freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

勒索病毒防护方案 - 从安全运营视角讲起
2023-05-19 16:41:44
所属地 北京

0x00 前言

在当前新的背景下,国家政策层面上对企业的网络安全、数据安全和个人信息保护提出了更高的要求。在勒索防护领域,勒索软件除了在本地加密重要文件外,还具备了信息泄露的特性。其攻击团伙开始使用更加复杂的技术手段,发展成了自闭环产业链。攻击对象从一般民众,开始转向国家政企机关以及相关从业人员。为了防御复杂的勒索攻击,企业必须结合多种防御手段来降低被勒索的风险。

本文介绍了勒索病毒的现状,列举了时下流行的勒索病毒家族,重点分析了当下典型的勒索病毒,归纳勒索病毒发展的背后逻辑。随后,结合浪潮云的基建、勒索病毒的流行趋势、主流安全厂商的勒索防护方案,以及针对这些厂商进行勒索防护能力进行的测试结果,提出勒索防护的解决方案。

0x01 勒索病毒现状

(一)现状

2022年度勒索软件整体传播趋势相对平稳,虽然每月都有新增的勒索病毒家族,各个家族也在不断迭代,但是全年并没有出现特别大规模的勒索事件。纵观近5年的发展过程,勒索病毒形成了一条供销分明的完整产业链。勒索病毒的功能、入侵手段开始多样化,基于虚拟货币的匿名性和隐私性,以虚拟货币作为交易的方式依旧是主流。并且,勒索软件的传播手段出现了蹭热点,获利形式从单纯的经济利益,出现了表达政治主张,在地缘政治冲突中偏袒一方。可以预见,将来勒索病毒,出于某些目的,对于国家机关和政府部门的攻击将会逐渐增加。

(二)勒索病毒攻击简介

2022年的勒索病毒没有爆发性增长,整体相对平稳。RDP口令爆破依然是最常见的勒索病毒入侵传播方式,但是各种其他传播方式出现了爆发式增长,国内新出现的coffee勒索病毒体则现出了很鲜明的本土特色。

(三)勒索病毒攻击趋势

从公开数据统计来看,总体有一定波动,但是并没有出现较大的爆发现象。

1684484411_6467313bc3f439eebfa0d.png!small?1684484412456

但是勒索病毒并没有消减的趋势,根据相关数据,2022年度,每个月份均有新勒索病毒出现。

月份

新增传统勒索家族

新增双重/多重勒索家族

1

Coffee、DeadBolt、Koxic、Trap、EvilNominatus

NightSky

2

Sutur、D3adCrypt、Sojusz、Unlock、IIMxT


3

FarAttack、Venus、Sojusz、KalajaTomorr、GoodWill、AntiWar、IceFire、Acepy

Pandora

4

Pipikaki、BlockZ、Phantom、Blaze

Onyx、Industrial Spy、BlackBasta

5

7Locker、EAF、QuickBubck、PSRansom

Cheers、RansomHouse、Mindware

6

BlueSky、Agenda、Kawaii、DamaCrypt、RedTeam

Crimson Walrus、SiegedSec

7

Stop247、RoBaj、Checkmate、Luna

RedAlert、Lilith、BianLian、0mega

8

Moishsa、Filerec、iceFire、CryptOn

D0N#T (Donut Leaks)、iceFire、CryptOn、Bl00dy、DAIXIN、VSOP

9

Ballacks、BlackBit、DoyUK

z6wkg、Sparta

10

Prestige、Ransom Cartel

SexyPhotos、Azov

11

PCOK、Somnia

Royal、Play

12

Seoul、Lucknite、Blocky、HentaiLocker


图表 2 2022年月度新增勒索家族

尽管没有出现大面积爆发,但是勒索病毒的勒索金呈现逐年上升的趋势,但是2022年度的勒索收益有些许下降,但是依然高于2020年度,疑似受到大经济环境影响。双重/多重勒索家族,以及出现的勒索团伙介入地区热点事件,也可以理解为勒索团伙开始探索新的盈利模式。

1684484498_646731927771b0a8760e9.png!small?1684484498927


(四)重点勒索病毒家族分析

2022年度的勒索病毒除了传统的RDP口令爆破来实现病毒突破和扩散外,还具有一些新的特性。这些勒索团伙出现本土化,组织专业化,并且开始针对国家政企和介入地缘政治,表达政治诉求,站队,站边。下面将依次对值得单独分析的病毒进行一些细节分析。

(1)本土Coffee病毒分析

1684484538_646731bab1dec37f8e9b8.png!small?1684484539556

该病毒以其加密后的文件后缀修改为coffee.xxxx(x为随机数)因此命名。如图表 2 2022年月度新增勒索家族 所示,该病毒出现与2022年1月。为国内新出现的勒索家族。该病毒具备蠕虫性质的勒索软件,出现时并不是以主流的RDP口令爆破来实现初始突破,而是通过软件捆绑和QQ群钓鱼传播,具备非常明显的国内特色。在维持阶段会感染系统中的常用软件,在横向移动阶段会将自己发到其他QQ群中进行传播,在影响阶段,则会向玩家所要ZEC(零币)还附上了全中文教程。

在2月份的时候,该病毒出现了新的变化,开始针对高校教师和科研人员发起勒索攻击。在保留先前特性外,还会通过以《2021年度本单位职工个税补缴名单》的钓鱼邮件进行传播,目标主要是《国家自然科学基金》项目的高校教师和科研人员。

1684484576_646731e03fe530562ef1b.png!small?1684484578264

2022年12月,该勒索家族又出现新的变种。该变种对加密触发方式,加密格式,等进行了更新调整。

    • 在原有76种会被加密的文件外,新增了SQL辅助数据库文件加密;
    • 加密触发方式从原有的主动触发,变成了锁屏时,或者伪装成系统更新,在关机注销时进行加密;
    • 潜伏期最多可长达15天;
    • 使用DNS隧道技术获取C2信息;

综上所述,该病毒通过版本迭代,具备了更强的隐蔽性,提高了自身的免杀能力。

1684484603_646731fb90b2baa42372d.png!small?1684484604220

(2)国家进入紧急状态

Conti病毒首次被发现与2019年。在2022年5月8日,哥斯达黎加宣布国家进入紧急状态,理由是多个政府机构正遭到Conti勒索软件攻击。先前Conti组织就宣称对哥斯达黎加政府进行了攻击。截止2022年5月20日,该组织已经发布了大约672GB的数据,其中包含了属于哥斯达黎加政府机构的数据。

1684484694_6467325689aef9bd758b1.png!small?1684484695652

Conti勒索病毒从2019年发展至今,已经具备了一定的规模,组织团队也已经演变成一个专业化团队。在俄乌冲突中,公开支持俄罗斯。

从Conti勒索样本的二进制分析中可以看到,其工作流程在启动之后,首先会关闭一系列影响文件操作的系统服务,尽可能释放计算机文件加密的性能。然后会删除本机一切备份数据,包括但不限于SQL备份,windows磁盘备份卷。然后使用IOCP技术,对文件进行异步加密,实现高吞吐,高效率的文件加密。最后创建勒索文档。

根据乌克兰安全人员透露的信息归纳,其组织架构顶层是大老板Stern。下面分别是HR管理层,技术团队,谈判专家,有极强的专业分工。

1684484744_646732882267d058ec815.png!small?1684484745473

HR团队负责新鲜血液的招募和人力资源提效,逆向工程师和攻击团队的引入,体现了该团队非常专业的攻防突破能力。谈判专家的出现,也体现了其对价值回收环节的重视,作为黑客团伙具备极强的持续化运营能力,已经形成了完整的产业链闭环。

(3)介入地缘冲突

从病毒发展历史来看,恶意软件总会借用热点事件来扩大自己的传播范围和影响力。自Covid-19开始流行以来,到俄乌冲突至今一直未变。其总是通过热点事件中的某一个点,来进行钓鱼,达到传播自身的目的。但是俄乌冲突热点中,出现了不同的现象,勒索团伙会利用自己的攻击载荷,或者勒索文档实现或者表达自己的政治立场。

1684485038_646733ae927d738b4b9ec.png!small?1684485039388

1684485062_646733c681656f8e04432.png!small?1684485064667

1684485079_646733d7c17014b0b5cb7.png!small?1684485080501

除了勒索软件外,还出现了针对俄罗斯和乌克兰国家的数据擦除软件。本质上讲,勒索团队,尤其是具备高度组织化的勒索团伙表现出自己的政治诉求时,其攻击目标的选择就会出现倾向性,并且会让整个勒索事件的链条引入其他因素,变得复杂化,对于政企是值得关注的变化。

(五)流行核心逻辑分析

安全本质就是攻击成本和防御成本之间的成本博弈。在恶意软件的发展历史中,前期的恶意软件很少注重成本回收,只是开发成本和目标的损失之间的博弈。随后随着信息泄露等各种恶意软件的出现,开始出现了提高成本回收的手段。现今,勒索软件成为了恶意软件当下费效比最高的恶意软件类别之一。由于其完整的生态闭环尚未被有效打破,且参与的团伙还在不断挖掘成本回收的手段,在可见的未来,勒索软件还会继续发展迭代下去。

从ATT&CK的角度来看勒索软件。我们隐去无法探明和没有使用的手段,常见的手段如下表所示。

1684485109_646733f585af0238a6769.png!small?1684485109997

常见的手段如上图所示。除此之外,勒索目标的发现,合法的攻击凭证,横向移动资源发现等内容,就不在此详细罗列。

勒索软件的攻击方式和攻击手段正在逐步走向多元化,这种快速的发展形势也是近年发展出来的恶意软件中所拥有的共性特点。

勒索团伙也出现了让人惊讶的变化。LockBit在今年6月完成了其3.0版本的迭代和发布。为病毒运营,病毒投放者提供技术支持,建立了其自身的ASRC系统,发出了1000美金到100万美金的悬赏。除此之外,还为其服务器增加了抗D能力(应对Entrust的DDoS攻击)。很难想象这是一个非法团伙做的事情。从另外一个角度来说,也可以体现该团伙的高度组织化,产业链条的完整性。结合前文对Conti团伙的分析,我们不难发现,勒索团伙已经开始主动的完善自己的组织架构,出现了非常专业而且自洽的产业链。如果没有一个良好的费效比,显然是无法支撑这种发展趋势的。

1684485133_6467340de6710bdc14abe.png!small?1684485134630

2022年度,仅公开资料统计,2861次勒索,平均每次勒索既可以有490美金入账。在如此有效的费效比支撑下,勒索团伙依然在寻找更多的盈利空间和盈利模式。LockBit3.0已经开始提供“阶梯赎回”方案。本次俄乌冲突勒索团伙对自己政治立场的表达也体现了这种趋势。其攻击面从普通用户,普通企业,开始向政企蔓延,在局部冲突的大背景下,政企面临勒索团伙的攻击,其回旋空间被压缩,面临的社会舆论风险激增,极大的提高了政企的对抗成本,在攻防成本博弈之中天然处于劣势。成为这些有技术实力,高组织度团伙的攻击目标。勒索团伙也有机会引入外部政治势力的投资。

综上所述,勒索病毒能长期流行的核心逻辑是:勒索病毒具有很高的费效比,在安全攻防成本博弈中处于优势地位,且勒索团伙还在不断寻求新的盈利空间,属于上升发展的总体趋势。对于我们防守方来讲,我们将面临更加严峻的挑战,而且在地区热点阶段,政企和机关将面临更加频繁和更加具有针对性的勒索攻击。

0x02 勒索病毒防护方案

通过图表 12 勒索软件的ATT&CK杀伤链统计 的展示和分析,我们可以将勒索防护分成下面4块内容,分别对应不同的攻击阶段:

  1. 事前阶段:
    1. 安全意识教育/培训
    2. 边界防护
  2. 事中阶段:
    1. 主机查杀
  3. 事后阶段:
    1. 勒索止损

(一)防护方案概要

1684485225_646734694d4d2844836c7.png!small?1684485226455

(二)安全意识教育/培训

无论任何安全平台,安全软件,使用者都是人。人们常说科技以人为本。安全也是如此,安全以人为本。再好的安全防护体系,不提高使用者的素质,依然会成为一个千疮百孔的体系。所以安全意识教育和安全培训需要放在首位。

需要制定《软件使用规范》禁止使用盗版软件,规范正版软件的下载路径和下载方式,杜绝从三方平台下载软件的行为。提高员工邮件安全意识,做到非加密邮件和陌生邮件的附件,链接,二维码绝不下载,不点击,不扫描。由于二维码可以隐藏链接,需要尽量杜绝在邮件中使用二维码。对于陌生的外接设备要加强管理,强化陌生USB设备的管理。由此做到ATT&CK杀伤链中钓鱼环节的入侵防护。

(三)边界防护

边界防护的目标是针对 图表 12 勒索软件的ATT&CK杀伤链统计 中的部署、入侵、横向移动和窃取阶段构建的检测和防护手段。其包含整体网络边界的WAF,子网内的态势感知系统,主机边界的防火墙,HIPS,以及对横向移动行为进行检测和处置的EDR等多款安全产品。

以WAF和态势感知来应对部署和入侵阶段的钓鱼邮件,钓鱼网站访问,RDP口令爆破,服务器层面的漏洞利用。

主机边界的防火墙,HIPS,EDR等多款产品用来应对在主机测的入侵、横向移动、窃取阶段的RDP口令爆破,主机漏洞利用,聊天工具横向移动和窃取阶段的数据上传防护。

(四)主机查杀

主机查杀阶段是针对 图表 12 勒索软件的ATT&CK杀伤链统计 中的执行、维持、规避和影响阶段。其包含主机终端的攻击载荷落盘查杀,执行查杀。

查杀引擎会持续和勒索病毒进行对抗,应对勒索病毒的规避手段,同时更新病毒库引擎,针对勒索软件进行持续化清理。其核心能力指标是针对勒索病毒的覆盖率和阻断能力。

(五)勒索止损

当所有防线都被突破之后,我们需要进行止损,防止损失扩大。主要为两个方面:使用定期的数据备份恢复被勒索的数据。对于无法恢复的数据部分,以及在恢复期间产生的经济损失,可以引入勒索保险,来实现一定的经济损失补偿。

根据sophos的勒索白皮书中对5400家外国企业的调研,在勒索场景下,只有46%的厂家会支付勒索金,在这些支付勒索金到厂家中,只有61%的厂家的数据能找回。而只有4%的厂商能找回完整的数据。如此低下的数据恢复率,充分证明数据找回是不能指望勒索恢复。2022年度勒索保险的赔付率已经从2021年的77%,上升到了98%。可以成为对勒索损失的一种补偿。

勒索止损主要分成两个方案:经济补偿和数据恢复。

经济补偿主要依靠商业保险。当前国际上勒索保险也是处在刚刚起步的发展阶段,国内勒索保险领域也处在摸索阶段,尚不成熟。

数据恢复部分主要依赖数据备份产品。浪潮云拥有国内领先的数据备份产品。在勒索场景下,面对不同的客户需求可以分别采用优备或者CDP来进行数据备份。

1684485330_646734d248ffc85de5b3b.png!small?1684485330993

优备具备成本较低,备份策略灵活的特点。当采用异地备份方案的时候可以防止勒索病毒造成的用户数据永久损失。而CDP的备份周期短,但是相对的存储成本较高,可以用来保护实时性较高的高价值数据。

0x03 结论

勒索病毒开始出现本土化,攻击手段复杂化,加密手段复杂化的趋势。让防御成本逐渐上升。同时,勒索病毒开始把攻击目标从普通企业和普通个人,逐渐转向了政企和国家机关,以此谋求更大的利益。我们结合浪潮云的基建,按照主机安全厂商测试结果和勒索防护方案的设计,给出如下的勒索防护解决方案。

  • 加强安全意识教育和培训。防止不当操作导致的安全事故。
  • 在边界防护和主机防护方面,需要搭建WAF、HIPS和EDR系统,覆盖不同的边界防护阶段需求。
  • 在勒索止损方面,根据用户自身数据的价值,可以使用浪潮云的优备或者CDP来实现数据异地备份和数据的快速恢复,最大化降低勒索带来的数据损失。
# 资讯 # web安全 # 数据安全 # 企业安全 # 网络安全技术
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录