公司新闻

《从八个方面认识勒索攻击和危害》之一:勒索攻击中的四种分工角色

时间 :  2021年11月02日  来源:  安天


        自2021年11月1日起,安天网络安全垂直响应服务平台运营组将以防御赋能和威胁分析视角,通过一天一篇的科普专题连载,分享勒索攻击的攻击技术、行为特点、演进趋势等8组关键信息,介绍安天产品如何构建防御勒索攻击的防线。

        今天是本专题的第一篇,主要阐述勒索攻击已发展成为分工明细的产业化犯罪趋势,用户应予以重视并及时防护。更多关于勒索攻击的分析和防护建议,请持续关注。

        早期的勒索攻击多半是攻击者从编写勒索病毒到投放勒索病毒一条龙完成的,但如今的勒索攻击已发展成为分工明细的产业化犯罪活动。

        一次完整的勒索攻击链条里,或者说在一个勒索攻击犯罪团伙,一般会有多种分工角色。不同攻击活动间又有很大差异,有的攻击中同一个人或同一个组织会扮演多重角色;也有攻击中分工会更细致。分工确实成为勒索攻击犯罪活动的显著特点,特别是出现了RaaS(Ransomware as a Service,勒索即服务)这种模式化的新犯罪活动,将勒索攻击转变为“商业服务行为”,通过会员、订阅或定制,向其他“攻击者”售卖勒索攻击相关服务。RaaS的出现,不仅降低了勒索攻击的准入门槛(甚至无需任何网络攻防技术与知识即可发起攻击),也增加了勒索攻击的防护难度,特别是带来了巨大的“内鬼”作案风险。

▲ 勒索攻击犯罪链条中的角色分工


       1. 勒索软件开发方: 主要负责勒索攻击中软件、工具、生成器等相关能力的开发,是整个攻击中的上游制毒者。

        在RaaS模式中,除了勒索攻击能力的相关标品开发,也接受勒索攻击能力的相关定制开发;主要通过地下平台或“暗网”,实现勒索软件的定制。

       2. 勒索攻击行为发起方: 是实现把勒索软件定向投放到受害场景的行为角色。其有可能是一个个体,也可能是一个由组织者和执行者组成的团伙。

       2.1 组织者: 通过合作分成的方式,组织开发者开发/定制勒索软件或勒索服务平台(RaaS,勒索即服务);联合渠道商传播勒索软件;串联代理商与受害者获得联系获取赎金等。

       2.2 执行者: 勒索攻击实施阶段的重要节点事务执行,主要包括:系统入侵、勒索部署、窃密加密、勒索赎金等。

       3. 勒索攻击中的渠道方: 勒索攻击可能是攻击者定向发动的,也可能与其他的一些掌握肉鸡资源的犯罪组织合作。例如常见的方式是利用僵尸网络大规模发送钓鱼邮件,譬如此前全球最大的僵尸网络Necurs(于2020年3月11日由微软宣布被捣毁),以及目前仍在活跃且较知名的Mirai、Gafgyt、Mozi等。基于传播次数,僵尸网络仍是目前勒索软件的主要传播渠道。

       4. 勒索攻击中的代理方: 主要负责拓展和助攻勒索赎金缴纳的成功率;与勒索发起方同样是合作分成收益关系,还有的本身就是和攻击者沆瀣一气的团伙成员。代理方一般会通过网络关键词、多媒体、信息流等广告宣传,声称自己能够解密各类勒索攻击加密的文件。但实际存在多种情况:有的是利用受害者不知道如何使用虚拟货币交易,赚取手续费;有的则是利用相关事件,来诈骗勒索受害者。此前我国公安部门就曾打击掉一家以数据恢复为名义,实际上和勒索攻击勾结的所谓“数据恢复公司”。

        值得警惕的新角色“内鬼”:

        当前政企机构要警惕的是在勒索即服务全面降低了勒索攻击门槛后,内鬼对自身所在单位进行勒索攻击的风险会提升,需要增加预防。

        值得一提的是,勒索攻击产业化、链条化后,勒索犯罪团伙时刻都在与安全工作者们隔空对抗,试图找到更多绕过安全机制的方法。这也是防护能力需要持续升级改善的根本原因。安全有效性从不会一劳永逸,而需要持续安全运营。

        勒索攻击的分工链条化,增加了攻击的能力和隐蔽性。从政企机构网络客户角度,构建有效防御体系才能更好应对日趋复杂的勒索攻击,做好防患未然。从社会治理角度看,推动有效治理僵尸木马蠕虫,削弱勒索攻击的分发能力;对勒索攻击活动进行持续跟踪分析溯源,形成国际协同的司法打击能力,都是工作抓手。特别是要倡导,在遭遇勒索攻击成功的情况下,坚决不交赎金的理念,面对犯罪活动不妥协,就是对正义的支持。


下期预告

        作为《从八个方面认识勒索攻击和危害》系列的第一章,主要阐述勒索攻击已发展成为分工明细的产业化犯罪趋势,用户应予以重视并及时防护。

        在下一篇文章中,我们会分享勒索攻击的2种攻击方向,敬请期待。


附件:安天智甲5+2防护,构筑端点系统侧安全防线

▲ 智甲终端防护系统防御勒索病毒原理示意图


        智甲针对勒索攻击构建了“五层防御,两重闭环”的防护解决方案。五层防御即系统加固、(主机)边界防御、扫描过滤、主动防御、文档安全五个防御层次,两重闭环是EPP(端点防护)实时防御闭环,和EDR(端点检测和响应)准实时/异步防御闭环。

安天智甲终端防御系统防护勒索病毒的机理表

防护层级

技术原理

系统加固

通过基线和补丁检查功能,实现对系统配置脆弱点的检查修补、补丁加固和系统自身安全策略调整等,从而减少包括开放端口、弱口令、不必要的服务等勒索攻击的暴露面,削弱漏洞利用的成功率。

(主机)边界防御

通过分布式主机防火墙和介质管控功能,拦截扫描、入侵数据包,阻断攻击载荷传输,拦截U盘、光盘等插入自动运行,使勒索攻击难以获得主机入口。

扫描过滤

基于安天AVL SDK反病毒引擎对文件对象、扇区对象、内存对象、注册表数据对象等进行扫描,判断检测对象是否是已知病毒或者疑似病毒,从而实现精准判断查杀。

主动防御

基于内核驱动持续监控进程等内存对象操作行为动作,研判是否存在持久化、提权、信息窃取等攻击动作,判断是否存在批量读写、删除、移动文件或扇区等操作,并通过文件授信(签名验证)机制,过滤正常应用操作动作以降低误报。

文档安全

依靠部署多组诱饵文件并实时监测,诱导勒索病毒优先破坏,达成欺骗式防御效果。采用多点实时备份机制,即使正常文档被加密也可快速恢复。

        凭借这样的机理设计,辅以每日10次病毒库本地升级,云端库实时升级,威胁情报定时推送,安天智甲可以有效阻止病毒落地、阻断恶意行为、保护重要文档,全面有效的保障用户免受勒索攻击威胁。

        对于安天全线产品如何支持客户构建有效防御体系,请参考《安天产品助力用户有效防护勒索攻击》。

        安天垂直响应服务平台中开通了面向Windows主机的轻量级勒索风险评估,并提供专用响应工具,帮助客户快速排查风险。

        详情地址:https://vs.antiy.cn/endpoint/rdt

        同时,个人和家庭用户,推荐安装使用安天杀毒软件(Windows版),获得有效安全防护。

        详情地址:https://vs.antiy.cn/endpoint/anti-virus


安天垂直响应服务平台简介

        “安天垂直响应服务平台”是安天旗下专注满足中小企业和个人(家庭)用户安全刚需的“一站式服务平台”。

        平台通过持续为个人安全、中小企业安全、开发安全与安全分析领域的用户,提供轻量级的产品与服务支撑,以实现快速响应用户在各类场景下的安全需求。

        专业、精准、纯净、高效,是我们的服务宗旨;达成客户有效安全价值、提升客户安全获得感、与客户共同改善安全认识,是我们不变的初心与使命。