當談到勒索軟件攻擊時，大多數時候沒有“確鑿的證據”來提示防御者發生了什么。相反，在攻擊的不同階段，往往有許多不同的危害跡象，當單獨來看時，這些指標似乎是良性的。因此，重要的是盡早確定盡可能多的危害跡象，然后確定它們是否符合事實，這使分析師能夠在攻擊鏈中及早發現勒索軟件攻擊的初始階段。

這對防止攻擊至關重要，因為安全團隊必須在勒索軟件攻擊深入之前采取行動，并在數據外泄和加密之前采取行動，不幸的是，安全團隊要識別勒索軟件攻擊的早期階段，需要進行大量的手動威脅搜索和調查工作，更不用說確定他們看到的指標是否具有相關性了，這阻礙了安全團隊在攻擊深入之前獲得阻止攻擊的機會的能力，勒索軟件被“引爆”。

這些關鍵階段是什么?你和你的安全團隊如何在每個階段檢測勒索軟件?讓我們深入了解一下。

第一個階段：建立立足點

勒索軟件攻擊的第一階段是建立立足點。在攻擊者獲得網絡的初始訪問權限后，攻擊進入此階段。最初的入侵可以通過許多不同的方式實現，但通常從電子郵件釣魚開始，黑客還可以從酒店或員工熱點等公共Wi-Fi中心獲取數據，這最終導致他們在公司設備上安裝初始勒索軟件組件，并期望員工重新連接到主要公司網絡，在那里攻擊可以進行并建立立足點。

下一步，勒索軟件將建立命令和控制服務器的連接，然后確定如何進一步滲透到網絡中并橫向移動，以找到關鍵或敏感數據的存放位置，例如，黑客可以使用遠程訪問特洛伊木馬來訪問主機，然后，黑客將探索網絡，識別主機服務，并嘗試將這些連接映射回集中式應用程序，如數據庫。如果攻擊者能夠繞過當前的訪問規則或竊取憑據以更有效地在網絡中移動，那就更好了。

在這個早期階段，你如何既檢測到勒索軟件又阻止其發展?它需要識別整個網絡中奇怪或不尋常的用戶和實體行為，例如訪問其工作范圍之外的文件、在網絡上安裝外部非公司批準的軟件、查看DNS查詢等。

其中許多活動可能表示正常的IT管理員活動，因此關鍵是能夠識別與用戶正常行為的區別。為此，安全團隊需要部署將用戶行為分析和機器學習相結合的安全解決方案(例如，下一代SIEM解決方案)。如果安全團隊看不到這一活動，他們就無法在早期階段阻止勒索軟件。

第二個階段：提升特權并橫向移動

權限提升和橫向移動階段涉及進一步訪問網絡上的其他系統。在獲得組織網絡的訪問權限后，黑客將繪制出他們可以安裝勒索軟件的所有地點，這一過程涉及黑客偵察網絡中的敏感信息、文件、應用程序或任何可能對公司造成損害的東西，以便他們可以利用網絡獲得大筆贖金。獲得對可能包含更敏感信息的更大數據庫的訪問權限，將導致更嚴重的勒索軟件攻擊，并對黑客來說，獲得更大金額的贖金。

一旦黑客訪問了包含大量敏感信息的數據庫或控制了網絡，攻擊者將開始在不同地區部署PuTTY等軟件，進一步建立他們的立足點，并為他們的勒索軟件創建備份，以防他們被發現。

這類事件的最新例子發生在拉斯維加斯，黑客組織Sundant Spider對米高梅的物業發動了勒索軟件攻擊。黑客冒充他們在LinkedIn上找到的一名米高梅員工，通過呼叫公司的IT幫助臺并假扮成該員工進入了米高梅的內部系統和網絡。通過偽造憑證進入網絡后，黑客引爆勒索軟件，關閉老虎機，將客人鎖在房間外，并對公司的網絡和應用程序造成其他損害。

你如何檢測權限提升和橫向移動是否正在發生?這種情況正在發生的一個明顯跡象是，你的網絡中安裝了新的未經授權的應用程序。如果下載了PuTTY等應用程序，這可能是一個重大危險信號，該應用程序可能正在將危險文件傳輸到網絡。其他危害跡象包括：

• 訪問網站基礎設施
• 查找特定的DNS地址
• 連接到Dropbox等外部云服務

同樣，這些跡象可能很難區分，因為這些操作看起來可能是由某個有權訪問敏感數據的人做出的，但實際上是黑客在網絡上模仿它們。

第三個階段：安裝勒索軟件

一旦黑客找到關鍵數據，他們就會開始下載實際的勒索軟件有效載荷，他們可能會泄露數據，設置加密密鑰，然后對重要數據進行加密，此階段的危害跡象包括與命令和控制服務器的通信、數據移動(如果攻擊者在加密之前泄漏了重要數據)以及圍繞加密流量的異?；顒?。

在此階段進行檢測需要更先進的安全產品協同工作，將不同類型的分析模型鏈接在一起是在涉及勒索軟件時捕獲次要危害指標的有效方法，因為它們實時收集網絡上的上下文，使安全團隊能夠在發生異常行為時識別它。

如果安全警報被觸發，這些其他分析可以提供更多的上下文，以幫助識別更大的攻擊是否以及如何發生，但許多成功的勒索軟件攻擊根本不會觸發殺毒軟件，因此收集用戶行為的準確圖景并將眾多指標匯編成連貫的時間表至關重要。

雖然組織可能很難檢測勒索軟件攻擊，但能夠識別勒索軟件攻擊的所有細微危害跡象將幫助你的組織了解攻擊處于哪個階段，以及你可以做些什么來阻止它的發展。雖然這些危害跡象本身可能不具備參考價值，但將所有這些連接在一起的能力至關重要，通過使用機器學習技術以及行為分析和模型鏈，你的組織將擁有檢測和減輕勒索軟件攻擊造成的損害所需的工具。