預(yù)防性解決方案- 設(shè)置復(fù)雜的密碼,并定期更改,最小特權(quán),保持操作系統(tǒng)和應(yīng)用程序最新,安裝超一流的反病毒軟件,保持更新,系統(tǒng)遵循Windows安全基線(xiàn)設(shè)置,配置防火墻,執(zhí)行備份- 來(lái)阻止這些攻擊,利用監(jiān)視工具不斷改善安全。

  應(yīng)用以下措施可使您的網(wǎng)絡(luò)更靈活地抵御新的勒索攻擊,橫向移動(dòng):

  使用LAPS之類(lèi)的工具隨機(jī)化本地管理員密碼。

  應(yīng)用帳戶(hù)鎖定策略。

  利用Bitdefender的漏洞掃描與補(bǔ)丁管理功能修復(fù)漏洞

  使用Bitdefender風(fēng)險(xiǎn)管理評(píng)估安全風(fēng)險(xiǎn),并修復(fù)風(fēng)險(xiǎn)指標(biāo)。

  利用主機(jī)防火墻限制橫向移動(dòng)。屏蔽445端口會(huì)嚴(yán)重破壞對(duì)手的活動(dòng)。

  配置內(nèi)網(wǎng)的計(jì)算機(jī)通過(guò)Bitdefender中繼轉(zhuǎn)發(fā)云安全查詢(xún),以獲取最新的威脅情報(bào),涵蓋快速發(fā)展的攻擊工具和技術(shù)?；谠频臋C(jī)器學(xué)習(xí)保護(hù)可阻止絕大多數(shù)新的和未知的變種。

  打開(kāi)密碼保護(hù)功能,以防止攻擊者卸載安全軟件。

  開(kāi)啟Bitdefender的高級(jí)威脅防護(hù),網(wǎng)絡(luò)攻擊防護(hù),無(wú)文件攻擊防護(hù),HyperDetect可調(diào)節(jié)機(jī)器學(xué)習(xí),云沙盒,高級(jí)反漏洞利用模塊,從各個(gè)維度屏蔽黑客的活動(dòng)

  攔截高級(jí)勒索軟件

  阻止漏洞利用

  阻止利用autoit.exe, bitsadmin.exe, cscript.exe, java.exe, javaw.exe, miprvse.exe, net.exe, netsh.exe, powershell.exe, powershell_ise.exe, py.exe, python.exe, regedit.exe, regsvr32.exe, rundll32.exe, schtasks.exe, PsExec和 wscript.exe等執(zhí)行無(wú)文件攻擊

  阻止從Windows本地安全授權(quán)子系統(tǒng)(lsass.exe)竊取憑據(jù)

  阻止犯罪軟件

  自動(dòng)化分析可疑文件

  Bitdefender GravityZone:針對(duì)復(fù)雜且范圍廣泛的人工勒索軟件的協(xié)同防御

  人工投毒勒索軟件攻擊代表了不同級(jí)別的威脅,因?yàn)楣粽呱瞄L(zhǎng)于系統(tǒng)管理和發(fā)現(xiàn)安全配置錯(cuò)誤,因此可以以最小路徑快速入侵。如果碰壁,他們可以熟練地嘗試其它方法突破。總而言之,人工投毒勒索軟件攻擊是非常復(fù)雜的,沒(méi)有兩次攻擊是完全相同的。

  Bitdefender GravityZone提供了協(xié)調(diào)的防御,Bitdefender具有世界頂級(jí)的預(yù)防技術(shù),可以發(fā)現(xiàn)完整的攻擊鏈并自動(dòng)阻止復(fù)雜的攻擊,例如人工投毒的勒索軟件。

  Bitdefender GravityZone從端點(diǎn)、網(wǎng)絡(luò)、云等等多個(gè)維度,全方位洞察整個(gè)基礎(chǔ)架構(gòu)中的所有網(wǎng)絡(luò)攻擊和可疑活動(dòng),實(shí)時(shí)阻止惡意威脅和流量。

  通過(guò)內(nèi)置的智能,自動(dòng)化和SIEM集成,Bitdefender GravityZone可以阻止攻擊,消除其持久性并自動(dòng)修復(fù)受影響的資產(chǎn),主動(dòng)評(píng)估資產(chǎn)的攻擊面,協(xié)助您自動(dòng)修復(fù)。它可以關(guān)聯(lián)傳感器并合并警報(bào),以幫助防御者確定事件的優(yōu)先級(jí)以進(jìn)行調(diào)查和響應(yīng)。Bitdefender GravityZone還提供了獨(dú)特的事件搜尋功能,可以進(jìn)一步幫助防御者識(shí)別攻擊蔓延并獲得組織特定的見(jiàn)解以加強(qiáng)防御。

  圖7- Bitdefender GravityZone解決方案架構(gòu)圖,全面保護(hù)端點(diǎn),數(shù)據(jù)中心,超融合基礎(chǔ)架構(gòu),云,郵件,網(wǎng)絡(luò),Iot,遠(yuǎn)程辦公等

  欲了解更多,請(qǐng)?jiān)L問(wèn)Bitdefender中國(guó)官網(wǎng)

  電話(huà)咨詢(xún): 

  掃一掃,關(guān)注Bitdefender公眾號(hào)

申請(qǐng)創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！