文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

勒索软件:提防13种技术、工具和程序(TTP)

2024-12-03 07:29

关注

勒索软件正在继续困扰着众多组织,而且问题似乎只会日趋严重。因此,各类目标组织(包括政府机构和私人企业等)的捍卫者必须寻求更有效的防御措施才能更好地抵御这种威胁。

理想状态下,这些防御措施应该包括组织主动寻找已知的勒索软件攻击者所使用的策略、技术和程序(TTP)。这种威胁捕获可以帮助防御者在侦查阶段发现攻击,以阻止攻击者进一步实现数据泄露或系统锁定的恶意目的。

但是,具体应该如何做呢?

首先,也许我们应该先要接受现行的防御措施不起作用的事实。确实,勒索软件事件响应公司Coveware报告称,勒索软件仍在继续为网络犯罪分子创造丰厚利润。

【这些是Coveware每季度调查的数千起案件中的受害者所支付的平均和中位数赎金。尽管平均值最近有所下降,但总体利润仍然很高。】

勒索软件防御的状态似乎并没有改善,或者至少可以说,根本赶不上攻击者不断创新的速度。安全公司Emsisoft在《勒索软件趋势综述》中表示,去年,至少有113个联邦、州、县和市政府及机构受到勒索软件的影响,而与此同时,勒索软件的数量与2019年受到影响的数量完全相同。此外,去年,全球有1300多家公司(大多数为美国企业)丢失了包括知识产权和其他敏感信息在内的数据。

当然,这些数字还只是包括那些公开报告自身曾遭受勒索软件感染,或是被盗数据出现在泄露站点上的企业。由于此类犯罪活动的漏报率很高,所以可以肯定的是,勒索软件的实际攻击水平可能远远高出所报告的水平。

但是值得注意的是,Emsisoft公司通过对比2019年与2020年的数据,结果并未发现勒索软件受害者的数量有增长的趋势,反而,基本持平。

Emsisoft该公司威胁顾问Brett Callow表示,

大型勒索软件运营商对技术专家需求激增

McAfee Advanced Threat Research网络调查和红队负责人John Fokker表示,鉴于勒索软件可能带来的潜在利润,越来越多的运营商纷纷加入勒索软件市场,并不断扩大其人才规模。成功的大型运营商所寻求的一些顶级技能包括:渗透测试-使用Metasploit和Cobalt Strike等工具。除此之外,还需要熟悉系统管理工具和环境,包括网络连接的存储和备份(例如,使用Microsoft Hyper-V)。

VMware网络安全战略负责人Tom Kellermann表示,无论对被入侵的系统造成什么影响,获得组织访问权限并保留该访问权限仍然是重中之重。一般而言,勒索软件具有14种以上的规避技术。其中包括虚拟化、逃避沙箱、修改注册表、混淆文件和禁用安全工具等等。

但是最重要的,还是要得益于rootkit的复兴。在更高层次上,rootkit是一系列工具或技术的集合,可让恶意软件潜入系统深层,对操作系统不可见。计算机处理器有不同层次的执行权限(ring 0-3),攻击者可利用这些权限层次来玩弄运行在高层的程序。例如,Windows和Linux之类的操作系统,有用户空间和内核空间之分。在最高层,你只需要知道内核空间(ring0)比用户空间(ring3)权限高就行了。如果你有个程序需要列出目录中的文件列表,你可以调用用户空间函数来做这事,但调用内核函数同样可以。

如果恶意程序获得内核权限,就可以“欺骗”运行在用户空间的程序。因此,如果某程序以用户空间函数调用来扫描文件系统,内核rootkit就可以在它解析文件的时候欺骗之。在该用户空间函数扫描到恶意文件的时候,rootkit可以骗它说,“这些不是你要找的文件”,或者更具体讲,就是简单地绕过这些文件,不将它们作为该用户空间程序的执行结果加以返回。

简言之,恶意软件有时候可以用rootkit功能对本地反病毒(AV)软件隐身——通过对操作系统本身隐藏文件、网络连接或其他东西。

可以说,rootkit的复兴改变了游戏规则,尤其是当我们看到“反事件响应”——从删除日志到实际破坏基础架构或数据在内的所有事情——激增时。但是,攻击者入侵后的头等大事通常是加剧受害者的恢复难度。首先,他们会渗透备份,以阻止其恢复进程。

基础防御

对于企业组织来说,任务很明确:拥有完善的勒索软件防御措施及其他准备。

网络安全公司FireEye在最近的一份报告中表示,

另一项重要的防御措施:使所有软件保持最新状态。根据调查显示,利用尚未修补的已知漏洞仍然“是威胁参与者中最流行的初始访问媒介之一”,尤其是对那些针对更大型目标以获取更多赎金的大型游戏猎人而言。

专家还建议使用多因素身份验证来保护远程桌面协议和虚拟网络访问。如果没有多因素身份验证,攻击者只需要强行使用或窃取有效的凭据即可远程访问系统。而如果具有多因素身份验证,即便攻击者获取正确的凭据,也不可能仅通过使用这些凭据来进行远程访问。

最后,培训员工(尤其是网络安全团队),以更好地预防和应对此类攻击仍然至关重要。

威胁捕获:提防13种TTP

为了更好地确定何时遭到了破坏,专家建议组织主动寻找可能在其网络内部的勒索软件攻击者。以下是勒索软件运营者在攻击活动中广泛应用的一些策略、技术和程序(TTP),组织必须进行监控:

一切准备都会有回报

将资源用于威胁捕获和监视已知的TTP,以及部署必要的防御措施,并不能阻止所有使用勒索软件的攻击者。组织仍然可能会沦为目标,并且受到损害,因此,制定预防和恢复策略同样至关重要,这包括实施完善的事件响应策略。

但是,企业组织可以竭尽所能增加勒索软件攻击者的攻击难度,这可能会使犯罪分子放弃对其进行攻击转而攻击其他地方。同样地,不断完善响应策略可以更好地抑制正在进行的攻击所带来的影响,从网络中驱逐攻击者,并且更快地减轻损害。与勒索软件防御的所有方面一样,一切准备和机会都一定会有回报的。

本文翻译自:https://www.bankinfosecurity.com/ransomware-beware-13-tactics-tools-procedures-a-16072?rf=2021-03-01_ENEWS_SUB_BIS__Slot1_ART16072&mkt_tok=eyJpIjoiTVdJeE9USXlOek01WmpJdyIsInQiOiJxMFh2RTZjbjBpaHRKQkFJamhmSlE2UXNGWUl4ekRVM2lOcU1yT1g4ZmdXRzYzWTVYNmk3aEJTQmtCOThVcll1KzA0SUMxdjdrVndOQWFNSHd5QUZmOHpqSXJNXC9EQ1pzaGE1eldvbEpZVUhDQ0pDM0Qxb3Y4KysxOUlmQ1BQUVkifQ%3D%3D如若转载,请注明原文地址。

 

来源:嘶吼网内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯