勒索软件继续困扰着许多组织,而且问题似乎只会变得更糟。因此,包括政府机构和私营公司在内的各类目标组织的防御者必须寻求更有效的防御措施,以更好地抵御这种威胁。理想情况下,这些防御措施应包括组织主动寻找已知勒索软件攻击者使用的战术、技术和程序(TTP)。这种威胁搜寻可以帮助防御者在侦察阶段发现攻击,以阻止攻击者进一步恶意进行数据泄露或系统锁定。但究竟如何呢?首先,也许我们应该承认目前的防御措施不起作用。事实上,据勒索软件事件响应公司Coveware报道,勒索软件继续为网络犯罪分子带来丰厚利润。[这些是Coveware每个季度调查的数千起案件中受害者支付的平均赎金和中位数赎金。虽然最近平均水平有所下降,但整体利润仍然很高。】勒索软件防御的状态似乎并没有改善,或者至少跟不上攻击者不断创新的步伐。去年,至少有113个联邦、州、县和市政府和机构受到勒索软件的影响,而与此同时,勒索软件的数量与2019年完全相同,安全公司Emsisoft在《勒索软件趋势综述》中表示。此外,去年全球有1,300多家公司(主要是美国公司)丢失了包括知识产权和其他敏感信息在内的数据。当然,这些数字仅包括已公开报告勒索软件感染或泄漏站点数据被盗的公司。由于此类犯罪活动的漏报率如此之高,可以安全地假设勒索软件攻击的实际水平可能远高于报告的水平。不过值得注意的是,通过对比2019年和2020年的数据,Emsisoft并没有发现勒索软件的受害者数量呈现增加趋势,而是基本持平。Emsisoft的威胁顾问BrettCallow表示,“虽然2020年的新冠疫情导致全球向远程工作过渡,但与2019年相比,2020年的勒索软件影响数量仍然相对持平。这可能是由于疫情对对网络犯罪的影响。这个问题对组织和对组织来说都是一样的。随着全球办公模式的变化,攻击面也随之变化,威胁行为者需要时间来调整——这可能是为什么勒索软件事件数量在疫情初期急剧下降。“鉴于勒索软件可能带来的潜在利润,越来越多的运营商正在跳入勒索软件市场并不断扩大他们的人才库。成功的大型运营商寻求的一些顶级技能包括:渗透测试-使用Metasploit和CobaltStrike等工具。除此之外,还需要熟悉系统管理工具和环境,包括网络附加存储和备份(例如,使用MicrosoftHyper-V)。无论对受感染系统的影响如何,获得组织访问权限并保留该访问权限仍然是重中之重据VMware网络安全战略负责人TomKellermann介绍,一般来说,勒索软件有超过14种规避技术,包括虚拟化、沙箱规避、注册表修改、文件混淆和安全工具禁用等,但最重要的是rootkit的复兴。在更高层次上,rootkit是t的集合允许恶意软件潜入系统深处,操作系统看不到的工具或技术。计算机处理器具有不同级别的执行权限(ring0-3),攻击者可以利用这些权限来运行在高级别运行的程序。例如Windows、Linux等操作系统都有用户空间和内核空间。在最高层,你只需要知道内核空间(ring0)的权限比用户空间(ring3)高就可以了。如果您有一个程序需要列出目录中的文件,您可以调用用户空间函数来完成它,但调用内核函数也同样有效。如果恶意程序获得内核权限,它可以“诱骗”它在用户空间中运行因此,如果程序使用用户空间函数调用扫描文件系统,内核rootkit可以在解析文件时欺骗它。当该用户空间函数扫描恶意文件时,rootkit可以诱骗它说“这些不是您要查找的文件”,或者更具体地说,只是绕过这些文件并且不会由于用户空间程序的执行而返回它们。简而言之,恶意软件有时可以使用rootkit功能以隐藏本地防病毒(AV)软件为目标-通过对操作系统本身隐藏文件、网络连接或其他内容。可以说,rootkit的复兴已经改变了游戏规则,尤其是当我们看到“反事件响应”激增时——从删除日志到实际损害基础设施或数据的一切。然而,攻击者在违规后的首要任务通常是让受害者更难恢复。首先,他们渗透备份以阻止其恢复过程。基本防御对于企业组织来说,任务很明确:具备完善的勒索病毒防御措施和其他准备工作。在最近的一份报告中,网络安全公司FireEye表示,“组织需要为勒索软件攻击做好准备。主要人员进行桌面演练,以便每个人都准备好采取最佳行动方案。组织应该有一个事件响应服务级别协议(SLA)。他们还应该有安全的备份,团队可以在必要时使用它来完成恢复。”另一个重要的防御措施:保持所有软件都是最新的。根据调查,利用尚未修补的已知漏洞仍然是“威胁行为者中最流行的初始访问向量之一”,尤其是对于针对更大目标以获取更大赎金的大型游戏猎人而言。专家还建议使用多因素身份验证来保护远程桌面协议和虚拟网络访问。如果没有多因素身份验证,攻击者只需暴力破解或窃取有效凭据即可远程访问系统。使用多因素身份验证,即使攻击者获得了正确的凭据,也无法仅使用这些凭据进行远程访问。最后,培训员工,尤其是网络安全团队,以更好地预防和应对此类攻击仍然至关重要。威胁搜寻:注意13个TTP为了更好地确定您何时受到威胁,专家建议组织主动寻找可能在其网络中的勒索软件攻击者。以下是勒索软件运营商在组织必须监控的活动中广泛使用的一些策略、技术和程序(TTP):AdFind:Group-IB表示,与许多合法实用程序一样,此命令行ActiveDirectory工具被许多网络犯罪分子使用。AdvancedIPScanner:开发商Famatech称其免费网络扫描仪“显示所有网络设备,使您能够访问共享文件夹、远程控制计算机(通过RDP和Radmin),甚至远程关闭计算机。“攻击者有时也会简单地从官方网站将其下载到他们的系统中,作为他们网络渗透工作的一部分。‘银行’木马:Trickbot和Qakbot最初都是银行木马恶意软件,后来经过重新设计。它主要用于帮助犯罪团伙获得初始访问系统,然后释放其他类型的恶意软件,包括勒索软件。根据卡巴斯基实验室全球研究和分析团队的ArielJungheit的说法,由于这类恶意软件和勒索软件之间的交集正在增加,我们认为企业应该调查感染情况BitLocker驱动器加密(BitLockerDriveEncryption):今天,这个工具内置于最新版本的Windows其中,攻击者可以使用它在每台个人计算机(PC)上强制加密除非得到妥善管理。知道勒索软件并不总是需要恶意软件才能成功,se负责人RickMcElroy警告说VMware的安全政策。ClearLock:攻击者正在使用此屏幕锁定工具使系统管理员和其他人无法登录并取消加密过程。云存储:勒索软件运营商经常使用云存储从受感染的网络中窃取敏感数据。攻击者用来发送被盗数据的前三个站点是GoogleDrive、AmazonSimpleStorageService和Mega文件共享服务。CobaltStrike:大约70%的犯罪团伙使用这款渗透测试工具参与大型游戏狩猎活动。漏洞:勒索软件远程访问服务中的漏洞,例如PulseSecure中的CVE-2019-11510漏洞以及PulseSecure、Fortinet和PaloAlto产品中的漏洞在软件团伙中非常流行。这些漏洞可以让攻击者轻松地远程访问受害者的基础设施。IObitUninstaller:这个Windows实用程序旨在安装不需要的文件。犯罪分子经常使用此工具来禁用或帮助规避防病毒软件。Mimikatz:这个免费工具可用于转储Windows密码并帮助攻击者提升权限。目前,这个工具仍然被广泛使用,而且通常,当部署这些工具时,攻击者甚至懒得重命名或试图隐藏它。NLBrute:旨在暴力破解各种RDP密码。NS2:带有恶意软件的黑客使用此实用程序安装可用的网络驱动器和共享,以便更远地传播他们的恶意代码。PsExec:这是一个轻量级的telnet替代工具,可以让您在其他系统上执行进程而无需手动安装客户端软件,并且您可以获得与控制台应用程序相媲美的完整交互性。其最强大的功能之一是能够在远程系统和远程支持工具(如IpConfig)上启动交互式命令提示符窗口,以显示无法显示的有关远程系统的信息。许多犯罪团伙正在利用它来帮助摧毁受害组织。所有的准备工作都会得到回报将资源用于威胁搜寻和监控已知TTP,以及部署必要的防御措施,并不能阻止所有攻击者使用勒索软件。组织仍然可能成为目标并受到损害,因此制定预防和恢复战略也很重要,包括实施健全的事件响应战略。但是,组织可以竭尽全力让勒索软件攻击者更难做事,这可以阻止犯罪分子攻击他们并转向别处。同样,不断完善响应策略可以更好地遏制持续攻击的影响,将攻击者赶出网络,并更快地减轻损害。与勒索软件防御的所有方面一样,准备和机会必然会得到回报。原文翻译自:https://www.bankinfosecurity.com/ransomware-beware-13-tactics-tools-procedures-a-16072?rf=2021-03-01_ENEWS_SUB_BIS__Slot1_ART16072&mkt_tok=eyJpIjoiTVdJeE9USXlOek01WmpJdyIsInQiOiJxMFh2RTZjbjBpaHRKQkFJamhmSlE2UXNGWUl4ekRVM2lOcU1yT1g4ZmdXRzYzWTVYNmk3aEJTQmtCOThVcll1KzA0SUMxdjdrVndOQWFNSHd5QUZmOHpqSXJNXC9EQ1pzaGE1eldvbEpZVUhDQ0pDM0Qxb3Y4KysxOUlmQ1BQUVkifQ%3D%3D如若转载,请注明原文address.
