微软的威胁保护情报(Threat Protection Intelligence)团队在上周提出警告,人为操纵的勒索软件活动,对企业造成的威胁日益增加,也是今日网络攻击中最具影响力的趋势,有别于自动传播的勒索软件,这些操作勒索软件攻击行动的黑客们,通常具备广泛的系统管理知识,也熟悉常见的网络安全错误配置,可进行彻底的侦察,并因应系统状况展开攻击。
该团队长期观察特定勒索软件与相关攻击活动,找出了重叠的攻击方式,以与外界分析,同时强调相关的攻击皆可预防及检测。
调查显示,人为操纵的勒索软件攻击活动通常可在网络中畅行无碍,黑客危害了具备高权限的账号,之后扩展权限,或使用凭证倾倒技术入侵网络,相关的攻击活动,经常始于诸如金融木马或其它不太复杂的恶意程序,它会触动组织内部的侦测警告并被杀毒解决方案阻挡,但之后黑客会部署不同的酬载或使用管理权限来关闭杀毒软件,以避免引起任何注意。
例如有一个非常活跃的PARINACOTA黑客集团,平均每周攻击3到4个组织,该集团在受害计算机上植入的恶意程序与时俱进,从挖矿程序、发送垃圾邮件或是将受害设备变成僵尸计算机,到现在则以Wadhrama勒索软件为主。
PARINACOTA最常以暴力攻击暴露在网络上的远程桌面协议(RDP),入侵服务器后即可于组织网络中,横向移动或企图转移到外部网络,以扩大攻击目标,之后关闭安全解决方案、窃取凭证、植入后门,再部署其它恶意程序及勒索软件。
另一个近来因赎金高达数百万美元而知名度大增的勒索软件为Doppelpaymer,Doppelpaymer的攻击链同样是从暴力破解RDP开始,也会使用金融木马,成功入侵组织后再窃取凭证并扩张权限,并在网络中游移,也会关闭网络中的安全服务,再部署勒索软件。
专门锁定大型企业及政府组织的Ryuk,也成为微软关注的重点。Ryuk一开始是通过电子邮件自动传播,但后来就被黑客相中而成为人为操纵的工具,黑客先是通过Trickbot金融木马入侵组织,接着也是安装其它恶意程序、窃取凭证,直至最终完成Ryuk勒索软件的部署。
上述人为操纵的勒索软件攻击行动都有一些共同点,像是它们都先以与勒索软件无关的恶意程序进行感染,企图关闭安全机制,窃取凭证,在企业网络中横向移动以侦察或扩大感染范围,从开始到成功部署勒索软件的时间,可能长达几周甚至几个月,值得注意的是,有时就算被黑组织已经支付了赎金,但黑客可能依然借由勒索软件以外的恶意程序进驻在组织中,这也是同一目标会被重复攻击的主因之一。
因此,微软威胁保护情报团队建议组织的IT管理人员,不要忽视恶意程序警报,因为它们可能是黑客正在展开攻击的前奏,也应强化网络资产的安全性,监控暴力破解事件与安全日志,激活安全服务的篡改保护机制,或是善用云计算或防火墙等安全服务等。