前言 /preface/
近些年,勒索案件時有發生。每一個受害者都很震驚:黑客為什么會盯上我?黑客是怎么進來的?采購了那么多安全設備,怎么還是會被勒索?
第一步 策略選擇:薄利多銷or高投高產
黑客發起勒索的目的是要賺錢,要計算成本和收益。
就像所有生意一樣,黑客也有兩種盈利策略:要么壓低成本,薄利多銷;要么高投入高產出,走高端路線。
01 薄利多銷的攻擊--無差別自動化攻擊
如果你有維護過暴露在公網的服務器,你一定會發現,你的服務器有大量的訪問量來自陌生的IP,其歸屬地并沒有你的業務或客戶,這樣的流量可能占到服務器總流量的50%以上。為什么會有這么高的陌生訪問量呢?
原因就是公網上有大量服務器,不停的對全網所有IP掃描,尋找存活的IP及其服務。一旦發現某個IP有開放的服務,就會發起自動的攻擊。常見的攻擊有弱口令爆破(如針對SSH、RDP、數據庫的爆破)和高危通用漏洞(Log4j反序列化漏洞、永恒之藍漏洞)。
黑客要做的只是搭幾臺服務器,不停的對全網發起探測、爆破、漏洞利用。一旦入侵成功,會自動對服務器價值進行評估——價值較高的,就發起勒索攻擊;價值不高的,就運行挖礦程序。并留下后門,長期控制該失陷主機。
很多人會說,我的服務器沒有開其他端口,只開放 RDP 用于管理運維,且設置了復雜的密碼,這樣總沒問題吧?
然而,很多勒索案件就是這樣發生的。密碼的強弱,不在于位數多或者有復雜的字符組合。關鍵在于,你的弱密碼在不在黑客的字典里。黑客會不停收集各網站泄漏的用戶口令,并通過各種組合產生巨量的密碼字典。
為了繞過防火墻的防爆破規則,黑客會利用IP代理池發起爆破。目前網上有大量免費的IP代理池,IP每分鐘更新。有大量的IP,就不怕防火墻封禁。
這類攻擊的受害者,大部分是小微企業。由于安全投入不足,缺乏有效的網絡安全建設和安全意識,給黑客留下可乘之機。
02 高投入高產出--針對特定目標的攻擊
如果你所在的公司,業務發展迅速,業績蒸蒸日上,知名度越來越大,千萬不要忘了,惦記你的黑客,也會越來越多。
一方面隨著企業實力增強,有更多資源投入到安全建設中,提高了安全水位。另一方面,隨著業務發展,企業的分支機構、合作伙伴、客戶也增多,網絡結構復雜,網絡邊界治理變難,網絡安全管理挑戰增加。
在黑客看來,企業支付贖金的能力和意愿也提高了,黑客有了更強的動機。
第二步 信息收集:尋找攻擊路徑 01 公開信息收集
黑客在開始攻擊之前,首先會進行信息收集。一般會收集目標企業的域名、子域名、IP、員工信息(姓名、職務、郵件地址等),以及企業的子公司、分支機構等。這些信息通過公司的官網、公告、新聞、網絡空間搜索引擎等公開途徑,都可以輕易得到。
收集信息的目的,是為了找到目標企業安全防護的薄弱點。
02 泄漏數據收集
有大量的泄漏數據在黑客論壇出售。數據內容五花八門,知名網站數據庫泄漏的賬號信息、遠程桌面賬號密碼、企業員工無意間上傳到github的登錄密鑰等。
信息不一定是從企業自身泄漏的。如果企業某員工登錄公司系統使用的口令,與其他常用網站相同,且都長期未更換,那么任意一個他經常訪問的網站發生數據泄漏,都會間接影響所在企業的賬號安全。
一個泄漏的遠程桌面賬號,未必能引起注意,但如果這個IP地址屬于某知名企業,它的價值就成倍提高了。
第三步 發動攻擊:隱秘行動,一擊必殺 01 邊路突破
馬奇諾防線非常堅固,但如果被繞過,就毫無用處。
通常企業會重點加強核心系統的安全防護,但對分散在全國各地的分支機構、合作伙伴,很難有效防護。這就給勒索留下了可乘之機。
某公司發生的勒索案例中,黑客會從防御薄弱的分支機構入手,利用分支機構通往總部的專線,滲透進入總部核心系統,發起勒索攻擊。
02 發起勒索
勒索攻擊,必須加密核心數據才有價值。但核心數據往往是企業重點保護的資產,安全防護不會少。比如安裝殺毒軟件的主機,就有可能阻止勒索軟件運行。
但殺軟的病毒庫、規則庫是固定的,而黑客的攻擊方式是靈活多變的,攻擊者會不停變換攻擊方式,多次試探,直到勒索成功。
某勒索案例,黑客在一個月中,先后使用三個不同的勒索軟件發起攻擊,前兩次都被攔截,直到第三次終于成功。
黑客的攻擊動作會觸發EDR、流量審計等設備產生告警,但如果不能被及時處置,就毫無作用。大部分勒索攻擊都發生在深夜,企業想要做到7x24h的及時處置,是非常難的。
03 多重勒索
黑客在完成數據加密后,還可能會留下后手。最常見的是把重要數據上傳到自己控制的服務器,并威脅不支付贖金就公開數據。
很多企業有完善的數據備份,不擔心數據被加密。但商業秘密遭到泄漏的風險是無法承擔的。
黑客還會留下后門,以便未來再次發起攻擊。
04 分工協作
勒索攻擊涉及的技術很多。在利益的驅使下,逐步向專業化分工的方向演化。有的負責竊取登錄口令,有的負責開發能繞過殺毒軟件的加密工具,有的負責提供支付贖金的賬號。力求在每一個環節做到極致,并發展出勒索即服務(Ransome-as-a-Service)的協作模式。
因此,企業面對的不再是單打獨斗的黑客,而是有組織的專業團隊。
總結建議
Summarize recommendations
針對特定企業的勒索攻擊,是對企業網絡安全的重大挑戰。為了應對這類攻擊,最重要的是:
♦摸清資產,明確重要資產,收斂暴露資產;
♦劃清邊界,隔離重要資產與一般資產;
♦強化監測,部署流量審計、EDR等設備,并及時研判告警;
♦及時處置,發現攻擊及時阻斷。
來源:安恒信息
