当谈到勒索软件攻击时,大多数时候没有“确凿的证据”来提示防御者发生了什么。相反,在攻击的不同阶段,往往有许多不同的危害迹象,当单独来看时,这些指标似乎是良性的。因此,重要的是尽早确定尽可能多的危害迹象,然后确定它们是否符合事实,这使分析师能够在攻击链中及早发现勒索软件攻击的初始阶段。
这对防止攻击至关重要,因为安全团队必须在勒索软件攻击深入之前采取行动,并在数据外泄和加密之前采取行动,不幸的是,安全团队要识别勒索软件攻击的早期阶段,需要进行大量的手动威胁搜索和调查工作,更不用说确定他们看到的指标是否具有相关性了,这阻碍了安全团队在攻击深入之前获得阻止攻击的机会的能力,勒索软件被“引爆”。
这些关键阶段是什么?你和你的安全团队如何在每个阶段检测勒索软件?让我们深入了解一下。
第一个阶段:建立立足点
勒索软件攻击的第一阶段是建立立足点。在攻击者获得网络的初始访问权限后,攻击进入此阶段。最初的入侵可以通过许多不同的方式实现,但通常从电子邮件钓鱼开始,黑客还可以从酒店或员工热点等公共Wi-Fi中心获取数据,这最终导致他们在公司设备上安装初始勒索软件组件,并期望员工重新连接到主要公司网络,在那里攻击可以进行并建立立足点。
下一步,勒索软件将建立命令和控制服务器的连接,然后确定如何进一步渗透到网络中并横向移动,以找到关键或敏感数据的存放位置,例如,黑客可以使用远程访问特洛伊木马来访问主机,然后,黑客将探索网络,识别主机服务,并尝试将这些连接映射回集中式应用程序,如数据库。如果攻击者能够绕过当前的访问规则或窃取凭据以更有效地在网络中移动,那就更好了。
在这个早期阶段,你如何既检测到勒索软件又阻止其发展?它需要识别整个网络中奇怪或不寻常的用户和实体行为,例如访问其工作范围之外的文件、在网络上安装外部非公司批准的软件、查看DNS查询等。
其中许多活动可能表示正常的IT管理员活动,因此关键是能够识别与用户正常行为的区别。为此,安全团队需要部署将用户行为分析和机器学习相结合的安全解决方案(例如,下一代SIEM解决方案)。如果安全团队看不到这一活动,他们就无法在早期阶段阻止勒索软件。
第二个阶段:提升特权并横向移动
权限提升和横向移动阶段涉及进一步访问网络上的其他系统。在获得组织网络的访问权限后,黑客将绘制出他们可以安装勒索软件的所有地点,这一过程涉及黑客侦察网络中的敏感信息、文件、应用程序或任何可能对公司造成损害的东西,以便他们可以利用网络获得大笔赎金。获得对可能包含更敏感信息的更大数据库的访问权限,将导致更严重的勒索软件攻击,并对黑客来说,获得更大金额的赎金。
一旦黑客访问了包含大量敏感信息的数据库或控制了网络,攻击者将开始在不同地区部署PuTTY等软件,进一步建立他们的立足点,并为他们的勒索软件创建备份,以防他们被发现。
这类事件的最新例子发生在拉斯维加斯,黑客组织Sundant Spider对米高梅的物业发动了勒索软件攻击。黑客冒充他们在LinkedIn上找到的一名米高梅员工,通过呼叫公司的IT帮助台并假扮成该员工进入了米高梅的内部系统和网络。通过伪造凭证进入网络后,黑客引爆勒索软件,关闭老虎机,将客人锁在房间外,并对公司的网络和应用程序造成其他损害。
你如何检测权限提升和横向移动是否正在发生?这种情况正在发生的一个明显迹象是,你的网络中安装了新的未经授权的应用程序。如果下载了PuTTY等应用程序,这可能是一个重大危险信号,该应用程序可能正在将危险文件传输到网络。其他危害迹象包括:
- 访问网站基础设施
- 查找特定的DNS地址
- 连接到Dropbox等外部云服务
同样,这些迹象可能很难区分,因为这些操作看起来可能是由某个有权访问敏感数据的人做出的,但实际上是黑客在网络上模仿它们。
第三个阶段:安装勒索软件
一旦黑客找到关键数据,他们就会开始下载实际的勒索软件有效载荷,他们可能会泄露数据,设置加密密钥,然后对重要数据进行加密,此阶段的危害迹象包括与命令和控制服务器的通信、数据移动(如果攻击者在加密之前泄漏了重要数据)以及围绕加密流量的异常活动。
在此阶段进行检测需要更先进的安全产品协同工作,将不同类型的分析模型链接在一起是在涉及勒索软件时捕获次要危害指标的有效方法,因为它们实时收集网络上的上下文,使安全团队能够在发生异常行为时识别它。
如果安全警报被触发,这些其他分析可以提供更多的上下文,以帮助识别更大的攻击是否以及如何发生,但许多成功的勒索软件攻击根本不会触发杀毒软件,因此收集用户行为的准确图景并将众多指标汇编成连贯的时间表至关重要。
虽然组织可能很难检测勒索软件攻击,但能够识别勒索软件攻击的所有细微危害迹象将帮助你的组织了解攻击处于哪个阶段,以及你可以做些什么来阻止它的发展。虽然这些危害迹象本身可能不具备参考价值,但将所有这些连接在一起的能力至关重要,通过使用机器学习技术以及行为分析和模型链,你的组织将拥有检测和减轻勒索软件攻击造成的损害所需的工具。