勒索軟件即服務：了解網絡犯罪零工經濟和如何保護自己

寫在前面：這篇文章包括3部分，都是為了介紹勒索軟件即服務的現狀，正好剛看到，就都放在一起了。

先看看2022年7月全球勒索軟件的現狀。Malwarebytes威脅情報公司每月通過監控勒索軟件團伙在其暗網泄露網站上發布的信息來建立勒索軟件活動的圖景。這些信息代表的是那些成功被襲擊但選擇不支付贖金的受害者。

今年7月，LockBit繼續保持其全年最活躍的勒索病毒變種的地位。值得注意的是，今年4月首次出現的一個相對較新的勒索軟件變體BlackBasta，在今年大部分時間里取代了Conti，成為第二活躍的變體。BlackBasta與Conti背后的組織有著密切的聯系，可能是最接近其繼任者的組織。

另外兩個與Conti有關的團伙，Hive和Karakurt，在7月份也非常活躍，這確保被FBI稱為“有史以來最昂貴的勒索軟件”的組織能夠繼續施加影響，盡管Conti“品牌”已經退休。

國際形勢遵循著一個熟悉的模式，到目前為止，美國遭受的攻擊數量最多，緊隨其后的是一些歐洲最大的經濟體。服務業仍然是受攻擊最嚴重的行業，幾乎占所有攻擊的四分之一。

參考上述數據，加以文中對勒索軟件當前的運作模式的介紹，就基本上了解了這個生意。

Dark Utilities 的“C2即服務”的流行度迅速增加

Dark Utilities的“C2-as-a-Service”吸引了越來越多希望找到一種command -and-control方式的用戶。

Dark Utilities的“C2-as-a-Service”的流行度正在迅速增長，超過3000名用戶已經在使用它作為自己的C2服務器。

Dark Utilities于2022年初推出，該平臺為用戶提供了全功能的C2服務器。Dark Utilities被宣傳為一個平臺，可以對受感染的系統進行遠程訪問、命令執行、分布式拒絕服務(DDoS)攻擊和加密貨幣挖礦操作。

它允許威脅行動者以多個體系結構為目標，而不需要技術技能。平臺運營商通過Discord和Telegram向客戶提供技術支持和幫助。

“Dark Utilities提供了由在受害系統上執行的代碼組成的有效載荷，允許它們向服務注冊，并建立一個命令和控制(C2)通信通道。Cisco Talos研究人員發表的分析報告中寫道。“該平臺目前支持Windows、Linux和基于python的載荷，允許對手在不需要大量開發資源的情況下針對多個架構。”

該平臺托管在互聯網和Tor網絡上，其運營者提供高級訪問平臺，相關有效載荷和API端點，價格為9.99歐元。截至發稿時，該平臺已經注冊了大約3000名用戶，這大約是3萬歐元的收入。

Dark Utilities平臺使用Discord進行用戶身份驗證，通過一個儀表盤顯示平臺統計數據、服務器健康狀態和其他指標。

用戶可以為特定的操作系統生成新的有效載荷，并將其部署到受害機器上。

“選擇操作系統會導致平臺生成一個命令字符串，威脅參與者通常會將這些命令字符串嵌入到PowerShell或Bash腳本中，以便于在受害者機器上檢索和執行有效載荷。報告繼續說。

研究人員指出，該平臺提供的有效載荷托管在星際文件系統(IPFS)中，使它們能夠適應內容審核或執法干預。

IPFS是一個分布式的點對點網絡，可以防止來自管理機構的接管。IPFS支持網關，其操作類似于Tor2Web網關，允許internet上的用戶訪問IPFS中托管的內容，而不需要安裝客戶端應用程序。

Dark Utilities似乎是由一個名為Inplex-sys的威脅者設計的。

Talos的研究人員認為，Inplex-sys與一個名為Smart Bot的僵尸網絡服務運營商合作，該僵尸服務旨在對Discord和Twitch通信平臺發起垃圾郵件攻擊或“突襲”。

“雖然Dark Utilities平臺是最近才成立的，但已經有數千名用戶注冊并加入了該平臺。鑒于該平臺提供的功能數量和相對較低的使用成本，我們預計該平臺將繼續迅速擴大其用戶基礎。報告總結道。“這可能會導致試圖利用該平臺建立C2的惡意軟件樣本數量增加。”

勒索軟件即服務：了解網絡犯罪零工經濟和如何保護自己

Microsoft 365 Defender威脅情報團隊（Threat Intelligence Team）

微軟威脅情報中心（Microsoft Threat Intelligence Center ，MSTIC)

2022年5月9日

    微軟每24小時處理24萬億次信號，僅去年，我們就攔截了數十億次攻擊。在觀察到的國家支持、勒索軟件和犯罪活動中，Microsoft Security跟蹤超過35個獨特的勒索軟件家族和250個獨特的威脅行為者。

    從各種領域如身份、電子郵件、數據和云，收集到的信號情報的深度，為我們提供了對零工經濟的洞察，攻擊者利用工具創建了勒索軟件的零工經濟，旨在降低其他攻擊者的進入門檻，這些攻擊者反過來通過出售工具和從關聯工具的成功中“提成”，繼續支付紅利和運營資金。

    網絡罪犯經濟是一個由許多具有不同技術、目標和技能的玩家組成、不斷發展的相互關聯的生態系統。就像我們的傳統經濟為了提高效率而轉向雇傭零工一樣，犯罪分子也認識到，租用或出售工具賺取利潤比自己發動攻擊更省力，風險也更小。網絡犯罪經濟的工業化使得攻擊者更容易使用現成的滲透測試和其他工具來執行攻擊。

    在這類威脅中，微軟一直在追蹤“勒索軟件即服務”(RaaS)零工經濟的趨勢，即人為操作的勒索軟件，它仍然是對組織最具影響力的威脅之一。我們造了一個新的行業術語“人為操作勒索軟件”，以澄清這些威脅是由人類發動的，這些人在攻擊的每個階段都根據他們在目標網絡中找到的信息做出決定。

    與早期勒索病毒感染的大范圍目標定位和機會主義方法不同，這些人為操作的活動背后的攻擊者根據他們的發現而改變他們的攻擊模式。例如，沒有配置防篡改的安全產品，或者以域管理員等高度特權賬戶運行的服務。攻擊者可以利用這些弱點來提高他們的權限來竊取更有價值的數據，從而為他們帶來更大的利潤。一旦他們得到報酬，就無法保證他們會離開目標環境。只要攻擊者獲得了訪問權限，他們往往會更堅定地留在某個網絡上，如果他們沒有被成功驅逐，有時會通過使用不同惡意軟件或勒索軟件的額外攻擊來反復賺錢。

    隨著越來越多的“勒索軟件即服務”生態系統采用雙重勒索貨幣化策略，勒索軟件攻擊在近年來變得更加有效。所有的勒索軟件都是勒索的一種形式，但現在，攻擊者不僅對入侵設備上的數據進行加密，還竊取數據，然后公開或威脅發布數據，迫使目標支付贖金。大多數勒索軟件攻擊者會投機取巧地將勒索軟件部署到他們能夠訪問的任何網絡上，有些人甚至會從其他網絡罪犯那里購買訪問網絡的權限。一些攻擊者會優先考慮收入較高的組織，而另一些攻擊者則更喜歡特定的行業，因為他們可以從中獲取讓人驚訝的效果或數據類型。

    所有人為操作的勒索軟件活動，所有人為操作的攻擊，都依賴于使他們成功的常見的安全弱點。攻擊者通常利用組織糟糕的憑證保護和舊的配置或錯誤配置，在環境中找到容易的進入點和特權提升點。

    在本博客中，我們詳細介紹了幾個使用RaaS模型的勒索軟件生態系統，跨域可見性在尋找和驅逐這些參與者方面的重要性，以及組織可以用來保護自己免受這種日益流行的攻擊風格的最佳實踐。我們還提供關于憑證保護和云加固的最佳安全實踐，如何解決安全盲點，加強面向互聯網的資產以了解您的邊界等等。下面是全文目錄：

1. RaaS如何重新定義我們對勒索軟件事件的理解

• RaaS加盟模式解釋
• 銷售訪問權和反復入侵

2. “人為操作”是指人的決定

• 數據竊取和雙重勒索
• 持久和隱蔽的訪問方法

3. 威脅行動者和活動深入：威脅情報對人為操作勒索軟件攻擊的響應

4. 防范勒索軟件：先檢測，再防護

• 打造憑證保護
• 審計憑證暴露
• 優先部署Active Directory更新
• 云加固
• 解決安全盲區
• 減小攻擊面
• 強化面向互聯網的資產并了解您的邊界

RaaS如何重新定義我們對勒索軟件事件的理解

    隨著勒索軟件成為許多網絡罪犯利用攻擊賺錢的首選方法，人為操作勒索軟件仍是當今對組織最具影響力的威脅之一，而且它只會繼續發展。這種演變是由這些攻擊的“人為操作”方面驅動的，攻擊者做出明智的和經過計算的決定，從而產生專門針對其目標的各種攻擊模式，并不斷迭代，直到攻擊者成功或被驅逐。

    在過去，我們已經觀察到在每次活動中，勒索病毒初始進入方式、工具與勒索病毒有效載荷選擇之間存在緊密的關系。RaaS加盟模式正在削弱這一聯系，允許更多的犯罪分子，無論其技術能力如何，部署由他人構建或管理的勒索軟件。隨著勒索軟件部署成為零工經濟，將特定攻擊中使用的間諜技術與勒索軟件載荷開發人員聯系起來變得越來越困難。

    通過其使用有效載荷名稱來報告勒索軟件事件，會給人這樣一種印象：使用相同的勒索軟件載荷的所有攻擊背后都有一個完整的實體，而且使用勒索軟件的所有事件都共享常見的技術和基礎設施。然而，只關注勒索軟件階段掩蓋了之前的許多階段的攻擊，包括數據泄露和其他駐留機制，以及網絡防御者大量的檢測和保護工作。

    例如，我們知道，人為操作的勒索軟件活動所使用的基礎技術多年來并沒有太大變化，攻擊仍然依靠相同的安全錯誤配置來取得成功。確保大型公司網絡的安全需要有紀律和持續的關注，但實施關鍵控制以防止這些攻擊產生更廣泛的影響會產生很高的投資回報率，即使它只可能對最關鍵的資產和部門網絡。

    如果沒有能力竊取對高特權帳戶的權限，攻擊者就無法橫向移動，無法廣泛傳播勒索軟件，無法訪問數據以進行竊取，也無法使用組策略(Group Policy)等工具來影響安全設置。通過安全控制來破壞常見的攻擊模式，還可以在攻擊者進入之前阻止安全SOC中的警報疲勞。這還可以防止短期破壞的意外后果，例如在某些木馬程序執行的頭幾分鐘內發生的網絡拓撲和配置數據泄露。

    在下面的部分中，我們將解釋RaaS加盟模式，并在安全事件中消除攻擊者工具和各種威脅參與者之間的歧義。獲得這種清晰度有助于揭示趨勢和常見的攻擊模式，從而為防御策略提供信息，重點是防止攻擊，而不是檢測勒索軟件的有效載荷。來自這項研究的威脅情報和見解也豐富了我們的解決方案，如Microsoft 365 Defender，其全面的安全能力有助于通過檢測RaaS相關的攻擊嘗試來保護客戶。

• 解釋RaaS加盟模式

    網絡罪犯經濟，一個由許多具有不同技術、目標和技能的參與者組成的互聯生態系統正在不斷發展。攻擊的產業化已經從攻擊者使用現成的工具，如Cobalt Strike，發展到攻擊者能夠購買網絡的訪問權以及他們部署到網絡上的有效載荷。這意味著，無論攻擊者的技能如何，優秀的勒索軟件和成功的勒索攻擊的影響是相同的。

    RaaS是運營者和加盟者之間的一種協議。RaaS運營者開發和維護支持勒索軟件活動的工具，包括生成勒索軟件有效載荷和用于與受害者通信的支付門戶。RaaS程序還可能包括一個泄露網站，透露從受害者那里竊取的數據片段，讓攻擊者證明這種竊取是真實的，并試圖勒索付款。許多RaaS程序進一步包含了一套勒索支持服務，包括泄漏網站托管和集成到勒索聲明，以及解密談判、支付施壓和加密貨幣交易服務

    因此，RaaS為有效載荷或活動提供了一個統一的外觀，作為單個勒索軟件家族或一組攻擊者。然而，發生的情況是，RaaS運營者將有效載荷和解密器的權限出售給一個加盟機構，該加盟機構執行入侵和特權升級，并負責部署實際的勒索病毒有效載荷，然后雙方分享利潤。此外，RaaS的開發者和運營者也可能會利用這些有效載荷來獲利，將其出售，并與其他勒索軟件有效載荷一起執行他們的活動，當涉及到跟蹤這些行動背后的罪犯時，這將進一步使情況復雜化。

• 售賣訪問權和反復入侵

    網絡罪犯經濟的一個組成部分是向其他攻擊者出售系統訪問權，以達到各種目的，包括勒索軟件。例如，訪問經紀人可以用惡意軟件或僵尸網絡感染系統，然后將它們作為“載荷”出售。一個載荷被設計為罪犯在受感染的系統上安裝其他惡意軟件或后門。其他訪問經紀人會掃描互聯網上的易受攻擊的系統，比如帶有弱密碼的遠程桌面協議(RDP)系統或未打補丁的系統，然后入侵并將它們全部泄露給“銀行”，以便日后獲利。一些出售初始訪問權限的廣告特別指出，系統不是由防病毒或端點檢測和響應(EDR)產品保護，而是擁有域管理員(Domain Administrator)等高特權憑證以獲得更高的價格。

    大多數勒索軟件攻擊者會投機地將勒索軟件部署到他們訪問的任何網絡上。一些攻擊者會優先考慮收入較高的組織，而一些攻擊者則會針對特定的行業，以獲取轟動效應或可以竊取的數據類型，例如，攻擊者針對醫院或從技術公司竊取數據。在許多情況下，鎖定目標并不表明是專門攻擊目標的網絡，而是從訪問經紀人購買訪問權限，或使用現有的惡意軟件感染來轉向勒索軟件活動。

    在一些勒索軟件攻擊中，購買了載荷或訪問權限的加盟者可能根本不知道或不關心系統是如何被破壞的，只是把它作為一個“跳轉服務器”來執行網絡中的其他行動。訪問經紀人經常列出他們正在出售的可訪問網絡的細節，但加盟者通常對網絡本身不感興趣，而是對盈利潛力感興趣。因此，一些看似針對特定行業的攻擊，可能只是加盟者根據其可以部署勒索軟件的系統數量和感知到的盈利潛力而購買的訪問權限。

“人為操作”是指人來決策

    微軟創造了“人為操作勒索軟件”一詞，明確定義了這一類攻擊，在攻擊鏈的每一步都由人類專家驅動，最終目的是蓄意破壞業務和敲詐勒索。人為操作勒索軟件攻擊在其所利用的安全錯誤配置和用于橫向移動和駐留的人為操作技術方面具有共同點。然而，這些行動的人為操作本質意味著攻擊的變化，包括目標和勒索前活動，取決于環境和攻擊者發現的獨特機會。

    這些攻擊涉及許多偵察活動，使操作人員能夠分析該組織，并根據對目標的具體了解知道下一步該采取什么行動。許多提供給RaaS加盟者的初始訪問活動在攻擊的最初幾分鐘內執行自動偵察和收集信息外傳。

    在攻擊轉移到手動操作鍵盤的階段，根據RaaS附帶的工具和操作人員的技能，基于這些知識的偵察和活動可能會有所不同。通常攻擊者在繼續攻擊之前會查詢當前正在運行的安全工具、特權用戶和安全設置(如組策略中的定義)。通過偵察階段發現的數據會提醒攻擊者下一步的行動。

    如果有最小限度的安全加固使攻擊復雜化，并且可以立即獲得高特權賬戶，攻擊者通過編輯組策略直接部署勒索軟件。攻擊者注意環境中的安全產品，并試圖篡改和禁用這些產品，有時使用RaaS購買時提供的腳本或工具，這些腳本或工具試圖一次性禁用多個安全產品，有時使用攻擊者執行的特定命令或技術。

    這種在偵察和入侵階段的早期人工決策意味著，即使目標的安全解決方案檢測到特定的攻擊手段，攻擊者也可能不會完全從網絡中驅逐出去，并可以使用其他收集到的知識，試圖通過繞過安全控制的方式繼續進行攻擊。在許多情況下，攻擊者在目標環境中未被檢測到的位置測試他們的攻擊，部署工具或有效載荷，如商業惡意軟件。如果防病毒產品檢測到并阻止了這些工具或有效載荷，攻擊者只需獲取不同的工具，修改其有效載荷，或篡改他們遇到的安全產品。這樣的檢測可能會給SOC一種錯誤的安全感，認為他們現有的解決方案正在發揮作用。然而，這些可能只是充當煙幕彈，讓攻擊者進一步定制具有更高成功概率的攻擊鏈。因此，當攻擊到達刪除備份或影子副本的主動攻擊階段時，攻擊距離勒索軟件部署只有幾分鐘的時間。對手可能已經執行了有害的操作，如數據泄露。這些知識對于SOC響應勒索軟件至關重要：優先調查警報或檢測工具，如Cobalt Strike，并執行快速修復行動和事件響應(IR)程序，對于在勒索軟件部署階段之前遏制人類對手至關重要。

• 數據外泄和雙重勒索

    勒索軟件攻擊者通常通過阻止對重要系統的訪問和導致系統停機來獲利。雖然這種簡單的技術經常會促使受害者付費，但這并不是攻擊者利用被入侵網絡而獲利的唯一途徑。泄露數據和“雙重勒索”(指攻擊者威脅如果沒有支付贖金就會公開數據)也已經成為許多RaaS加盟計劃的常見策略——許多程序為其加盟機構提供統一的泄露站點。攻擊者利用常見的弱點竊取數據，在不部署載荷的情況下索取贖金。

    這一趨勢意味著，把重點放通過安全產品或加密來防范勒索軟件，或考慮將備份作為防范勒索軟件的主要手段，而不是全面加固，會使網絡在被安裝勒索軟件之前，容易受到人為操作勒索軟件所有階段的攻擊。這種泄露可以采取使用Rclone等工具同步到外部站點、設置電子郵件轉發規則或將文件上傳到云服務。使用雙重勒索，攻擊者不需要部署勒索軟件并造成停機來勒索金錢。一些攻擊者已經不再需要部署勒索軟件的有效載荷，而是直接改變勒索模式，或者通過直接刪除云資源來實現其攻擊的破壞性目標。

• 持久和隱蔽的訪問方法

    支付贖金可能不會降低受影響網絡的風險，也許只會為網絡犯罪提供資金。屈服于攻擊者的要求并不能保證攻擊者永遠“打包離開”網絡。一旦攻擊者獲得訪問權限，他們會更堅定地留在某個網絡上，如果攻擊者沒有被成功驅逐，他們有時會反復使用不同的惡意軟件或勒索軟件來盈利。

    不同攻擊者之間的切換意味著，多個攻擊者可能使用與勒索軟件攻擊中完全不同的工具集，在一個入侵環境中保持持久性。例如，銀行木馬獲得的初始訪問導致Cobalt Strike部署，但購買訪問權限的RaaS加盟機構可能會選擇使用不易檢測到的遠程訪問工具，如TeamViewer，以在網絡上保持持久性，以操作其更廣泛的系列活動。使用合法的工具和設置來持續對抗惡意軟件植入，如Cobalt Strike攻擊，是勒索軟件攻擊者普遍采用的一種技術，以避免被發現，并在網絡中駐留更長時間。

    微軟觀察到的一些常見的企業持久性工具和技術包括:

• AnyDesk
• Atera Remote Management
• ngrok.io
• Remote Manipulator Sytem
• Splashtop
• TeamViewer

    攻擊者一旦獲得特權訪問權限，他們執行的另一項流行技術是創建新的后門用戶賬戶，無論在本地的還是在活動目錄中。這些新創建的帳戶可以添加到遠程訪問工具，如VPN (virtual private network)或遠程桌面，通過網絡上看起來合法的帳戶授予遠程訪問權限。勒索軟件攻擊者也被觀察到編輯系統的設置，以啟用遠程桌面，降低協議的安全性，并將新用戶添加到遠程桌面用戶組。

    根據不同的組和他們的工作負載或動機，獲得初始訪問到使用鍵盤部署的間隔時間可能會有很大的差異。一些活動小組可以訪問數千個潛在目標，并在他們的工作人員允許的情況下處理這些目標，在幾個月中根據潛在贖金支付可能性進行優先排序。雖然一些活動小組可能會接觸到大型和高資源的公司，但他們更喜歡攻擊較小的公司得到少一點的勒索資金，因為他們可以在數小時或數天內執行攻擊。此外，不能對重大事件做出響應的公司投資回報率更高。數千萬美元的贖金備受關注，但需要更長的時間來開發。許多組織更喜歡在一個月內勒索5到10個較小的目標，因為這些目標的成功率更高。負擔不起事件響應團隊的小型組織往往比價值數百萬美元的組織更有可能支付數萬美元的贖金，因為后者擁有完備的事件響應能力，而且很可能會聽從法律建議而不支付贖金。在某些情況下，勒索軟件關聯威脅行為者可能在網絡上植入軟件，但永遠不會將其轉化為勒索活動。在其他情況下，從初始訪問到全額贖金(包括從訪問經紀人移交到RaaS加盟機構)不到一個小時。

    目標和成功率的漏斗圖。假設有2500個潛在目標組織，其中60個與已知的勒索軟件攻擊者有關。其中，20個被成功入侵，發生1起成功的勒索軟件事件。

根據微軟2021年至2022年6個月期間數據的抽樣，人為操作勒索軟件的目標和成功率

    這些攻擊的人為驅動本質，以及與勒索軟件相關的威脅行為者控制下的潛在受害者規模，強調了有必要采取有針對性的主動安全措施，以加強網絡，并在早期階段防止這些攻擊。

防范勒索軟件：先檢測，再保護

    針對確定的人為操作對手的長期安全策略必須包括緩解攻擊和檢測攻擊類別。勒索軟件攻擊會產生多個分散的安全產品警報，但它們很容易丟失或沒有及時響應。警報疲勞是真實存在的，SOC可以通過查看警報中的趨勢，或將警報分組到事件中，以便看到更大的圖景，從而使他們的工作更輕松。SOC可以使用強化功能(如減少攻擊面規則)減輕警報。強化常見威脅可以減少警報量，并在攻擊者訪問網絡之前阻止他們。

    攻擊者調整他們的技術，并擁有工具來躲避和禁用安全產品。他們還精通系統管理，并盡可能地融入其中。然而，雖然攻擊持續穩定，影響不斷增加，但攻擊者使用的攻擊技術多年來沒有太大變化。因此，需要重新重視預防，以遏制這一趨勢。

    勒索軟件攻擊者的動機是簡單的利潤，所以通過加強安全來增加他們的成本是破壞網絡犯罪經濟的關鍵。

• 打造憑證健康

    除了惡意軟件，攻擊者還需要憑證來成功攻擊。在幾乎所有成功部署勒索軟件的攻擊中，攻擊者都可以訪問整個環境中的域管理員級別賬戶或本地管理員密碼。然后，可以通過組策略或PsExec(或類似如PAExec, CSExec和WinExeSvc)等工具完成部署。如果沒有提供網絡管理訪問權限的憑證，將勒索軟件傳播到多個系統對攻擊者來說是一個更大的挑戰。泄露的憑證對這些攻擊非常重要，以至于當網絡犯罪分子出售非法獲得的網絡訪問權限時，在許多情況下，價格包括一個有保障的管理員賬戶。

    憑證盜竊是一種常見的攻擊模式。許多管理員都知道像Mimikatz和LaZagne這樣的工具，以及它們從LSASS進程中交互式登錄那里竊取密碼的能力。在大多數安全產品中，都有能夠檢測這些訪問LSASS進程的工具。然而，憑證暴露的風險不僅僅局限于以交互方式登錄到工作站的域管理員。因為攻擊者在攻擊過程中訪問和探索了許多網絡，所以他們對常見的網絡配置有很深的了解，并能充分利用這些知識。他們利用的一個常見錯誤配置是將服務和計劃任務作為高權限的服務賬戶運行。

    通常，以前常用的配置方法是通過給予盡可能多的權限來確保任務關鍵型應用程序工作。許多組織努力解決這個問題，即使他們知道這個問題，因為他們擔心可能會破壞應用程序。這種配置尤其危險，因為它將高特權憑證暴露在注冊表的LSA Secret部分，具有管理員訪問權限的用戶可以訪問該部分。在還沒有從最終用戶那里移除本地管理員權限的組織中，攻擊者距離域管理員只有一跳之遙。基于權限對網絡邏輯分段打造憑證安全，可以與網絡分段一起實施，以限制橫向移動。

    以下是公司可以采取的一些步驟來保障憑證安全：

• 當需要管理員權限時，將服務作為本地系統運行，因為這允許應用程序在本地擁有較高的權限，但不能用于橫向移動。在訪問其他資源時，將服務作為網絡服務運行。
• 使用LUA Buglight等工具來確定應用程序真正需要的權限。
• 在事件日志中，查找使用EventID 為4624的事件，其中登錄類型為2、4、5或10，并且帳戶具有像域管理員一樣的高特權。這有助于管理員了解哪些憑證容易通過LSASS或LSA Secrets被竊取。理想情況下，任何像Domain Admin這樣的高特權帳戶都不應該暴露在成員服務器或工作站上。
• 當從特權組中刪除帳戶時，監視Windows事件轉發中的EventID 4625(登錄失敗事件)。將它們添加到個別機器上的本地管理員組以保持應用程序運行，與將它們作為Domain Admin運行相比，仍然可以減少攻擊的范圍。
• 使用本地管理員密碼解決方案(LAPS)等工具隨機化本地管理員密碼，以防止使用共享密碼的本地帳戶橫向移動。
• 使用基于云的身份安全解決方案，利用本地部署的Active Directory，獲得身份配置的可見性，并識別和檢測威脅或被泄露的身份。
• 審計憑證暴露

    審計憑證暴露在一般情況下對于預防勒索軟件攻擊和網絡犯罪至關重要。BloodHound是一款最初設計用來幫助網絡防御者了解其環境中管理員數量的工具。它還可以是一種強大的工具，用于減少與管理帳戶有關的特權并了解您的憑證暴露情況。IT安全團隊和SOC可以與此工具一起工作，以減少暴露的憑證。任何部署BloodHound的團隊都應該仔細監控它，以防惡意使用。

    微軟觀察到，勒索軟件攻擊者也使用BloodHound進行攻擊。當惡意使用時，BloodHound可以讓攻擊者看到他們所訪問的系統中阻力最小的路徑，比如Azure中的域管理帳戶和全局管理員帳戶等高特權帳戶。

• 優先部署Active Directory更新

    Active Directory的安全補丁發布后，請盡快應用。微軟發現，勒索軟件攻擊者在身份驗證漏洞被公開后的一個小時內就會采用，而且一旦這些漏洞被包括在Mimikatz等工具中。勒索軟件活動組還迅速采用與身份驗證相關的漏洞，如ZeroLogon和PetitPotam，特別是當它們包含在Mimikatz等工具包中時。如果不打補丁，這些漏洞可以讓攻擊者從電子郵件這樣的入口迅速升級到Domain Admin級別的特權。

• 云加固

    隨著攻擊者轉向云資源，確保云資源、身份以及本地賬戶的安全同樣重要。以下是企業加固云環境的方法：

云身份加固

• 實現Azure Security Benchmark安全基準測試和保護身份基礎設施的通用最佳實踐，包括:
• 防止本地服務帳戶對云資源具有直接權限，以防止橫向移動到云。
• 確保關鍵賬戶密碼離線存儲，并為賬戶使用配置蜜令牌。
• 實現條件訪問策略，強制執行微軟的零信任原則。
• 啟用基于風險的用戶登錄保護和自動化威脅響應，以阻止來自所有位置的高風險登錄，并為中等風險的用戶啟用MFA。
• 確保VPN訪問通過現代認證方法得到保護。

多因素身份驗證(MFA)

• 在所有賬戶上執行MFA，移除被排除在MFA之外的用戶，并嚴格要求在所有地點、所有時間從所有設備上使用MFA。
• 對支持無密碼的賬戶啟用無密碼認證方法(例如，Windows Hello、FIDO密鑰或Microsoft Authenticator)。對于仍然需要密碼的賬戶，可以使用MFA的Microsoft authenticator MFA等認證應用程序。
• 發現和保護工作負載身份，當傳統的MFA無法使用時，以確保賬戶安全。
• 確保正確地教育用戶不要接受其他的雙因素身份驗證(2FA)。
• 對于使用身份驗證應用程序的MFA，確保應用程序可能在需要的情況下輸入代碼，因為許多應用程序啟用MFA后，入侵仍然成功，因為用戶在他們的手機上的提示上單擊“是”，即使他們不在他們的電腦前。
• 禁用老舊身份驗證方法。

云管理

• 確保云管理員/租戶管理員獲得與域管理員相同的安全性和憑證保護。
• 解決身份驗證覆蓋范圍的空白點。
• 解決安全盲區

    幾乎在每一起觀察到的勒索病毒事件中，攻擊中至少有一個系統的安全產品配置錯誤，使攻擊者可以禁用保護措施或逃避檢測。在許多情況下，訪問經紀人的初始訪問是不受防病毒或EDR解決方案保護的老舊系統。重要的是要理解，對這些能夠訪問高特權憑證的系統缺乏安全控制就像盲點一樣，允許攻擊者從單個系統執行整個勒索軟件和泄露攻擊鏈而不被發現。在某些情況下，這被特別宣傳為訪問經紀人銷售的賣點。

    組織應該檢查和驗證安全工具是否在其最安全的配置下運行，并定期執行網絡掃描，以確保適當的安全產品正在監視和保護所有系統，包括服務器。如果還做不到，請確保您的老舊系統通過防火墻在物理上隔離，或者通過確保它們與其他系統沒有憑證交叉來在邏輯上隔離。

    對于Microsoft 365 Defender客戶，以下功能消除了安全盲點：

• 開啟Microsoft Defender Antivirus中的云防護，覆蓋快速變化的攻擊工具和技術，阻止新的和未知的惡意軟件變種，并增強攻擊面減少規則和篡改保護。
• 啟用篡改保護功能，以防止攻擊者停止安全服務。
• 運行EDR的阻止模式，以便Microsoft Defender for Endpoint可以阻止惡意軟件，即使非Microsoft防病毒軟件沒有檢測到威脅，或者Microsoft Defender防病毒軟件在被動模式下運行。處于阻止模式的EDR還會阻止由微軟威脅情報團隊主動識別的指標。
• 啟用網絡保護功能，防止應用程序或用戶訪問internet上的惡意域和其他惡意內容。
• 啟用完全自動化模式下的調查和修復，以允許Microsoft Defender for Endpoint在收到警報后立即采取行動解決違規問題。
• 使用設備發現來增加網絡的可見性。發現非托管設備并將安裝Microsoft Defender for Endpoint。
• 使用Microsoft Defender for Identity保護用戶身份和憑證，這是一種基于云的安全解決方案，利用本地Active Directory信號監控和分析用戶行為，以識別可疑的用戶活動、配置問題和活躍的攻擊。
• 減小攻擊面

    Microsoft Defender 365客戶可以開啟攻擊面減少規則，防止常見的攻擊技術用于勒索軟件攻擊。這些規則可以由所有Microsoft Defender Antivirus客戶(而不僅僅是那些使用EDR解決方案的客戶)配置，為抵御攻擊提供了顯著的加固措施。在觀察到的來自幾個勒索軟件相關活動組的攻擊中，啟用了以下規則的微軟客戶能夠在初始階段減輕攻擊，并阻止后續人為操作：

• 初始進入方式：
• 阻止所有Office應用程序創建子進程
• 阻止Office通信應用程序創建子進程
• 阻止Office應用程序創建可執行內容
• 阻止Office應用程序向其他進程注入代碼
• 阻止混淆腳本的執行
• 阻止JavaScript或VBScript啟動下載的可執行內容
• 勒索軟件部署和橫向移動階段(根據其阻止的攻擊階段的影響順序)：
• 阻止可執行文件運行，除非它們滿足前提條件或可信列表標準
• 阻止從Windows本地安全授權子系統(lasss .exe)竊取憑證
• 阻止由PsExec和WMI命令創建的進程
• 使用高級防護阻止勒索軟件

    此外，微軟已經改變了Office應用程序的默認行為，以阻止來自互聯網的文件中的宏，進一步減少了許多人為操作勒索軟件攻擊和其他威脅的攻擊面。

• 加固面向互聯網的資產并了解您的邊界

    組織必須識別并保護攻擊者可能用來訪問網絡的邊界系統。公開掃描接口，如RiskIQ，可以用來增強數據。一些系統應該被認為是攻擊者感興趣的，因此需要加強包括:

• 安全遠程桌面協議RDP (Secure Remote Desktop Protocol)或Windows虛擬桌面終端使用MFA功能，防止密碼噴碼或暴力破解攻擊。
• 通過邊界防火墻，阻止遠程IT管理工具，如Teamviewer、Splashtop、Remote Manipulator system、Anydesk、Atera Remote management和ngrok.IO。如果在您的環境中使用了這些系統，那么在可能的情況下執行安全設置以實現MFA。

    勒索軟件攻擊者和訪問經紀人也使用未修復的漏洞，無論是已經公開的還是零日，特別是在初始訪問階段。甚至更早的漏洞也與2022年的勒索軟件事件有關，因為一些系統仍然沒有打補丁，或部分打了補丁，或因為訪問經紀人在先前入侵的系統上實現了駐留，盡管后來打了補丁。

    勒索軟件攻擊者也迅速采用新的漏洞。為了進一步減少組織暴露，Microsoft Defender for Endpoint客戶可以使用威脅和漏洞管理功能來發現、優先排序和修復漏洞和錯誤配置。

Microsoft 365 Defender：深度跨域可見性和統一調查能力，防御勒索軟件攻擊

    勒索軟件的多方面威脅需要全面的安全措施。我們在上面概述的步驟可以防御常見的攻擊模式，并且在防止勒索軟件攻擊方面有很大的幫助。Microsoft 365 Defender的設計目的是讓組織更容易應用這些安全控制。

    Microsoft 365 Defender行業領先的可視化和檢測能力，在最近的MITRE Engenuity ATT&CK?評估中得到了展示，可以自動阻止大多數常見的威脅和攻擊技術。勒索軟件對每個組織來說都有其獨特的路徑，為了使組織配備對抗人為操作勒索軟件的工具，Microsoft 365 Defender提供了豐富的調查功能，使防御者能夠無縫地檢查和糾正跨域的惡意行為。

https://www.microsoft.com/security/blog/2022/05/09/ransomware-as-a-service-understanding-the-cybercrime-gig-economy-and-how-to-protect-yourself/

（完）