這對(duì)防止攻擊至關(guān)重要,因?yàn)榘踩珗F(tuán)隊(duì)必須在勒索軟件攻擊深入之前采取行動(dòng),并在數(shù)據(jù)外泄和加密之前采取行動(dòng),不幸的是,安全團(tuán)隊(duì)要識(shí)別勒索軟件攻擊的早期階段,需要進(jìn)行大量的手動(dòng)威脅搜索和調(diào)查工作,更不用說確定他們看到的指標(biāo)是否具有相關(guān)性了,這阻礙了安全團(tuán)隊(duì)在攻擊深入之前獲得阻止攻擊的機(jī)會(huì)的能力,勒索軟件被“引爆”。
這些關(guān)鍵階段是什么?你和你的安全團(tuán)隊(duì)如何在每個(gè)階段檢測(cè)勒索軟件?讓我們深入了解一下。
第一個(gè)階段:建立立足點(diǎn)
勒索軟件攻擊的第一階段是建立立足點(diǎn)。在攻擊者獲得網(wǎng)絡(luò)的初始訪問權(quán)限后,攻擊進(jìn)入此階段。最初的入侵可以通過許多不同的方式實(shí)現(xiàn),但通常從電子郵件釣魚開始,黑客還可以從酒店或員工熱點(diǎn)等公共Wi-Fi中心獲取數(shù)據(jù),這最終導(dǎo)致他們?cè)诠驹O(shè)備上安裝初始勒索軟件組件,并期望員工重新連接到主要公司網(wǎng)絡(luò),在那里攻擊可以進(jìn)行并建立立足點(diǎn)。
下一步,勒索軟件將建立命令和控制服務(wù)器的連接,然后確定如何進(jìn)一步滲透到網(wǎng)絡(luò)中并橫向移動(dòng),以找到關(guān)鍵或敏感數(shù)據(jù)的存放位置,例如,黑客可以使用遠(yuǎn)程訪問特洛伊木馬來訪問主機(jī),然后,黑客將探索網(wǎng)絡(luò),識(shí)別主機(jī)服務(wù),并嘗試將這些連接映射回集中式應(yīng)用程序,如數(shù)據(jù)庫(kù)。如果攻擊者能夠繞過當(dāng)前的訪問規(guī)則或竊取憑據(jù)以更有效地在網(wǎng)絡(luò)中移動(dòng),那就更好了。
在這個(gè)早期階段,你如何既檢測(cè)到勒索軟件又阻止其發(fā)展?它需要識(shí)別整個(gè)網(wǎng)絡(luò)中奇怪或不尋常的用戶和實(shí)體行為,例如訪問其工作范圍之外的文件、在網(wǎng)絡(luò)上安裝外部非公司批準(zhǔn)的軟件、查看DNS查詢等。
其中許多活動(dòng)可能表示正常的IT管理員活動(dòng),因此關(guān)鍵是能夠識(shí)別與用戶正常行為的區(qū)別。為此,安全團(tuán)隊(duì)需要部署將用戶行為分析和機(jī)器學(xué)習(xí)相結(jié)合的安全解決方案(例如,下一代SIEM解決方案)。如果安全團(tuán)隊(duì)看不到這一活動(dòng),他們就無法在早期階段阻止勒索軟件。
第二個(gè)階段:提升特權(quán)并橫向移動(dòng)
權(quán)限提升和橫向移動(dòng)階段涉及進(jìn)一步訪問網(wǎng)絡(luò)上的其他系統(tǒng)。在獲得組織網(wǎng)絡(luò)的訪問權(quán)限后,黑客將繪制出他們可以安裝勒索軟件的所有地點(diǎn),這一過程涉及黑客偵察網(wǎng)絡(luò)中的敏感信息、文件、應(yīng)用程序或任何可能對(duì)公司造成損害的東西,以便他們可以利用網(wǎng)絡(luò)獲得大筆贖金。獲得對(duì)可能包含更敏感信息的更大數(shù)據(jù)庫(kù)的訪問權(quán)限,將導(dǎo)致更嚴(yán)重的勒索軟件攻擊,并對(duì)黑客來說,獲得更大金額的贖金。
一旦黑客訪問了包含大量敏感信息的數(shù)據(jù)庫(kù)或控制了網(wǎng)絡(luò),攻擊者將開始在不同地區(qū)部署PuTTY等軟件,進(jìn)一步建立他們的立足點(diǎn),并為他們的勒索軟件創(chuàng)建備份,以防他們被發(fā)現(xiàn)。
這類事件的最新例子發(fā)生在拉斯維加斯,黑客組織Sundant Spider對(duì)米高梅的物業(yè)發(fā)動(dòng)了勒索軟件攻擊。黑客冒充他們?cè)贚inkedIn上找到的一名米高梅員工,通過呼叫公司的IT幫助臺(tái)并假扮成該員工進(jìn)入了米高梅的內(nèi)部系統(tǒng)和網(wǎng)絡(luò)。通過偽造憑證進(jìn)入網(wǎng)絡(luò)后,黑客引爆勒索軟件,關(guān)閉老虎機(jī),將客人鎖在房間外,并對(duì)公司的網(wǎng)絡(luò)和應(yīng)用程序造成其他損害。
你如何檢測(cè)權(quán)限提升和橫向移動(dòng)是否正在發(fā)生?這種情況正在發(fā)生的一個(gè)明顯跡象是,你的網(wǎng)絡(luò)中安裝了新的未經(jīng)授權(quán)的應(yīng)用程序。如果下載了PuTTY等應(yīng)用程序,這可能是一個(gè)重大危險(xiǎn)信號(hào),該應(yīng)用程序可能正在將危險(xiǎn)文件傳輸?shù)骄W(wǎng)絡(luò)。其他危害跡象包括:
·訪問網(wǎng)站基礎(chǔ)設(shè)施
·查找特定的DNS地址
·連接到Dropbox等外部云服務(wù)
同樣,這些跡象可能很難區(qū)分,因?yàn)檫@些操作看起來可能是由某個(gè)有權(quán)訪問敏感數(shù)據(jù)的人做出的,但實(shí)際上是黑客在網(wǎng)絡(luò)上模仿它們。
第三個(gè)階段:安裝勒索軟件
一旦黑客找到關(guān)鍵數(shù)據(jù),他們就會(huì)開始下載實(shí)際的勒索軟件有效載荷,他們可能會(huì)泄露數(shù)據(jù),設(shè)置加密密鑰,然后對(duì)重要數(shù)據(jù)進(jìn)行加密,此階段的危害跡象包括與命令和控制服務(wù)器的通信、數(shù)據(jù)移動(dòng)(如果攻擊者在加密之前泄漏了重要數(shù)據(jù))以及圍繞加密流量的異常活動(dòng)。
在此階段進(jìn)行檢測(cè)需要更先進(jìn)的安全產(chǎn)品協(xié)同工作,將不同類型的分析模型鏈接在一起是在涉及勒索軟件時(shí)捕獲次要危害指標(biāo)的有效方法,因?yàn)樗鼈儗?shí)時(shí)收集網(wǎng)絡(luò)上的上下文,使安全團(tuán)隊(duì)能夠在發(fā)生異常行為時(shí)識(shí)別它。
如果安全警報(bào)被觸發(fā),這些其他分析可以提供更多的上下文,以幫助識(shí)別更大的攻擊是否以及如何發(fā)生,但許多成功的勒索軟件攻擊根本不會(huì)觸發(fā)殺毒軟件,因此收集用戶行為的準(zhǔn)確圖景并將眾多指標(biāo)匯編成連貫的時(shí)間表至關(guān)重要。
雖然組織可能很難檢測(cè)勒索軟件攻擊,但能夠識(shí)別勒索軟件攻擊的所有細(xì)微危害跡象將幫助你的組織了解攻擊處于哪個(gè)階段,以及你可以做些什么來阻止它的發(fā)展。雖然這些危害跡象本身可能不具備參考價(jià)值,但將所有這些連接在一起的能力至關(guān)重要,通過使用機(jī)器學(xué)習(xí)技術(shù)以及行為分析和模型鏈,你的組織將擁有檢測(cè)和減輕勒索軟件攻擊造成的損害所需的工具。
關(guān)于企業(yè)網(wǎng)D1net(r5u5c.cn):
國(guó)內(nèi)主流的to B IT門戶,同時(shí)在運(yùn)營(yíng)國(guó)內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_(tái)-信眾智(www.cioall.com)。同時(shí)運(yùn)營(yíng)19個(gè)IT行業(yè)公眾號(hào)(微信搜索D1net即可關(guān)注)。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。