勒索软件在WannaCry之后一年：攻击载体仍然经常被攻击技术总监Dave Palmer利用| 2018年5月9日星期三勒索软件仍然是最严重和最具破坏性的网络威胁之一。新兴活动的商业模式、动机和感染技术已经多样化，新的勒索软件继续超过解密工具的发布。预计到2019年，全球勒索软件每年的损失成本将超过115亿美元。2017年最令人难忘的三次勒索软件活动——万纳克里、诺特提亚和坏兔子——在范围、传播和破坏力上都是突破性的，表明每个企业、行业和国家都是潜在的受害者。尽管这些攻击造成的损害突显了良好网络卫生的重要性，但许多公司都在努力解决甚至是最广泛报道的漏洞。由于预防胜于治疗，本文将讨论一些最常见的感染媒介，以及暗黑种族企业免疫系统如何帮助安全团队捕捉勒索软件威胁。动机：经济利益还是破坏？勒索软件传统上是通过让受害者支付一定的费用来解锁加密文件来赚取快速收入的。勒索软件即服务（ransomware-as-a-service）的现象使得这一点比以往任何时候都容易，大淘客是什么，因为它允许几乎任何人在黑暗的网络上购买更强大的勒索软件分发包。最近加密货币的增长也使匿名性比以前容易得多，导致有经济动机的网络罪犯明显增加。令人遗憾的是，勒索软件的目标不再仅仅是为了赚钱。NotPetya和Ordinypt等其他活动的目的是有目的地销毁数据。尽管NotPetya向受害者提供了付款指示，但它无法确定谁实际支付了款项。因此，找回丢失档案的不确定性以及与资助恶意组织有关的可能性，使许多受害者不敢满足赎金要求。无论一家企业如何努力保护自己的资产，事件都不可避免，而赎金攻击越来越可能成为犯罪行为的选择。但是现在可以识别正在进行的攻击，并在它们变成危机之前进行处理。案例研究1：从受损网站下载可执行文件许多大量勒索软件都是通过网络钓鱼电子邮件、受感染的文件下载、被破坏的网站、恶意软件和漏洞工具包进行分发的。在许多情况下，勒索软件往往是在受害者不知情的情况下下载和安装的。为了说明勒索软件下载机制，我们将分析GandCrab事件的生命周期。在下面详细介绍的案例研究中，Darktrace企业免疫系统标记了一个客户设备，高防服务器租用，在从另一个罕见的站点重定向后，从以前不受监控的位置检索可执行文件。包含勒索软件的文件是从一个注册到波兰域名的网站下载的。下载文件后不久，客户的设备开始联系到两个其他网络设备都没有联系到的位置，nomoreransom.bit以及BLEEPING计算机.bit. 这两个都是GandCrab勒索软件的命令和控制服务器。一旦接触，恶意病毒就开始加密SMB服务器上的文件，在文件夹中移动时添加.GDCB（GandCrab）扩展名。病毒在加密过程中修改了原始文件扩展名。在病毒出现在该公司网络上的几秒钟内，Darktrace网络分析师团队就向安全团队发出了警告。随后采取了预防措施，使威胁得以及时得到控制。案例研究2：野蛮实施远程桌面协议访问除了设计巧妙的方法将勒索软件下载到受害者的机器上之外，一些黑客还转而使用暴力破解远程桌面协议（RDP）访问（HC7和Lockcrypt）。将远程桌面服务暴露到Internet是有风险的，因为攻击者可以通过猜测登录信息和远程利用一系列可能的漏洞和管理工具来强制访问网络，从而感染其他可用的计算机。在另一个特别严重的漏洞中，Darktrace检测到一系列可疑活动，淘客查询，秒单客返利机器人，表明一个恶意的参与者控制了一个密钥服务器，并将其用作一个轴心点，以便在整个网络中横向移动，并在多个设备上安装远程访问工具（RAT）。在攻击的初始阶段，Darktrace企业免疫系统观察到一个端口上有超过400000个传入连接，该端口的目标是打开RDP的设备，并立即标记出暴力攻击的第一个迹象。从多个罕见的外部设备传入的RDP超过40万个。攻击成功；然后使用一个受损的服务器来检索允许后门访问的恶意软件，并扫描网络中是否有打开的RDP通道的设备。黑客随后通过中间层，控制了其他多台机器，并为所有可用设备安装了第三方远程访问软件。尽管Darktrace企业免疫系统观察到的大多数RDP暴力事件不会升级到目前为止，但是Darktrace网络分析师团队一直在标记可公开访问的远程管理服务的实例。为了防止专门利用不安全的RDP配置的勒索软件，企业应该将这些关键服务转移到虚拟专用网络中。此外，有了Darktrace Antigena，Darktrace的自主响应解决方案，企业可以从额外的保护层中获益。在这种情况下，它会阻止与服务器的任何异常RDP连接，从而阻止整个网络。戴夫PalmerDave是Darktrace的技术总监，负责监督数学和工程团队以及项目策略。戴夫在政府情报部门工作超过13年，曾在英国情报机构GCHQ和军情五处工作，负责提供关键任务基础设施服务，啥是大数据，包括更换和保护整个全球网络，发展互联网业务能力和管理重大灾难恢复事件。他是网络安全初创公司和成长期公司的顾问，这些公司来自英国政府的网络安全加速器和赛隆公司。他对人工智能和网络安全未来的见解也经常出现在英国媒体上。他拥有大学计算机科学和软件工程一级学位伯明翰。分享在LinkedIn上的FacebookTweetShare发送电子邮件