第一步：初始访问导致勒索软件

点击上方蓝字“Ots安全”一起玩耍     -点击图文广告 = 打赏

主要发现 

• 如今，勒索软件的防范在很大程度上已从直接电子邮件威胁转变为间接威胁，其中电子邮件只是攻击链的一部分。  

• 勒索软件威胁参与者利用网络犯罪企业（主要是银行木马经销商）进行恶意软件部署。这些访问促进者通过电子邮件发送的恶意链接和附件分发他们的后门。 

• 银行木马是最流行的通过电子邮件传播的恶意软件，占 2021 年上半年 Proofpoint 数据中恶意软件的近 20%。  

• Proofpoint 目前跟踪至少 10 名作为初始访问协助者或可能的勒索软件附属公司的威胁行为者。 

• 勒索软件很少直接通过电子邮件传播。在 2020 年至 2021 年期间，作为第一阶段电子邮件有效负载的勒索软件仅占勒索软件的 95%。 

• 恶意软件加载程序和勒索软件攻击之间没有 1:1 的关系。多个威胁行为者使用相同的恶意软件负载进行勒索软件分发。 

概述 

勒索软件攻击仍然使用电子邮件——但不是你想象的那样。勒索软件运营商通常从渗透主要目标的独立网络犯罪集团那里购买访问权限，然后将访问权限出售给勒索软件参与者，以获取一部分不义之财。已经分发银行恶意软件或其他木马的网络犯罪威胁组织也可能成为勒索软件附属网络的一部分。结果是一个强大而有利可图的犯罪生态系统，在这个生态系统中，不同的个人和组织越来越专注于为所有人谋取更大的利润——当然，受害者除外。  

通过电子邮件防止勒索软件很简单：阻止加载程序，您就可以阻止勒索软件。  

通常，初始访问经纪人被理解为在事后提供附属机构和其他网络犯罪威胁参与者的机会主义威胁参与者，例如通过在论坛上为销售访问做广告。但就本报告而言，我们认为初始访问代理是通过第一阶段恶意软件有效载荷获得初始访问的团体，可能会也可能不会直接与勒索软件威胁参与者合作。 

这些犯罪威胁者使用 The Trick、Dridex 或 Buer Loader 等第一阶段恶意软件危害受害者组织，然后将其访问权出售给勒索软件运营商以部署数据盗窃和加密操作。根据 Proofpoint 的数据，银行木马（通常用作勒索软件加载程序）占 2021 年上半年已识别活动中观察到的恶意软件的近 20%，并且是 Proofpoint 在该领域看到的最流行的恶意软件类型。Proofpoint 还观察到勒索软件通过SocGholish部署的证据， 该软件使用虚假更新和网站重定向来感染用户，以及通过 Keitaro 流量分配系统 (TDS) 和操作员用来逃避检测的后续漏洞利用工具包。  

Proofpoint 对初始访问有效载荷（以及提供它们的威胁行为者）具有独特的可见性，通常由勒索软件威胁行为者使用。需要注意的是，勒索软件并不是与已识别恶意软件相关的唯一第二阶段有效载荷。除了电子邮件威胁媒介外，勒索软件威胁参与者还会利用在暴露于互联网的网络设备上运行的软件中的漏洞或不安全的远程访问服务进行初始访问。 

勒索软件生态系统地图 

Proofpoint 目前跟踪大约十几个可能作为初始访问代理运行的威胁行为者，Proofpoint 观察到的许多分发恶意软件加载程序的电子邮件威胁活动已导致勒索软件感染。由于威胁行为者努力隐藏其身份并逃避检测，因此很难确认访问代理和勒索软件威胁行为者之间的行为者协作。初始访问代理和恶意软件后门开发人员可能会直接与特定于勒索软件的威胁参与者合作或作为特定威胁参与者进行操作。 

初始访问促进者  

多功能且具有破坏性的恶意软件 Emotet 此前曾是最多产的恶意软件分发者之一，在 2018 年至 2020 年间导致了代价高昂的勒索软件感染。然而，国际执法部门  于 2021 年 1 月破坏了该恶意软件，摧毁了其基础设施并防止了进一步感染。  

自从 Emotet 被删除以来，Proofpoint 观察到来自 The Trick、Dridex、Qbot、IcedID、ZLoader、Ursnif 和我们数据中的许多其他人的一致、持续的活动，这些活动作为第一阶段的恶意软件有效载荷，试图实现进一步感染，包括勒索软件攻击。Proofpoint 在“银行”系列下跟踪这些恶意软件系列。在过去六个月中，银行木马与超过 1600 万条消息相关联，代表了我们数据中观察到的最常见的恶意软件类型。  

此外，Proofpoint 会跟踪下载程序，例如 Buer Loader 和 BazaLoader，它们通常用作勒索软件攻击的初始访问向量。在过去的六个月中，Proofpoint 发现了近 300 个下载器活动，分发了近 600 万条恶意消息。 

Proofpoint 研究人员跟踪各种威胁行为者在黑客论坛上做广告的后门访问。根据受感染的组织及其利润率，访问的价格可以从几百美元到几千美元不等。可以使用加密货币购买访问权限，最常见的是比特币。 

Proofpoint 观察到各种威胁行为者、恶意软件和勒索软件部署之间的重叠。例如，我们的数据和第三方报告表明，Conti 勒索软件与多个第一阶段加载程序相关联，包括 Buer、Trick、Zloader 和 IcedID。IcedID 还与 Sodinokibi、Maze 和 Egregor 勒索软件事件有关。 

TA800

TA800 是 Proofpoint 自 2019 年年中以来一直追踪的大型网络犯罪参与者。该威胁实施者试图交付和安装银行恶意软件或恶意软件加载程序，包括 The Trick、BazaLoader、Buer Loader 和 Ostap。已观察到其有效载荷分发勒索软件。Proofpoint 高度自信地评估 TA800 与第三方报告相关，  详细说明了威胁行为者用来分发 Ryuk 勒索软件的BazaLoader 植入 。  

TA577 

TA577 是 Proofpoint 自 2020 年年中以来追踪的一个多产的网络犯罪威胁参与者。该攻击者在各个行业和地区进行广泛的定位，Proofpoint 观察到 TA577 提供有效载荷，包括 Qbot、IcedID、SystemBC、SmokeLoader、Ursnif 和 Cobalt Strike。  

Proofpoint 以高可信度评估 TA577 与 2021 年 3 月的 Sodinokibi 勒索软件 感染有关。TA577 最初通过包含恶意 Microsoft Office 附件的电子邮件危害受害者，当启用宏时，下载并运行 IcedID。在过去六个月中，该参与者观察到的活动增加了 225%。  

TA569 

TA569 是一个流量和负载销售商，以破坏内容管理服务器并将网络流量注入和重定向到社交工程工具包而闻名。威胁行为者利用虚假更新提示用户更新浏览器并下载恶意脚本。自 2018 年以来，Proofpoint 一直在跟踪 TA569，但该演员至少从 2016 年底就已经存在。  

Proofpoint 以高可信度评估 TA569 与 2020 年出现的WastedLocker勒索软件活动有关，该活动利用 SocGholish 虚假更新框架进行勒索软件分发。第三方实体将此勒索软件与名为 Evil Corp 的俄罗斯网络犯罪集团联系起来。然而，Proofpoint 并未评估 TA569 是 Evil Corp。 

TA551 

TA551 是 Proofpoint 自 2016 年以来跟踪的威胁行为者。该行为者经常利用线程劫持通过电子邮件分发恶意 Office 文档，并展示了广泛的地理和行业目标。Proofpoint 观察到 TA551 分发 Ursnif、IcedED、Qbot 和 Emotet。  

Proofpoint 以高可信度评估 TA551 IcedID 植入物与 2020 年的Maze 和 Egregor 勒索软件 事件有关。  

TA570 

作为最活跃的 Qbot 恶意软件附属机构之一，Proofpoint 自 2018 年以来一直在跟踪大型网络犯罪威胁参与者 TA570。据 观察 ，Qbot提供 包括ProLock和 Egregor在内的勒索 软件。TA570 可能会使用受感染的 WordPress 站点或文件托管站点来托管其有效负载。已观察到 TA570 进行线程劫持，分发恶意附件或 URL。在过去六个月中，TA570 活动增加了近 12%。 

图 1：观察到的威胁行为者、他们提供的初始访问有效载荷以及因初始访问而部署的相关勒索软件的样本。这些项目的采购链接在每个演员的上述描述中。 

TA547 

TA547 是一个多产的网络犯罪威胁组织，主要将银行木马分发到各个地理区域，包括 ZLoader、The Trick 和 Ursnif。该参与者经常使用地理围栏，因此并非所有地区的用户都可以访问有效负载。由于攻击者将 VPN 出口 IP 地址列入黑名单，因此尝试访问来自 VPN 的有效负载通常也不会成功。在过去六个月中，来自该参与者的已识别活动数量飙升了近 30%。 

TA544 

这个高容量的网络犯罪威胁参与者定期安装银行恶意软件和其他恶意软件有效载荷，针对包括意大利和日本在内的各种地理目标。该威胁行为者可能是与不同开发人员合作的恶意软件附属机构。根据 Proofpoint 活动数据，已观察到 TA544 分发 Ursnif 和 Dridex 木马，并在过去六个月中发送了超过 800 万条恶意消息。 

TA571 

自 2019 年以来，Proofpoint 一直在跟踪 TA571 及其分发和安装银行恶意软件的尝试。该参与者分发 Ursnif、ZLoader 和 Danabot，并经常使用合法的文件托管服务或受损或欺骗的基础设施来托管有效负载。通常，TA571 每个活动分发 2,000 多条消息。 

TA574 

根据活动数据，Proofpoint 研究人员观察到 TA574 在过去六个月中分发了超过 100 万条消息。这个高容量的网络犯罪威胁行为者进行广泛的行业定位，并试图交付和安装包括 ZLoader 在内的恶意软件。通常，该组会分发恶意 Office 附件，并在部署恶意软件之前利用一些技术，包括地理定位和检测用户代理。自 2020 年 6 月以来，Proofpoint 研究人员一直在跟踪 TA574。  

TA575 

TA575 是 Proofpoint 自 2020 年末跟踪的 Dridex 附属机构。该组织通过恶意 URL、Office 附件和受密码保护的文件分发恶意软件。平均而言，TA575 每个活动分发近 4,000 条消息，影响数百个组织。  

第一阶段勒索软件 

Proofpoint 仍然看到勒索软件直接通过电子邮件分发，作为电子邮件中的附件或链接，数量要少得多。例如，在 2020 年和 2021 年，Proofpoint 确定了 54 次勒索软件活动，分发了超过 100 万条消息。  

其中，Proofpoint 确定了 2020 年包含约 100 万条消息的四个 Avaddon 活动，占总数的 95%。2021 年 5 月，美国联邦调查局 发布了 有关 Avaddon 活动增加的详细信息，并指出勒索软件运营商通过 RDP 和 VPN 等远程访问门户获得了初始访问权限，这与直接电子邮件访问有所不同。这种运营转变与 Proofpoint 数据中观察到的 Avaddon 活动一致。  

其他直接利用电子邮件作为访问媒介并出现在 Proofpoint 数据中的勒索软件包括 Hentai OniChan、BigLock、Thanos、Demonware 和 Xorist。 

犯罪集团多元化 

Proofpoint 的威胁研究团队分析了 2013 年的数据，以便更好地了解与勒索软件和电子邮件相关的观察趋势，并将其作为初始访问向量。Proofpoint 观察到，在 2015 年之前，通过电子邮件作为附件或链接直接分发的勒索软件活动以相对较低且一致的数量发生，此时威胁行为者开始以相当高的数量通过电子邮件分发勒索软件。攻击者会向个人电子邮件地址发送大量邮件，其中包含在点击或下载时会感染受害者的恶意文件或 URL。 例如，Locky在其运营突然停止之前，在 2017 年每天发送多达 100 万条消息。  

图 2：勒索软件卷作为第一阶段的恶意软件 

Proofpoint 数据显示，2018 年第一阶段勒索软件活动显着下降。多种因素导致勒索软件不再作为第一阶段有效载荷，包括改进的威胁检测、导致支付有限的个人加密活动以及引入可蠕虫和具有成倍增加破坏性能力的人为威胁。 

黑客如何狩猎 

勒索软件威胁行为者目前进行“大型游戏狩猎”，进行开源监视以识别高价值组织、易受攻击的目标以及公司可能愿意支付赎金。与初始访问代理合作，勒索软件威胁参与者可以利用现有的恶意软件后门在成功加密之前实现横向移动和全域入侵。  

利用初始访问代理的攻击链可能如下所示： 

1. 威胁参与者发送包含恶意 Office 文档的电子邮件 

2. 用户下载文档并启用释放恶意软件负载的宏 

3. 攻击者利用后门访问来窃取系统信息 

4. 此时，初始访问代理可以将访问权出售给另一个威胁参与者 

5. 攻击者通过恶意软件后门访问部署 Cobalt Strike，从而实现网络内的横向移动 

6. 攻击者通过 Active Directory 获得完整的域入侵 

7. 攻击者将勒索软件部署到所有加入域的工作站 

图 3：通过初始访问代理的示例攻击链 

外表 

到 2021 年为止，Proofpoint 不断观察到基于电子邮件的威胁，包括具有多阶段有效载荷的下载器和银行家，这些威胁通常会导致勒索软件感染。在手动部署勒索软件负载之前，威胁行为者正在环境中进行广泛的侦察、特权升级和横向移动。需要关注的一项关键指标是停留时间。在过去两年中，来自事件响应公司的多份公开报告指出，威胁行为者在进行加密活动之前在环境中花费的时间有所减少。与 2019 年报告的平均 40 天相比，一些事件报告 了初始访问和勒索软件部署之间的两天感染时间线 。 

网络犯罪生态系统之间的短停留时间、高支出和协作导致了一场完美的网络犯罪风暴，世界各国政府都在认真对待。针对近期备受瞩目的勒索软件攻击，美国政府 提出 了打击勒索软件的新举措，成为2021年G7会议的热门话题。随着针对威胁的新破坏性努力以及对跨供应链网络防御的投资不断增加，勒索软件攻击的频率和效率可能会下降。  

本文始发于微信公众号（Ots安全）：第一步：初始访问导致勒索软件