勒索軟件正在繼續困擾著眾多組織，而且問題似乎只會日趨嚴重。因此，各類目標組織(包括政府機構和私人企業等)的捍衛者必須尋求更有效的防御措施才能更好地抵御這種威脅。

理想狀態下，這些防御措施應該包括組織主動尋找已知的勒索軟件攻擊者所使用的策略、技術和程序(TTP)。這種威脅捕獲可以幫助防御者在偵查階段發現攻擊，以阻止攻擊者進一步實現數據泄露或系統鎖定的惡意目的。

但是，具體應該如何做呢?

首先，也許我們應該先要接受現行的防御措施不起作用的事實。確實，勒索軟件事件響應公司Coveware報告稱，勒索軟件仍在繼續為網絡犯罪分子創造豐厚利潤。

【這些是Coveware每季度調查的數千起案件中的受害者所支付的平均和中位數贖金。盡管平均值最近有所下降，但總體利潤仍然很高。】

勒索軟件防御的狀態似乎并沒有改善，或者至少可以說，根本趕不上攻擊者不斷創新的速度。安全公司Emsisoft在《勒索軟件趨勢綜述》中表示，去年，至少有113個聯邦、州、縣和市政府及機構受到勒索軟件的影響，而與此同時，勒索軟件的數量與2019年受到影響的數量完全相同。此外，去年，全球有1300多家公司(大多數為美國企業)丟失了包括知識產權和其他敏感信息在內的數據。

當然，這些數字還只是包括那些公開報告自身曾遭受勒索軟件感染，或是被盜數據出現在泄露站點上的企業。由于此類犯罪活動的漏報率很高，所以可以肯定的是，勒索軟件的實際攻擊水平可能遠遠高出所報告的水平。

但是值得注意的是，Emsisoft公司通過對比2019年與2020年的數據，結果并未發現勒索軟件受害者的數量有增長的趨勢，反而，基本持平。

Emsisoft該公司威脅顧問Brett Callow表示，

• “盡管2020年的新冠疫情導致全球向遠程工作過渡，但是與2019年相比，2020年受勒索軟件影響數量仍然相對持平。這可能是因為疫情給網絡犯罪造成的問題與對組織造成的問題一樣多。由于全球辦公模式改變，攻擊面也隨之發生了變化，威脅行為者也需要花費時間進行調整-這可能就是疫情初期勒索事件數量大幅下降的原因所在。”

大型勒索軟件運營商對技術專家需求激增

McAfee Advanced Threat Research網絡調查和紅隊負責人John Fokker表示，鑒于勒索軟件可能帶來的潛在利潤，越來越多的運營商紛紛加入勒索軟件市場，并不斷擴大其人才規模。成功的大型運營商所尋求的一些頂級技能包括：滲透測試-使用Metasploit和Cobalt Strike等工具。除此之外，還需要熟悉系統管理工具和環境，包括網絡連接的存儲和備份(例如，使用Microsoft Hyper-V)。

VMware網絡安全戰略負責人Tom Kellermann表示，無論對被入侵的系統造成什么影響，獲得組織訪問權限并保留該訪問權限仍然是重中之重。一般而言，勒索軟件具有14種以上的規避技術。其中包括虛擬化、逃避沙箱、修改注冊表、混淆文件和禁用安全工具等等。

但是最重要的，還是要得益于rootkit的復興。在更高層次上，rootkit是一系列工具或技術的集合，可讓惡意軟件潛入系統深層，對操作系統不可見。計算機處理器有不同層次的執行權限(ring 0-3)，攻擊者可利用這些權限層次來玩弄運行在高層的程序。例如，Windows和Linux之類的操作系統，有用戶空間和內核空間之分。在最高層，你只需要知道內核空間(ring0)比用戶空間(ring3)權限高就行了。如果你有個程序需要列出目錄中的文件列表，你可以調用用戶空間函數來做這事，但調用內核函數同樣可以。

如果惡意程序獲得內核權限，就可以“欺騙”運行在用戶空間的程序。因此，如果某程序以用戶空間函數調用來掃描文件系統，內核rootkit就可以在它解析文件的時候欺騙之。在該用戶空間函數掃描到惡意文件的時候，rootkit可以騙它說，“這些不是你要找的文件”，或者更具體講，就是簡單地繞過這些文件，不將它們作為該用戶空間程序的執行結果加以返回。

簡言之，惡意軟件有時候可以用rootkit功能對本地反病毒(AV)軟件隱身——通過對操作系統本身隱藏文件、網絡連接或其他東西。

可以說，rootkit的復興改變了游戲規則，尤其是當我們看到“反事件響應”——從刪除日志到實際破壞基礎架構或數據在內的所有事情——激增時。但是，攻擊者入侵后的頭等大事通常是加劇受害者的恢復難度。首先，他們會滲透備份，以阻止其恢復進程。

基礎防御

對于企業組織來說，任務很明確：擁有完善的勒索軟件防御措施及其他準備。

網絡安全公司FireEye在最近的一份報告中表示，

• “組織需要為勒索軟件攻擊做好準備。這意味著要確保將網絡分割開來，確保已制定了實際計劃，并已與高級領導者和其他關鍵人員進行了桌面練習，以便每個人都準備采取最佳行動。組織應制定事件響應服務級別協議(SLA)。 他們還應該建立安全的備份，以便團隊在必要時可以利用該備份完成恢復。”

另一項重要的防御措施：使所有軟件保持最新狀態。根據調查顯示，利用尚未修補的已知漏洞仍然“是威脅參與者中最流行的初始訪問媒介之一”，尤其是對那些針對更大型目標以獲取更多贖金的大型游戲獵人而言。

專家還建議使用多因素身份驗證來保護遠程桌面協議和虛擬網絡訪問。如果沒有多因素身份驗證，攻擊者只需要強行使用或竊取有效的憑據即可遠程訪問系統。而如果具有多因素身份驗證，即便攻擊者獲取正確的憑據，也不可能僅通過使用這些憑據來進行遠程訪問。

最后，培訓員工(尤其是網絡安全團隊)，以更好地預防和應對此類攻擊仍然至關重要。

威脅捕獲：提防13種TTP

為了更好地確定何時遭到了破壞，專家建議組織主動尋找可能在其網絡內部的勒索軟件攻擊者。以下是勒索軟件運營者在攻擊活動中廣泛應用的一些策略、技術和程序(TTP)，組織必須進行監控：

• AdFind：Group-IB說，這種命令行Active Directory工具像眾多合法實用程序一樣，被許多網絡犯罪分子使用。
• 高級IP掃描程序(Advanced IP Scanner)：開發人員Famatech表示，其免費的網絡掃描程序“可以顯示所有網絡設備，使您能夠訪問共享文件夾，可以遠程控制計算機(通過RDP和Radmin)，甚至可以遠程關閉計算機。”攻擊者有時候還會簡單地將其從官網上下載到系統中，作為其網絡滲透工作的一部分。
• “銀行”木馬：Trickbot和Qakbot一開始都是屬于銀行木馬惡意軟件類型，后來經過重新設計主要用于幫助犯罪團伙獲取對系統的初始訪問權限，然后釋放其他類型的惡意軟件，包括勒索軟件?？ò退够鶎嶒炇胰蜓芯颗c分析團隊的Ariel Jungheit表示，由于這種類型的惡意軟件和勒索軟件之間的交集越來越多，我們認為公司應該更仔細地調查感染，而不是僅僅重新構想機器然后繼續前進。
• BitLocker驅動器加密(BitLocker Drive Encryption)：如今，該工具已經內置于Windows的最新版本中，除非得到正確管理，否則攻擊者可以使用它對每臺個人電腦(PC)進行強制加密。VMware安全策略負責人Rick McElroy警告稱，要知道，勒索系統并不總是需要惡意軟件才能實現。
• ClearLock：攻擊者正使用這種屏幕鎖定工具，使系統管理員和其他人員無法登錄并取消加密過程。
• 云存儲(Cloud Storage)：勒索軟件運營者通常使用云存儲從受感染的網絡中竊取敏感數據。攻擊者用來發送竊取數據的前三個站點是Google Drive、Amazon Simple Storage Service和Mega文件共享服務。
• Cobalt Strike：約70%的犯罪團伙使用該滲透測試工具參與大型游戲狩獵活動。
• 漏洞：勒索軟件團伙非常鐘愛遠程訪問服務中的漏洞，例如Pulse Secure中的CVE-2019-11510漏洞以及Pulse Secure、Fortinet和Palo Alto產品中的漏洞。這些漏洞可以使攻擊者輕松地遠程訪問受害者的基礎架構。
• IObit卸載程序：該Windows實用程序旨在安裝不需要的文件。犯罪分子經常使用該工具停用或幫助規避防病毒軟件。
• Mimikatz：這款免費工具可用于轉儲Windows密碼，并幫助攻擊者提升特權。目前，該工具仍被廣泛應用，通常情況下，部署這些工具時，攻擊者甚至不必費心重新命名或嘗試隱藏它。
• NLBrute：旨在暴力破解各種RDP密碼。
• NS2：擁有惡意軟件的黑客使用該實用程序來安裝可用的網絡驅動器和共享，以使他們的惡意代碼傳播得更遠。
• PsExec：這是一個輕型的telnet替代工具，它使您無需手動安裝客戶端軟件即可執行其他系統上的進程，并且可以獲得與控制臺應用程序相當的完全交互性。它最強大的功能之一是在遠程系統和遠程支持工具(如IpConfig)中啟動交互式命令提示窗口，以便顯示無法通過其他方式顯示的有關遠程系統的信息。許多犯罪團伙正利用它來幫助摧毀受害者組織。

一切準備都會有回報

將資源用于威脅捕獲和監視已知的TTP，以及部署必要的防御措施，并不能阻止所有使用勒索軟件的攻擊者。組織仍然可能會淪為目標，并且受到損害，因此，制定預防和恢復策略同樣至關重要，這包括實施完善的事件響應策略。

但是，企業組織可以竭盡所能增加勒索軟件攻擊者的攻擊難度，這可能會使犯罪分子放棄對其進行攻擊轉而攻擊其他地方。同樣地，不斷完善響應策略可以更好地抑制正在進行的攻擊所帶來的影響，從網絡中驅逐攻擊者，并且更快地減輕損害。與勒索軟件防御的所有方面一樣，一切準備和機會都一定會有回報的。

本文翻譯自：https://www.bankinfosecurity.com/ransomware-beware-13-tactics-tools-procedures-a-16072?rf=2021-03-01_ENEWS_SUB_BIS__Slot1_ART16072&mkt_tok=eyJpIjoiTVdJeE9USXlOek01WmpJdyIsInQiOiJxMFh2RTZjbjBpaHRKQkFJamhmSlE2UXNGWUl4ekRVM2lOcU1yT1g4ZmdXRzYzWTVYNmk3aEJTQmtCOThVcll1KzA0SUMxdjdrVndOQWFNSHd5QUZmOHpqSXJNXC9EQ1pzaGE1eldvbEpZVUhDQ0pDM0Qxb3Y4KysxOUlmQ1BQUVkifQ%3D%3D如若轉載，請注明原文地址。