如何进行日常勒索演练?| 总第224周

渗透技巧 11个月前 admin
52 0 0
‍‍

如何进行日常勒索演练?| 总第224周

0x1本周话题


话题:日常的勒索演练怎么演练?感觉沙盘搞一搞作用有限。

A1:我觉得勒索做演练不如先把加密存储和备份恢复做好。真的加密了,还能恢复,泄露部分又不受啥影响。把每年的安全预算省下来不用,几年凑一个勒索预算。

A2:备份恢复演练是都有做。但是还有类似隔离、系统恢复等也挺重要。比如把系统软件也加密了,运行不了。

A3:主要是啥防御理念都有一个覆盖率的问题。被勒索的那份数据是否刚好备份能恢复。比如在agent上做了一个防勒索的功能,检测到勒索逻辑就给阻断了,这个功能的覆盖率也有问题。服务器和PC分别覆盖,兼容性也要搞半天,敢不敢真开阻断,又要纠结。单纯说理念的话,说穿了大家做个demo都还是OK的。

A4:反正不是个一刀切的事。综合起来搞。勒索感觉很难搞。

A5:防勒索次序:1. 做好备份,2. 投入安全攻防团队建设(自建或MDR),3.做好安全治理勒索就是APT变现的商业模式,对于大部分公司和机构而言,关键就是跑的比同行快,不要成为靶子。基本被盯上了就是死

A6:估计lockbit搞之前也得看,值不值得搞、有没有能力支付赎金。

A7:lockbit只是ransomeware as a service,最后变现的一环,把icbcfs选做目标就没这么简单了。

A8:lockbit是加盟模式运作的,上到波音、泰勒斯这种国际顶级军工企业,下到面包店,都搞。

Q:大小通吃吗?这都有中间商了。

A9:看样子还是付赎金的多,100个里边有1个付了的,就不亏了。或者大佬们成立一个网络安全保险公司,然后再把这些勒索厂商干死,应该也能挣钱。

A10:走在前面,“走在勒索前面”,把勒索的活对着自己怼一遍,争取不做勒索投资回报最高的那个。

Q:意思是精心选择的而不是因为有个什么Citrix漏洞无意中遭殃的?

A11:对于企业防勒索的目标的设计,建议可以考虑两个维度,一个是核心数据/业务不被勒索,第二是不被大范围勒索。例如勒索三五台无关痛痒的电脑/服务器是可以接受的,但是核心业务/数据不能被勒索,也不能搞掉几百台设备。基于这个目标,bas上一波。

A12:问题是只要进了内网就直接穿了,核心数据被干,那就是早晚的事。

A13:其实核心问题是,大部分企业的安全都是嘴上吹的,首先得有专业安全团队,哪怕是一个人的安全部,否则被盯上了就是死。

A14:can not agree more,所以勒索组织本身对全球的企业安全提升在某个视角上看是有积极意义的,lockbit的目标之一也是提升企业安全。从实战效果的角度出发,即便是很多大厂,站在防守视角,也是知道自己是个筛子。

A15:对付犯罪/黑产活动,根本还是要能抓人灭队,就像电诈,运营商上手段、手机上反诈APP是需要的,但关键还是缅北抓人。但勒索是大裂变下全球治理问题了,基本上很可难形成有效的全球司法协作了。这是治理视角,不是防御视角哈,对每个关基、每家机构,防御和运营当然是要搞好的。对每个关基、每家机构,防御和运营当然是要搞好的。

A16:有没有可能RaaS的背景下驱动安全建设实质性提高,lockbit如果一直不被抓,大家都学他们。

A17:要看黑客的目标是什么。勒索事件不太多,也因为这个犯罪的风险成本过高。这种黑客一般存活不久的,除非他本人早就走上绝路了。

A18:有了加密货币,这事其实风险就不那么高了,人在国外+加密货币,这叠两层甲多少可以有一些作用了。

A19:经济要是持续下行,是不是就有更多的人找不到工作,然后琢磨着直接在网上干勒索,把匿名这件事情弄的更专业一点,然后就可以赚钱了。毕竟被抓这个风险也是可以通过一些更专业的建设来治理的。

A20:经济下行最先影响的,一定不是这些黑客,最先出现的应该还是线下偷窃和抢劫。其实攻防演习也有演练勒索。

A21:感觉还是浓浓的中国味道,不知道是不是错觉。

The oldest international [Ransomware] LockBit affiliate program welcomes you.
We are located in the Netherlands, completely apolitical and only interested in money.We always have an unlimited amount of affiliates, enough space for all professionals. It does not matter what country you live in, what types of language you speak, what age you are, what religion you believe in, anyone on the planet can work with us at any time of the year.First and foremost, we're looking for cohesive and experienced teams of pentestors.In the second turn we are ready to work with access providers: sale or on a percentage of redemption, but you have to trust us completely. We provide a completely transparent process - you can control the communication with the victim. In case when the company was encrypted and has not paid, you will see the stolen data in the blog.We also work with those who don't encrypt networks, but just want to sell the stolen data, posting it on the largest blog on the planet.

A22:有人就有江湖,有网就有勒索。抓了lockbit,如果全球都不支持比特币类,问题就解决了90%。

A23:我倒是觉得可以琢磨一下假设司法协作没有太大问题的话,技术上可以怎么做?如果安全人员能从技术上做点事情,降低司法协作的难度,进而给促进国家之间司法合作创造机会,促进中美合作,或许也是安全人员的更大价值发挥。

A24:如果这个事情可以商业化来做,各大公司就有了动力,对黑产打击效果会很好,一些互联网平台型公司是有数据和能力支撑,对于打击黑产、做关键的溯源取证都很强,但这些往往无法正常商业化,只能公益或是私下去做,就很难形成行业合力

0x2 群友分享

【安全资讯】

从“阿里云又双叒崩了”,看云计算关键基础设施安全运营面临的主要风险,以及应特别关注加强的防护措施

重磅!首个生成式AI安全指导性文件来了,明确31种安全风险
—————————————————————————-
【金融业企业安全建设实践群】和【企业安全建设实践群】每周讨论的精华话题会同步在本公众号推送(每周)。根据话题整理的群周报完整版——每个话题甲方朋友们的展开讨论内容——每周会上传知识星球,方便大家查阅。
往期群周报:
API网关配置杂谈暨主机间跳板登陆的安全实践 | 总第223周
关于资产动态管理及内外网IP映射的实践心得 | 总第222周
企业内部技术运维系统管理的经验之谈 | 总第221周

如何进群?

如何下载群周报完整版?
请见下图:
如何进行日常勒索演练?| 总第224周

原文始发于微信公众号(君哥的体历):如何进行日常勒索演练?| 总第224周

版权声明:admin 发表于 2023年12月25日 上午7:31。
转载请注明:如何进行日常勒索演练?| 总第224周 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...