勒索軟件關鍵攻擊向量及緩解建議
勒索軟件能夠滲透并阻礙一切組織的正常運營,這就是了解勒索軟件攻擊主要載體的意義所在。
2022年上半年,全球共發生了2.361億起勒索軟件攻擊事件。對于網絡犯罪分子而言,這是一種十分稱手的武器,因為它不僅能夠輕松勒索到大量資金,同時對犯罪分子本身構成的風險也極低。
在我們討論威脅行為者訪問組織的所有方式之前,讓我們先搞清楚一件事: 什么是攻擊向量?
網絡安全中的攻擊向量是黑客利用網絡安全漏洞的路徑。
網絡犯罪分子通過瞄準軟件系統賺錢,但他們并不總是以竊取信用卡數據或銀行信息為目標。一些黑客開發了更復雜的攻擊變現方法,例如:
- 使用場外C&C服務器遠程訪問和控制數百或數千臺計算機,以發送垃圾郵件、進行網絡攻擊、竊取數據或挖掘加密貨幣;
- 從收集和存儲大量客戶信息的公司竊取客戶數據;
- 利用DDoS攻擊,使IT系統過載,造成計劃外的業務中斷。
問題是,勒索軟件攻擊中使用了各種感染載體。而預防勒索軟件的關鍵在于,首先要知道它是如何傳播的。在本文中,我們將介紹勒索軟件攻擊的主要向量。通過了解這些主要的勒索軟件攻擊向量,組織可以實施控制和緩解勒索軟件攻擊的措施,增強組織網絡彈性。
勒索軟件攻擊向量
網絡釣魚,網絡釣魚,更多的網絡釣魚
毫無疑問,勒索軟件攻擊的主要載體是網絡釣魚。數據顯示,網絡釣魚仍然是所有惡意軟件(包括勒索軟件)最流行的攻擊載體,因為它投資回報率極高。此外,攻擊者經常以電子郵件為目標,這種技術被稱為魚叉式網絡釣魚,因為它到達員工的收件箱,通常位于公司的終端。因此,攻擊者有很高的信心,如果打開電子郵件攜帶的惡意軟件,就會到達一個有價值的目標。
當用戶收到惡意電子郵件,指示他們打開受感染的文件附件時,典型的攻擊嘗試就開始了。它可以以PDF文檔、ZIP歸檔文件或Microsoft Office文檔的形式送達,從而誘使收件人啟用宏。攻擊者可以誘騙接收者以任何這些文件格式運行勒索軟件下載可執行文件。
釣魚郵件中的惡意軟件并不總是通過附件感染收件人。相反地,假設受害者點擊了惡意鏈接。在這種情況下,黑客活動可能會將用戶重定向到一個包含虛假軟件下載或其他旨在分發勒索軟件或漏洞利用工具包策略的網站。
有各種各樣的方法可以偽造網絡釣魚電子郵件,以跟上用戶最有可能感興趣的主題。例如,在“黑色星期五”或“網絡星期一”之前的電子產品大減價,或者在4月份承諾更快的退稅,都會獲得點擊量。接收到電子郵件后,一個簡單的點擊附件或惡意鏈接的動作就能成功安裝dropper惡意軟件和下載勒索軟件有效負載。
網絡釣魚防范建議
在電腦上安裝和使用適當的互聯網安全軟件是避免自身淪為網絡釣魚計劃受害者最簡單的方法之一。互聯網安全軟件對任何用戶來說都是必不可少的,因為它在一個易于管理的包中提供多層保護。
在防止釣魚方面,技術也是必不可少的。電子郵件安全系統,特別是那些在云端運行的電子郵件安全系統,可以在郵件到達您的組織之前過濾掉容易發現的釣魚郵件,從而減輕郵件服務器的負載。
端點檢測和響應系統,特別是那些檢測異常行為的系統,是過濾勒索軟件活動的最后一道防線。
遠程桌面協議和憑證濫用
因為允許管理員從幾乎任何地方訪問服務器和桌面,微軟專有的遠程桌面協議(RDP)對現代企業來說可謂極具價值。然而,如果沒有充分的保護,它也會留給攻擊者可乘之機。
為了利用RDP,攻擊者通常需要合法的憑證。勒索軟件運營商和其他犯罪團伙使用各種技術來獲取這些憑據,包括暴力攻擊、從非法網站購買憑據以及憑據填充。
RDP安全防范建議
增加多因素身份驗證(MFA),并使其成為遠程訪問的強制要求。如此一來,即使有有效的憑證,攻擊者也將無法訪問系統,除非使用二級身份驗證因素,例如一次性代碼、加密狗或文本消息。
使用VPN進一步限制遠程系統訪問,并限制對單一用途設備(如跳轉服務器或特權訪問工作站)的管理訪問。這意味著攻擊者在試圖通過RDP連接到遠程服務器之前,必須首先滲透到跳轉服務器或工作站。
考慮關閉管理端口,只允許合法的、經過驗證的用戶請求訪問。通過這種方式,管理員可以在保持系統安全的同時繼續工作。
可利用的漏洞
“其他”類別,包括利用未打補丁的系統(如網站和VPN服務器),是我們列表中的最后一個勒索軟件攻擊載體。任何沒有打補丁和保護的面向互聯網的系統都可能成為攻擊的載體。
由于現代軟件供應鏈的復雜性,網站經常包含插件和庫。此外,許多低代碼/無代碼工作流連接到各種服務和功能。這些漏洞可能被用作勒索軟件攻擊的載體。
漏洞移除建議
如果組織還沒有更新補丁管理軟件:
首先,確保組織的所有系統(主要是對公眾開放的系統)都打了補丁。
為軟件和工作流實現應用程序生命周期管理(ALM)程序,以盤點和跟蹤組織中的應用程序和服務。
軟件材料清單(SBOM)正變得越來越受歡迎,因為它提供了部署的透明度,賦予組織更多的控制權。
部署自動化的漏洞管理工具,使組織能夠持續監控基礎設施并實時評估環境的狀態。
如何避免淪為勒索軟件的受害者
組織可以考慮以下措施來避免勒索軟件攻擊:
首先要有全面的網絡安全意識
組織員工應該將自身視為網絡安全先行軍,并改變組織內部的觀念,即安全是安全運營中心(SOC)的唯一責任。網絡攻擊可以對整個組織產生重大影響,導致停機、生產力損失、財務損失和重大中斷。
通過定期的網絡意識培訓、桌面練習和安全演練來加強經驗教訓。通過一個假設的勒索軟件事件,組織可以解釋這些攻擊是如何發生的,如果發現自身受到攻擊,員工應該做什么,以及應該聯系誰。安全團隊還可以進行模擬網絡釣魚或詐騙攻擊,以確定這些安全培訓工作的有效性。
保持一個固定的補丁時間表
網絡衛生,比如經常給系統打補丁,是對抗勒索軟件的有效工具。未能應用補丁的組織淪為勒索軟件攻擊受害者的風險會大幅增加。數據顯示,補丁周期等級為D或F的組織遭受勒索軟件事件的可能性是A級組織的7倍以上。
為電子郵件和即時通訊建立安全協議
為了減少欺騙并驗證電子郵件的來源,組織可以考慮實現電子郵件安全協議,如DKIM、SPF和DMARC。此外,組織也可以部署專業的防病毒軟件來掃描即時消息中的可疑鏈接和附件,有效防止即時消息勒索軟件攻擊。
