勒索软件关键攻击向量及缓解建议

勒索软件能够渗透并阻碍一切组织的正常运营，这就是了解勒索软件攻击主要载体的意义所在。

2022年上半年，全球共发生了2.361亿起勒索软件攻击事件。对于网络犯罪分子而言，这是一种十分称手的武器，因为它不仅能够轻松勒索到大量资金，同时对犯罪分子本身构成的风险也极低。

在我们讨论威胁行为者访问组织的所有方式之前，让我们先搞清楚一件事: 什么是攻击向量？

网络安全中的攻击向量是黑客利用网络安全漏洞的路径。

网络犯罪分子通过瞄准软件系统赚钱，但他们并不总是以窃取信用卡数据或银行信息为目标。一些黑客开发了更复杂的攻击变现方法，例如:

• 使用场外C&C服务器远程访问和控制数百或数千台计算机，以发送垃圾邮件、进行网络攻击、窃取数据或挖掘加密货币；

• 从收集和存储大量客户信息的公司窃取客户数据；

• 利用DDoS攻击，使IT系统过载，造成计划外的业务中断。

问题是，勒索软件攻击中使用了各种感染载体。而预防勒索软件的关键在于，首先要知道它是如何传播的。在本文中，我们将介绍勒索软件攻击的主要向量。通过了解这些主要的勒索软件攻击向量，组织可以实施控制和缓解勒索软件攻击的措施，增强组织网络弹性。

勒索软件攻击向量 

网络钓鱼，网络钓鱼，更多的网络钓鱼

毫无疑问，勒索软件攻击的主要载体是网络钓鱼。数据显示，网络钓鱼仍然是所有恶意软件（包括勒索软件）最流行的攻击载体，因为它投资回报率极高。

此外，攻击者经常以电子邮件为目标，这种技术被称为鱼叉式网络钓鱼，因为它到达员工的收件箱，通常位于公司的终端。因此，攻击者有很高的信心，如果打开电子邮件携带的恶意软件，就会到达一个有价值的目标。

当用户收到恶意电子邮件，指示他们打开受感染的文件附件时，典型的攻击尝试就开始了。它可以以PDF文档、ZIP归档文件或Microsoft Office文档的形式送达，从而诱使收件人启用宏。攻击者可以诱骗接收者以任何这些文件格式运行勒索软件下载可执行文件。

钓鱼邮件中的恶意软件并不总是通过附件感染收件人。相反地，假设受害者点击了恶意链接。在这种情况下，黑客活动可能会将用户重定向到一个包含虚假软件下载或其他旨在分发勒索软件或漏洞利用工具包策略的网站。

有各种各样的方法可以伪造网络钓鱼电子邮件，以跟上用户最有可能感兴趣的主题。例如，在“黑色星期五”或“网络星期一”之前的电子产品大减价，或者在4月份承诺更快的退税，都会获得点击量。接收到电子邮件后，一个简单的点击附件或恶意链接的动作就能成功安装dropper恶意软件和下载勒索软件有效负载。

网络钓鱼防范建议 

在电脑上安装和使用适当的互联网安全软件是避免自身沦为网络钓鱼计划受害者最简单的方法之一。互联网安全软件对任何用户来说都是必不可少的，因为它在一个易于管理的包中提供多层保护。

在防止钓鱼方面，技术也是必不可少的。电子邮件安全系统，特别是那些在云端运行的电子邮件安全系统，可以在邮件到达您的组织之前过滤掉容易发现的钓鱼邮件，从而减轻邮件服务器的负载。

端点检测和响应系统，特别是那些检测异常行为的系统，是过滤勒索软件活动的最后一道防线。

远程桌面协议和凭证滥用

因为允许管理员从几乎任何地方访问服务器和桌面，微软专有的远程桌面协议（RDP）对现代企业来说可谓极具价值。然而，如果没有充分的保护，它也会留给攻击者可乘之机。

为了利用RDP，攻击者通常需要合法的凭证。勒索软件运营商和其他犯罪团伙使用各种技术来获取这些凭据，包括暴力攻击、从非法网站购买凭据以及凭据填充。

RDP安全防范建议

增加多因素身份验证（MFA），并使其成为远程访问的强制要求。如此一来，即使有有效的凭证，攻击者也将无法访问系统，除非使用二级身份验证因素，例如一次性代码、加密狗或文本消息。

使用VPN进一步限制远程系统访问，并限制对单一用途设备（如跳转服务器或特权访问工作站）的管理访问。这意味着攻击者在试图通过RDP连接到远程服务器之前，必须首先渗透到跳转服务器或工作站。

考虑关闭管理端口，只允许合法的、经过验证的用户请求访问。通过这种方式，管理员可以在保持系统安全的同时继续工作。

可利用的漏洞

“其他”类别，包括利用未打补丁的系统（如网站和VPN服务器），是我们列表中的最后一个勒索软件攻击载体。任何没有打补丁和保护的面向互联网的系统都可能成为攻击的载体。

由于现代软件供应链的复杂性，网站经常包含插件和库。此外，许多低代码/无代码工作流连接到各种服务和功能。这些漏洞可能被用作勒索软件攻击的载体。

漏洞移除建议

如果组织还没有更新补丁管理软件：

首先，确保组织的所有系统（主要是对公众开放的系统）都打了补丁。

为软件和工作流实现应用程序生命周期管理（ALM）程序，以盘点和跟踪组织中的应用程序和服务。

软件材料清单（SBOM）正变得越来越受欢迎，因为它提供了部署的透明度，赋予组织更多的控制权。

部署自动化的漏洞管理工具，使组织能够持续监控基础设施并实时评估环境的状态。

如何避免沦为勒索软件的受害者

组织可以考虑以下措施来避免勒索软件攻击：

首先要有全面的网络安全意识

组织员工应该将自身视为网络安全先行军，并改变组织内部的观念，即安全是安全运营中心（SOC）的唯一责任。网络攻击可以对整个组织产生重大影响，导致停机、生产力损失、财务损失和重大中断。

通过定期的网络意识培训、桌面练习和安全演练来加强经验教训。通过一个假设的勒索软件事件，组织可以解释这些攻击是如何发生的，如果发现自身受到攻击，员工应该做什么，以及应该联系谁。安全团队还可以进行模拟网络钓鱼或诈骗攻击，以确定这些安全培训工作的有效性。

保持一个固定的补丁时间表

网络卫生，比如经常给系统打补丁，是对抗勒索软件的有效工具。未能应用补丁的组织沦为勒索软件攻击受害者的风险会大幅增加。数据显示，补丁周期等级为D或F的组织遭受勒索软件事件的可能性是A级组织的7倍以上。

为电子邮件和即时通讯建立安全协议

为了减少欺骗并验证电子邮件的来源，组织可以考虑实现电子邮件安全协议，如DKIM、SPF和DMARC。此外，组织也可以部署专业的防病毒软件来扫描即时消息中的可疑链接和附件，有效防止即时消息勒索软件攻击。

原文链接：

https://heimdalsecurity.com/blog/what-is-the-main-vector-of-ransomware-attacks/

精彩推荐

原文始发于微信公众号（FreeBuf）：勒索软件关键攻击向量及缓解建议