勒索软件主要通过盗取和持有数字资产,并向资产所有方勒索赎金以换回被盗取的数据或解密密钥从而恢复业务。
近年来,勒索攻击的平均赎金猛增,截止2021年已上升到530万美元,同比上一年增长518%,然而从勒索攻击中恢复运行的成本通常远高于赎金本身,一次攻击导致企业停机的时间平均为21天,其中66%的受攻击对象反馈称:被勒索软件攻击后,企业收入损失惨重。
勒索攻击本质上是一个多阶段过程,六方云将逐步分解这个过程,对每个阶段进行详细分析,以期提高用户警惕性,提前做好安全防范。
勒索软件攻击的第一阶段,可以通过RDP暴力破解、恶意网站和捆绑下载、公司内部威胁、系统和软件漏洞或大量的其他方式来实现攻击活动。
最常见的初始入侵方式是电子邮件。一个组织最大的安全弱点通常是他们的人员,攻击者善于寻找并利用这一点,通过精心研究,利用表面合法的电子邮件有针对的引导员工点击链接、打开附件或诱导其泄露敏感信息。
大多数传统的电子邮件工具依靠陈旧的攻击数据进行防御。如果一封电子邮件的IP来自黑名单,或使用已知的恶意软件,则攻击可能会被阻止。但事实上,攻击者熟知大多数防御都采用这种方法,因此会不断通过更换新域名、小范围修改代码来更新他们的攻击方式,从而顺利通过网关实现攻击。
随着攻击技术的发展产生了大量的暴力攻击和服务器端攻击手段。由于许多面向Internet服务器和系统的漏洞已经被披露,因此对于攻击者来说,瞄准和利用公开的基础网络设施比以往任何时候都容易。例如,使用Shodan或MassScan等工具可以轻松扫描Internet以查找易受攻击的系统。
攻击者还可能通过RDP暴力破解或窃取凭据来实现初始入侵,这种手段通常会重复使用以前数据转储中的合法凭据,与经典的暴力攻击相比具有更高的精度并且影响范围更小。
恶意软件被下载后,只有当恶意软件指纹已经被识别才会被防病毒软件检测到。防火墙通常需要针对不同场景进行特殊配置,并且通常需要根据业务需求进行修改。如果遇到规则或签名不匹配的防火墙,恶意软件将再次绕过防火墙。
攻击者成功入侵后,会进一步与被破坏的设备建立联系。此阶段允许攻击者远程控制攻击的后续阶段,在命令(Command)和控制(Control)C2通信期间,更多的恶意软件也可能被传递到设备,并有助于建立更强大的立足点,并为横向移动做好准备。
勒索软件的功能可以被调整,从而隐藏在企业内部。高级的勒索软件能够自行适应环境,并自主运行,即使在与其C2服务器断开连接的情况下也能融入常规活动。这些“自给自足”的勒索软件变种对传统仅依靠恶意外部连接来阻止威胁的防御系统造成了一个大问题。
IDS(入侵检测系统)和防火墙会阻止已经被列为黑名单的域或使用一些地址进行屏蔽,但勒索软件可能会利用新的域名进行攻击,这使得C2很难被识别。
一旦攻击者在组织内建立了立足点,他们就会开始全面地搜索数据。恶意软件查找和盗取数据的方式是开始扫描网络、记录组件设备、确定有价值资产的位置,然后开始横向移动。在这个过程中,恶意软件将感染更多设备并获得更高的权限。
例如,通过获取管理员权限,从而增加恶意软件本身对环境的控制。一旦这些软件在设备中获得了较高的权限,就可以进入攻击的最后阶段。现代勒索软件具有内置功能,可以自动搜索设备中存储的密码并通过网络传播,更复杂的软件被设计成在不同的环境中以不同的方式构建自己,因此特征不断变化,更难被发现。
传统的防御系统难以防止横向移动和勒索软件的权限升级。理论上讲,一个组织或机构在内部利用防火墙,并且具备适当网络分段以及合理配置用户网络接入控制(NAC),可以防止跨网络横向移动,但在保护性控制和破坏性控制之间保持完美平衡几乎是不可能的。
当数据包中检测到已知威胁时,一些组织依靠入侵预防系统(IPS)拒绝网络流量,但新型恶意软件可以逃避检测,因此需要不断更新数据库。但由于网络的可见性以及入侵检测系统(IDS)可能处于脱机状态,没有响应能力,因此可能造成防御问题。
过去的勒索软件只对操作系统或网络文件进行加密,然而在现代攻击中,随着阻止恶意加密的手段越来越多,勒索软件已经转向“双重勒索”,在加密之前会泄露关键数据并破坏备份,泄露的数据将被用来进行诸如散布或者售卖,现代勒索软件变体还可以搜索如Box、Dropbox等云文件存储库。
需要注意的是,第3至第5阶段的顺序因攻击不同而不同。有时数据会先被泄露,然后有进一步的横向移动以及额外的C2信标,这整个时期被称为“停留时间”。有时攻击只发生几天,有时攻击可能会持续数月,以收集更多的情报并逐渐泄露数据,以避免被配置好的规则检测而导致触发防御机制。只有通过对恶意活动的整体了解,才能发现这一级别的活动,并允许安全团队在勒索软件破坏性达到最强的阶段之前消除威胁。
攻击者试图在被检测到之前通过对称加密、非对称加密或两者的组合,尽可能多地破坏数据。虽然许多工具声称可以阻止数据加密,但每个工具都有漏洞的存在,这足以让经验丰富的攻击者在这个关键阶段逃避检测。
另外,攻击行为通常都具有高度破坏性,能够直接导致重大停工并妨碍企业正常运营,即使企业内部防火墙可以阻止对服务器的攻击,然而攻击一旦成功,服务器将完全被控制,防火墙也就成了无用之物。
同样,杀毒软件仅查找已知的恶意软件,如果在此之前未检测到恶意软件,杀毒软件自然也起不到作用。
需要注意的是,在加密之前的阶段,攻击还不能称之为勒索。当数据被加密或盗取后,攻击者通过泄露数据威胁被攻击者付款以换取解密密钥,被攻击者必须决定是支付赎金还是接受向竞争对手泄露数据,到这里才是勒索行为的关键。
当前,勒索软件对于赎金的要求逐年上升。例如,肉类加工公司JBS支付了1100万美元,DarkSide在殖民管道事件后收到了超过9000万美元的比特币支付。
到目前为止的,所有阶段都代表了典型的传统勒索软件攻击。但我们应该注意到,勒索软件正在从对设备的加密,转变为为了更高赎金而使企业业务中断的攻击,这类攻击不仅包括数据泄露,还包括公司域劫持、备份删除或加密、对靠近工业控制系统进行攻击等等。
有时,攻击者会直接从第2阶段跳到第6阶段,无论是通过加密还是其他形式,勒索软件的主要目的就是金钱,在这一阶段再考虑任何形式的防御机制都为时已晚,企业面临的只有一个困境——是否支付赎金。
安全团队很难在防火墙和IDS提供的有限日志中找到有用的信息。防病毒解决方案可能会发现一些已知的恶意软件,但无法发现新的攻击方式,这就需要我们去考虑新的更高效的攻击防范手段。
即使使用了解密密钥,许多文件也可能保持加密或损坏,除了支付赎金的成本外,网络关闭、业务中断、补救工作和公关挫折都会让被攻击企业或组织遭受巨大的经济损失,受害组织还可能遭受额外的声誉成本。据了解,66%的受害者表示在勒索软件攻击造成重大收入损失,32%的受害者表示勒索软件直接导致人才流失。
综上所述,大多数勒索攻击都能大致划分为以上9大阶段,但并不是所有的勒索攻击都具备相同的流程。不仅如此,由于攻击技术的日渐成熟,高额赎金和严重破坏性成为了勒索攻击的发展潮流,勒索软件的攻击行为日益复杂多样,传统的、基于历史攻击数据的安全防护工具效果持续弱化……
如何实现更精准的入侵检测?如何构建更完备的未知威胁防御手段?六方云安全专家认为:充分利用人工智能安全技术是解决勒索软件问题的重中之重。
六方云基于“AI基因,威胁免疫”的安全理念,成功将人工智能主动式防御技术应用在安全实践中,使得产品安全防护能力更加智能化,不仅能够防范未知威胁攻击,还能精准防范未知威胁和变种攻击,由被动防御向主动防御转变。
六方云自主研发的全流量威胁检测与回溯系统——“神探”,搭载了大数据AI分析引擎,采用无监督学习算法,以内网资产为核心构建AI模型,实现主动检测、主动预警、主动响应、主动保护,能够更好地应对复杂多变的勒索威胁,在9大阶段中有力阻止勒索软件蔓延。