2021年12月31日
將從定向勒索攻擊切入,結合“網絡殺傷鏈”模型,分析總結出勒索攻擊的重要流程節點與相互邏輯關系,以便用戶明確各階段防護重點。
《從八個方面認識勒索攻擊和危害》之一:勒索攻擊中的四種分工角色
《從八個方面認識勒索攻擊和危害》之二:勒索攻擊的兩種典型模式
《從八個方面認識勒索攻擊和危害》之三:慣用傳播方式與侵入途徑
勒索攻擊的手段不斷地在變化,攻擊水平也在不斷地提升,但攻擊流程的共性總是存在的。理解攻擊流程中各節點的價值,可以對其中的相關節點進行層層阻斷,幫助用戶建立更加安全縝密的防護體系。
本期內容將從定向勒索攻擊切入,結合“網絡殺傷鏈”模型,分析總結出勒索攻擊的重要流程節點與相互邏輯關系,盡可能通過簡單易懂的方式介紹“勒索攻擊殺傷鏈”,以便用戶明確各階段防護重點。
注:“網絡殺傷鏈”的概念源自軍事領域,它是一個描述攻擊環節的模型,網空威脅可劃分為7個階段,分別是“偵察-武器構建-載荷投送-突防利用-安裝植入-通信控制-達成目標”。該理論也可以用來反制此類攻擊,即“反殺傷鏈”,分別是“發現-定位-跟蹤-瞄準-打擊-達成目標”六個環節。
▲勒索攻擊殺傷鏈示意圖
攻擊者首先會收集信息以確定被攻擊目標,并偵察被攻擊目標系統的防護薄弱環節。
1. 收集基礎信息:以定向勒索攻擊為主的威脅攻擊發起前,攻擊者會通過主動掃描、網絡釣魚以及在“暗網”黑市購買等方式,收集被攻擊目標的網絡信息、身份信息、主機信息、組織信息等,如:電子郵件地址、連接互聯網的服務器等,以豐富制定攻擊計劃所需要的信息儲備。
2. 發現攻擊入口: 攻擊者通過漏洞掃描、網絡嗅探等方式,發現目標網絡和系統存在的安全隱患,找到網絡攻擊的突破口。
攻擊準備階段,攻擊者可能會根據發現的漏洞開發具有針對性的攻擊“武器”,或者通過合作的方式從其他渠道獲取成熟的攻擊“武器”;之后,攻擊者會利用在偵察階段獲取的被攻擊目標的網絡、漏洞、主機、身份和組織等畫像信息,嘗試制定攻擊計劃,并基于計劃部署參與人員、開發攻擊工具、確認技術細節等攻擊資源。
當準備工作結束,攻擊者并不能馬上發動勒索攻擊,而是需要通過網絡郵件、遠程桌面(RDP)弱口令暴力破解、僵尸網絡、網頁掛馬、軟件供應鏈、移動存儲介質、水坑攻擊等傳播與侵入途徑,將攻擊“武器”投遞到目標位置。
這一階段,攻擊者除了需要獲取更高級別的控制權限,以擴大攻擊范圍之外,還會想盡辦法繞開或關閉殺毒軟件,保障勒索攻擊實施的效率與效果。
1. 獲取控制權限: 攻擊者獲取到目標網絡和系統的控制權限后,會進一步通過修改域策略設置等方式提升自身權限。
2. 擴大攻擊范圍: 攻擊者還會再繼續尋找系統內部漏洞,通過內網橫向滲透,盡可能增加受控設備數量,擴大攻擊范圍;此外,攻擊者還會利用權限執行修改注冊表、混淆文件信息、手動退出安全防護軟件等操作,以保障勒索軟件的安裝植入效率與運行效果。
確保攻擊范圍、環境與設備可控后,攻擊者會通過腳本、手動植入等手段,部署投放勒索軟件,待受害者將其觸發或攻擊者手動啟動。
攻擊者通過建立遠程控制目標系統的路徑,以保障在對被攻擊目標實施竊密、加密的攻擊行動全程可控。
在這一階段,攻擊者會先將被攻擊目標的數據進行竊取,并在對數據完成加密后,留下勒索信息,要求受害者支付贖金。
1. 竊取數據: 獲取受害者數據(包括文本、圖片、音頻、視頻等應用數據,重要文件、磁盤引導記錄等系統數據,以及數據庫類文件),并回傳數據至指定服務器(定向勒索攻擊因事前已詳細偵察受害者,會專注竊取敏感、重要及涉密部分數據)。
2. 加密勒索: 完成數據竊取后,勒索軟件加密磁盤文件,攻擊者通常會以桌面壁紙顯示或彈窗勒索信息,也有些攻擊者會在桌面留下包含勒索信息的.txt文檔;一般內容包括:勒索攻擊的情況、攻擊者聯系方式(如“暗網”聯系方式、電子郵箱等)、贖金支付地址、贖金額度、支付時限、要求受害者盡快支付贖金的威脅施壓信息(如:不支付贖金就會曝光數據)等。
注:也有受害者每操作一次設備(哪怕正常點擊一次鼠標)就彈窗一次勒索信息的現象。
需要明確的時,在勒索攻擊中,不論是定向勒索攻擊還是非定向勒索攻擊,攻擊者的最終目的是獲得贖金,或者通過出售竊取而來的數據獲利。
通過“勒索攻擊殺傷鏈”可以發現,應對勒索攻擊的關鍵在于預防,建立安全用網規范、保持安全用網習慣、及時修補漏洞、構建動態的綜合防護體系,才能有效的層層阻斷,從根本上提升防護能力。
江蘇國駿-打造安全可信的網絡世界
為IT提升價值
http://www.jewellerybykaren.com/
免費咨詢熱線:400-6776-989
關注公眾號
獲取免費咨詢和安全服務