阿里云優惠券 先領券再下單

COVID-19全球大流行,讓遠程工作變得越來越普遍,全球的商業領袖被迫對他們的基礎設施進行通宵更改,IT主管和安全運營團隊面臨巨大的壓力。然而,勒索軟件組織并沒有停止,攻擊持續增長。

  在此文章中,我們將對最近的勒索軟件活動作深入分析。下面,我們將介紹:

  易受攻擊且不受監控的聯網系統非常容易被入侵

  各種各樣的勒索軟件攻擊手法分析

  針對主動攻擊的即時響應措施

  建立安全防護體系,以防御網絡免受人工投毒攻擊

  Bitdefender GravityZone:針對復雜且范圍廣泛的人工勒索軟件的協同防御

  易受攻擊且不受監控的聯網系統容易被入侵

  黑客入侵后,可在環境中保持相對休眠狀態,直到他們確定了部署勒索軟件的適當時機。

  具有以下弱點的系統易受攻擊:

  無多因素身份驗證(MFA)的遠程桌面協議(RDP)或虛擬桌面端點

  使用弱密碼的舊系統,例如Windows Server 2003和Windows Server 2008

  配置錯誤的系統,Web服務器,包括IIS,電子健康記錄(EHR)軟件

  未修補的系統,你需要特別關注:CVE-2017-11882, CVE-2017-0199, CVE-2017-5638, CVE-2012-0158 , CVE-2019-0604, CVE-2017-0143, CVE-2018-4878, CVE-2017-8759, CVE-2015-1641, CVE-2018-7600, CVE-2019-0604, CVE- 2020-0688, CVE-2020-10189

  攻擊者經常使用工具(例如Mimikatz和Cobalt Strike)竊取憑證,橫向移動,網絡偵察和泄露數據。在這些活動中,黑客可以訪問特權較高的管理員憑據,并準備在受到干擾時采取可能更具破壞性的措施。

  在攻擊者部署了勒索軟件的網絡上,他們故意在某些端點上維護其存在,目的是在支付贖金或重建系統后重新啟動惡意活動。我們觀察到幾乎所有的黑客組織在攻擊過程中都在查看和竊取數據,隨后他們可以在暗網中將公司的網絡訪問憑據出售,再次獲利。

  所以,你需要主動修補/監控聯網的系統,并采取緩解措施,以降低攻擊風險。

  各種各樣的勒索軟件攻擊手法分析

  盡管個別活動和勒索軟件系列具有以下各節所述的獨特屬性,但這些勒索軟件活動往往結合了人工投毒攻擊,它們通常采用了類似的攻擊戰術,至于執行的Payload,完全取決于其個人風格。

  RobbinHood勒索軟件

  RobbinHood勒索軟件會利用易受攻擊的驅動程序來關閉安全軟件,它們通常對暴露資產進行遠程桌面爆破。他們最終獲得特權憑證,主要是具有共享或通用密碼的本地管理員帳戶,以及具有域管理員特權的服務帳戶。像Ryuk和其他廣為宣傳的勒索軟件組一樣,RobbinHood運營商會留下新的本地和Active Directory用戶帳戶,以便在刪除惡意軟件和工具后重新獲得訪問權限。

  Vatet loader勒索軟件

  攻擊者通常會轉移基礎結構,技術和工具,以避開執法部門或安全研究人員的調查。Vatet是Cobalt Strike框架的自定義加載程序,早在2018年11月就已在勒索軟件活動中出現,它是最近活動中浮出水面的工具之一。

  該工具背后的小組似乎特別針對醫院,援助組織,生物制藥,醫療設備制造商和其他關鍵行業。他們是這段時間里最多產的勒索軟件運營商之一,已經造成了數十起案件。為了訪問目標網絡,他們利用CVE-2019-19781,RDP爆破并發送包含啟動惡意PowerShell命令的.lnk文件的電子郵件。一旦進入網絡,他們就會竊取憑據(包括存儲在憑據管理器庫中的憑據),并橫向移動直到獲得域管理員權限。

  NetWalker勒索軟件

  NetWalker運營商發送大量的COVID-19信息的釣魚郵件,來鎖定醫院和醫療保健商。這些電子郵件包含了惡意.vbs附件。除此之外,他們還使用錯誤配置的基于IIS的應用程序來啟動Mimikatz并竊取憑據,從而破壞了網絡,他們隨后又使用這些憑據來啟動PsExec,并最終部署了NetWalker勒索軟件。

  PonyFinal勒索軟件

  這種基于Java的勒索軟件被認為是新穎的,但是活動并不罕見。其經營者入侵了面向互聯網的Web系統,并獲得了特權憑證。為了建立持久性,他們使用PowerShell命令啟動系統工具mshta.exe,并基于常見的PowerShell攻擊框架設置反向shell。他們還使用合法的工具來維護遠程桌面連接。

  Maze 勒索軟件

  Maze是首批出售被盜數據的勒索軟件,Maze繼續以技術提供商和公共服務為目標。Maze有攻擊托管服務提供商(MSP)來訪問MSP客戶數據和網絡的記錄。

  Maze通過電子郵件發送,其運營商在使用通用媒介(例如RDP爆破)獲得訪問權限后,將Maze部署到了網絡。一旦進入網絡,他們就會竊取憑證,橫向移動以訪問資源并竊取數據,然后部署勒索軟件。

  竊取憑證獲得對域管理員帳戶的控制權之后,勒索軟件運營商使用Cobalt Strike,PsExec和大量其他工具來部署各種payload并訪問數據。他們使用計劃任務和服務建立了無文件持久化,這些任務和服務啟動了基于PowerShell的遠程Shell。他們還使用被盜的域管理員權限打開Windows遠程管理以進行持久控制。為了削弱安全控制以準備勒索軟件部署,他們通過組策略操縱了各種設置。

  REvil/Sodinokibi勒索勒索軟件

  REvil(也稱為Sodinokibi)可能是第一個利用Pulse VPN中的網絡設備漏洞竊取憑據以訪問網絡的勒索軟件,Sodinokibi訪問MSP以及訪問客戶的網絡后,盜竊并出售客戶的文檔和訪問權,聲名狼藉。在COVID-19危機期間,他們繼續開展這項活動,以MSP和其他組織(例如地方政府)為目標。REvil在漏洞利用方面與其它組織有所不同,但攻擊手法與許多其他組織類似,它們曾經依賴于像Mimikatz這樣的憑據盜竊工具和PsExec等工具進行橫向移動和偵察。

  其他勒索軟件系列

  在此期間,其他人工投毒的勒索軟件系列包括:

  Paradise,曾經直接通過電子郵件分發,但現在用人工投毒勒索軟件攻擊(Bitdefender已推出免費的解密工具)

  RagnarLocker,大量使用被盜的憑據,RDP爆破和Cobalt Strike攻擊

  MedusaLocker,可能通過現有的Trickbot感染進行部署

  LockBit,使用公開的滲透測試工具CrackMapExec進行橫向移動

  針對主動攻擊的即時響應措施

  我們強烈建議組織立即檢查是否有與這些勒索軟件攻擊有關的警報,并優先進行調查和補救。防御者應注意的與這些攻擊有關的惡意行為包括:

  惡意PowerShell,Cobalt Strike和其他滲透測試工具

  盜竊憑據活動,例如可疑訪問lsass.exe系統服務

  任何篡改安全事件日志,取證工件,例如USNJournal或安全代理的行為

  使用 BitDefender GravityZone Elite Security 和 BitDefender GravityZon Ultra Security 的客戶可以在管理控制臺實時查閱每個安全事件的詳細調查報告,以獲取有關相關警報,包含詳細的攻擊時間表,查看緩解建議,響應措施。

  圖1- Bitdefender GravityZone控制臺,事件,調查視圖

  如果您的網絡受到影響,請立即執行以下范圍和調查活動,以了解此安全事件的影響。僅僅使用危害指標,payload,可疑文件來確定這些威脅的影響并不是一個持久的解決方案,因為大多數勒索軟件活動都為活動使用“一次性”套件,一旦確定了安全軟件具有檢測能力,便經常更改其工具和系統。

  —調查受影響的端點和憑據

  調查受這些攻擊影響的端點,并標識這些端點上存在的所有憑據。假定攻擊者可以使用這些憑據,并且所有關聯帳戶都受到了威脅。請注意,攻擊者不僅可以轉儲已登錄交互式或RDP會話的帳戶的憑據,還可以轉儲存儲在注冊表的LSA Secrets部分中的服務帳戶和計劃任務的緩存的憑據和密碼。

  檢查Windows事件日志中是否存在泄漏后登錄,查看審核失敗事件,查看事件ID為4624,登錄類型為2或10的事件。對于其他任何時間范圍,請檢查登錄類型4或5。

  —隔離被入侵的端點

  從管理控制臺中立即隔離可疑的或已成為橫向移動目標的端點,或使用高級搜尋語法查詢搜索相關IOC的方法找到這些端點,從已知的受影響的端點尋找橫向運動。

  Bitdefender管理控制臺具有隔離主機,遠程連接功能,如下:

  圖2- Bitdefender GravityZone控制臺,事件分析,隔離主機,遠程連接視圖

  —安全加固

  您可以使用Bitdefender漏洞掃描與補丁管理,風險管理來修復端點的漏洞,配置錯誤:

  計劃漏洞掃描和安裝補丁,主動發現資產的漏洞清單,確定優先級,自動修復操作系統和第三方程序漏洞,Bitdefender允許安全管理員和IT管理員無縫協作以解決問題。

  設置風險掃描計劃,主動評估端點的攻擊面,例如:Windows安全基線掃描,配置錯誤,程序漏洞等

  配置防火墻策略,阻止未經授權的網絡訪問

  通過事件搜尋,查找和解決攻擊源

  圖3- Bitdefender GravityZone控制臺,補丁清單視圖

  圖4- Bitdefender GravityZone控制臺,風險管理,公司風險評分和態勢視圖

  圖5- Bitdefender GravityZone控制臺,安全風險視圖

  圖6 安全報表-網絡事件,查看攻擊者IP

  —檢查和重置被惡意軟件感染的設備

  許多勒索軟件運營商通過Emotet和Trickbot等惡意軟件感染,然后進入目標網絡。這些惡意軟件家族通常被認為是銀行木馬,已被用來提供各種payload,包括持久化工件。研究和補救任何已知的感染,并認為它們可能是復雜的人類對手的病媒。在重建受影響的端點或重置密碼之前,請確保檢查暴露的憑據,其他payload和橫向移動。

  建立安全防護體系,以防御網絡免受人工投毒攻擊

  勒索軟件運營商仍在不斷挖掘新的攻擊目標,防御者應使用所有可用工具主動評估風險。您應該繼續執行經過驗證的預防性解決方案- 設置復雜的密碼,并定期更改,最小特權,保持操作系統和應用程序最新,安裝超一流的反病毒軟件,保持更新,系統遵循Windows安全基線設置,配置防火墻,執行備份- 來阻止這些攻擊,利用監視工具不斷改善安全。

  應用以下措施可使您的網絡更靈活地抵御新的勒索攻擊,橫向移動:

  使用LAPS之類的工具隨機化本地管理員密碼。

  應用帳戶鎖定策略。

  利用Bitdefender的漏洞掃描與補丁管理功能修復漏洞

  使用Bitdefender風險管理評估安全風險,并修復風險指標。

  利用主機防火墻限制橫向移動。屏蔽445端口會嚴重破壞對手的活動。

  配置內網的計算機通過Bitdefender中繼轉發云安全查詢,以獲取最新的威脅情報,涵蓋快速發展的攻擊工具和技術?；谠频臋C器學習保護可阻止絕大多數新的和未知的變種。

  打開密碼保護功能,以防止攻擊者卸載安全軟件。

  開啟Bitdefender的高級威脅防護,網絡攻擊防護,無文件攻擊防護,HyperDetect可調節機器學習,云沙盒,高級反漏洞利用模塊,從各個維度屏蔽黑客的活動

  攔截高級勒索軟件

  阻止漏洞利用

  阻止利用autoit.exe, bitsadmin.exe, cscript.exe, java.exe, javaw.exe, miprvse.exe, net.exe, netsh.exe, powershell.exe, powershell_ise.exe, py.exe, python.exe, regedit.exe, regsvr32.exe, rundll32.exe, schtasks.exe, PsExec和 wscript.exe等執行無文件攻擊

  阻止從Windows本地安全授權子系統(lsass.exe)竊取憑據

  阻止犯罪軟件

  自動化分析可疑文件

  Bitdefender GravityZone:針對復雜且范圍廣泛的人工勒索軟件的協同防御

  人工投毒勒索軟件攻擊代表了不同級別的威脅,因為攻擊者擅長于系統管理和發現安全配置錯誤,因此可以以最小路徑快速入侵。如果碰壁,他們可以熟練地嘗試其它方法突破?？偠灾?人工投毒勒索軟件攻擊是非常復雜的,沒有兩次攻擊是完全相同的。

  Bitdefender GravityZone提供了協調的防御,Bitdefender具有世界頂級的預防技術,可以發現完整的攻擊鏈并自動阻止復雜的攻擊,例如人工投毒的勒索軟件。

  Bitdefender GravityZone從端點、網絡、云等等多個維度,全方位洞察整個基礎架構中的所有網絡攻擊和可疑活動,實時阻止惡意威脅和流量。

  通過內置的智能,自動化和SIEM集成,Bitdefender GravityZone可以阻止攻擊,消除其持久性并自動修復受影響的資產,主動評估資產的攻擊面,協助您自動修復。它可以關聯傳感器并合并警報,以幫助防御者確定事件的優先級以進行調查和響應。Bitdefender GravityZone還提供了獨特的事件搜尋功能,可以進一步幫助防御者識別攻擊蔓延并獲得組織特定的見解以加強防御。

  圖7- Bitdefender GravityZone解決方案架構圖,全面保護端點,數據中心,超融合基礎架構,云,郵件,網絡,Iot,遠程辦公等

  欲了解更多,請訪問Bitdefender中國官網

  電話咨詢: 

  掃一掃,關注Bitdefender公眾號

申請創業報道，分享創業好點子。點擊此處，共同探討創業新機遇！