=Start=
缘由:
前段时间不太忙的时候喜欢翻阅 Microsoft 的安全文档,近期抽时间把 Human operated ransomware 这一篇给翻译整理了出来(微软其实也提供了机器翻译的版本,但看起来稍微有些别扭就没有直接用),方便自己和有需要的同学查阅。
另外补充说一点,虽然在微软对外开放出来的文章中夹杂了一些私货(比如推广自家的Azure云、Microsoft Defender等产品,其它家比如Google也这样),但整体质量和内容还是有保证的,对于想了解国外大厂是如何做的同学可以多翻一下它们的官方文档/博客,可以学到不少东西。
正文:
参考解答:
勒索软件攻击是一种网络安全攻击,它破坏或加密文件和文件夹,阻止受影响设备的所有者访问他们的数据。然后,网络犯罪分子借机向企业主勒索钱财,以换取解锁加密数据的密钥。但是,即使支付了费用,网络犯罪分子也可能不会提供解密密钥。
自动化勒索软件攻击
商品勒索软件攻击(Commodity ransomware attacks)通常是自动化的。这些网络攻击可以像病毒一样传播,通过电子邮件钓鱼和恶意软件传递等方法感染设备,并且需要恶意软件修复。这意味着其中一种勒索软件预防技术是使用Microsoft Defender for Office 365或Microsoft 365 Defender等系统保护您的邮件,以便及早检测出恶意软件攻击和网络钓鱼尝试。
人为操作的勒索软件攻击
人为操作的勒索软件(Human-operated ransomware)是网络犯罪分子【主动攻击】的结果,这些犯罪分子渗透到组织的本地或云上的IT基础设施,设法提升他们的权限并将勒索软件部署到存储了关键数据的服务器上。
这些“hands-on-keyboard”攻击针对的是组织而不是单个设备。人为操作意味着存在人类攻击者利用他们对常见系统和安全错误配置的深刻认知来渗透组织,在内网漫游,并随时适应环境及利用其弱点。(个人认为可以简单理解为“弱化版本的”APT攻击了)
这些人为操作的勒索软件攻击的特征通常包括【凭证窃取】和【横向移动】以及被盗帐户的【权限提升】。攻击活动可能发生在维护窗口期间,网络犯罪分子利用发现的安全配置漏洞。目标是将勒索软件有效负载部署到攻击者选择的任意有高业务影响的服务器上。
这些攻击对业务运营可能是灾难性的,并且难以清理,需要完全驱逐对手以防止未来的攻击。与通常只需要恶意软件修复的商品勒索软件不同,人为操作的勒索软件攻击将在初次遭遇后持续威胁你的业务运营。
下图显示了这种基于勒索的攻击的影响力和可能性的增长趋势:
- 高业务影响——敲诈勒索肯定会破坏商业运营来逼迫你支付赎金
- 攻击者盈利——勒索经济回报不断增长
- 成长空间大——攻击者可以从安全运营和配置的差距中获利,为了保护你所在的企业,你需要:持续为所有的设备应用安全更新、使用业界最佳实践对资源进行安全配置、消解特权账户被盗引发的影响
为您的组织提供保护来避免勒索软件攻击
如需全面了解勒索软件和勒索以及如何保护您的组织,请具体查看人为操作的勒索软件缓解项目计划演示文稿中的内容。下面是一个指导摘要:
- 企业遭遇勒索软件和基于勒索的攻击的风险很高(可以认为是看不到尽头的)。
- 但是,这些勒索攻击也有它的弱点,利用这些弱点可以降低企业被攻击的可能性。
- 配置基础设施以利用攻击弱点来规避风险有三个阶段。
如果想全面了解利用攻击弱点的三个阶段,请参阅[链接]中的解决方案,下面是快速配置企业的IT基础架构以获得最佳保护的概要说明:
- 让企业做好从攻击中恢复的准备(业务连续性计划,BCP/BCM),从而无需支付赎金。
- 通过保护特权账号来限制勒索软件攻击的破坏范围。
- 通过逐步消除风险,使攻击者更难进入您的环境。
各阶段的防护方法:
- 阶段1. (进不来)Prevent attackers from getting in
- 阶段2. (低权限)Prevent an attacker from escalating their privileges
- 阶段3. (删不掉/有备份)Protect your critical data from access and destruction
阶段1的状态以及缓解目标和衡量标准:
- 状态:攻击者还被挡在企业外部没有进来;
- 缓解目标:服务/设备/账号都基于已知的攻击向量做了加固;
- 成功标准:攻击者很难攻陷任何设备或者获取任何有用的账户凭证。(实际情况中很难达到)
阶段2的状态以及缓解目标和衡量标准:
- 状态:攻击者突破了外网防护进入了内网;
- 缓解目标:通过保护管理员等高权限账号并快速对攻击做出响应以限制攻击者的攻击半径;
- 成功标准:攻击者很难在防守者没有任何感知的情况下获取任何管理员等高权限账号凭证。(这依赖于防守方日志埋点的全面性和较高的工程实现能力,实际情况中能达到这一点要求的企业也不多)
阶段3的状态以及缓解目标和衡量标准:
- 状态:攻击者获取了高权限账号凭证;
- 缓解目标:通过严格的权限控制、加密和不可变的离线备份,最大限度地减少攻击者对企业的财务影响。
- 成功标准:企业从攻击中恢复的成本比支付赎金的成本要低。(这一点相对前两点来说更容易达到一些,企业从这点出发的性价比也比较高)
容易被勒索攻击挑中的资产:
- 本地的AD域控/高权限账号;
- 本地的服务器/文件资源;
- 设备;
- 备份文件;
- 云上的AD域控/高权限账号;
- 云上的文件/邮件/应用/用户数据……;
- ……
参考链接:
What is ransomware
https://docs.microsoft.com/en-us/security/compass/human-operated-ransomware
Quickly deploy ransomware preventions
https://docs.microsoft.com/en-us/security/compass/protect-against-ransomware
=END=
《“人为操作的勒索软件(Human-operated ransomware)攻击”》 有 3 条评论
AMD targeted by RansomHouse, attackers claim to have ‘450Gb’ in stolen data
https://www.theregister.com/2022/06/28/amd-ransomhouse-data-extortion/
RansomHouse宣布盗取芯片制造巨头AMD 450GB数据
https://mp.weixin.qq.com/s/zYMZSRYQOHKKDtsE53fKPg
`
RansomHouse 团伙声称在2021年入侵了芯片制造商巨头 AMD 并从该公司窃取了 450 GB 的数据,并威胁说如果该公司不支付赎金,就会泄露或出售这些数据。
根据 BleepingComputer的说法,RansomHouse 合作伙伴一年前已经入侵了 AMD 的网络,但泄密网站报告称,2022年1月5日是入侵日期。
RansomHouse于2021年12月开始运作,与其他勒索组织不同,该团伙不加密数据,而是专注于数据盗窃以加快其活动。这意味着威胁行为者没有感染 AMD 系统,但一旦获得对其网络的访问权,就会窃取内部数据。
据称,被盗数据包括公司研究和财务文件,但目前仅发布了一些文件,其中包含可能在侦察阶段收集的内部网络信息。
其中一个文件 all_computers.csv 包含托管在 AMD 内部网络上的超过 77,000 台机器的列表。另一个泄露的文件 sample_passwords.txt 包括一个弱 AMD 用户凭据列表,例如“密码”、“P@ssw0rd”和“amd!23”。
`
Ransomware是如何工作的,以及为什么它至今还是个威胁?
How Does Ransomware Work (And Is It Still A Threat)?
https://www.sentinelone.com/blog/how-does-ransomware-work/
`
Threats come and go, but one thing remains the same: the ability of cybercriminals to adapt to circumstances. A brief decline of interest in ransomware as criminals focused their attention on cryptojacking during the previous year appears to have come to an end, and ransomware attacks are once again escalating.
威胁来来去去,但有一件事一直不变——网络犯罪适应环境的能力。去年由于犯罪分子将注意力集中在加密劫持上,人们对勒索软件的兴趣有过短暂下降,但这一趋势似乎已经结束,勒索软件攻击再次升级。
In this post, we’ll explain what ransomware is, how it spreads, how prevalent it is and what you can do to protect yourself against it.
在这篇文章中,我们将解释什么是勒索软件,它是如何传播的,它有多流行,以及你可以做什么来保护自己免受它的侵害。
# What is Ransomware?
# How Does Ransomware Spread?
# Is Ransomware On the Rise?
# How To Defend Against Ransomware
As we’ve seen, reports of ransomware’s untimely demise were overly exaggerated! That means users and enterprise need to be on guard to avoid being infected to start with and to have a response plan if they are.
提前做好BCP计划。
Backups are a good first line of defense, so long as you backup regularly and rotate backups so that at least one recent backup is offline at all times. Be sure not to rely on Windows built-in Shadow copies, as deleting these is one of the first things most ransomware does.
备份是一个好方法。
Secondly, use a security solution that is ransomware-proof. For enterprise, the best defense against ransomware is to use an automated endpoint solution like SentinelOne that can not only block threats on execution, but can also rollback any attacks that do get through without needing to rely on backups.
部署安全软件防勒索
For users caught out by ransomware with no way to restore or rollback, you are left with some unenviable options. If you are in luck, you may find a public decryptor that will help you to restore your files. If you are not, your choices are accept the data loss, or risk paying off the criminals. Of course, no one wants to reward crime, and there’s no guarantee that the criminals will uphold their end of the deal. In some cases of ransomware, the attackers did not even keep a copy of a decryption key and any victims who had paid up would have been both out of pocket and unable to recover their data.
尝试提交赎金获取文件解密
# Conclusion
Ransomware offers an easy pay-day for criminals with low chance of getting caught. It also represents one of the most devastating attacks for victims, who can potentially lose everything from personal data to the very infrastructure that their business relies on. NotPetya and WannaCry remain the two most devastating attacks we’ve seen so far, but there’s every likelihood those will be eclipsed by something worse if businesses don’t learn the lessons of automated protection sooner rather than later.
如果企业不尽早吸取教训,它们很可能会遭受比 NotPetya 和 WannaCry 更大的攻击和损失。
`
IBM Security 2023 年 X-Force 威胁情报指数 IBM Security X-Force Threat Intelligence Index 2023
https://www.ibm.com/reports/threat-intelligence
https://www.ibm.com/downloads/cas/DB4GL8YM
`
# 02-报告要点
针对所观察到的目标而采取的主要行动:在2022 年所有完成修复的事件中,近四分之一(21%) 的各类后门攻击部署都属于针对目标所采取的主要行动。特别是年初多目标恶意软件 Emotet 的爆发,与去年同期相比,显著造成所观察到的后门活动增幅大幅跳升。虽然后门活动激增,但勒索软件至少从2020 年以来就一直就是头号网络攻击手段,在 2022 年依然占有很大的比例,达到17%,进一步加强了此恶意软件所造成的的持久威胁。
**勒索是对组织最常见的攻击影响**:勒索是威胁参与者选择造成的明显影响,占比达 27%。制造业受害者占勒索事件的 30%,承受着巨大的压力,而网络犯罪利用此行业牟利的趋势仍然在继续发展。
**网络钓鱼是首要的初始访问媒介**:网络钓鱼依然是主要的感染媒介,事件占比达41%,**然后是利用公众应用中出现的漏洞**,占比 26%。由于 Microsoft 决定默认阻止宏,因此恶意宏感染不再是主要的初始访问媒介。恶意 ISO 和 LNK 文件使用在 2022年升级为通过垃圾邮件传送恶意软件的主要策略。
黑客行为和破坏性恶意软件增加:俄乌战争打开了一扇门,展示了网络可如何推动现代战争,正如网络安全社区中的许多人所预计那样发展。虽然截至本文发表之时,最可怕的网络空间预测仍未发生,但是黑客行为和破坏性恶意软件明显增加了。X-Force 还观察到空前的网络犯罪世界变动——网络犯罪集团与 Trickbot 帮派之间的合作增加,均以乌克兰的组织为目标。
# 03-关键统计数据
勒索攻击占比 27% ,在 X-Force 2022 年响应过的所有事件中,逾四分之一是威胁参与者企图向受害者敲诈金钱。他们使用的策略在过去十年间已发生改变,而随着威胁参与者日益猖獗地寻求牟利,该趋势预计将会持续下去。
勒索软件的攻击占比 17% ,而对一些攻击数量高企的勒索软件集团来说,即使在这混乱不堪的一年,勒索软件依然仅次于后门攻击部署,名列针对目标所采取的第二大攻击行动,继续对组织运营造成严重破坏。勒索软件的事件占比从 2021 年的 21% 降到了 2022 年的 17%。
# 04-主要初始访问媒介
## 2022 年主要初始访问媒介
利用公众应用中出现的漏洞 • 26%
网络钓鱼 – 鱼叉式网络钓鱼附件 • 25%
网络钓鱼 – 鱼叉式网络钓鱼链接 • 14%
外部远程服务 • 12%
有效帐户 – 本地 • 7%
有效帐户 – 域 • 5%
硬件添加 • 3%
有效帐户 – 默认 • 2%
网络钓鱼 – 服务伪装鱼叉式网络钓鱼 • 2%
有效帐户 – 云 • 2%
# 05-针对目标采取的主要行动
根据 X-Force 事件响应数据显示,后门攻击部署是针对目标所采取的最常见行动,在报告的所有事件中占比高达 21%,然后是勒索软件 (17%) 和商业电子邮件泄露 (BEC)(6%)。其中每一类事件中都发现了 5% 的恶意文件 (maldoc)、垃圾邮件活动、远程访问工具和服务器访问。
# 06-主要影响
## 2022 年主要影响
21% 勒索
19% 数据盗窃
11% 凭证收集
11% 数据泄漏
9% 品牌声誉
分析发现,超过四分之一的事件目的是对受害组织实施勒索,这是在 X-Force 各类修复事件中所观察到的头号影响。在观察到的勒索事件中,最常用手段是勒索软件或商务电邮泄露 (BEC) 攻击,通常包括使用远程访问工具、加密挖掘器、后门、下载程序和脚本木马。
**数据盗窃排名第二**,在 X-Force 补救过的所有事件中占比达 19%。凭证收集会导致用户名和密码被盗且需要相应的防范,占比达11%。X-Force 能识别目的信息在被盗后确实泄漏的事件占比低于数据盗窃,仅为 11%。品牌声誉影响(例如破坏客户为其顾客提供的服务)的事件占比为 9%。请参阅附录,查看 X-Force 跟踪的完整影响列表。影响受害者品牌声誉的事件主要是分布式拒绝服务(DDoS) 攻击,这也常用于勒索受害者支付金钱来停止攻击。
虽然勒索现今最常与勒索软件相联系,但是勒索活动包含了各种方法,来对其目标施压。这些方法包括 DDoS 威胁、加密数据,以及最近出现的双倍和三倍勒索威胁并结合了此前见过的一些元素。
# 08-恶意软件态势
通过 USB 传播的蠕虫数增加
Rust 增加
Vidar InfoStealer
恶意软件交付机制的演变
垃圾邮件数据凸显出勒索软件威胁,并进一步展现出宏趋势的作用
绕过宏
# 12-建议
以下行动建议有助于保护贵组织不受恶意威胁侵害,包括此报告中所述的威胁。
管理您的资产:“**我们有什么?我们在保护什么?什么数据对我们的业务至关重要?**”要构建成功的防御,任何安全团队都应先回答这些问题。优先安排发现组织外围的资产、了解组织的网络钓鱼攻击隐患并减少那些攻击面能进一步提升整体安全性。最后,组织必须扩展其资产管理计划,以纳入源代码、凭证和其他可能已经存在于互联网或暗网中的数据。
了解您的对手:虽然许多组织拥有威胁发展态势的广泛视图,但是 X-Force 建议组织用突出显示最有可能以您的行业、组织和地理位置为目标的具体威胁参与者的视图。该视图包括了解威胁参与者如何运作、确定其复杂度,以及了解攻击者最有可能使用的策略、技巧和程序。
管理可见性:在深入了解最有可能攻击组织的对手之后,**组织必须确认拥有能发现攻击者入侵数据源的适当可见性**。保持整个组织关键点的可视化管理,确保能及时生成警报及采取相应行动,对于在攻击者造成破坏之前就阻止他们至关重要。
挑战假设:组织必须假设其已被入侵。这样,团队便能继续复查以下内容:
– 攻击者能如何渗透其系统
– 组织对新兴策略、技巧和程序的检测和响应能力如何
– 潜在对手入侵组织最关键的数据和系统的难度
最成功的安全团队会定期执行攻击测试,包括威胁追踪、渗透测试和基于目标的红队组队,以检测或验证伺机入侵其环境的攻击路径。
根据情报采取行动:在所有位置应用威胁情报。有效的威胁情报应用除了帮助发展高度精确的检测机会之外,还可让您分析常见的攻击路径和识别减轻常见攻击的关键机会。在应用威胁情报的同时,应了解您的对手及其如何运作。
做好准备:攻击不可避免,但失败可以避免。组织应根据其环境定制事件响应计划。随着组织发生改变,应以改进响应、补救和恢复时间为中心,定期演练和修改这些计划。采用信誉良好的 IR 供应商,可以减少熟练的响应者用于缓解攻击所需的专门时间。另外,在制定和测试响应计划时纳入 IR 供应商至关重要,有助于提升相应的效果和效率。最优化的 IR 计划会包含跨组织的响应,纳入IT之外的利益相关者,以及测试技术团队和高层领导之间的沟通渠道。最后,在沉浸式高压网络靶场演练中测试计划,能够大幅提升组织响应攻击的能力。
通过这些行动提高安全性:
* 管理您的资产
* 了解您的对手
* 管理可见性
* 挑战假设
* 根据情报采取行动
* 做好准备
`