写在前面:这篇文章包括3部分,都是为了介绍勒索软件即服务的现状,正好刚看到,就都放在一起了。
先看看2022年7月全球勒索软件的现状。Malwarebytes威胁情报公司每月通过监控勒索软件团伙在其暗网泄露网站上发布的信息来建立勒索软件活动的图景。这些信息代表的是那些成功被袭击但选择不支付赎金的受害者。
今年7月,LockBit继续保持其全年最活跃的勒索病毒变种的地位。值得注意的是,今年4月首次出现的一个相对较新的勒索软件变体BlackBasta,在今年大部分时间里取代了Conti,成为第二活跃的变体。BlackBasta与Conti背后的组织有着密切的联系,可能是最接近其继任者的组织。
另外两个与Conti有关的团伙,Hive和Karakurt,在7月份也非常活跃,这确保被FBI称为“有史以来最昂贵的勒索软件”的组织能够继续施加影响,尽管Conti“品牌”已经退休。
国际形势遵循着一个熟悉的模式,到目前为止,美国遭受的攻击数量最多,紧随其后的是一些欧洲最大的经济体。服务业仍然是受攻击最严重的行业,几乎占所有攻击的四分之一。
参考上述数据,加以文中对勒索软件当前的运作模式的介绍,就基本上了解了这个生意。
Dark Utilities 的“C2即服务”的流行度迅速增加
Dark Utilities的“C2-as-a-Service”吸引了越来越多希望找到一种command -and-control方式的用户。
Dark Utilities的“C2-as-a-Service”的流行度正在迅速增长,超过3000名用户已经在使用它作为自己的C2服务器。
Dark Utilities于2022年初推出,该平台为用户提供了全功能的C2服务器。Dark Utilities被宣传为一个平台,可以对受感染的系统进行远程访问、命令执行、分布式拒绝服务(DDoS)攻击和加密货币挖矿操作。
它允许威胁行动者以多个体系结构为目标,而不需要技术技能。平台运营商通过Discord和Telegram向客户提供技术支持和帮助。
“Dark Utilities提供了由在受害系统上执行的代码组成的有效载荷,允许它们向服务注册,并建立一个命令和控制(C2)通信通道。Cisco Talos研究人员发表的分析报告中写道。“该平台目前支持Windows、Linux和基于python的载荷,允许对手在不需要大量开发资源的情况下针对多个架构。”
该平台托管在互联网和Tor网络上,其运营者提供高级访问平台,相关有效载荷和API端点,价格为9.99欧元。截至发稿时,该平台已经注册了大约3000名用户,这大约是3万欧元的收入。
Dark Utilities平台使用Discord进行用户身份验证,通过一个仪表盘显示平台统计数据、服务器健康状态和其他指标。
用户可以为特定的操作系统生成新的有效载荷,并将其部署到受害机器上。
“选择操作系统会导致平台生成一个命令字符串,威胁参与者通常会将这些命令字符串嵌入到PowerShell或Bash脚本中,以便于在受害者机器上检索和执行有效载荷。报告继续说。
研究人员指出,该平台提供的有效载荷托管在星际文件系统(IPFS)中,使它们能够适应内容审核或执法干预。
IPFS是一个分布式的点对点网络,可以防止来自管理机构的接管。IPFS支持网关,其操作类似于Tor2Web网关,允许internet上的用户访问IPFS中托管的内容,而不需要安装客户端应用程序。
Dark Utilities似乎是由一个名为Inplex-sys的威胁者设计的。
Talos的研究人员认为,Inplex-sys与一个名为Smart Bot的僵尸网络服务运营商合作,该僵尸服务旨在对Discord和Twitch通信平台发起垃圾邮件攻击或“突袭”。
“虽然Dark Utilities平台是最近才成立的,但已经有数千名用户注册并加入了该平台。鉴于该平台提供的功能数量和相对较低的使用成本,我们预计该平台将继续迅速扩大其用户基础。报告总结道。“这可能会导致试图利用该平台建立C2的恶意软件样本数量增加。”
勒索软件即服务:了解网络犯罪零工经济和如何保护自己
Microsoft 365 Defender威胁情报团队(Threat Intelligence Team)
微软威胁情报中心(Microsoft Threat Intelligence Center ,MSTIC)
2022年5月9日
微软每24小时处理24万亿次信号,仅去年,我们就拦截了数十亿次攻击。在观察到的国家支持、勒索软件和犯罪活动中,Microsoft Security跟踪超过35个独特的勒索软件家族和250个独特的威胁行为者。
从各种领域如身份、电子邮件、数据和云,收集到的信号情报的深度,为我们提供了对零工经济的洞察,攻击者利用工具创建了勒索软件的零工经济,旨在降低其他攻击者的进入门槛,这些攻击者反过来通过出售工具和从关联工具的成功中“提成”,继续支付红利和运营资金。
网络罪犯经济是一个由许多具有不同技术、目标和技能的玩家组成、不断发展的相互关联的生态系统。就像我们的传统经济为了提高效率而转向雇佣零工一样,犯罪分子也认识到,租用或出售工具赚取利润比自己发动攻击更省力,风险也更小。网络犯罪经济的工业化使得攻击者更容易使用现成的渗透测试和其他工具来执行攻击。
在这类威胁中,微软一直在追踪“勒索软件即服务”(RaaS)零工经济的趋势,即人为操作的勒索软件,它仍然是对组织最具影响力的威胁之一。我们造了一个新的行业术语“人为操作勒索软件”,以澄清这些威胁是由人类发动的,这些人在攻击的每个阶段都根据他们在目标网络中找到的信息做出决定。
与早期勒索病毒感染的大范围目标定位和机会主义方法不同,这些人为操作的活动背后的攻击者根据他们的发现而改变他们的攻击模式。例如,没有配置防篡改的安全产品,或者以域管理员等高度特权账户运行的服务。攻击者可以利用这些弱点来提高他们的权限来窃取更有价值的数据,从而为他们带来更大的利润。一旦他们得到报酬,就无法保证他们会离开目标环境。只要攻击者获得了访问权限,他们往往会更坚定地留在某个网络上,如果他们没有被成功驱逐,有时会通过使用不同恶意软件或勒索软件的额外攻击来反复赚钱。
随着越来越多的“勒索软件即服务”生态系统采用双重勒索货币化策略,勒索软件攻击在近年来变得更加有效。所有的勒索软件都是勒索的一种形式,但现在,攻击者不仅对入侵设备上的数据进行加密,还窃取数据,然后公开或威胁发布数据,迫使目标支付赎金。大多数勒索软件攻击者会投机取巧地将勒索软件部署到他们能够访问的任何网络上,有些人甚至会从其他网络罪犯那里购买访问网络的权限。一些攻击者会优先考虑收入较高的组织,而另一些攻击者则更喜欢特定的行业,因为他们可以从中获取让人惊讶的效果或数据类型。
所有人为操作的勒索软件活动,所有人为操作的攻击,都依赖于使他们成功的常见的安全弱点。攻击者通常利用组织糟糕的凭证保护和旧的配置或错误配置,在环境中找到容易的进入点和特权提升点。
在本博客中,我们详细介绍了几个使用RaaS模型的勒索软件生态系统,跨域可见性在寻找和驱逐这些参与者方面的重要性,以及组织可以用来保护自己免受这种日益流行的攻击风格的最佳实践。我们还提供关于凭证保护和云加固的最佳安全实践,如何解决安全盲点,加强面向互联网的资产以了解您的边界等等。下面是全文目录:
1. RaaS如何重新定义我们对勒索软件事件的理解
-
RaaS加盟模式解释
-
销售访问权和反复入侵
2. “人为操作”是指人的决定
-
数据窃取和双重勒索
-
持久和隐蔽的访问方法
3. 威胁行动者和活动深入:威胁情报对人为操作勒索软件攻击的响应
4. 防范勒索软件:先检测,再防护
-
打造凭证保护
-
审计凭证暴露
-
优先部署Active Directory更新
-
云加固
-
解决安全盲区
-
减小攻击面
-
强化面向互联网的资产并了解您的边界
RaaS如何重新定义我们对勒索软件事件的理解
随着勒索软件成为许多网络罪犯利用攻击赚钱的首选方法,人为操作勒索软件仍是当今对组织最具影响力的威胁之一,而且它只会继续发展。这种演变是由这些攻击的“人为操作”方面驱动的,攻击者做出明智的和经过计算的决定,从而产生专门针对其目标的各种攻击模式,并不断迭代,直到攻击者成功或被驱逐。
在过去,我们已经观察到在每次活动中,勒索病毒初始进入方式、工具与勒索病毒有效载荷选择之间存在紧密的关系。RaaS加盟模式正在削弱这一联系,允许更多的犯罪分子,无论其技术能力如何,部署由他人构建或管理的勒索软件。随着勒索软件部署成为零工经济,将特定攻击中使用的间谍技术与勒索软件载荷开发人员联系起来变得越来越困难。
通过其使用有效载荷名称来报告勒索软件事件,会给人这样一种印象:使用相同的勒索软件载荷的所有攻击背后都有一个完整的实体,而且使用勒索软件的所有事件都共享常见的技术和基础设施。然而,只关注勒索软件阶段掩盖了之前的许多阶段的攻击,包括数据泄露和其他驻留机制,以及网络防御者大量的检测和保护工作。
例如,我们知道,人为操作的勒索软件活动所使用的基础技术多年来并没有太大变化,攻击仍然依靠相同的安全错误配置来取得成功。确保大型公司网络的安全需要有纪律和持续的关注,但实施关键控制以防止这些攻击产生更广泛的影响会产生很高的投资回报率,即使它只可能对最关键的资产和部门网络。
如果没有能力窃取对高特权帐户的权限,攻击者就无法横向移动,无法广泛传播勒索软件,无法访问数据以进行窃取,也无法使用组策略(Group Policy)等工具来影响安全设置。通过安全控制来破坏常见的攻击模式,还可以在攻击者进入之前阻止安全SOC中的警报疲劳。这还可以防止短期破坏的意外后果,例如在某些木马程序执行的头几分钟内发生的网络拓扑和配置数据泄露。
在下面的部分中,我们将解释RaaS加盟模式,并在安全事件中消除攻击者工具和各种威胁参与者之间的歧义。获得这种清晰度有助于揭示趋势和常见的攻击模式,从而为防御策略提供信息,重点是防止攻击,而不是检测勒索软件的有效载荷。来自这项研究的威胁情报和见解也丰富了我们的解决方案,如Microsoft 365 Defender,其全面的安全能力有助于通过检测RaaS相关的攻击尝试来保护客户。
-
解释RaaS加盟模式
网络罪犯经济,一个由许多具有不同技术、目标和技能的参与者组成的互联生态系统正在不断发展。攻击的产业化已经从攻击者使用现成的工具,如Cobalt Strike,发展到攻击者能够购买网络的访问权以及他们部署到网络上的有效载荷。这意味着,无论攻击者的技能如何,优秀的勒索软件和成功的勒索攻击的影响是相同的。
RaaS是运营者和加盟者之间的一种协议。RaaS运营者开发和维护支持勒索软件活动的工具,包括生成勒索软件有效载荷和用于与受害者通信的支付门户。RaaS程序还可能包括一个泄露网站,透露从受害者那里窃取的数据片段,让攻击者证明这种窃取是真实的,并试图勒索付款。许多RaaS程序进一步包含了一套勒索支持服务,包括泄漏网站托管和集成到勒索声明,以及解密谈判、支付施压和加密货币交易服务
因此,RaaS为有效载荷或活动提供了一个统一的外观,作为单个勒索软件家族或一组攻击者。然而,发生的情况是,RaaS运营者将有效载荷和解密器的权限出售给一个加盟机构,该加盟机构执行入侵和特权升级,并负责部署实际的勒索病毒有效载荷,然后双方分享利润。此外,RaaS的开发者和运营者也可能会利用这些有效载荷来获利,将其出售,并与其他勒索软件有效载荷一起执行他们的活动,当涉及到跟踪这些行动背后的罪犯时,这将进一步使情况复杂化。
-
售卖访问权和反复入侵
网络罪犯经济的一个组成部分是向其他攻击者出售系统访问权,以达到各种目的,包括勒索软件。例如,访问经纪人可以用恶意软件或僵尸网络感染系统,然后将它们作为“载荷”出售。一个载荷被设计为罪犯在受感染的系统上安装其他恶意软件或后门。其他访问经纪人会扫描互联网上的易受攻击的系统,比如带有弱密码的远程桌面协议(RDP)系统或未打补丁的系统,然后入侵并将它们全部泄露给“银行”,以便日后获利。一些出售初始访问权限的广告特别指出,系统不是由防病毒或端点检测和响应(EDR)产品保护,而是拥有域管理员(Domain Administrator)等高特权凭证以获得更高的价格。
大多数勒索软件攻击者会投机地将勒索软件部署到他们访问的任何网络上。一些攻击者会优先考虑收入较高的组织,而一些攻击者则会针对特定的行业,以获取轰动效应或可以窃取的数据类型,例如,攻击者针对医院或从技术公司窃取数据。在许多情况下,锁定目标并不表明是专门攻击目标的网络,而是从访问经纪人购买访问权限,或使用现有的恶意软件感染来转向勒索软件活动。
在一些勒索软件攻击中,购买了载荷或访问权限的加盟者可能根本不知道或不关心系统是如何被破坏的,只是把它作为一个“跳转服务器”来执行网络中的其他行动。访问经纪人经常列出他们正在出售的可访问网络的细节,但加盟者通常对网络本身不感兴趣,而是对盈利潜力感兴趣。因此,一些看似针对特定行业的攻击,可能只是加盟者根据其可以部署勒索软件的系统数量和感知到的盈利潜力而购买的访问权限。
“人为操作”是指人来决策
微软创造了“人为操作勒索软件”一词,明确定义了这一类攻击,在攻击链的每一步都由人类专家驱动,最终目的是蓄意破坏业务和敲诈勒索。人为操作勒索软件攻击在其所利用的安全错误配置和用于横向移动和驻留的人为操作技术方面具有共同点。然而,这些行动的人为操作本质意味着攻击的变化,包括目标和勒索前活动,取决于环境和攻击者发现的独特机会。
这些攻击涉及许多侦察活动,使操作人员能够分析该组织,并根据对目标的具体了解知道下一步该采取什么行动。许多提供给RaaS加盟者的初始访问活动在攻击的最初几分钟内执行自动侦察和收集信息外传。
在攻击转移到手动操作键盘的阶段,根据RaaS附带的工具和操作人员的技能,基于这些知识的侦察和活动可能会有所不同。通常攻击者在继续攻击之前会查询当前正在运行的安全工具、特权用户和安全设置(如组策略中的定义)。通过侦察阶段发现的数据会提醒攻击者下一步的行动。
如果有最小限度的安全加固使攻击复杂化,并且可以立即获得高特权账户,攻击者通过编辑组策略直接部署勒索软件。攻击者注意环境中的安全产品,并试图篡改和禁用这些产品,有时使用RaaS购买时提供的脚本或工具,这些脚本或工具试图一次性禁用多个安全产品,有时使用攻击者执行的特定命令或技术。
这种在侦察和入侵阶段的早期人工决策意味着,即使目标的安全解决方案检测到特定的攻击手段,攻击者也可能不会完全从网络中驱逐出去,并可以使用其他收集到的知识,试图通过绕过安全控制的方式继续进行攻击。在许多情况下,攻击者在目标环境中未被检测到的位置测试他们的攻击,部署工具或有效载荷,如商业恶意软件。如果防病毒产品检测到并阻止了这些工具或有效载荷,攻击者只需获取不同的工具,修改其有效载荷,或篡改他们遇到的安全产品。这样的检测可能会给SOC一种错误的安全感,认为他们现有的解决方案正在发挥作用。然而,这些可能只是充当烟幕弹,让攻击者进一步定制具有更高成功概率的攻击链。因此,当攻击到达删除备份或影子副本的主动攻击阶段时,攻击距离勒索软件部署只有几分钟的时间。对手可能已经执行了有害的操作,如数据泄露。这些知识对于SOC响应勒索软件至关重要:优先调查警报或检测工具,如Cobalt Strike,并执行快速修复行动和事件响应(IR)程序,对于在勒索软件部署阶段之前遏制人类对手至关重要。
-
数据外泄和双重勒索
勒索软件攻击者通常通过阻止对重要系统的访问和导致系统停机来获利。虽然这种简单的技术经常会促使受害者付费,但这并不是攻击者利用被入侵网络而获利的唯一途径。泄露数据和“双重勒索”(指攻击者威胁如果没有支付赎金就会公开数据)也已经成为许多RaaS加盟计划的常见策略——许多程序为其加盟机构提供统一的泄露站点。攻击者利用常见的弱点窃取数据,在不部署载荷的情况下索取赎金。
这一趋势意味着,把重点放通过安全产品或加密来防范勒索软件,或考虑将备份作为防范勒索软件的主要手段,而不是全面加固,会使网络在被安装勒索软件之前,容易受到人为操作勒索软件所有阶段的攻击。这种泄露可以采取使用Rclone等工具同步到外部站点、设置电子邮件转发规则或将文件上传到云服务。使用双重勒索,攻击者不需要部署勒索软件并造成停机来勒索金钱。一些攻击者已经不再需要部署勒索软件的有效载荷,而是直接改变勒索模式,或者通过直接删除云资源来实现其攻击的破坏性目标。
-
持久和隐蔽的访问方法
支付赎金可能不会降低受影响网络的风险,也许只会为网络犯罪提供资金。屈服于攻击者的要求并不能保证攻击者永远“打包离开”网络。一旦攻击者获得访问权限,他们会更坚定地留在某个网络上,如果攻击者没有被成功驱逐,他们有时会反复使用不同的恶意软件或勒索软件来盈利。
不同攻击者之间的切换意味着,多个攻击者可能使用与勒索软件攻击中完全不同的工具集,在一个入侵环境中保持持久性。例如,银行木马获得的初始访问导致Cobalt Strike部署,但购买访问权限的RaaS加盟机构可能会选择使用不易检测到的远程访问工具,如TeamViewer,以在网络上保持持久性,以操作其更广泛的系列活动。使用合法的工具和设置来持续对抗恶意软件植入,如Cobalt Strike攻击,是勒索软件攻击者普遍采用的一种技术,以避免被发现,并在网络中驻留更长时间。
微软观察到的一些常见的企业持久性工具和技术包括:
-
AnyDesk
-
Atera Remote Management
-
ngrok.io
-
Remote Manipulator Sytem
-
Splashtop
-
TeamViewer
攻击者一旦获得特权访问权限,他们执行的另一项流行技术是创建新的后门用户账户,无论在本地的还是在活动目录中。这些新创建的帐户可以添加到远程访问工具,如VPN (virtual private network)或远程桌面,通过网络上看起来合法的帐户授予远程访问权限。勒索软件攻击者也被观察到编辑系统的设置,以启用远程桌面,降低协议的安全性,并将新用户添加到远程桌面用户组。
根据不同的组和他们的工作负载或动机,获得初始访问到使用键盘部署的间隔时间可能会有很大的差异。一些活动小组可以访问数千个潜在目标,并在他们的工作人员允许的情况下处理这些目标,在几个月中根据潜在赎金支付可能性进行优先排序。虽然一些活动小组可能会接触到大型和高资源的公司,但他们更喜欢攻击较小的公司得到少一点的勒索资金,因为他们可以在数小时或数天内执行攻击。此外,不能对重大事件做出响应的公司投资回报率更高。数千万美元的赎金备受关注,但需要更长的时间来开发。许多组织更喜欢在一个月内勒索5到10个较小的目标,因为这些目标的成功率更高。负担不起事件响应团队的小型组织往往比价值数百万美元的组织更有可能支付数万美元的赎金,因为后者拥有完备的事件响应能力,而且很可能会听从法律建议而不支付赎金。在某些情况下,勒索软件关联威胁行为者可能在网络上植入软件,但永远不会将其转化为勒索活动。在其他情况下,从初始访问到全额赎金(包括从访问经纪人移交到RaaS加盟机构)不到一个小时。
目标和成功率的漏斗图。假设有2500个潜在目标组织,其中60个与已知的勒索软件攻击者有关。其中,20个被成功入侵,发生1起成功的勒索软件事件。
根据微软2021年至2022年6个月期间数据的抽样,人为操作勒索软件的目标和成功率
这些攻击的人为驱动本质,以及与勒索软件相关的威胁行为者控制下的潜在受害者规模,强调了有必要采取有针对性的主动安全措施,以加强网络,并在早期阶段防止这些攻击。
防范勒索软件:先检测,再保护
针对确定的人为操作对手的长期安全策略必须包括缓解攻击和检测攻击类别。勒索软件攻击会产生多个分散的安全产品警报,但它们很容易丢失或没有及时响应。警报疲劳是真实存在的,SOC可以通过查看警报中的趋势,或将警报分组到事件中,以便看到更大的图景,从而使他们的工作更轻松。SOC可以使用强化功能(如减少攻击面规则)减轻警报。强化常见威胁可以减少警报量,并在攻击者访问网络之前阻止他们。
攻击者调整他们的技术,并拥有工具来躲避和禁用安全产品。他们还精通系统管理,并尽可能地融入其中。然而,虽然攻击持续稳定,影响不断增加,但攻击者使用的攻击技术多年来没有太大变化。因此,需要重新重视预防,以遏制这一趋势。
勒索软件攻击者的动机是简单的利润,所以通过加强安全来增加他们的成本是破坏网络犯罪经济的关键。
-
打造凭证健康
除了恶意软件,攻击者还需要凭证来成功攻击。在几乎所有成功部署勒索软件的攻击中,攻击者都可以访问整个环境中的域管理员级别账户或本地管理员密码。然后,可以通过组策略或PsExec(或类似如PAExec, CSExec和WinExeSvc)等工具完成部署。如果没有提供网络管理访问权限的凭证,将勒索软件传播到多个系统对攻击者来说是一个更大的挑战。泄露的凭证对这些攻击非常重要,以至于当网络犯罪分子出售非法获得的网络访问权限时,在许多情况下,价格包括一个有保障的管理员账户。
凭证盗窃是一种常见的攻击模式。许多管理员都知道像Mimikatz和LaZagne这样的工具,以及它们从LSASS进程中交互式登录那里窃取密码的能力。在大多数安全产品中,都有能够检测这些访问LSASS进程的工具。然而,凭证暴露的风险不仅仅局限于以交互方式登录到工作站的域管理员。因为攻击者在攻击过程中访问和探索了许多网络,所以他们对常见的网络配置有很深的了解,并能充分利用这些知识。他们利用的一个常见错误配置是将服务和计划任务作为高权限的服务账户运行。
通常,以前常用的配置方法是通过给予尽可能多的权限来确保任务关键型应用程序工作。许多组织努力解决这个问题,即使他们知道这个问题,因为他们担心可能会破坏应用程序。这种配置尤其危险,因为它将高特权凭证暴露在注册表的LSA Secret部分,具有管理员访问权限的用户可以访问该部分。在还没有从最终用户那里移除本地管理员权限的组织中,攻击者距离域管理员只有一跳之遥。基于权限对网络逻辑分段打造凭证安全,可以与网络分段一起实施,以限制横向移动。
以下是公司可以采取的一些步骤来保障凭证安全:
-
当需要管理员权限时,将服务作为本地系统运行,因为这允许应用程序在本地拥有较高的权限,但不能用于横向移动。在访问其他资源时,将服务作为网络服务运行。
-
使用LUA Buglight等工具来确定应用程序真正需要的权限。
-
在事件日志中,查找使用EventID 为4624的事件,其中登录类型为2、4、5或10,并且帐户具有像域管理员一样的高特权。这有助于管理员了解哪些凭证容易通过LSASS或LSA Secrets被窃取。理想情况下,任何像Domain Admin这样的高特权帐户都不应该暴露在成员服务器或工作站上。
-
当从特权组中删除帐户时,监视Windows事件转发中的EventID 4625(登录失败事件)。将它们添加到个别机器上的本地管理员组以保持应用程序运行,与将它们作为Domain Admin运行相比,仍然可以减少攻击的范围。
-
使用本地管理员密码解决方案(LAPS)等工具随机化本地管理员密码,以防止使用共享密码的本地帐户横向移动。
-
使用基于云的身份安全解决方案,利用本地部署的Active Directory,获得身份配置的可见性,并识别和检测威胁或被泄露的身份。
-
审计凭证暴露
审计凭证暴露在一般情况下对于预防勒索软件攻击和网络犯罪至关重要。BloodHound是一款最初设计用来帮助网络防御者了解其环境中管理员数量的工具。它还可以是一种强大的工具,用于减少与管理帐户有关的特权并了解您的凭证暴露情况。IT安全团队和SOC可以与此工具一起工作,以减少暴露的凭证。任何部署BloodHound的团队都应该仔细监控它,以防恶意使用。
微软观察到,勒索软件攻击者也使用BloodHound进行攻击。当恶意使用时,BloodHound可以让攻击者看到他们所访问的系统中阻力最小的路径,比如Azure中的域管理帐户和全局管理员帐户等高特权帐户。
-
优先部署Active Directory更新
Active Directory的安全补丁发布后,请尽快应用。微软发现,勒索软件攻击者在身份验证漏洞被公开后的一个小时内就会采用,而且一旦这些漏洞被包括在Mimikatz等工具中。勒索软件活动组还迅速采用与身份验证相关的漏洞,如ZeroLogon和PetitPotam,特别是当它们包含在Mimikatz等工具包中时。如果不打补丁,这些漏洞可以让攻击者从电子邮件这样的入口迅速升级到Domain Admin级别的特权。
-
云加固
随着攻击者转向云资源,确保云资源、身份以及本地账户的安全同样重要。以下是企业加固云环境的方法:
云身份加固
-
实现Azure Security Benchmark安全基准测试和保护身份基础设施的通用最佳实践,包括:
-
防止本地服务帐户对云资源具有直接权限,以防止横向移动到云。
-
确保关键账户密码离线存储,并为账户使用配置蜜令牌。
-
实现条件访问策略,强制执行微软的零信任原则。
-
启用基于风险的用户登录保护和自动化威胁响应,以阻止来自所有位置的高风险登录,并为中等风险的用户启用MFA。
-
确保VPN访问通过现代认证方法得到保护。
多因素身份验证(MFA)
-
在所有账户上执行MFA,移除被排除在MFA之外的用户,并严格要求在所有地点、所有时间从所有设备上使用MFA。
-
对支持无密码的账户启用无密码认证方法(例如,Windows Hello、FIDO密钥或Microsoft Authenticator)。对于仍然需要密码的账户,可以使用MFA的Microsoft authenticator MFA等认证应用程序。
-
发现和保护工作负载身份,当传统的MFA无法使用时,以确保账户安全。
-
确保正确地教育用户不要接受其他的双因素身份验证(2FA)。
-
对于使用身份验证应用程序的MFA,确保应用程序可能在需要的情况下输入代码,因为许多应用程序启用MFA后,入侵仍然成功,因为用户在他们的手机上的提示上单击“是”,即使他们不在他们的电脑前。
-
禁用老旧身份验证方法。
云管理
-
确保云管理员/租户管理员获得与域管理员相同的安全性和凭证保护。
-
解决身份验证覆盖范围的空白点。
-
解决安全盲区
几乎在每一起观察到的勒索病毒事件中,攻击中至少有一个系统的安全产品配置错误,使攻击者可以禁用保护措施或逃避检测。在许多情况下,访问经纪人的初始访问是不受防病毒或EDR解决方案保护的老旧系统。重要的是要理解,对这些能够访问高特权凭证的系统缺乏安全控制就像盲点一样,允许攻击者从单个系统执行整个勒索软件和泄露攻击链而不被发现。在某些情况下,这被特别宣传为访问经纪人销售的卖点。
组织应该检查和验证安全工具是否在其最安全的配置下运行,并定期执行网络扫描,以确保适当的安全产品正在监视和保护所有系统,包括服务器。如果还做不到,请确保您的老旧系统通过防火墙在物理上隔离,或者通过确保它们与其他系统没有凭证交叉来在逻辑上隔离。
对于Microsoft 365 Defender客户,以下功能消除了安全盲点:
-
开启Microsoft Defender Antivirus中的云防护,覆盖快速变化的攻击工具和技术,阻止新的和未知的恶意软件变种,并增强攻击面减少规则和篡改保护。
-
启用篡改保护功能,以防止攻击者停止安全服务。
-
运行EDR的阻止模式,以便Microsoft Defender for Endpoint可以阻止恶意软件,即使非Microsoft防病毒软件没有检测到威胁,或者Microsoft Defender防病毒软件在被动模式下运行。处于阻止模式的EDR还会阻止由微软威胁情报团队主动识别的指标。
-
启用网络保护功能,防止应用程序或用户访问internet上的恶意域和其他恶意内容。
-
启用完全自动化模式下的调查和修复,以允许Microsoft Defender for Endpoint在收到警报后立即采取行动解决违规问题。
-
使用设备发现来增加网络的可见性。发现非托管设备并将安装Microsoft Defender for Endpoint。
-
使用Microsoft Defender for Identity保护用户身份和凭证,这是一种基于云的安全解决方案,利用本地Active Directory信号监控和分析用户行为,以识别可疑的用户活动、配置问题和活跃的攻击。
-
减小攻击面
Microsoft Defender 365客户可以开启攻击面减少规则,防止常见的攻击技术用于勒索软件攻击。这些规则可以由所有Microsoft Defender Antivirus客户(而不仅仅是那些使用EDR解决方案的客户)配置,为抵御攻击提供了显著的加固措施。在观察到的来自几个勒索软件相关活动组的攻击中,启用了以下规则的微软客户能够在初始阶段减轻攻击,并阻止后续人为操作:
-
初始进入方式:
-
阻止所有Office应用程序创建子进程
-
阻止Office通信应用程序创建子进程
-
阻止Office应用程序创建可执行内容
-
阻止Office应用程序向其他进程注入代码
-
阻止混淆脚本的执行
-
阻止JavaScript或VBScript启动下载的可执行内容
-
勒索软件部署和横向移动阶段(根据其阻止的攻击阶段的影响顺序):
-
阻止可执行文件运行,除非它们满足前提条件或可信列表标准
-
阻止从Windows本地安全授权子系统(lasss .exe)窃取凭证
-
阻止由PsExec和WMI命令创建的进程
-
使用高级防护阻止勒索软件
此外,微软已经改变了Office应用程序的默认行为,以阻止来自互联网的文件中的宏,进一步减少了许多人为操作勒索软件攻击和其他威胁的攻击面。
-
加固面向互联网的资产并了解您的边界
组织必须识别并保护攻击者可能用来访问网络的边界系统。公开扫描接口,如RiskIQ,可以用来增强数据。一些系统应该被认为是攻击者感兴趣的,因此需要加强包括:
-
安全远程桌面协议RDP (Secure Remote Desktop Protocol)或Windows虚拟桌面终端使用MFA功能,防止密码喷码或暴力破解攻击。
-
通过边界防火墙,阻止远程IT管理工具,如Teamviewer、Splashtop、Remote Manipulator system、Anydesk、Atera Remote management和ngrok.IO。如果在您的环境中使用了这些系统,那么在可能的情况下执行安全设置以实现MFA。
勒索软件攻击者和访问经纪人也使用未修复的漏洞,无论是已经公开的还是零日,特别是在初始访问阶段。甚至更早的漏洞也与2022年的勒索软件事件有关,因为一些系统仍然没有打补丁,或部分打了补丁,或因为访问经纪人在先前入侵的系统上实现了驻留,尽管后来打了补丁。
勒索软件攻击者也迅速采用新的漏洞。为了进一步减少组织暴露,Microsoft Defender for Endpoint客户可以使用威胁和漏洞管理功能来发现、优先排序和修复漏洞和错误配置。
Microsoft 365 Defender:深度跨域可见性和统一调查能力,防御勒索软件攻击
勒索软件的多方面威胁需要全面的安全措施。我们在上面概述的步骤可以防御常见的攻击模式,并且在防止勒索软件攻击方面有很大的帮助。Microsoft 365 Defender的设计目的是让组织更容易应用这些安全控制。
Microsoft 365 Defender行业领先的可视化和检测能力,在最近的MITRE Engenuity ATT&CK®评估中得到了展示,可以自动阻止大多数常见的威胁和攻击技术。勒索软件对每个组织来说都有其独特的路径,为了使组织配备对抗人为操作勒索软件的工具,Microsoft 365 Defender提供了丰富的调查功能,使防御者能够无缝地检查和纠正跨域的恶意行为。
https://www.microsoft.com/security/blog/2022/05/09/ransomware-as-a-service-understanding-the-cybercrime-gig-economy-and-how-to-protect-yourself/
(完)
原文始发于微信公众号(安全行者老霍):勒索软件即服务:了解网络犯罪零工经济和如何保护自己
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论