近些年，我們經常看到很多機構包括水利，電力，能源，醫療等基礎設施機構甚至包括政府被勒索軟件攻擊。還有些團伙絲毫沒有下限，利用疫情傳播勒索軟件，攻擊醫院。一旦攻擊成功，帶來的不僅是財務損失，而是患者的生命。

　　作為安全從業人員，我們需要思考，勒索軟件到底意味著啥。我們的檢測和防御體系如何應對這種挑戰。這里我們看下微軟情報團隊如何看待勒索軟件的趨勢變化。

　　勒索最大的變化：從自動化到手動

　　很多人對勒索軟件最深的印象還停留在 2017 年，WannaCry。

　　當年 WannaCry 利用永恒之藍自動傳播，導致校園網，醫療等機構大量文件被鎖。我印象中公安的部分系統也被鎖了，留下了這個經典界面。熊貓燒香在 WannaCry 面前不過是個弟弟。

　　安全從業人員這么經典的共同回憶，已然不多了。近幾年大家的共同回憶只有挖礦了。各大公司安全人員打招呼的方式都是，聽說你們那有 30 臺主機被用來挖礦了？對方微微一笑，給你一個 too naive 的表情。不，是 300 臺。

　　如果世界上的安全事件都像挖礦這樣單純又簡單，這該是怎樣的一個和諧社會啊！

　　然而，一切并沒有如此簡單。

　　在我們以為，通過公網封禁端口，給服務器打補丁就能解決問題的時候，勒索攻擊者已經默默從自動化的勒索攻擊變成了手動攻擊。按微軟的話說，就是：

　　勒索攻擊采用了一些國家級黑客 APT 攻擊的手法。

　　對檢測和響應的影響：只不過是個挖礦？

　　在該報告里，微軟提到了一個很有意思的地方。其實我們在《從金融黑客組織 TA505 和朝鮮國家隊 Lazarus 思考釣魚郵件分析》也有提到過類似觀點。

　　微軟追蹤了一個勒索組織 PARINACOTA ，這個組織一開始可能使用攻陷的主機進行挖礦，發釣魚郵件以及做代理。幾周后再回來部署 Wadhrama 勒索軟件。

　　這個組織非常暴力，通常控制網絡中的一臺機器后，在一個小時內完成勒索。

　　所以，你還敢說這只不過是一個挖礦么？

　　微軟還提到，黑客經常使用商業惡意軟件，類似于各種常規 bot。往往被運營人員所忽略。不就一個常規 bot 告警嘛，重裝下就好了。更有甚者，這個常規 bot 已經被殺軟殺了啊，不用管了。

　　這里微軟拿 Ryuk 舉了個例子。一開始使用 Trickbot 打點，然后部署 Ryuk 勒索軟件。

　　所以，微軟認為當出現了 Emotet，Dridex，Tickbot 這些類似的告警，我們應該第一時間處置，并做系統被完全攻陷的假設來應對。

　　勒索方式變化

先前的勒索是通過加密用戶文件，導致用戶業務受損，要求用戶交贖金。

而現在，如果用戶不交贖金，勒索者已經開始嘗試放出被加密的數據，通過 GDPR 的壓力來迫使受害者屈服。

　　微軟追蹤的三個團伙的 TTP

　　為啥說市面上對勒索軟件的分析很多都是屎？

　　因為對于勒索軟件，很多分析文章都只是分析勒索軟件本身的功能。這對我們應對勒索軟件的威脅并沒有多大意義。

　　我們需要更多的 Focus 在攻擊者全鏈路的攻擊手法。通過多點布控，延緩和阻止攻擊。

　　這里提供微軟跟蹤的三個團伙的 TTP。

　　PARINACOTA

InitialAccess：RDP 爆破，使用 NLbrute.exe 或者 ForcerX，爆破 admin，administrator，guest，test 等賬戶

DefenseEvasion：關閉殺軟，使用 wevutil.exe 清除日志

PrivilegeEscalation：粘滯鍵提權等

CredentialAccess：Mimikatz ，ProcDump，以及使用 findstr 搜索特定 cookie

Persistence：修改注冊表，允許 RDP 遠程連接。安裝遠程管理軟件或者后門。本地管理員組添加賬戶。添加 Run 或者 Startup 目錄的自啟動項。

　　Doppelpaymer

　　Ryuk

　　如何延緩和阻止攻擊

　　微軟給出了一個應對圖。

　　但是，我覺得這個不夠。

　　有一些關鍵點我想提一下。

　　方案一端上阻斷

　　我先前在 freebuf 發過一個《基于異常行為的未知勒索軟件檢測》，代碼鏈接：https://github.com/mogongtech/RansomDetection。

　　核心思路就是投遞誘餌文件，用誘餌文件對文件名進行占位，例如生成 aaaa.txt,aaa.doc, zzz.xls,zzz.sql, zzz.db 這樣的誘餌文件，然后進行文件監控，一旦出現寫入行為則進行攔截以及告警。

　　方案二核心文件保護

　　使用微軟提供的 Controlled Folder Access 功能，對存放重要文檔的目錄設置進程白名單。

詳情參見：https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-atp/controlled-folders。

　　方案三系統治理

1. 使用代理訪問網絡

2. 阻止非可信域名二進制文件下載

3. 限制工作站之間的通信，做好網絡隔離

4. 禁用宏

5. 啟用備份

6. 打補丁

　　方案四 US-CERT 給出的方案

　　以上方法可以綜合使用。

　　甲方安全人員該做啥？

隨著勒索攻擊方式的演進和勒索商業模式的變化，勒索帶來的危害已經不僅僅是業務停擺，還包括公開的用戶數據泄露事件。

甲方安全人員需要建立更多的縱深體系來檢測和防御這個灰犀牛。安全運營人員也要時刻注意著頭上懸著的達摩克利斯之劍。因為你漏掉的一個挖礦事件，一個 bot 事件，很可能會帶來一次勒索的災難。

在網絡犯罪的這個戰場上，沒有人或組織可以高高掛起。我們要時刻揣著敬畏之心，建立更廣泛的聯盟，共同打擊包括勒索在內的網絡犯罪。

　　提供一個老外總結的歷史勒索軟件的檢測特征和防御方法（提取碼：0qjf）。

　　參考

[1]https://www.microsoft.com/security/blog/2020/03/05/human-operated-ransomware-attacks-a-preventable-disaster/

[2]https://www.us-cert.gov/ncas/alerts/TA17-181A

　　*本文來源：落水軒，轉載請注明來源

總結

以上是生活随笔為你收集整理的微软情报团队看勒索：从自动化到手动的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。