SentinelOne最近发布了一份关于企业的安全报告——《了解企业中的勒索软件》,这是一份全面的企业安全指南,可帮助组织理解、计划、响应和防范这种目前普遍存在的威胁。
这篇文章就是选取了其中的部分章节,还原了一个关于如何减少攻击面的示例。
随着网络办公成为一种常态,勒索软件攻击也呈现了上升态势,事实上,勒索即服务(Raas)和其相关产业所带来的好处(低风险和丰厚回报)表明,在可预见的未来,勒索软件将继续发展,并变得越来越复杂。
勒索软件即服务模式是指,勒索软件编写者开发出恶意代码,并提供给其他犯罪分子(有时通过购买),让他们可以通过网络钓鱼或其他攻击发送给目标用户。随着云计算、移动互联网、大数据、物联网等新技术的持续演进,网络安全形势变得尤为复杂严峻。网络攻击“道高一尺,魔高一丈”,网络安全问题层出不穷,给政府、企事业单位带来风险威胁级别升高,挑战前所未有。目前灰产、黑产环境比较复杂,很多攻击手段已经向云和SaaS服务方面发展,暗网已经存在专业提供勒索即服务(Raas)的服务模式,另外很多勒索攻击软件已经开源,易用性得到了极大的提高,同时也大大降低了网络攻击的技术门槛。
例如,DopplePaymer勒索软件,SpaceX和美国宇航局NASA首次载人火箭发射成功后不久,一个名为DopplePaymer的勒索团伙即刻宣布他们入侵了一家名为DMI的公司内网,这家公司正是NASA的一家IT供应商,该团伙甚至嚣张地留下了祝贺信息来挑衅。按照惯例,DopplePaymer团伙在“泄密网站”上发布一些窃取的数据是为了向被入侵网络系统的公司索取赎金,倘若受害者(通常是一家大公司)仍然拒绝支付,他们将会公开所有的文件作为报复,并且向记者提供泄露信息。
通常,DopplePaymer使用闪电般的有效载荷在不到7秒的时间内对主机执行超过2000次恶意操作。这意味着,传统的检测和响应方法无法防止这种攻击,而防御者对勒索软件的响应往往是在勒索软件达到其目标后才开始。
为了更有效地防止勒索软件,请尽可能采取以下步骤。
威胁情报的收集
你对你的攻击面了解多少,只有知己知彼才能增强你的防御能力,并帮助你了解和控制你的攻击面。
高度组织化的犯罪软件组织,如Dridex和TrickBot已经证明了他们利用勒索软件作为主要攻击载体所取得的成功。Dridex 早期版本很原始,但这几年来该恶意软件变得越来越专业和复杂。事实上,Dridex 攻击活动在 2015 和 2016 年里非常活跃,已成最为普遍的电子犯罪恶意软件家族。TrickBot银行木马自2016年问世以来,一直活跃至今。它从最初的银行木马发展到今天已经成为一款强大的恶意家族软件,其功能包括盗取用户电子邮箱、收集系统信息以及盗取浏览器隐私信息等等。经过几年的发展,TrickBot银行木马已经变得高度模块化,其可以由威胁参与者根据目标环境进行配置,进而实现不同的恶意功能。在它们曾经主要依赖银行欺诈的地方,它们的业务已经发生了明显的变化。这吸引了许多新的创业公司试图效仿他们的成功。毫无疑问,RaaS的泛滥已经对许多公司网络造成了严重破坏。
然而,在迅速发展的勒索软件服务领域,各组织争夺主导地位的竞争似乎有所升级。运营商不再满足于个人用户,他们现在正在寻求巨额回报。运营商会在网络上连续数日或数周搜索,试图绘制数据点,找到最诱人的数据目标,从而为他们提供最佳的攻击手段。
勒索软件运营商现在正试图完善他们的勒索方案,美国联邦调查局在RSA发布的最新数据显示,RYUK勒索软件的运营者总共获得了6100万美元的收入。这一数字只包括了2018年2月至2019年10月期间的行动。2020年1月至今,工业企业的生产网络或办公网络遭受数十起勒索软件攻击,其中仅Ryuk勒索软件就感染了EVRAZ、EMCOR Group、EWA等多家工业企业,加密企业关键数据信息,导致企业停工、停产,造成重大的经济损失。
Maze和Revil (sodinokibi)的运营商正在利用媒体和数据泄露网站,以进一步威胁和羞辱受害者,以威胁支付他们满足勒索要求。Maze勒索软件在过去的大约一年时间里被广泛使用,成为全世界许多不同参与者的最终有效载荷。今年,臭名昭著的Maze运营商不仅开始通过加密文件勒索公司,而且威胁会在线发布被窃取的文件,从而勒索公司。最近,我们抓住了一个Maze会员,该会员尝试通过借由我们客户的网络进行传播。许多勒索软件家族,如DoppelPaymer, Clop, Netwalker, ATO和其他类似的网站都有泄露网站的操作。随着网络办公的兴起,这种攻击不太可能在短期内消失,这些恶意组织现在拥有大量的资金来加强他们的攻击并进一步改进他们的产品。
如何发现勒索攻击
勒索软件犯罪分子利用社交,移动,云和软件定义的网络等技术,利用BYOD,物联网和数字化转型计划所带来的挑战和漏洞。远程工作人员要求能够随时随地工作,同时访问公司数据和使用云应用程序也带来了挑战,并增加了攻击面。为了控制并采取行动,防御者的目标是使用主动和被动发现来连续发现所有连接的设备并对其进行指纹识别,以识别并创建甚至间歇性连接的设备的实时清单,以便用户查找和控制恶意终端。
软件漏洞允许攻击者使用开发工具包来传播勒索软件,通过了解终端和服务器上具有哪些操作系统,软件和版本,可以对终端发现进行补充,这对任何修补程序管理过程都很重要。比如:
- 哪些设备连接到我的环境?
- 在我的环境中连接了哪些设备?
- 设备最后一次或第一次出现在我的环境是什么时候?
- 哪些设备是未受管理和不受保护的?
- 什么是设备的IP?苹果电脑?制造商?类型?
- 此设备是否打开了特定端口?
- 设备在这个端口上报告什么信息?
- 它连接在哪个网络(在哪个GW后面)?
- 连接的终端上安装了哪些应用程序?
- 组织中是否有未经授权的应用程序在运行?
在你了解了环境中有哪些设备以及它们上安装了哪些程序之后,你需要控制访问、减轻漏洞并加固这些终端及其上的软件。
集中管理设备配置和遵从性的评估和实施对于减少攻击面非常重要,不兼容的设备应该重新配置和加固。加强虚拟专用网连接、强制磁盘加密和端口控制将减少勒索软件的攻击面。
修补程序管理是关键,但是由于每年都会出现数以千计的新漏洞,没有哪个组织会真正地修补每一个漏洞。拥有一个基于风险的结构化方法是最好的,但是没有一种方法是绝对正确的。
通过集中管理应用程序控制,安全团队可以控制在终端环境中运行的所有软件,并防止未修补的漏洞被利用。它允许新软件的授权,并防止其他未经授权的、恶意的、不可信的或不必要的应用程序的执行。
控制端的人为漏洞
通常,勒索软件最薄弱的环节是我们人类。主要的攻击渠道仍然是电子邮件或访问有风险的网站。网络钓鱼、鱼叉式网络钓鱼正变得越来越复杂和有针对性,它们附带着恶意文件或勒索软件链接,引诱那些用户去点击。
因此制定一项员工教育和培训计划,对于营造一种怀疑和警惕的企业安全文化很重要,与员工分享现实世界的例子,以及测试弹性很重要,但即便是最优秀的人也会有最脆弱的时刻。你可以降低风险,但不能仅仅通过培训来消除风险。
你可以使用包含以下功能的产品来提高电子邮件安全性:
- 对入站或存档电子邮件进行URL扫描,直到对网站进行恶意软件检查后才允许点击目标网站;
- 在发送之前,检测邮箱中带有攻击附件的邮件,并在点击前重定向到沙箱。
- 防止假冒、社会工程,域名窃取和掩盖;
因此,确保特权是当前的和最新的,并且用户只能访问其职责所需的适当文件和网络位置是至关重要的。
监控和控制网络内外的用户行为将允许警报和操作自动响应对服务器,文件共享或网络异常区域的可疑偏差。由终端记录数据、凭证的使用和连接可以突出显示生产率变化或可能的安全破坏信号。可以使用像EDR这样的工具来记录每个文件的执行和修改、注册表更改、网络连接和跨组织连接终端的二进制执行,增强威胁的可见性以加快运行速度。
改善终端安全性
几乎所有组织都具有终端安全性,但是,为了防止勒索软件,仅靠静态检测和防病毒已远远不够。在终端保护中具有高级功能以及通过集中式管理系统执行终端管理和防御的能力变得越来越重要。
良好的终端安全性应该包括多个静态和行为检测引擎,使用机器学习和人工智能加速检测和分析。开发保护、设备控制、访问控制、漏洞控制和应用程序控制也很重要。在组合中添加终端检测和响应(EDR),提供取证分析和根本原因,以及诸如隔离、转移到沙箱和自动修复的回滚功能等即时响应操作,这些都是重要的考虑因素。