Categories
程式開發

FireEye:76%的勒索軟件“夜間行動”


FireEye:76%的勒索軟件“夜間行動” 1

眾所周知,勒索軟件被視為一種遠程數字化的敲詐手段。它有著強大的破壞力,攻擊後果嚴重,並且影響各種各樣的組織機構,從頂尖的航空航天公司到紡織企業,都逃不出它的”魔爪“。感染勒索軟件不僅讓醫院無法醫治患者,而且也使執法部門放棄針對毒品販子的案件。

FireEye發現,勒索軟件運營者開始將加密技術與數據洩露的威脅結合起來,進一步提高對受害者的敲詐勒索能力。然而,我們面對勒索軟件還有取勝的一線希望。

Mandiant Intelligence研究表明,如果組織機構將防禦勒索軟件的投入放在關鍵領域並迅速採取行動,就可能在勒索軟件成功前將其擋在門外。

Mandiant Intelligence研究了從2017年到2019年發生的數十起勒索軟件事件響應調查。研究獲得了一些有價值的發現:

1.最常見的初始感染載體:RDP、釣魚活動和drive-by-downloads

2.大多數的勒索活動都在夜間執行

FireEye:76%的勒索軟件“夜間行動” 2

勒索軟件事件中觀察到的主題

這些事件讓我們對勒索軟件的發展趨勢有了更深入的了解,這對於網絡防禦方來說很有價值。但是,這些數據僅是一個樣本集合。

例如,從2017年到2019年,Mandiant調查到的勒索軟件活動增加了860%。其中,大多數事件似乎都是post-compromise感染,並且我們認為威脅方正在加速使用包括post-compromise部署在內的策略,以提高受害者支付贖金的可能性。

此外,我們還觀察到在一些事件中勒索軟件是感染後立即執行的,例如GANDCRAB和GLOBEIMPOSTER事件;但是我們研究中的大多數入侵行為的持續時間更長,並且是更為複雜的post-compromise部署。

常見的初始感染載體

我們注意到,多起勒索軟件事件都涉及到幾種初始感染媒介,包括RDP、帶有惡意鏈接或附件的網絡釣魚活動,以及惡意軟件下載的後續活動等。 RDP在2017年出現較為頻繁,而在2018年和2019年,其使用率有所下降。這些載體的信息表明,勒索軟件可以通過多種方式進入受害者環境,並非所有方式都需要用戶交互。

1.RDP或其他遠程訪問

攻擊者通過遠程桌面協議(RDP)登錄到受害環境中的系統是最常見的媒介之一。在某些情況下,攻擊者強行獲取登錄憑據(經過多次失敗的身份驗證嘗試後終於成功一次)。在其他情況下,成功的RDP登錄是在勒索軟件成功感染前,惡意活動表現出來的第一個跡象。

具體來說,目標系統可能使用的是默認憑據或弱憑據,攻擊者也可能通過其他未觀察到的惡意活動獲取有效憑據,或者攻擊者購買了由其他威脅方獲取的RDP訪問權限。在2019年4月,我們注意到:FIN6在多起事件中使用了被竊取的憑據和RDP來部署勒索軟件。

2.帶有鏈接或附件的網絡釣魚活動

大量勒索軟件案例都與網絡釣魚活動有關,這些活動催生了一些利潤最豐厚的利益驅動惡意軟件家族:包括TRICKBOT、EMOTET和FLAWEDAMMYY。在2019年1月,我們報告了TEMP.MixMaster TrickBot感染事件,其導致Ryuk的交互式部署。

3.Drive-by-download

幾起勒索軟件感染可追溯到受害者環境中的某個用戶行為,他訪問一個受感染的網站,導致DRIDEX感染。在2019年10月,我們觀察到受感染的Web基礎設施引發了FAKEUPDATES、DRIDEX以及到最後的BITPAYMER或DOPPELPAYMER感染。

大多數勒索軟件在初次感染後3天或更長時間部署

從第一個惡意活動跡像到勒索軟件的最終部署,中間經過的天數從零到299天不等(圖2)。換句話說,其潛伏時間的範圍很廣,並且在大多數情況下,首次訪問和勒索軟件部署之間存在一個時間間隔。對於75%的事件,在惡意活動的第一批證據和勒索軟件部署之間至少間隔三天。

這種模式表明,對於許多組織而言,如果能快速檢測、遏制並及時修復最初的感染,則可以避免與勒索軟件感染相關的重大損失和成本。

實際上,在某些案例中,Mandiant事件響應者和FireEye Managed Defense控制並清除了惡意活動,很可能阻止了勒索軟件的部署。幾項調查發現的證據表明,勒索軟件已安裝到受害環境卻沒能成功執行。

FireEye:76%的勒索軟件“夜間行動” 3

勒索軟件初始入侵和部署之間經過的天數

勒索軟件通常在下班後部署

在我們研究的事件裡,有76%的事件中勒索軟件是在受害者環境的下班時間(即周末或工作日上午8:00之前/下午6:00之後)執行的,使用了針對受害組織的定制觸發時間(圖3和圖4)。這一觀察結果表明,即使大多數員工可能不在公司,威脅方仍在繼續作惡。

一些攻擊者可能有意在下班後、週末或節假日期間部署勒索軟件,以最大程度地提升攻擊的潛在效率,這一前提是假定在這些時期中,任何補救措施的實施速度都將比正常的工作日更慢。在其他情況下,攻擊者將勒索軟件部署與用戶的操作相關聯。例如,在2019年零售和專業服務公司的事件中,攻擊者創建了Active Directory組策略對象,根據用戶登錄和註銷的動作來觸發勒索軟件的執行。

FireEye:76%的勒索軟件“夜間行動” 4

勒索軟件通常在下班時間執行

FireEye:76%的勒索軟件“夜間行動” 5

勒索軟件執行時間的分佈

建議

怎樣應對勒索軟件攻擊,這有一些建議。如果想尋求最全面的建議,可以參閱博客文章白皮書

1.處理感染載體

  • 使用具有最新檢測功能的企業網絡、企業電子郵件和基於主機的安全產品,可以預防和檢測許多常見的惡意軟件毒株,例如TRICKBOT、DRIDEX和EMOTET。
  • 快速遏制和補救感染,以防止攻擊者進行後續活動,或對其他威脅方出售訪問權以開展下一步行動。
  • 實施常規的網絡邊界和防火牆規則審核,以找出那些無意間獲取了互聯網訪問權限的系統。在沒有明確要求這種權限的系統上禁用RDP和其他協議。盡可能啟用多因素身份驗證,尤其是對可訪問互聯網的連接更是如此。
  • 強制實施多因素身份驗證,在啟用後不允許尚未設置多因素認證的用戶使用單因素驗證登錄。

2.執行最佳實踐

  • 例如,對在公司網絡上操作設備的所有員工進行定期的反網絡釣魚培訓。確保員工意識到威脅的存在、他們在預防威脅中的作用以及被感染後導致的潛在成本。
  • 盡可能實施網絡分段,以防止潛在的感染擴散。
  • 創建關鍵數據的常規備份,以確保業務連續性,並在可能的情況下將其存儲在異地,因為攻擊者經常將備份文件作為目標。
  • 限製本地管理員帳戶使用特定的登錄類型。
  • 使用LAPS之類的解決方案為每個系統生成唯一的本地管理員密碼。
  • 禁止將明文密碼存儲在內存中,以防止Mimikatz憑據收集操作。
  • 考慮購買涵蓋勒索軟件感染的網絡保險。

3.建立應急計劃

  • 確保在下班時間也能針對緊急情況在一定時間內發起響應。
  • 制定非工作時間緊急情況上報計劃,其中包括與組織內多個利益相關者聯繫的冗餘方法,以及任何相關的第三方供應商的24小時緊急聯繫信息。

展望

勒索軟件具有破壞性且代價高昂。近年來,威脅方的創新進一步增加了勒索軟件感染的潛在危害,而且這種趨勢並未顯示出放緩的跡象。我們預期有財務利益驅動的參與者會繼續發展他們的策略,以最大程度地利用勒索軟件感染來獲取利潤。我們預計,post-compromise的勒索軟件感染將繼續增加,並且攻擊者將越來越多地將勒索軟件的部署與其他策略(例如數據盜竊和勒索,增長的勒索需求以及針對關鍵系統的策略)結合在一起使用。

好消息是,特別是針對post-compromise的感染來說,在第一次惡意活動與勒索軟件部署之間往往存在一個時間間隔。如果網絡防御者可以快速檢測並補救最初的威脅,則可以避免重大損失,而無需為勒索軟件感染付出代價。

英文原文:

They Come in the Night: Ransomware Deployment Trends