2021年12月30日
可能部分用戶還沒有認識到,如今的網絡環境的每一步應用場景,幾乎都有可能被攻擊者利用成勒索攻擊的傳播方式與侵入途徑。
基于歷史勒索攻擊分 析報告及相關資料,將目前已知的攻擊者慣用傳播方式與侵入途徑進行了歸類整理,通過本文呈現,旨在為用戶制定勒索攻擊防護方案時提供參考。
一般為垃圾郵件、釣魚郵件與魚叉式釣魚郵件,邏輯是通過郵件中的時事熱點信息或與受害者相關的內容(包括標題),誘使用戶點擊或運行內嵌了勒索軟件的附件(格式多為Word文檔、Excel表格、JavaScript腳本或exe文件等),或打開郵件正文中的惡意鏈接。用戶一旦進行相關操作,勒索軟件將會自動下載和運行。
垃圾郵件在非定向勒索攻擊中較為常見,以“廣撒網”的方式進行傳播,郵件內容一般為時事熱點、廣告、促銷信息或偽裝成打招呼郵件(如標題為“好久不見”等)。
釣魚郵件與魚叉式釣魚郵件則常用于定向勒索攻擊中,由于攻擊者通常在事前已通過偵察手段獲取到了受害者的相關信息,因此會將郵件包裝成官方或工作伙伴發送的郵件(如:“XX最新政策信息”、“XX年度XX工作表”、“公司將升級XX系統”等相關標題與內容),甚至會模仿熟人發信的語氣,增加收件人上當的概率。
這類傳播及侵入的目標多為企業、高校、醫院機構等單位,這些單位組織中的本地設備通常保存有較重要的文件,一旦侵入成功,即可造成極大威脅。
例:安天曾在《LooCipher勒索軟件分析報告》中指出:LooCipher勒索軟件主要通過垃圾郵件進行傳播,郵件附件為包含惡意宏代碼的Word文檔。該文檔誘使用戶啟用宏以查看文檔內容,宏代碼的功能為連接Tor服務器并下載執行程序,將該文件重命名為LooCipher.exe,然后執行該文件。
攻擊者利用各類系統或軟件漏洞(包括已公開且已發布補丁的漏洞)組合,或通過黑色產業鏈中的漏洞利用套件(如:Exploit Kit)來傳播勒索軟件。
由于未能及時修補漏洞,因此用戶即便沒有不安全用網行為,也可能遭到攻擊者侵入;同時,攻擊者還會掃描同一網絡中存在漏洞的其他設備,以擴大威脅攻擊范圍。
例:“魔窟”(WannaCry)就是利用Windows操作系統中,名為“永恒之藍”的安全漏洞進行全球范圍傳播的。
由于部分服務器會使用弱口令(可簡單理解為復雜度較低的密碼)遠程登錄,攻擊者便利用這一弱點實施暴力破解,實現遠程登陸并手動下載運行勒索軟件。譬如:通過弱口令嘗試暴力破解RDP端口、SSH端口和數據庫端口等。
即使服務器安裝了安全軟件,攻擊者也可手動將其退出。該手段具有較高的隱蔽性、機動性,因此極難被安全軟件發現。
例:2021年3月,安天就曾發布《對HelpYou勒索軟件的分析報告》,發現該勒索軟除了通過郵件之外,還可以利用RDP弱口令滲透進行傳播。
僵尸網絡是指:采用一種或多種傳播方式,將大量主機感染bot程序(僵尸程序)病毒,從而在控制者和被感染主機之間所形成的一個可一對多控制的網絡。
例:攻擊者利用已經被僵尸網絡控制的系統主機進行病毒傳播,特點是傳播范圍廣,隱秘性高,感染速度快。2021年8月,安天發布了《對AstraLocker勒索軟件的分析報告》,該勒索軟件主要通過垃圾郵件和僵尸網絡進行傳播。
攻擊者會向網頁代理投放廣告(彈窗廣告、懸浮窗廣告等),并在其中植入跳轉鏈接,從而避開針對廣告系統的安全機制,誘導用戶點擊廣告、訪問網站并觸發惡意代碼,進而下載勒索軟件并執行。
有些攻擊者則會選擇直接攻擊網站,并植入惡意代碼,用戶一旦訪問就會感染。
也有一些攻擊者會自主搭建包含惡意代碼的網站,或者仿造制作與知名站點相似的“假網站”,以此來誘騙用戶訪問。
例:安天在《對Maze勒索軟件的分析》中發現,該勒索軟件擅長使用FalloutEK漏洞利用工具,或通過網頁掛馬的方式傳播;被掛馬的網頁,多用于黃賭毒以及某些軟件內嵌的廣告頁面等。
軟件供應鏈攻擊是指利用軟件供應商與最終用戶之間的信任關系,在合法軟件正常傳播、安裝和升級過程中,通過軟件供應商的各種疏忽或漏洞,對合法軟件進行劫持或篡改,從而繞過傳統安全產品檢查達到傳播侵入的攻擊類型。
例:2021年7月3日,美國技術管理軟件供應商Kaseya遭遇REvil勒索軟件的攻擊。REvil團伙在Kaseya供應鏈攻擊中利用了0day漏洞。據媒體報道,至少有1000家企業受到了攻擊的影響,受害者來自至少17個國家,包括英國、南非、加拿大、阿根廷、墨西哥、印度尼西亞、新西蘭和肯尼亞等。而REvil勒索團伙當時索要的贖金高達7000萬美元。
攻擊者通過隱藏U盤、移動硬盤等移動存儲介質中的原有文件,創建與移動存儲介質盤符、圖標等相同的快捷方式并植入病毒,一旦用戶點擊就會運行勒索軟件,或運行專門用于收集和回傳設備信息的木馬程序,便于未來實施針對性的勒索軟件攻擊行為。
由于PE類文件(常見后綴為exe、dll、ocx、sys、com的都是PE文件)被感染后具有了感染其他文件的能力,如果此文件被用戶攜帶(U盤、移動硬盤、網絡上傳等)到別的設備上運行,就會使得其他設備的文件也被全部感染。許多內網隔離環境,就是被藏在移動存儲介質里的惡意軟件感染的。
例:2021年3月,安天捕獲到的BleachGap勒索軟件就具備添加自啟動、改寫MBR、通過可移動介質傳播等多項特征。
攻擊者在受害者必經之路設置了一個“水坑(陷阱)”,致使受害者上當。譬如:攻擊者會分析攻擊目標的上網活動規律,尋找攻擊目標經常訪問的網站的弱點,先將此網站“攻破”并植入攻擊代碼,一旦攻擊目標訪問該網站就會“中招”。
例:勒索軟件“Bad Rabbit”就曾采用水坑攻擊的方式傳播,通過偽裝成Adobe flashplayer欺騙用戶安裝,感染后會在局域網內擴散。
江蘇國駿-打造安全可信的網絡世界
為IT提升價值
http://www.jewellerybykaren.com/
免費咨詢熱線:400-6776-989
關注公眾號
獲取免費咨詢和安全服務