前言 /preface/
近些年,勒索案件时有发生。每一个受害者都很震惊:黑客为什么会盯上我?黑客是怎么进来的?采购了那么多安全设备,怎么还是会被勒索?
第一步 策略选择:薄利多销or高投高产
黑客发起勒索的目的是要赚钱,要计算成本和收益。
就像所有生意一样,黑客也有两种盈利策略:要么压低成本,薄利多销;要么高投入高产出,走高端路线。
01 薄利多销的攻击--无差别自动化攻击
如果你有维护过暴露在公网的服务器,你一定会发现,你的服务器有大量的访问量来自陌生的IP,其归属地并没有你的业务或客户,这样的流量可能占到服务器总流量的50%以上。为什么会有这么高的陌生访问量呢?
原因就是公网上有大量服务器,不停的对全网所有IP扫描,寻找存活的IP及其服务。一旦发现某个IP有开放的服务,就会发起自动的攻击。常见的攻击有弱口令爆破(如针对SSH、RDP、数据库的爆破)和高危通用漏洞(Log4j反序列化漏洞、永恒之蓝漏洞)。
黑客要做的只是搭几台服务器,不停的对全网发起探测、爆破、漏洞利用。一旦入侵成功,会自动对服务器价值进行评估——价值较高的,就发起勒索攻击;价值不高的,就运行挖矿程序。并留下后门,长期控制该失陷主机。
很多人会说,我的服务器没有开其他端口,只开放 RDP 用于管理运维,且设置了复杂的密码,这样总没问题吧?
然而,很多勒索案件就是这样发生的。密码的强弱,不在于位数多或者有复杂的字符组合。关键在于,你的弱密码在不在黑客的字典里。黑客会不停收集各网站泄漏的用户口令,并通过各种组合产生巨量的密码字典。
为了绕过防火墙的防爆破规则,黑客会利用IP代理池发起爆破。目前网上有大量免费的IP代理池,IP每分钟更新。有大量的IP,就不怕防火墙封禁。
这类攻击的受害者,大部分是小微企业。由于安全投入不足,缺乏有效的网络安全建设和安全意识,给黑客留下可乘之机。
02 高投入高产出--针对特定目标的攻击
如果你所在的公司,业务发展迅速,业绩蒸蒸日上,知名度越来越大,千万不要忘了,惦记你的黑客,也会越来越多。
一方面随着企业实力增强,有更多资源投入到安全建设中,提高了安全水位。另一方面,随着业务发展,企业的分支机构、合作伙伴、客户也增多,网络结构复杂,网络边界治理变难,网络安全管理挑战增加。
在黑客看来,企业支付赎金的能力和意愿也提高了,黑客有了更强的动机。
第二步 信息收集:寻找攻击路径 01 公开信息收集
黑客在开始攻击之前,首先会进行信息收集。一般会收集目标企业的域名、子域名、IP、员工信息(姓名、职务、邮件地址等),以及企业的子公司、分支机构等。这些信息通过公司的官网、公告、新闻、网络空间搜索引擎等公开途径,都可以轻易得到。
收集信息的目的,是为了找到目标企业安全防护的薄弱点。
02 泄漏数据收集
有大量的泄漏数据在黑客论坛出售。数据内容五花八门,知名网站数据库泄漏的账号信息、远程桌面账号密码、企业员工无意间上传到Github的登录密钥等。
信息不一定是从企业自身泄漏的。如果企业某员工登录公司系统使用的口令,与其他常用网站相同,且都长期未更换,那么任意一个他经常访问的网站发生数据泄漏,都会间接影响所在企业的账号安全。
一个泄漏的远程桌面账号,未必能引起注意,但如果这个IP地址属于某知名企业,它的价值就成倍提高了。
第三步 发动攻击:隐秘行动,一击必杀 01 边路突破
马奇诺防线非常坚固,但如果被绕过,就毫无用处。
通常企业会重点加强核心系统的安全防护,但对分散在全国各地的分支机构、合作伙伴,很难有效防护。这就给勒索留下了可乘之机。
某公司发生的勒索案例中,黑客会从防御薄弱的分支机构入手,利用分支机构通往总部的专线,渗透进入总部核心系统,发起勒索攻击。
02 发起勒索
勒索攻击,必须加密核心数据才有价值。但核心数据往往是企业重点保护的资产,安全防护不会少。比如安装杀毒软件的主机,就有可能阻止勒索软件运行。
但杀软的病毒库、规则库是固定的,而黑客的攻击方式是灵活多变的,攻击者会不停变换攻击方式,多次试探,直到勒索成功。
某勒索案例,黑客在一个月中,先后使用三个不同的勒索软件发起攻击,前两次都被拦截,直到第三次终于成功。
黑客的攻击动作会触发EDR、流量审计等设备产生告警,但如果不能被及时处置,就毫无作用。大部分勒索攻击都发生在深夜,企业想要做到7x24h的及时处置,是非常难的。
03 多重勒索
黑客在完成数据加密后,还可能会留下后手。最常见的是把重要数据上传到自己控制的服务器,并威胁不支付赎金就公开数据。
很多企业有完善的数据备份,不担心数据被加密。但商业秘密遭到泄漏的风险是无法承担的。
黑客还会留下后门,以便未来再次发起攻击。
04 分工协作
勒索攻击涉及的技术很多。在利益的驱使下,逐步向专业化分工的方向演化。有的负责窃取登录口令,有的负责开发能绕过杀毒软件的加密工具,有的负责提供支付赎金的账号。力求在每一个环节做到极致,并发展出勒索即服务(Ransome-as-a-Service)的协作模式。
因此,企业面对的不再是单打独斗的黑客,而是有组织的专业团队。
总结建议
Summarize recommendations
针对特定企业的勒索攻击,是对企业网络安全的重大挑战。为了应对这类攻击,最重要的是:
♦摸清资产,明确重要资产,收敛暴露资产;
♦划清边界,隔离重要资产与一般资产;
♦强化监测,部署流量审计、EDR等设备,并及时研判告警;
♦及时处置,发现攻击及时阻断。
来源:安恒信息
京公网安备 11010802035086号