CTF导航 CTF导航

加密程序:如何应对勒索软件攻击

逆向病毒分析 3个月前 admin
47 0 0

上个月刚从俄罗斯回国,在莫斯科的图书馆翻阅了大量安全书籍,感叹毛子的黑客技术确实遥遥领先。这些安全技术书籍非常出色,我决定结合人工和GPT的方式对全文进行翻译。

加密程序:如何应对勒索软件攻击

注解

“加密程序”是指发现企业网络漏洞的程序,这些程序利用这些漏洞进入网络,获取企业的重要信息,然后从公司管理层勒索钱财。显然,这些程序是由人创建的,他们可以联合成犯罪团伙,也可以单独行动。

“虽然勒索软件的主要目标仍然集中在北美、拉丁美洲、欧洲、亚太地区,但最近几年俄罗斯也不再被认为是一个避风港。根据Group-IB的数据,仅在2021年,勒索软件对俄罗斯公司的攻击数量就增加了200%以上。”

近年来,通过加密程序的网络攻击正在增加。不幸的是,这一趋势也影响了俄罗斯——仅在2021年,这种攻击的数量就增加了三倍以上。

正因如此,俄文版的Oleg Skulkin的书籍才显得如此及时,作者不仅是俄罗斯的杰出专家,也是国际数字法证领域的专家。作者讲述了关于加密程序的所有内容——从攻击历史到数字证据。在他的叙述中,程序代码片段和彩色截图看起来都很自然。

“对IT基础设施漏洞的细致侦察及其为部署勒索软件的准备工作可以为网络犯罪分子带来数百万美元的加密货币收入。”

根据作者的观点(这一观点基于其在信息安全领域超过十年的工作经验),如果理解勒索软件攻击的生命周期,企业可以保护其网络和资金。这一生命周期在本书的第二章以及最后一章中详细描述,作者帮助读者学习如何重建所有勒索软件所遵循的通用攻击生命周期,无论它们具有何种个性特征。

“大流行病加剧了这一局面——许多公司为员工提供了远程工作的机会,并被迫开放了他们的服务器,这些服务器成为了包括勒索软件运营商在内的各种恶意行为者的目标。”

特点:

  • 勒索软件攻击的历史;
  • 网络犯罪分子的行动方式:他们的战术、方法和程序;
  • 如何应对勒索软件事件。

适用对象:

  • 学习系统管理的学生,
  • 系统和网络管理员,以及应对专家和网络威胁分析师。

前言

一个黑客团队攻击政府服务器,加密并提取三十多个部门的重要数据,经济停滞,执法部门无能为力,民众走上街头要求政府辞职,国家进入紧急状态……这不是Netflix的电视剧情节,而是2022年春季真实发生的事情,当时Conti勒索软件攻击了整个哥斯达黎加国家。

连续四年,勒索软件攻击成为最严重和破坏性最大的网络威胁之一,甚至被称为第一大网络威胁。受害者可能是像东芝公司或Colonial Pipeline这样的跨国公司,也可能是小型私营企业。一次成功的攻击就能完全瘫痪生产,使公司失去资金(赎金金额高达数亿美元)和敏感数据,攻击者可以先行下载并出售这些数据,以迫使受害者妥协。虽然勒索软件的主要目标仍在北美、拉美、欧洲和亚太地区,但俄罗斯近年来也不再是一个安全港湾。根据Group-IB的数据,仅在2021年,俄罗斯公司遭受勒索软件攻击的次数就增加了200%以上。2022年上半年,这一数量比2021年第一季度增加了四倍。当偶尔(不常)有逮捕事件发生时,勒索软件运营者会短暂隐藏并清理痕迹,进行品牌重塑。但说勒索软件的黄昏已经到来还为时过早。Group-IB计算机取证实验室团队在大多数人尚未看到勒索软件严重威胁时就开始关注它们。书籍作者奥列格·斯库尔金不仅在俄罗斯,而且在国际数字取证领域都是重要人物。他在信息安全领域工作超过十年,撰写和合著了五本关于取证和事件调查的书籍。奥列格是研究报告、网络研讨会和技术博客的常驻作者,内容涉及勒索软件帝国的发展及最活跃的犯罪集团:Conti、OldGremline、LockBit、Hive、REvil。读者将详细了解勒索软件的历史、运营者使用的战术和技术,以及如何调查这些攻击。这本书对于数字取证、事件响应、主动威胁搜寻、网络情报以及相关领域的专业人士来说都是必不可少的。

Group-IB

引言

人为操控的勒索软件攻击彻底改变了现代威胁格局,成为许多组织面临的主要威胁——这也是为什么各类组织都在提高警惕并准备应对此类事件的原因。

这本书将带你了解现代勒索软件攻击的世界。书中特别关注基于威胁情报分析的主动防御方法,帮助应对和防范此类攻击。

这本书适合谁?

这本书将吸引广泛的技术专家——从学习网络安全的学生,到中小企业的系统和网络管理员,甚至是希望深入了解人为操控勒索软件攻击的事件响应专家和网络威胁分析师。

这本书的内容?

第一章《现代勒索软件攻击的历史》介绍了人为操控勒索软件攻击的世界及其历史。

第二章《现代勒索软件攻击的生命周期》简要描述了现代攻击者在勒索软件攻击中的行为方式。

第三章《事件响应流程》描述了应对勒索软件攻击相关事件的响应流程。

第四章《网络情报与勒索软件》概述了关于勒索软件攻击的网络情报。

第五章《勒索软件团伙的战术、技术和程序》详细描述了勒索软件攻击者常用的战术、技术、方法和工具。

第六章《勒索软件相关的威胁情报数据收集》概述了收集勒索软件攻击相关情报的不同来源和方法。

第七章《数字取证证据及其主要来源》概述了响应事件时可用于重建攻击生命周期的各种取证证据来源。

第八章《初始访问方法》提供了关于攻击者使用的初始访问方法的实用研究。

第九章《后利用方法》讨论了攻击者使用的各种后利用方法。

第十章《数据窃取方法》研究了使用的数据窃取方法。

第十一章《勒索软件部署方法》研究了勒索软件的不同部署方法。

第十二章《统一的勒索软件攻击生命周期》描述了攻击生命周期的独特概念,以及勒索软件的使用。

第1章 现代勒索软件攻击的历史

勒索软件攻击已经成为2020年继COVID-19之后的第二次大流行——不幸的是,它还在继续发展。一些攻击者停止了活动,但很快就会有新一代网络犯罪分子填补他们的位置。

现在这些攻击已经广为人知,但它们早在著名的WannaCry和NotPetya勒索软件爆发之前就已经开始了。与不受控制的勒索软件不同,这些勒索软件由不同的运营商及其同伙操控。对IT基础设施漏洞的详细侦察及其为部署勒索软件的准备工作可以为网络犯罪分子带来数百万美元的加密货币收入。

有很多著名的勒索软件攻击案例。在本章中,我们将重点讨论几个具有历史意义的重要案例,包括现代IT环境中最具代表性的威胁——勒索软件即服务。

我们将讨论以下案例:

  • 2016年:SamSam勒索软件
  • 2017年:BitPaymer勒索软件
  • 2018年:Ryuk勒索软件
  • 2019年至今:勒索软件即服务

2016年:SamSam勒索软件

SamSam运营商于2016年初出现,彻底改变了勒索软件威胁格局。他们的目标不是普通用户和单个设备,而是通过手动操作攻击各种公司,渗透网络,尽可能多地加密设备,包括那些包含最重要数据的设备。

攻击目标范围广泛,包括医疗和教育领域的企业,甚至整个城市。一个典型的例子是2018年3月遭受攻击的乔治亚州亚特兰大市,恢复基础设施的成本约为270万美元。

通常,攻击者利用公开应用程序中的漏洞,例如JBOSS系统,或者通过猜测RDP服务器的密码来获得对目标网络的初始访问权。为了获得更高的访问权限,他们使用了一系列常见的黑客工具和漏洞利用程序,包括臭名昭著的Mimikatz,该工具可以获取域管理员的凭证。之后,SamSam运营商扫描网络,收集可用主机的信息,将勒索软件复制到每台主机上,并使用另一个常用的双重用途工具PsExec运行它。

加密程序:如何应对勒索软件攻击

图片 1.1:SamSam勒索信息示例

攻击者使用暗网中的支付网站。受害者收到勒索软件生成的赎金要求和解密信息的通知(见图1.1)。

根据Sophos的数据,2016年至2018年间,攻击者赚取了约600万美元(来源:https://www.sophos.com/en-us/medialibrary/PDFs/technical-papers/SamSam-The-Almost-Six-Million-Dollar-Ransomware.pdf)。

SamSam勒索软件的幕后黑手

2018年11月28日,FBI公开了起诉书,指控Faramarz Shahi Savandi和Mohammad Mehdi Shah Mansouri参与了SamSam勒索软件的国际传播。

加密程序:如何应对勒索软件攻击

图片 1.2:FBI通缉海报片段

这两名嫌疑人来自伊朗。起诉书公布后,这些罪犯至少以SamSam的名义结束了他们的犯罪活动。

SamSam案件表明,对公司进行勒索软件攻击可能非常有利可图,随之出现了新的类似犯罪团伙。其中一个例子是BitPaymer勒索软件。

2017年:BitPaymer勒索软件

BitPaymer勒索软件与Evil Corp有关,这是一家被认为源自俄罗斯的网络犯罪组织。这个勒索软件标志着人为操控攻击的新趋势——猎杀大型目标。

一切始于2017年8月,当时BitPaymer的运营者成功攻击了几家NHS Lanarkshire的医院,并要求高达23万美元的赎金(53比特币)。

为了获得初始访问权限,该组织使用了其长期使用的工具——Dridex木马。木马允许攻击者加载PowerShell Empire,一个流行的后期利用框架,以便在网络中横向移动并获取高级权限,包括使用Mimikatz,就像SamSam的运营者一样。

罪犯利用组策略修改在整个企业中部署勒索软件,这使他们能够向每个主机发送脚本以启动勒索软件的实例。

攻击者通过电子邮件和在线聊天与受害者沟通。

加密程序:如何应对勒索软件攻击

图片 1.3:BitPaymer勒索信息示例

2019年6月,基于BitPaymer的新勒索软件DoppelPaymer出现。据称它由Evil Corp的一个子集团管理 。

BitPaymer勒索软件的创造者

2019年11月13日,FBI发布了一个声明,指控Maxim Viktorovich Yakubets和Igor Olegovich Turashev操作Dridex木马。

加密程序:如何应对勒索软件攻击

图片 1.4:FBI通缉海报片段

Maxim Viktorovich Yakubets目前因多项网络犯罪指控被通缉。据报道,悬赏500万美元捉拿他。

当然,Dridex并不是唯一用于人为操控勒索软件攻击的木马。另一个显著的例子是与Ryuk勒索软件密切相关的Trickbot。

2018年:Ryuk勒索软件

Ryuk勒索软件将大型猎物的捕猎提升到了一个新的水平。这种勒索软件与Trickbot组织(也称为Wizard Spider)有关,并且至今仍然活跃。

根据AdvIntel的数据,该组织在其历史上攻击了各种组织,赚取了至少1.5亿美元(来源:https://www.advanced-intel.com/post/crime-laundering-primer-inside-ryuk-crime-crypto-ledger-risky-asian-crypto-traders) 。

某些时候,Ryuk被称为三重威胁,因为感染通常从Emotet木马开始,然后下载Trickbot,后者用于加载后期利用工具和最终部署勒索软件。通常,Trickbot用于加载PowerShell Empire代理或Cobalt Strike Beacon,这是另一个非常流行的后期利用框架的一部分。

图1.3:BitPaymer勒索信息示例

Ryuk背后的运营者

AdvIntel估计,该组织已经通过攻击各种组织赚取了至少1.5亿美元(来源:https://www.advanced-intel.com/post/crime-laundering-primer-inside-ryuk-crime-crypto-ledger-risky-asian-crypto-traders)。

2018年和2019年的统计数据显示,Ryuk运营者攻击的目标范围非常广泛,包括政府机构、金融机构、医疗组织和私营公司等。所有这些受害者都有一个共同点——他们的业务中断可能导致巨大损失,因此他们愿意支付高额赎金。

随着Ryuk运营者的成功,许多其他勒索软件集团也加入了这场竞赛。到2019年,勒索软件已经成为一种服务(RaaS),即攻击者租用或出售他们的工具和基础设施给其他犯罪团伙。接下来我们将讨论这种趋势。

2019年及以后:勒索软件即服务(RaaS)

勒索软件即服务(RaaS)使得没有技术知识的犯罪分子也可以轻松发动攻击。这种模式使得勒索软件运营者能够将其技术提供给其他攻击者,以换取部分赎金。

这种商业模式的一个显著例子是GandCrab勒索软件,它从2018年初到2019年中期活跃。GandCrab运营者声称,他们已经从受害者那里勒索了超过20亿美元,并且分发了超过5000万美元的赎金给其“加盟商”。

另一个例子是Sodinokibi(也称为REvil)勒索软件,它在GandCrab退出后迅速崛起。REvil的运营者非常专业,提供了详细的用户手册和24/7的技术支持,以确保其加盟商能够有效地使用他们的工具。

图1.4:REvil勒索信息示例

REvil的攻击者不断改进其技术,以确保其勒索软件能够逃避检测并有效加密目标数据。他们甚至引入了双重勒索策略,不仅加密受害者的数据,还威胁公开发布这些数据,增加了受害者支付赎金的压力。

勒索软件即服务(RaaS)使得网络犯罪变得更加普遍和复杂。它降低了发动攻击的技术门槛,使得更多的犯罪分子可以参与其中。这一趋势表明,未来的勒索软件攻击将会变得更加频繁和难以防范。

原文始发于 Zgao :加密程序:如何应对勒索软件攻击

版权声明:admin 发表于 2024年6月13日 上午8:42。
转载请注明:加密程序:如何应对勒索软件攻击 | CTF导航

相关文章

某ShellcodeLoader生成器隐藏后门分析
admin
609
Toolkit – The Essential Toolkit For Reversing, Malware Analysis, And Cracking
admin
40
利用XLL文件投递Qbot银行木马的钓鱼活动分析
admin
388
GhostSec’s joint ransomware operation and evolution of their arsenal
admin
33
一次恶意程序样本全分析之旅
admin
13
黑客恶意重打包Chrome 通过“软件盒子”、“海量软件管家”等传播
admin
182

相关文章

Revival Hijack – PyPI 劫持技术遭野外利用,22K 个软件包面临风险
0
【原创】音频采样率转换的研究与Rust代码实现
0
公开的隐秘:CVE-2024-30051在野提权漏洞研究
0
macOS后门,以中国钉钉和微信用户为目标的HZRat后门攻击场景复现及木马检测方法
0
SilentCryptoMiner挖矿木马攻击场景复现及技术剖析
0
窥伺暗藏:Cobalt Strike隐秘攻击活动探析
0
静默入侵:Godzilla 无文件后门攻击 Atlassian Confluence
0
警惕新型木马Rocinante!通过伪装银行应用程序窃取账号密码等敏感数据
0
Dumpulator模拟执行解密tip
0
针对中国用户的SLOW#TEMPEST 行动中DLL劫持分析
0