第 29 叨
勒索攻击已经化身网络安全第一大“刺客”:一旦中招,巨额赎金、业务中断、数据泄露将会不请自来,被曝光后媒体上还免不了一个头条新闻。
有人把勒索攻击比作是遥控炸弹,遥控器就握在攻击者手里。除了在炸响之前拆除它,没有什么更好的解决办法。
勒索攻击进行时
!!!!!
正在进行威胁监测的柯南(化名)突然眉头一皱,作为一名资深威胁情报分析师,这是他从杂乱无章的数据中,发现网络入侵的特有标志。
一旁的同事迅速围了过来,几双眼睛同时盯着他的电脑屏幕。
中招的是一家横跨多个省市的大型集团企业,在境外也有不少分支机构,是奇安信的老客户了。
客户现场安装的奇安信天擎终端安全管理系统显示,一个恶意程序多次尝试访问一个特定的恶意域名。
由于奇安信威胁情报标记了这个域名,所以天擎第一时间实现了拦截。
但让柯南皱眉的并不是一次简单的木马植入,根据奇安信威胁情报提供的信息,该域名的操控者,归属于一个近期全球比较活跃的勒索团伙。
换言之,这个客户很可能正在遭受勒索攻击。
而且从木马特征分析来看,攻击者植入的是一个木马加载器,其作用只有一个,那就是释放最终的加密勒索程序。
第一次是在某能源单位的应急处置现场,境外勒索团队已经摸进了生产网,攻击和勒索代码部署完成度已经超过70%;
还有一次是在某制造企业,攻击者触发了多个漏洞,并且利用一款热门安全软件向客户内网900多台机器分发了勒索代码。
@研究报告
之所以现在还没事,那是因为攻击者可能还在系统内部寻找值得去加密勒索的高价值数据。一旦找到,那么可怕的勒索病毒就会接踵而至。
这也就是说,要么在勒索病毒感染之前,阻断这次攻击;要么就只能眼睁睁看着文件一个个被加密。
那么问题来了,这次攻击的影响范围有多大?攻击者到底是怎么进来的?
这些问题都需要一一考证。唯一能确定的是,剩下的时间不会太多。
勒索攻击为什么更难防了
?????
许多人对于勒索攻击的认识,始于2017年那一次席卷全球的永恒之蓝。
“那时候真是一路跑着去提醒客户千万别开机,等我们看看再说。否则一开机勒索病毒一运行,那就真没招了。”负责这家客户的销售,给柯南讲述了他之前的经历。
对于那一场发生于网络空间的浩劫,柯南也记忆犹新。由于病毒传播实在太快,他能做的并不多,除了事后应急之外,只能一遍遍提醒客户注意及时安装补丁。
柯南说,这种感觉就像医生看着病人,却没有特别好的治疗手段。
随着防御手段的精进,这种短时间内大面积感染的事件已经很难重现了。大多数勒索攻击中,攻击者的目标非常明确。
但这并不意味着勒索攻击得到了遏制,相反更加猖狂。
如果在搜索引擎上检索2023年勒索攻击这几个关键词,被勒索的企业包括壳牌、波音、西门子等,这些可不是“小卡拉米”。
而且有数据表明,勒索攻击已经成为黑色产业最有效的变现方式。
2019年的一篇公开报道显示,GandCrab勒索病毒仅用时一年多时间,便在多个国家勒索超过20亿美元,从而高调宣布“退休”。
只不过,勒索攻击从“广撒网式”变成了“定向式”:
防守再严密的组织,也怕有贼一直惦记着。这些高价值的目标,才有能力支付足够的赎金。据情报显示越来越多的勒索攻击会根据公开渠道获取的企业营业额和缴税情况勒索不同的金额。
而且在柯南看来,现在的勒索攻击技战术水平,和六七年前早已不可同日而语:强如WannaCry,也只不过是打个补丁的事情;而现在,攻击者为攻破一个目标,甚至可以动用数个漏洞、数十个木马程序……
整个攻击协作分明,每个环节都在高效的做自己擅长的事。
瞄准防御空档
/////
值得庆幸的是,客户侧部署了完整的网络安全防御和检测设备,能够为接下来的调查,提供充足的数据支持。
他发现的第一个问题是,最初发现木马的那台电脑,可能存在长时间不关机的现象。从终端日志来看,攻击命令的活跃时间,大多集中在凌晨。
对于攻击者来说,没人值守的非工作时间,是安全防御的空档。
攻击者在这台电脑上一口气植入了四个恶意程序。不同的恶意程序之间分工十分明确,有帮助攻击者远程控制电脑的,还有负责检索文件目录、抓取电脑上敏感信息的……
更重要的是,这些恶意程序都是通过域控下发的。也就是说,攻击者已经控制了域控服务器。
@域控
啥是域控?这可说来话长。但简而言之,这玩意可以控制一个虚拟网络区域内所有电脑的访问权限。拿下了域控,基本等同拥有了上帝视角,可以控制区域内所有的电脑。
这是六七年前的勒索攻击从未做到也从未想过要做到的事情。
一瞬间,柯南心里画了好几个问号:域控是怎么被攻破的?攻击者通过域控,到底控制了多少台电脑?
这些问题尚不得而知,想要破解这些谜团,还需要更多的证据支持。
日志显示,攻击者在另外一台机器上,使用域控sa账号登录到了该域控,从而获取了域控权限。
在获取域控权限后,攻击者通过域控向若干台电脑,下发了木马程序。
那么,一条局部的攻击路线逐渐清晰了起来:攻击者利用一台机器已有凭证,登录到了域控获取权限,并通过域控入侵了多台域内电脑,而木马程序由于和威胁情报匹配,于是天擎产生了告警,发现此次攻击。
简易流程如下
在将第一阶段调查结果同步给客户之后,一行人坐在工位前聊着天吃着盒饭工作餐。
时间上并不允许他们下馆子搓一顿。
“我还非常清楚地记得,2017年5月17号那天,就是他跑过来跟我说千万别开机。”客户安全负责人指着奇安信的销售说到。
后来这家客户装了天擎,并在奇安信应急人员的协助下,平稳度过了这次危机。
销售笑了笑,没有说话,柯南索性接过话茬:WannaCry是一个“呆脑筋”,只要装了补丁或者关闭445端口,就堵死了所传播通路;但现在,攻击者绝对算得上极其狡猾的对手,懂得不断变换策略,寻找防守方的漏洞。
一连串的账号失窃
#@%&……
用时十五分钟,这样一顿简单的工作餐就结束了。期间,柯南一直在思考一个问题:攻击者怎么就获取了域控账户的登录权限。
@登录凭据
所以柯南判断,攻击者一定是通过某种方法,直接获取了登录凭据。既然攻击者已经植入了多个木马程序,那么通过木马程序直接在电脑上抓到登录凭据的可能性很大。
电脑A失陷原因,就是因为攻击者使用本地管理员账号登录了该电脑。
这种默认存在的账号,是最受攻击者欢迎的。口令强度较低,容易被忽略,而且大多出厂后就再也没被修改过。许多僵尸网络控制的物联网设备,如摄像头、路由器这些,往往都是破解了其默认账户口令。
得知一连串账户失窃的消息,客户面露尴尬,忙不迭说到:“查出来本地管理员账户是怎么泄露的了么?”
“还没。”柯南摇了摇头,由于部分日志被攻击者擦除,他并没有发现攻击者是从那一台电脑登录到电脑A的。但他认为,攻击者很可能也是通过木马程序,抓取到的本地管理员账户信息。
真相只有一个
~~~~~
遗憾的是,天眼的探针仅仅部署在交换机出口处,并没有部署到所有内部网络节点,因此天眼并没有采集到内网各个电脑之间的流量数据,也就无法定位电脑X到底在哪儿。
这是安全防御体系的缺陷。
但柯南也并非没有办法,一番思索之后,他决定从已经失陷的电脑入手。
此时柯南已经有了一个判断,由于本地管理员账号默认存在,攻击者只要入侵成功一台机器,就可以抓取到这个账号凭证的hash(这种也叫黄金凭证攻击),然后通过抓取到的本地管理员账号,登录所有具有这个账号的终端,最终在电脑A上在抓取到域控账号的登录凭据。
“真相只有一个。”柯南在心里默念着这句熟悉的台词。
“就是这台了。”提取这台电脑的日志后,柯南发现了攻击者通过木马程序抓取到了本地管理员账户信息。
木马程序的来源也被找到,文件下载记录显示,用户在某网站上下载了一款盗版软件,木马程序正是捆绑在这个盗版软件上,进到到客户系统中。
找到了源头,整个事件的调查也进入了尾声。通过威胁情报关联,所有的失陷主机都被找到,木马程序全部清除,攻击者使用的域名、IP地址,也被第一时间加入到了防火墙黑名单中。
此时,柯南看了看表,加上中午吃饭的十五分钟,用时六个小时四十七分钟,对他来说这个速度及格了。
临走的时候,销售提议大家一起吃一顿饭庆祝一下成功阻止了这一次勒索攻击。对于吃饭庆祝的提议,柯南不置可否,但他却对一次勒索攻击这样的描述并不是很买账。
临走的时候,销售提议大家一起吃一顿饭庆祝一下成功阻止了这一次勒索攻击。对于吃饭庆祝的提议,柯南不置可否,但他却对一次勒索攻击这样的描述并不是很买账。
“如果你去网上搜,媒体报道的勒索攻击,哪一次不是被成功勒索了的?所以,我们这儿充其量只能算是0.5次。”
原文始发于微信公众号(奇安信威胁情报中心):“0.5次”勒索攻击
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论