【深度好文】勒索软件攻击生命周期运行分析

勒索软件不仅仅是锁定文件——它是一个多阶段、协同入侵。它更像是一场抢劫：有计划、有策略、具有毁灭性。威胁行为者有条不紊地入侵网络，提升权限，窃取数据，然后部署加密——所有这些都在不被察觉的情况下进行。我见过很多公司被这些行动击垮。为了有效防御勒索软件，您必须了解其生命周期以及对手利用的工具——特别是核心企业技术，如 Active Directory、Kerberos 和 域控制器 。

在获得管理员访问权限后，攻击者开始在网络中移动——这一阶段被称为横向移动 。他们使用被盗的凭据进行诸如传递哈希之类的技术，或者利用诸如 PSExec 和 WMI 之类的受信任工具来保持隐蔽。他们的主要目标是域控制器 ；一旦被攻破，他们就能控制整个网络。像 Ryuk 这样的攻击已经表明，威胁行为者可以利用 SMB 和 RDP 等工具快速横向移动，而不会触发警报。

接下来是数据窃取和加密 。在加密文件之前，攻击者通常会使用诸如 Rclone 之类的工具窃取敏感信息——例如客户数据或商业机密。然后，他们部署勒索软件，加密整个环境中的数据。 双重勒索现在很常见：如果受害者拒绝支付，攻击者不仅会让受害者无法访问关键文件，还会威胁泄露被盗数据。备份也经常被删除，以完全消除恢复的可能性。

这也是防御者检测和响应的关键窗口。了解对手如何利用 Active Directory、Kerberos 和 域控制器 ，能让你获得在为时已晚之前扰乱其行动所需的洞察力。

初始访问

勒索软件攻击通常始于初始访问 ——攻击者在发起全面行动之前悄悄渗透网络的阶段。这种访问通常是通过技术漏洞和人为错误的结合获得的。这一阶段的一个重要方面涉及雇佣渗透测试人员 ——熟练的入侵者会攻破系统，然后将访问权限出售给勒索软件组织。这些参与者活跃在地下论坛上，例如 xss、exloit、BreachForums，尤其是 RAMP，在那里，网络访问权的交易价格低至 200 美元 ，高至 3000 美元 ，具体取决于目标的规模和价值。

买家通常使用 ZoomInfo 等平台来评估公司的年收入。如果低于 500 万美元 ，他们通常会放弃——回报不值得冒险。主要关注的是 美国 和 欧洲 的大型组织，在那里，像 GDPR 这样的严格数据隐私法会带来额外的快速支付压力。如果渗透测试人员设法访问了 域控制器 (DC) ，要价可能会增加 高达 80% ，因为 DC 访问提供了对目标网络的完全控制。

基于漏洞的初始访问

攻击者积极扫描易受攻击的面向互联网的系统，例如 RDP、VPN 设备 和企业软件，如 Microsoft Exchange。他们利用众所周知的漏洞——如 ProxyLogon 或 Log4j——来获得未经授权的访问权限。诸如 Nmap、Nessus 和 Metasploit 等工具通常用于识别和利用这些弱点。

如果发现一个暴露的 RDP 端口 且密码较弱，攻击者可能会通过暴力破解或使用窃取的凭据来获取访问权限。针对这些漏洞的利用程序经常在 exploit 等地下论坛上交易。漏洞越关键，其市场价值就越高。 

SIM 交换和社会工程学

网络钓鱼仍然是最常见的初始访问方法之一。攻击者精心制作看似来自经理、人力资源代表或可信供应商的电子邮件。这些电子邮件通常包含恶意附件——通常是带有嵌入式宏的 Word 文档——或指向虚假登录页面的链接，该页面与合法页面非常相似。打开文档或在欺骗性网站上输入凭据会安装恶意软件，例如 Emotet、TrickBot 或 Qakbot，从而使攻击者能够在网络中站稳脚跟。渗透测试人员经常使用类似的技术，创建旨在触发紧急情况的令人信服的消息，例如虚假的密码重置通知。许多人依赖于现成的网络钓鱼工具包，这些工具包可在 RAMP 上轻松获得，以有效地发起大规模活动。

使用泄露密码进行凭证填充

来自先前数据泄露事件的被盗凭证是攻击者常用的切入点。他们使用这些被盗的用户名和密码尝试登录 VPN、RDP 或 Office 365 等服务——这种策略被称为凭证填充 。在多个平台重复使用密码的用户尤其面临风险。渗透测试人员经常通过钓鱼活动或键盘记录器收集这些凭证，然后在 BreachForums 等论坛上出售。

利用第三方供应商

另一种有效的策略是针对公司通过其第三方供应商。这些供应链攻击执行起来更复杂，但可能造成广泛的破坏。例如，在 SolarWinds 泄露事件中，攻击者在软件更新中植入了恶意软件，从而入侵了数千家组织。同样，Kaseya 事件导致勒索软件通过托管服务提供商部署到众多客户。渗透测试人员经常关注安全控制较弱的小型供应商，尤其是那些与大型企业相关的供应商。通过这些供应商获得的访问权限在 RAMP 或 xss 等论坛上的售价可能在 2,000 美元到 3,000 美元之间，使其成为一种高风险、高回报的策略。

漏洞利用工具包和恶意广告活动

攻击者有时会入侵合法网站或投放恶意广告，在用户访问页面时悄无声息地安装恶意软件。这些隐蔽下载通常会利用过时的浏览器插件，如 Flash 或 Java，并通过 Rig 或 Neutrino 等漏洞利用工具包进行传播。渗透测试人员设置这些陷阱，并在 BreachForums 等论坛上出售由此产生的网络访问权限，通常价格在 300 到 800 美元之间，具体取决于受感染网络的大小和价值。这些攻击隐蔽、快速且易于扩展。

内部入侵

有时，入侵来自内部。心怀不满的员工或承包商可能会向勒索软件组织出售访问权限——从 VPN 凭证和管理员密码到完整的域控制器登录信息 。渗透测试人员通过 RAMP 或 xss等论坛积极招募内部人员，通常为直接访问提供超过 $8,000 的报酬。虽然不太常见，但内部威胁尤其危险，因为它们可以绕过大多数安全控制措施 ，使得检测和响应变得更加困难。

权限提升

一旦勒索软件攻击者在侦察期间完成网络映射，下一步就是权限提升 ——从低级账户提升到具有更高权限的账户，例如域管理员 。在 Windows 环境中，Active Directory (AD) 成为主要战场，Kerberos（身份验证协议）是关键目标。在这个阶段，攻击者会利用 Kerberoasting、 令牌模拟和凭证转储等技术来获得完全控制权。本节概述了他们如何利用 Kerberos 和其他漏洞来提升权限，并使用各种工具和策略控制网络。

最后阶段：数据窃取和加密

勒索软件攻击者将其最具破坏性的行动保留在最后阶段——数据窃取和加密。窃取涉及窃取敏感数据，例如客户信息、财务记录和专有源代码。这使得双重勒索策略成为可能，受害者不仅要被迫支付以重新获得访问权限，还要防止公共数据泄露。加密使系统无法使用，如果没有解密密钥，则无法恢复。本节提供了攻击者如何使用 StealBit、Exmatter、Rclone 和 点对点方法 （如 Tox）等工具窃取和加密数据的技术分解，以及 半加密 和 ZIP 标头损坏 等技术。包括 Colonial Pipeline 和 JBS Foods 在内的真实事件说明了这些策略的实际应用。

目标数据窃取

数据窃取是指窃取高价值文件并将其传输到攻击者控制的服务器。这是双重勒索攻击中的关键步骤。威胁行为者优先考虑敏感文件，例如数据库、知识产权和财务文件。他们使用定制工具和开源实用程序来自动化此过程，确保隐蔽性和速度。

StealBit (LockBit 使用)

StealBit 是一款专为速度和简单性而设计的工具。LockBit 附属机构使用它来扫描受害者系统，根据扩展名（例如 .docx、.pdf、.sql）或目录（例如 C:Data）识别高价值文件。它会压缩文件以减少带宽使用，并通过 HTTP 或 FTP 传输它们。在许多情况下，StealBit 会自动运行，在上传之前将文件复制到暂存文件夹。它旨在在部署勒索软件之前进行快速窃取，如 埃森哲数据泄露事件 所示。

Exmatter（BlackMatter 和 Conti 使用）

Exmatter，使用 .NET 开发，针对源代码、CAD 设计和 .rdp 快捷方式等文件类型。它扫描所有驱动器，但避开系统文件夹，专注于运营数据。该工具通过 SFTP 或 WebDAV 上传优先文件。根据 Kroll 的说法，Exmatter 在 Conti 的行动中发挥了关键作用，迅速窃取工程和专有数据以增加赎金压力。

Rclone：利用云存储

Rclone 是一款开源工具，受到勒索软件组织的青睐，因为它能够融入合法的网络活动。它将本地文件与 Mega、Google Drive 或 Dropbox 等云服务同步。Rclone 加密文件并支持分块传输以实现隐蔽传输。在多次 LockBit 和 BlackByte 攻击中使用，Rclone 因其在 2022 年从医疗保健目标窃取数据的过程中所扮演的角色而受到 CISA 的重点关注。

点对点 (P2P) 数据传输

高级攻击者使用 P2P 方法，例如 Tox 协议 ，这是一个加密的、去中心化的通信平台，没有中央服务器。这使得监控和阻止变得困难。在一次 2020 年 Maze 攻击中，Tox 被编写脚本，分段传输被盗数据库，确保完成的同时保持匿名性。

另一种方法涉及 种子下载 。像 REvil 这样的组织创建被盗数据的 .torrent 文件，并通过像 qBittorrent 这样的客户端进行播种。在 2021 年 JBS Foods 攻击中，REvil 通过种子下载窃取了财务记录，并使用 BitTorrent 的分布式设计来掩盖其目的地。

攻击者经常使用 WinRAR 或 7-Zip 压缩文件，将它们暂存在 C:Temp 中，并通过 主文件表 (MFT) 跟踪文件交互，以实现隐蔽性和效率。2024 年观察到 Conti 使用 MFT 解析来优先处理高价值文件。

系统锁定：加密技术

一旦数据被盗，攻击者会部署加密来瘫痪运营并最大程度地施加影响。

混合加密

大多数勒索软件，包括 LockBit 3.0，都使用混合方法：

• ChaCha20（对称）加密文件内容。
• RSA-2048（非对称）加密 ChaCha20 密钥。

每个文件都会获得一个独特的 ChaCha20 密钥，其 RSA 加密后的对应密钥存储在勒索信中（例如，.README.txt）。这种方法在 REvil-JBS 攻击中得到了证实，当时肉类加工系统被加密。

半加密

为了加速操作，攻击者通常会部分加密文件。例如，LockBit 3.0 会对大文件（>1MB）每 5,000 字节的前 5 个字节进行加密，从而破坏它们，使其无法使用。

ZIP 标头损坏

攻击者会针对 ZIP 压缩包内的元数据，仅加密中央目录结构。没有这个，压缩包就无法恢复——即使其内容保持完整。这种方法被 LockBit 2.0 在 2021 年对一家美国制造商的攻击中采用。

稀疏文件加密

对于 SQL 数据库等大型文件，攻击者使用稀疏加密，仅针对战略性片段。 DarkSide 在 2021 年的 Colonial Pipeline 攻击中采用了这种技术，在极短的处理时间内加密了超过 100GB 的数据。

备份销毁

为了阻止恢复，攻击者使用内置的 Windows 工具（如 vssadmin 和 wmic）删除 卷影副本 。根据 CISA 的说法，在 2023 年的一起医疗保健事件中，观察到 LockBit 3.0 这样做了。

通过域控制器的 GPO 部署

拥有域管理员权限的攻击者使用 组策略对象 (GPO) 在整个网络中部署勒索软件。这种技术是 Conti 2021 年行动 的核心。

结论

数据窃取和加密是勒索软件攻击的最后阶段，通常也是最具破坏性的阶段。到这一步，攻击者已经渗透到环境中，提升了权限，并绘制了关键资产的地图。以上详述的策略表明，现代勒索软件组织不仅具有经济动机，而且技术精湛，他们结合了定制恶意软件、开源实用程序和隐蔽的传输协议，以最大限度地向受害者施压。