整合營銷服務(wù)商
電腦端+手機(jī)端+微信端=數(shù)據(jù)同步管理
免費(fèi)咨詢熱線:
電腦端+手機(jī)端+微信端=數(shù)據(jù)同步管理
免費(fèi)咨詢熱線:
圖電路圖繪制軟件是一款適合新手的入門級電路圖設(shè)計(jì)軟件,軟件界面簡單,包含豐富的圖表符號,中文界面,以及各類圖表模板。版本定期更新,不用擔(dān)心無法繪制新型元件。適合專業(yè)電路圖的設(shè)計(jì),是電子工程師們的最佳拍檔。
億圖電路圖軟件與MS Visio等兼容,方便您繪制各種電子電路圖,系統(tǒng)圖,工業(yè)控制圖,電氣原理與線路圖等,并且與他人分享您的文件。軟件支持圖文混排和所見即所得的圖形打印,并且能一鍵導(dǎo)出PDF, Word, Visio, PNG, SVG 等17種格式。目前軟件有Mac, Windows和Linux三個版本,滿足各種系統(tǒng)需求。
購買專業(yè)版配置需求:
Windows 7, 8, 10, XP, Vista, Citrix
Mac OSX 10.10+
Linux Ubuntu OS
電路圖繪制軟件適用領(lǐng)域
電路圖繪制軟件能夠幫助用戶以最快捷和最簡單的方法來電氣原理圖,電氣和電子圖,控制電路圖,也可以用于氣動,液壓和其他類型的技術(shù)圖表。還能夠支持自動編號的符號,生成的網(wǎng)表,列出了電線,原理圖,汽車電路,手機(jī)電路,充電電路,電源電路,基礎(chǔ)電路圖,控制電路圖,電源電路圖,電工電路圖,電工接線圖,電動機(jī)接線圖,電子元器件符號,電氣符號大全,電路圖符號大全等電路圖紙。
為什么使用電路圖繪制軟件?
隨著電子科技的加速發(fā)展,新型元器件層出不窮,越來越復(fù)雜的電子線路已經(jīng)不能單純依靠手工來完成,電子線路計(jì)算機(jī)輔助設(shè)計(jì)已成為必然趨勢,越來越多的工程師以及設(shè)計(jì)人員使用高效,快捷的EAD工具軟件來進(jìn)行各種電路圖設(shè)計(jì),分享與打印。
什么時候使用電路圖繪制軟件?
電路圖有其特殊性,元器件的格式、導(dǎo)線的連接、標(biāo)注的規(guī)范都有一定的要求,需要遵循相關(guān)的標(biāo)準(zhǔn)。幾乎所有的電路圖都是由點(diǎn)、直線、曲線和多邊形構(gòu)成,這些正是矢量圖的特長,而且矢量圖可以在不降低圖片質(zhì)量的情況下無限放大,這些原因就造成了精美的的電路圖大多是矢量圖。為了便于理解和分析,常需在電路圖中標(biāo)注出電流、電壓的方向和數(shù)值,有時候還要標(biāo)出波形、公式和注釋。這些事情如果是由手工繪制來操作的話,會麻煩許多。但對于電路圖軟件來說,都不是問題。另外對于有條件上網(wǎng)的電路圖使用者來說,以軟件形式存在的電路圖無疑能夠更方便地與他人共享。
億圖電路圖繪制軟件特色:
1、支持多個系統(tǒng):同時支持支持 Windows,Mac 和 Linux,并且版本同步更新。
2、符號豐富:內(nèi)置大量的矢量電路符號,幫助快速制作電路圖。
3、擁有多個主題:擁有多個主題風(fēng)格,只需一鍵即可更改。
4、模板多: 內(nèi)置一系列優(yōu)秀電路圖模板,還有免費(fèi)的在線模板,可以幫助新手更快的上手創(chuàng)建漂亮專業(yè)的電路圖,從而節(jié)省創(chuàng)建時間。
5、導(dǎo)出格式多:不僅可以導(dǎo)出為Word,圖片,Visio,PDF矢量等文件格式,還可以導(dǎo)出為HTML網(wǎng)頁,SVG矢量圖等,有助于分享。
6、自動更新:您將收到通知,當(dāng)有新版本或新的模板時。您可以直接安裝。
億圖電路圖繪制軟件中文官方網(wǎng)站:www.edrawsoft.cn
豐富的電路圖例子,上手更輕松
集成電路
集成電路是指采用一定的工藝,把一個電路中所需的電阻、電容、電感,三極管、二極管、等元器件及導(dǎo)線互連在一起,制作在一小塊或幾小塊或半導(dǎo)體晶,陶瓷、玻璃上,然后封裝在一起,成為一個能夠?qū)崿F(xiàn)一定電路功能的微型電子器件或部件。
集成電路
設(shè)備電路
用圖形符號并按工作順序排列,詳細(xì)表示電路、設(shè)備或成套裝置的全部基本組成和連接關(guān)系,而不考慮其實(shí)際位置的一種簡圖。目的是便于詳細(xì)理解電路的作用原理,分析和計(jì)算電路特性。
設(shè)備電路
接線電路圖
“加密程序”是指發(fā)現(xiàn)企業(yè)網(wǎng)絡(luò)漏洞的程序,這些程序利用這些漏洞進(jìn)入網(wǎng)絡(luò),獲取企業(yè)的重要信息,然后從公司管理層勒索錢財(cái)。顯然,這些程序是由人創(chuàng)建的,他們可以聯(lián)合成犯罪團(tuán)伙,也可以單獨(dú)行動。
“雖然勒索軟件的主要目標(biāo)仍然集中在北美、拉丁美洲、歐洲、亞太地區(qū),但最近幾年俄羅斯也不再被認(rèn)為是一個避風(fēng)港。根據(jù)Group-IB的數(shù)據(jù),僅在2021年,勒索軟件對俄羅斯公司的攻擊數(shù)量就增加了200%以上。”
近年來,通過加密程序的網(wǎng)絡(luò)攻擊正在增加。不幸的是,這一趨勢也影響了俄羅斯——僅在2021年,這種攻擊的數(shù)量就增加了三倍以上。
正因如此,俄文版的Oleg Skulkin的書籍才顯得如此及時,作者不僅是俄羅斯的杰出專家,也是國際數(shù)字法證領(lǐng)域的專家。作者講述了關(guān)于加密程序的所有內(nèi)容——從攻擊歷史到數(shù)字證據(jù)。在他的敘述中,程序代碼片段和彩色截圖看起來都很自然。
“對IT基礎(chǔ)設(shè)施漏洞的細(xì)致偵察及其為部署勒索軟件的準(zhǔn)備工作可以為網(wǎng)絡(luò)犯罪分子帶來數(shù)百萬美元的加密貨幣收入。”
根據(jù)作者的觀點(diǎn)(這一觀點(diǎn)基于其在信息安全領(lǐng)域超過十年的工作經(jīng)驗(yàn)),如果理解勒索軟件攻擊的生命周期,企業(yè)可以保護(hù)其網(wǎng)絡(luò)和資金。這一生命周期在本書的第二章以及最后一章中詳細(xì)描述,作者幫助讀者學(xué)習(xí)如何重建所有勒索軟件所遵循的通用攻擊生命周期,無論它們具有何種個性特征。
“新冠病毒加劇了這一局面——許多公司為員工提供了遠(yuǎn)程工作的機(jī)會,并被迫開放了他們的服務(wù)器,這些服務(wù)器成為了包括勒索軟件運(yùn)營商在內(nèi)的各種惡意行為者的目標(biāo)。”
本書特點(diǎn):
適用對象:
一個黑客團(tuán)隊(duì)攻擊政府服務(wù)器,加密并提取三十多個部門的重要數(shù)據(jù),經(jīng)濟(jì)停滯,執(zhí)法部門無能為力,民眾走上街頭要求政府辭職,國家進(jìn)入緊急狀態(tài)……這不是Netflix的電視劇情節(jié),而是2022年春季真實(shí)發(fā)生的事情,當(dāng)時Conti勒索軟件攻擊了整個哥斯達(dá)黎加國家。
連續(xù)四年,勒索軟件攻擊成為最嚴(yán)重和破壞性最大的網(wǎng)絡(luò)威脅之一,甚至被稱為第一大網(wǎng)絡(luò)威脅。受害者可能是像東芝公司或Colonial Pipeline這樣的跨國公司,也可能是小型私營企業(yè)。一次成功的攻擊就能完全癱瘓生產(chǎn),使公司失去資金(贖金金額高達(dá)數(shù)億美元)和敏感數(shù)據(jù),攻擊者可以先行下載并出售這些數(shù)據(jù),以迫使受害者妥協(xié)。雖然勒索軟件的主要目標(biāo)仍在北美、拉美、歐洲和亞太地區(qū),但俄羅斯近年來也不再是一個安全港灣。根據(jù)Group-IB的數(shù)據(jù),僅在2021年,俄羅斯公司遭受勒索軟件攻擊的次數(shù)就增加了200%以上。
2022年上半年,這一數(shù)量比2021年第一季度增加了四倍。當(dāng)偶爾(不常)有逮捕事件發(fā)生時,勒索軟件運(yùn)營者會短暫隱藏并清理痕跡,進(jìn)行品牌重塑。但說勒索軟件的黃昏已經(jīng)到來還為時過早。Group-IB計(jì)算機(jī)取證實(shí)驗(yàn)室團(tuán)隊(duì)在大多數(shù)人尚未看到勒索軟件嚴(yán)重威脅時就開始關(guān)注它們。書籍作者奧列格·斯庫爾金不僅在俄羅斯,而且在國際數(shù)字取證領(lǐng)域都是重要人物。他在信息安全領(lǐng)域工作超過十年,撰寫和合著了五本關(guān)于取證和事件調(diào)查的書籍。
奧列格是研究報告、網(wǎng)絡(luò)研討會和技術(shù)博客的常駐作者,內(nèi)容涉及勒索軟件帝國的發(fā)展及最活躍的犯罪集團(tuán):Conti、OldGremline、LockBit、Hive、REvil。讀者將詳細(xì)了解勒索軟件的歷史、運(yùn)營者使用的戰(zhàn)術(shù)和技術(shù),以及如何調(diào)查這些攻擊。這本書對于數(shù)字取證、事件響應(yīng)、主動威脅搜尋、網(wǎng)絡(luò)情報以及相關(guān)領(lǐng)域的專業(yè)人士來說都是必不可少的。
Group-IB
人為操控的勒索軟件攻擊徹底改變了現(xiàn)代威脅格局,成為許多組織面臨的主要威脅——這也是為什么各類組織都在提高警惕并準(zhǔn)備應(yīng)對此類事件的原因。
這本書將帶你了解現(xiàn)代勒索軟件攻擊的世界。書中特別關(guān)注基于威脅情報分析的主動防御方法,幫助應(yīng)對和防范此類攻擊。
這本書將吸引廣泛的技術(shù)專家——從學(xué)習(xí)網(wǎng)絡(luò)安全的學(xué)生,到中小企業(yè)的系統(tǒng)和網(wǎng)絡(luò)管理員,甚至是希望深入了解人為操控勒索軟件攻擊的事件響應(yīng)專家和網(wǎng)絡(luò)威脅分析師。
第一章《現(xiàn)代勒索軟件攻擊的歷史》介紹了人為操控勒索軟件攻擊的世界及其歷史。
第二章《現(xiàn)代勒索軟件攻擊的生命周期》簡要描述了現(xiàn)代攻擊者在勒索軟件攻擊中的行為方式。
第三章《事件響應(yīng)流程》描述了應(yīng)對勒索軟件攻擊相關(guān)事件的響應(yīng)流程。
第四章《網(wǎng)絡(luò)情報與勒索軟件》概述了關(guān)于勒索軟件攻擊的網(wǎng)絡(luò)情報。
第五章《勒索軟件團(tuán)伙的戰(zhàn)術(shù)、技術(shù)和程序》詳細(xì)描述了勒索軟件攻擊者常用的戰(zhàn)術(shù)、技術(shù)、方法和工具。
第六章《勒索軟件相關(guān)的威脅情報數(shù)據(jù)收集》概述了收集勒索軟件攻擊相關(guān)情報的不同來源和方法。
第七章《數(shù)字取證證據(jù)及其主要來源》概述了響應(yīng)事件時可用于重建攻擊生命周期的各種取證證據(jù)來源。
第八章《初始訪問方法》提供了關(guān)于攻擊者使用的初始訪問方法的實(shí)用研究。
第九章《后利用方法》討論了攻擊者使用的各種后利用方法。
第十章《數(shù)據(jù)竊取方法》研究了使用的數(shù)據(jù)竊取方法。
第十一章《勒索軟件部署方法》研究了勒索軟件的不同部署方法。
第十二章《統(tǒng)一的勒索軟件攻擊生命周期》描述了攻擊生命周期的獨(dú)特概念,以及勒索軟件的使用。
勒索軟件攻擊已經(jīng)成為2020年繼COVID-19之后的第二次大流行的攻擊方式——不幸的是,它還在繼續(xù)發(fā)展。一些攻擊者停止了活動,但很快就會有新一代網(wǎng)絡(luò)犯罪分子填補(bǔ)他們的位置。
現(xiàn)在這些攻擊已經(jīng)廣為人知,但它們早在著名的WannaCry和NotPetya勒索軟件爆發(fā)之前就已經(jīng)開始了。與不受控制的勒索軟件不同,這些勒索軟件由不同的運(yùn)營商及其同伙操控。對IT基礎(chǔ)設(shè)施漏洞的詳細(xì)偵察及其為部署勒索軟件的準(zhǔn)備工作可以為網(wǎng)絡(luò)犯罪分子帶來數(shù)百萬美元的加密貨幣收入。
有很多著名的勒索軟件攻擊案例。在本章中,我們將重點(diǎn)討論幾個具有歷史意義的重要案例,包括現(xiàn)代IT環(huán)境中最具代表性的威脅——勒索軟件即服務(wù)。
我們將討論以下案例:
SamSam運(yùn)營商于2016年初出現(xiàn),徹底改變了勒索軟件威脅格局。他們的目標(biāo)不是普通用戶和單個設(shè)備,而是通過手動操作攻擊各種公司,滲透網(wǎng)絡(luò),盡可能多地加密設(shè)備,包括那些包含最重要數(shù)據(jù)的設(shè)備。
攻擊目標(biāo)范圍廣泛,包括醫(yī)療和教育領(lǐng)域的企業(yè),甚至整個城市。一個典型的例子是2018年3月遭受攻擊的喬治亞州亞特蘭大市,恢復(fù)基礎(chǔ)設(shè)施的成本約為270萬美元。
通常,攻擊者利用公開應(yīng)用程序中的漏洞,例如JBOSS系統(tǒng),或者通過猜測RDP服務(wù)器的密碼來獲得對目標(biāo)網(wǎng)絡(luò)的初始訪問權(quán)。為了獲得更高的訪問權(quán)限,他們使用了一系列常見的黑客工具和漏洞利用程序,包括臭名昭著的Mimikatz,該工具可以獲取域管理員的憑證。之后,SamSam運(yùn)營商掃描內(nèi)網(wǎng)收集可用主機(jī)的信息,將勒索軟件復(fù)制到每臺主機(jī)上,并使用另一個常用的雙重用途工具PsExec運(yùn)行它。
圖片 1.1:SamSam勒索信息示例
攻擊者使用暗網(wǎng)中的支付網(wǎng)站。受害者收到勒索軟件生成的贖金要求和解密信息的通知(見圖1.1)。
根據(jù)Sophos的數(shù)據(jù),2016年至2018年間,攻擊者賺取了約600萬美元(來源:https://www.sophos.com/en-us/medialibrary/PDFs/technical-papers/SamSam-The-Almost-Six-Million-Dollar-Ransomware.pdf)。
2018年11月28日,F(xiàn)BI公開了起訴書,指控Faramarz Shahi Savandi和Mohammad Mehdi Shah Mansouri參與了SamSam勒索軟件的國際傳播。
圖片 1.2:FBI通緝海報片段
這兩名嫌疑人來自伊朗。起訴書公布后,這些罪犯至少以SamSam的名義結(jié)束了他們的犯罪活動。
SamSam案件表明,對公司進(jìn)行勒索軟件攻擊可能非常有利可圖,隨之出現(xiàn)了新的類似犯罪團(tuán)伙。其中一個例子是BitPaymer勒索軟件。
BitPaymer勒索軟件與Evil Corp有關(guān),這是一家被認(rèn)為源自俄羅斯的網(wǎng)絡(luò)犯罪組織。這個勒索軟件標(biāo)志著人為操控攻擊的新趨勢——獵殺大型目標(biāo)。
一切始于2017年8月,當(dāng)時BitPaymer的運(yùn)營者成功攻擊了幾家NHS Lanarkshire的醫(yī)院,并要求高達(dá)23萬美元的贖金(53比特幣)。
為了獲得初始訪問權(quán)限,該組織使用了其長期使用的工具——Dridex木馬。木馬允許攻擊者加載PowerShell Empire,一個流行的后期利用框架,以便在網(wǎng)絡(luò)中橫向移動并獲取高級權(quán)限,包括使用Mimikatz,就像SamSam的運(yùn)營者一樣。罪犯利用組策略修改在整個企業(yè)中部署勒索軟件,這使他們能夠向每個主機(jī)發(fā)送腳本以啟動勒索軟件的實(shí)例。
攻擊者通過電子郵件和在線聊天與受害者溝通。
圖片 1.3:BitPaymer勒索信息示例
2019年6月,基于BitPaymer的新勒索軟件DoppelPaymer出現(xiàn)。據(jù)稱它由Evil Corp的一個子集團(tuán)管理 。
2019年11月13日,F(xiàn)BI發(fā)布了一個聲明,指控Maxim Viktorovich Yakubets和Igor Olegovich Turashev操作Dridex木馬。
圖片 1.4:FBI通緝海報片段
Maxim Viktorovich Yakubets目前因多項(xiàng)網(wǎng)絡(luò)犯罪指控被通緝。據(jù)報道,懸賞500萬美元捉拿他。
當(dāng)然,Dridex并不是唯一用于人為操控勒索軟件攻擊的木馬。另一個顯著的例子是與Ryuk勒索軟件密切相關(guān)的Trickbot。
Ryuk勒索軟件將大型獵物的捕獵提升到了一個新的水平。這種勒索軟件與Trickbot組織(也稱為Wizard Spider)有關(guān),并且至今仍然活躍。
根據(jù)AdvIntel的數(shù)據(jù),該組織在其歷史上攻擊了各種組織,賺取了至少1.5億美元(來源:https://www.advanced-intel.com/post/crime-laundering-primer-inside-ryuk-crime-crypto-ledger-risky-asian-crypto-traders) 。
某些時候,Ryuk被稱為三重威脅,因?yàn)楦腥就ǔ腅motet木馬開始,然后下載Trickbot,后者用于加載后期利用工具和最終部署勒索軟件。通常,Trickbot用于加載PowerShell Empire代理或Cobalt Strike Beacon,這是另一個非常流行的后期利用框架的一部分。
最近,該團(tuán)伙改變了工具集,開始使用一種名為Bazar的新木馬。值得注意的是,他們開始使用“vishing”(語音釣魚)。釣魚郵件不包含惡意文件或鏈接,而僅包含虛假的付費(fèi)訂閱信息和一個電話號碼,用于取消訂閱。如果受害者撥打了電話,操作員會指導(dǎo)他們下載惡意的Microsoft Office文件,打開并啟用宏,從而感染計(jì)算機(jī)Bazar木馬。與Trickbot一樣,該木馬用于加載和運(yùn)行后期利用框架——通常是Cobalt Strike。
攻擊者使用了多種方法來啟動Ryuk,包括前面提到的PsExec和組策略修改。起初,他們提供電子郵件地址以便受害者與他們聯(lián)系,但很快就開始使用Tor的洋蔥服務(wù)。
https://www.advanced-intel.com/post/crime-laundering-primer-inside-ryuk-crime-crypto-ledger-risky-asian-crypto-traders
圖1.5. 贖金消息中的指示[3]
Ryuk勒索軟件的運(yùn)營者仍然活躍,根據(jù)AdvIntel和HYAS的數(shù)據(jù),他們已經(jīng)賺取了超過1.5億美元(來源:https://www.advanced-intel.com/post/crime-laundering-primer-inside-ryuk-crime-crypto-ledger-risky-asian-crypto-traders)。
2021年6月4日,F(xiàn)BI公布了一份文件,指控Alla Witte(也稱為Max)與負(fù)責(zé)創(chuàng)建和傳播Trickbot木馬的跨國組織有關(guān)。
一些與Ryuk相關(guān)的人是Emotet僵尸網(wǎng)絡(luò)的運(yùn)營者。他們在2021年1月被荷蘭、德國、美國、英國、法國、立陶宛、加拿大和烏克蘭的執(zhí)法部門聯(lián)合行動中逮捕。最終當(dāng)局完全控制了僵尸網(wǎng)絡(luò)的基礎(chǔ)設(shè)施。
圖1.6. Emotet運(yùn)營者的工作環(huán)境
盡管攻擊者被逮捕,但“勒索游戲”吸引了越來越多的網(wǎng)絡(luò)犯罪分子。因此,出現(xiàn)了另一個現(xiàn)象——勒索軟件即服務(wù)。
2019年是勒索軟件即服務(wù)(RaaS)流行的一年,至今它仍然是主要趨勢。許多勒索軟件開發(fā)者開始向各種攻擊者提供他們的產(chǎn)品,以換取贖金的一部分。
REvil、LockBit、Ragnar Locker、Nefilim只是一些通過勒索軟件即服務(wù)模型傳播的勒索軟件家族。即使多個攻擊者使用相同類型的勒索軟件,他們的策略、技術(shù)和程序也可能非常不同。
然而,目前許多攻擊者使用同樣的方法:在實(shí)際部署勒索軟件之前提取數(shù)據(jù)。這一趨勢由2019年的Maze勒索軟件運(yùn)營者設(shè)立。目前幾乎所有實(shí)施類似攻擊的攻擊者都有自己的網(wǎng)站泄露數(shù)據(jù)(Data Leak Site, DLS)。
以下是DoppelPaymer勒索軟件運(yùn)營中使用的DLS示例。
圖1.7. DoppelPaymer的DLS[4]
通常,攻擊的發(fā)起者不會親自管理整個攻擊生命周期,而是利用其他攻擊者的服務(wù)。例如,他們可能與初始訪問經(jīng)紀(jì)人合作,這些經(jīng)紀(jì)人允許他們進(jìn)入被攻破的公司網(wǎng)絡(luò)。在某些情況下,他們可能會支付專業(yè)的滲透測試人員(pentesters)以提升權(quán)限或繞過保護(hù)措施,以便在整個企業(yè)范圍內(nèi)無縫地啟動勒索軟件。
參與該項(xiàng)目的攻擊者可以從贖金中獲得不同份額。通常,開發(fā)者獲得約20%,攻擊的發(fā)起者獲得約50%,初始訪問經(jīng)紀(jì)人獲得10%,其余部分歸輔助攻擊者,例如滲透測試員或談判人員。
勒索軟件即服務(wù)目前非常普遍。根據(jù)Group-IB Ransomware Uncovered 2020/2021報告(https://www.group-ib.com/resources/research-hub/ransomware-2021/),2020年64%的勒索軟件攻擊是由與RaaS相關(guān)的人員實(shí)施的。
與NetWalker勒索軟件相關(guān)的一個人,Sebastien Vachon-Desjardins,加拿大公民,于2021年1月被指控。他據(jù)稱通過勒索賺取了超過2760萬美元。
另一個例子是與Egregor勒索軟件相關(guān)的兩個人,他們在法國當(dāng)局的幫助下被捕,通過跟蹤付給他們的贖金支付。還有一個例子是與Clop勒索軟件相關(guān)的人,他們幫助攻擊者洗錢,也在2021年6月被捕。
因此,勒索軟件即服務(wù)使許多網(wǎng)絡(luò)犯罪分子——甚至那些缺乏技能和資源的人——加入了“勒索游戲”。這是使人類驅(qū)動的勒索軟件攻擊成為網(wǎng)絡(luò)大流行的一個重要因素。
在本章中,您了解了現(xiàn)代勒索軟件攻擊的歷史,并對攻擊者的策略、技術(shù)和程序、他們的商業(yè)模式——甚至一些幕后人物有了一些了解。
https://www.group-ib.com/resources/research-hub/ransomware-2021/
在下一章中,我們將深入了解與勒索軟件相關(guān)的現(xiàn)代威脅圖景,并專注于攻擊的生命周期——從初始訪問到實(shí)際部署勒索軟件。
使用勒索軟件的攻擊可能非常復(fù)雜,特別是當(dāng)涉及大型企業(yè)時。因此,在深入了解技術(shù)細(xì)節(jié)之前,了解典型攻擊的生命周期非常重要。了解攻擊的生命周期有助于安全專業(yè)人員正確重建事件并在各個階段做出正確的響應(yīng)決策。
如您從第1章“現(xiàn)代勒索軟件攻擊的歷史”中所知,勒索軟件即服務(wù)可以由一群人或一系列個別攻擊者管理。這意味著策略、技術(shù)和程序可能會有很大不同,但在大多數(shù)情況下,攻擊生命周期大致相同,因?yàn)楣粽咄ǔS袃蓚€主要目標(biāo)——從目標(biāo)網(wǎng)絡(luò)中竊取機(jī)密信息并在企業(yè)范圍內(nèi)部署勒索軟件。
在本章中,我們將簡要討論人類驅(qū)動的勒索軟件攻擊的各個階段,以形成對這些攻擊生命周期的清晰理解,并準(zhǔn)備好深入技術(shù)細(xì)節(jié)。
本章將討論以下主題:
任何攻擊都從獲得初始訪問開始。這可以通過連接到內(nèi)部網(wǎng)絡(luò)的VPN、通過有針對性的釣魚傳播的木馬、通過入侵公共應(yīng)用程序的web接口,甚至通過供應(yīng)鏈攻擊(另一個術(shù)語是第三方攻擊)來實(shí)現(xiàn)。
三種最常見的初始攻擊向量是通過遠(yuǎn)程桌面協(xié)議(RDP)獲得訪問權(quán)限、有針對性的釣魚和利用軟件漏洞。
以下是Coveware收集的截至2021年第二季度最常見的勒索軟件攻擊向量的統(tǒng)計(jì)數(shù)據(jù)(來源:https://www.coveware.com/blog/2021/7/23/q2-ransom-payment-amounts-decline-as-ransomware-becomes-a-national-security-priority)。
圖2.1. Coveware認(rèn)為的最常見勒索軟件攻擊向量
我們將詳細(xì)探討每一個,并輔以示例。
多年來,RDP一直是攻擊者訪問目標(biāo)網(wǎng)絡(luò)的最常見方式。從第1章“現(xiàn)代勒索軟件攻擊的歷史”中,您已經(jīng)知道其被SamSam運(yùn)營者使用。當(dāng)然,SamSam不是唯一的例子。目前,許多攻擊者都使用這個向量——包括偶爾為之的攻擊者,如Dharma勒索軟件運(yùn)營者,以及有目標(biāo)的組織團(tuán)伙,如REvil。
大流行加劇了這種情況——許多公司為員工提供遠(yuǎn)程工作機(jī)會,不得不開放他們的服務(wù)器,成為各種攻擊者的目標(biāo),包括勒索軟件運(yùn)營者。
例如,通過Shodan搜索工具公開的端口3389(RDP的默認(rèn)端口)可以看到數(shù)百萬臺設(shè)備。
圖2.2. 端口3389開放的設(shè)備數(shù)量
簡單的搜索就能返回?cái)?shù)百萬結(jié)果——這就是為什么這個初始攻擊向量在勒索軟件運(yùn)營者中如此受歡迎的原因之一。
在實(shí)踐中,攻擊者不一定親自攻擊這些服務(wù)器,他們可能只是購買對它們的訪問權(quán)限。勒索軟件即服務(wù)的運(yùn)營者不僅可以租用勒索軟件,還可以從所謂的初始訪問經(jīng)紀(jì)人那里購買企業(yè)網(wǎng)絡(luò)訪問權(quán)限。這些經(jīng)紀(jì)人通常不參與后期利用階段,更常見的是,他們以分成的形式(通常約為贖金的10%)出售或分享初始訪問權(quán)限。
有時勒索軟件運(yùn)營者甚至?xí)诘叵抡搲习l(fā)帖,吸引初始訪問經(jīng)紀(jì)人的注意。例如,Crylock勒索軟件運(yùn)營者發(fā)布了一條消息,表明他們有意購買各種類型的企業(yè)網(wǎng)絡(luò)訪問權(quán)限。
圖2.3. 地下論壇上的帖子
我們接下來將討論另一個非常流行的初始攻擊向量——有針對性的釣魚。
有針對性的釣魚涉及使用社會工程學(xué)。攻擊者操縱用戶打開惡意附件或點(diǎn)擊危險鏈接,從而獲取可用于獲得VPN訪問權(quán)限的憑證,或如您從第1章“現(xiàn)代勒索軟件攻擊的歷史”中所知,用于感染設(shè)備的木馬程序。起初,許多攻擊者使用這些惡意軟件進(jìn)行銀行欺詐,但它們也用于獲得企業(yè)網(wǎng)絡(luò)的初始訪問權(quán)限。
最常見的此類木馬例子包括:
當(dāng)然,這不是一個完整的列表——這里只列出了最常見的為勒索軟件運(yùn)營者鋪平道路的工具。
通常,這些木馬的運(yùn)營者會進(jìn)行大規(guī)模的垃圾郵件活動,主要針對企業(yè)用戶。最常見的做法是使用郵件鏈劫持——攻擊者從被攻破的電子郵件地址發(fā)送惡意文件作為對真實(shí)郵件的回復(fù)。
圖2.4. Qakbot運(yùn)營者的郵件鏈劫持示例5
在某些情況下,攻擊者會使用更復(fù)雜的方法:如第1章“現(xiàn)代勒索軟件攻擊的歷史”中所述,BazarLoader的運(yùn)營者也使用了語音釣魚(vishing)。
以下是此類釣魚郵件的示例。
https://mybook.ru/author/oleg-skulkin/shifrovalshiki-kak-reagirovat-na-ataki-s-ispolzova/Text/link.html
圖2.5. 用于傳播BazarLoader的釣魚郵件示例6
如您所見,這種情況下沒有惡意附件。相反,攻擊者要求受害者不要回復(fù)郵件,而是致電虛假公司以取消訂閱。
如果受害者撥打電話,虛假的呼叫中心工作人員會引導(dǎo)他們訪問網(wǎng)站,自行打開惡意文檔并啟用宏,以便下載并運(yùn)行BazarLoader。
我們將在后面的章節(jié)中討論這些木馬的啟動和隱藏技術(shù)細(xì)節(jié),但請記住,攻擊者可以使用這些木馬在被攻破的主機(jī)上下載其他工具,以進(jìn)行后期利用步驟并獲得特權(quán)賬戶以在網(wǎng)絡(luò)中推進(jìn)。
在我們總結(jié)初始攻擊向量的討論之前,我們將回顧一些允許勒索軟件運(yùn)營者獲得網(wǎng)絡(luò)訪問權(quán)限的軟件漏洞。
軟件漏洞讓許多初始訪問經(jīng)紀(jì)人賺取了數(shù)十萬美元,但通過勒索軟件即服務(wù)賺取了數(shù)百萬美元。
當(dāng)然,不是每個漏洞都能讓攻擊者獲得網(wǎng)絡(luò)的初始訪問權(quán)限。最常用的漏洞是那些允許遠(yuǎn)程執(zhí)行代碼或獲取憑證文件的漏洞。
一個很好的漏洞例子是Pulse Secure VPN應(yīng)用程序。例如,CVE-2019-11510漏洞允許攻擊者獲取易受攻擊設(shè)備的用戶名和未加密密碼,以用于訪問網(wǎng)絡(luò)。
另一個在勒索軟件運(yùn)營者中流行的漏洞是FortiGate VPN服務(wù)器中的CVE-2018-13379漏洞。它也允許攻擊者讀取未加密的憑證文件。
Citrix ADC和Gateway中的CVE-2019-19781漏洞也被許多勒索軟件團(tuán)伙廣泛利用——它允許攻擊者遠(yuǎn)程上傳和執(zhí)行惡意代碼并執(zhí)行其他后期利用操作。
另一個例子是Accellion Legacy File Transfer Appliance中的多個漏洞,包括CVE-2021-27101、CVE-2021-27102、CVE-2021-27103和CVE-2021-27104,被Clop勒索軟件團(tuán)伙利用。
最后,在某些情況下,攻擊者甚至能夠利用零日漏洞——這些是系統(tǒng)或設(shè)備中已知但尚未修復(fù)的漏洞。2021年7月,REvil團(tuán)伙成功利用了Kaseya VSA遠(yuǎn)程管理服務(wù)中的多個漏洞,并啟動了惡意更新包,導(dǎo)致勒索軟件的部署。這次攻擊影響了許多Kaseya的客戶,包括綜合IT基礎(chǔ)設(shè)施管理服務(wù)提供商,因此攻擊者要求了巨額贖金——7000萬美元。
圖2.6. REvil攻擊DLS的相關(guān)信息7
當(dāng)然,獲得網(wǎng)絡(luò)的初始訪問權(quán)限只是第一步。在大多數(shù)情況下,攻擊者需要提升權(quán)限、獲取憑證、進(jìn)行網(wǎng)絡(luò)偵察和其他后期利用操作。
訪問網(wǎng)絡(luò)只是工作的一半。在許多情況下,攻擊者對網(wǎng)絡(luò)不夠了解,只能訪問有限權(quán)限的賬戶,無法禁用安全控制措施并在網(wǎng)絡(luò)中推進(jìn)以獲取機(jī)密數(shù)據(jù)和部署勒索軟件。
后期利用操作取決于訪問類型。例如,如果攻擊者有VPN訪問權(quán)限,他們可以掃描網(wǎng)絡(luò)中的漏洞,以確保在網(wǎng)絡(luò)中的推進(jìn)。
不要驚訝——臭名昭著的EternalBlue漏洞(CVE-2017-0144)在許多企業(yè)網(wǎng)絡(luò)中仍然非常普遍,包括一些大型企業(yè)。
另一個廣泛用于勒索軟件運(yùn)營者的漏洞是Zerologon(CVE-2020-1472)。它允許攻擊者在幾次點(diǎn)擊內(nèi)訪問域控制器。
使用各種木馬的攻擊者通常從使用Windows內(nèi)置服務(wù)(如net.exe、nltest等)進(jìn)行網(wǎng)絡(luò)和Active Directory目錄服務(wù)的診斷開始,然后使用第三方工具加載到被攻破的主機(jī)上。最常見的工具包括:
https://mybook.ru/author/oleg-skulkin/shifrovalshiki-kak-reagirovat-na-ataki-s-ispolzova/Text/link.html
這些工具允許收集有關(guān)用戶和組、計(jì)算機(jī)、子網(wǎng)、域權(quán)限和Active Directory內(nèi)信任關(guān)系的信息。
如果攻擊者通過RDP訪問被攻破的節(jié)點(diǎn),他們通常使用各種工具——從網(wǎng)絡(luò)掃描器到密碼轉(zhuǎn)儲器。以下是一些最常用的工具:
在某些情況下,特別是當(dāng)攻擊者已經(jīng)有了服務(wù)器的初始訪問權(quán)限時,他們幾乎可以立即通過加載工具集的一部分來獲取提升權(quán)限的賬戶憑證,例如創(chuàng)建LSASS(Local Security Authority Subsystem Service)進(jìn)程內(nèi)存的快照。
另一個現(xiàn)代勒索軟件攻擊的典型特點(diǎn)是廣泛使用各種后期利用框架。我?guī)缀蹩梢钥隙懵犝f過Cobalt Strike。這是最廣泛使用的框架,不僅被網(wǎng)絡(luò)犯罪分子使用,還被國家支持的黑客使用。
但這只是一個例子。在響應(yīng)勒索軟件攻擊時,您還可能遇到:
這些服務(wù)使勒索軟件運(yùn)營者能夠解決各種任務(wù):掃描網(wǎng)絡(luò)、提升權(quán)限、轉(zhuǎn)儲憑證、加載和運(yùn)行第三方工具和腳本、使用各種方法在網(wǎng)絡(luò)中橫向移動等。
另一個重要的步驟是確保后備訪問。具體來說,他們可能會傳播已經(jīng)用于獲得初始訪問權(quán)限的木馬、在遠(yuǎn)程主機(jī)上啟動后期利用框架組件,甚至在某些服務(wù)器上安裝合法的遠(yuǎn)程訪問軟件,如TeamViewer。
一旦攻擊者對他們侵入的網(wǎng)絡(luò)有了足夠的了解并獲得了提升的權(quán)限,他們就可以開始實(shí)現(xiàn)主要目標(biāo)——數(shù)據(jù)盜竊和勒索軟件部署。
數(shù)據(jù)盜竊有時被稱為數(shù)據(jù)泄露、數(shù)據(jù)導(dǎo)出或數(shù)據(jù)外流,它在勒索軟件運(yùn)營者中非常流行。幾乎所有與人類驅(qū)動的勒索軟件攻擊有關(guān)的攻擊者都有自己的網(wǎng)站泄露數(shù)據(jù)(Data Leak Site, DLS)。他們在這些網(wǎng)站上發(fā)布有關(guān)成功攻擊的信息——甚至在公司拒絕支付贖金時發(fā)布被盜數(shù)據(jù)。
被盜數(shù)據(jù)的量可以有很大差異。在某些情況下,這只是幾個GB的數(shù)據(jù),而在其他情況下可能達(dá)到TB級別。外流的數(shù)據(jù)可能包括信用卡信息、社會安全號碼(SSN)、個人身份信息(PII)、受保護(hù)的健康信息(PHI)和國家醫(yī)療服務(wù)提供者標(biāo)識符(NPI),以及公司的私密和機(jī)密信息。
下圖展示了Conti勒索軟件使用的DLS示例。
圖2.7. Conti勒索軟件的DLS8
大多數(shù)此類網(wǎng)站位于暗網(wǎng),通常通過Tor瀏覽器訪問。如果您想使用普通的Web瀏覽器跟蹤這些網(wǎng)站的變化,建議使用Ransomwatch項(xiàng)目(https://www.ransomwatch.org/)。該網(wǎng)站自動捕獲并發(fā)布各種勒索軟件運(yùn)營者DLS的截圖。
攻擊者可能會花費(fèi)相當(dāng)長的時間從被攻破的網(wǎng)絡(luò)中提取數(shù)據(jù)——有時長達(dá)幾個月。在此期間,他們可能會找到最機(jī)密的數(shù)據(jù),并確保額外的遠(yuǎn)程訪問手段,以防止初始訪問方法被揭露和封鎖。
通常有兩種數(shù)據(jù)外流方法。第一種情況下,攻擊者可能會為此目的設(shè)置一個服務(wù)器或使用發(fā)起攻擊的服務(wù)器,例如,通過后期利用框架。
在這種情況下,攻擊者通常使用合法的工具(如WinSCP或FileZilla)進(jìn)行數(shù)據(jù)盜竊。檢測這些工具可能非常困難,尤其是如果公司的安全團(tuán)隊(duì)沒有專門的威脅監(jiān)控組。
通常數(shù)據(jù)需要先被收集,但在某些情況下,可以直接從文件服務(wù)器中提取數(shù)據(jù)而無需歸檔。
另一種方法是使用公共云存儲服務(wù),如MEGA、DropMeFiles等。攻擊者可以使用這些存儲服務(wù)在他們的DLS上發(fā)布數(shù)據(jù)。
以下是Everest勒索軟件運(yùn)營者盜取的數(shù)據(jù)上傳至DropMeFiles的示例。
圖2.8. Everest勒索軟件運(yùn)營者發(fā)布的被盜數(shù)據(jù)
為了以這種方式上傳數(shù)據(jù),攻擊者可以使用普通的Web瀏覽器,或在某些情況下使用相應(yīng)的客戶端應(yīng)用程序。例如,Nefilim勒索軟件的運(yùn)營者在目標(biāo)主機(jī)上安裝了MEGAsync來上傳數(shù)據(jù)。
另一個明顯的例子是Mount Locker的合作伙伴使用Amazon S3存儲來竊取收集到的數(shù)據(jù)。AWS和其他云解決方案對于大規(guī)模的數(shù)據(jù)盜竊非常有幫助,因此在沒有適當(dāng)管理和監(jiān)督的情況下使用這些解決方案對攻擊者非常有利。
一旦所有機(jī)密數(shù)據(jù)(至少從攻擊者的角度來看)被提取出來,受害者的網(wǎng)絡(luò)就可以準(zhǔn)備部署勒索軟件了。
您認(rèn)為勒索軟件運(yùn)營者的最大敵人是誰?沒錯,是備份——如果它們受到保護(hù)并存放在安全的地方。但它們有一個顯著的弱點(diǎn)——攻擊者可以刪除它們。
不幸的是,系統(tǒng)管理員經(jīng)常忘記3-2-1規(guī)則(3份備份存儲在2種不同的介質(zhì)上,其中1份存放在異地),也忘記了為備份服務(wù)器使用單獨(dú)的賬戶并啟用多因素認(rèn)證的必要性。如今,妥善保護(hù)備份不僅對于防止勒索軟件至關(guān)重要,而且對于企業(yè)遵守行業(yè)法規(guī)也至關(guān)重要。
如果沒有足夠的安全措施,攻擊者可以輕易訪問備份服務(wù)器并刪除所有可用的備份。在這種情況下,受害公司別無選擇,只能支付贖金。
一些勒索軟件內(nèi)置了刪除典型備份解決方案文件擴(kuò)展名的功能。例如,TinyCryptor刪除的備份文件擴(kuò)展名列表如下:
您可能知道,Windows操作系統(tǒng)內(nèi)置了一個名為卷影復(fù)制服務(wù)(Volume Shadow Copy Service)的備份機(jī)制。它創(chuàng)建文件甚至卷的備份,使用戶可以將數(shù)據(jù)恢復(fù)到以前的狀態(tài)。
當(dāng)然,勒索軟件運(yùn)營者注意到了Windows的這一功能——大多數(shù)勒索軟件都會禁用它并刪除所有可用的卷影副本。
備份并不是勒索軟件運(yùn)營者唯一的敵人。另一個敵人是可以有效阻止勒索軟件執(zhí)行的安全軟件——當(dāng)然,如果它們正常運(yùn)行的話。
攻擊者可以將勒索軟件添加到排除列表中,或者直接禁用現(xiàn)有的安全軟件。在這一步,攻擊者通常已經(jīng)擁有了域管理員權(quán)限,因此他們可以部署批處理腳本,操作組策略來達(dá)到目的。當(dāng)然,這不是唯一的方法——也可以通過安全軟件的控制臺界面禁用它。
勒索軟件部署的方法有很多,包括修改組策略、使用PsExec,甚至手動復(fù)制和啟動——這取決于網(wǎng)絡(luò)犯罪分子的偏好。
另一個重要的點(diǎn)是系統(tǒng)必須保持可訪問,以便受害者可以收到電子郵件或鏈接與攻擊者聯(lián)系。這就是為什么許多勒索軟件會將系統(tǒng)文件夾添加到排除列表中的原因。以下是Darkside勒索軟件排除列表中的文件夾:
有趣的是,排除列表中包含了tor browser文件夾。因?yàn)镈arkside有一個暗網(wǎng)中的受害者門戶,只有通過Tor瀏覽器才能訪問。
一旦勒索軟件部署完成,攻擊者就準(zhǔn)備與受害者討論贖金金額。有時他們會分別要求解密贖金和刪除被盜數(shù)據(jù)的贖金。
有時攻擊并不會到此結(jié)束。例如,眾所周知,與REvil團(tuán)伙有關(guān)的攻擊者會對拒絕付款的受害者進(jìn)行DDoS攻擊。
現(xiàn)在您對典型的勒索軟件攻擊階段有了清晰的理解。盡管在戰(zhàn)術(shù)、技術(shù)和程序方面這些攻擊可能有很大差異,但主要目標(biāo)幾乎總是相同的:獲得域的完全控制,竊取最有價值的機(jī)密數(shù)據(jù),并部署勒索軟件。
在下一章中,我們將探討事件響應(yīng)過程及其應(yīng)對現(xiàn)代勒索軟件攻擊的六個階段。
您已經(jīng)對現(xiàn)代勒索軟件攻擊有了相當(dāng)了解,因此是時候探討事件響應(yīng)過程了。分析過程可能看起來有點(diǎn)枯燥,但理解它們非常重要——這將幫助您更快速地響應(yīng)事件。
我們不會停留在您已經(jīng)知道的事情上。相反,我們將探討美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)開發(fā)的經(jīng)典事件響應(yīng)過程,并結(jié)合勒索軟件攻擊的實(shí)際案例和經(jīng)驗(yàn)進(jìn)行講解。
這個過程在《計(jì)算機(jī)安全事件處理指南》(Computer Security Incident Handling Guide)中由Paul Cichonski、Tom Millar、Tim Grance和Karen Scarfone提出。至今,全球許多事件響應(yīng)團(tuán)隊(duì)在實(shí)踐中仍然使用它。我不會在這里復(fù)述這篇文章——我將分享我的意見和經(jīng)驗(yàn),以便您在閱讀或重讀時能更好地理解它。
在本章中,我們將探討事件響應(yīng)過程的各個階段,并討論以下主題:
事件準(zhǔn)備是事件響應(yīng)過程中的一個重要部分。這不僅涉及團(tuán)隊(duì),還涉及被攻擊的IT基礎(chǔ)設(shè)施。想象一下,如果您必須應(yīng)對一個與勒索軟件相關(guān)的事件,但您的基礎(chǔ)設(shè)施完全被加密,并且只運(yùn)行基礎(chǔ)級別的日志記錄和防病毒軟件。聽起來很可怕,但這正是我所調(diào)查的許多事件的實(shí)際情況——公司在受到攻擊之前不會考慮安全問題。
非常重要的是要認(rèn)識到您的基礎(chǔ)設(shè)施缺乏安全控制和人員。為此,您不需要等待實(shí)際的事件發(fā)生——在許多情況下,簡單的滲透測試就足夠了。
一些公司即使在成功的勒索軟件攻擊之后也不考慮安全問題。一個顯著的例子是澳大利亞的運(yùn)輸和物流公司Toll Group。2020年2月,該公司遭到Netwalker勒索軟件運(yùn)營者的攻擊。5月,Toll Group恢復(fù)正常運(yùn)行,立即又被另一個團(tuán)伙Nefilim勒索軟件成功攻擊。
如您所見,勒索軟件的世界非常殘酷,因此準(zhǔn)備團(tuán)隊(duì)和IT基礎(chǔ)設(shè)施應(yīng)對威脅至關(guān)重要。
實(shí)際上,公司不一定需要內(nèi)部的事件響應(yīng)團(tuán)隊(duì)。許多服務(wù)公司提供此類服務(wù),包括識別和分析威脅,并提供消除威脅的指導(dǎo)。
此外,公司還可以利用外部管理檢測和響應(yīng)(Managed Detection and Response, MDR)團(tuán)隊(duì)的服務(wù),這些團(tuán)隊(duì)負(fù)責(zé)監(jiān)控和響應(yīng)。
當(dāng)然,如果需要,公司可以在內(nèi)部創(chuàng)建事件響應(yīng)團(tuán)隊(duì),作為安全部門或內(nèi)部安全運(yùn)營中心(Security Operations Center, SOC)的一部分。
首先,這種團(tuán)隊(duì)必須具備響應(yīng)事件的能力。以下是具體含義:
在事件響應(yīng)過程中,能夠收集必要的數(shù)據(jù)至關(guān)重要——從單一的運(yùn)行進(jìn)程的工件到完整的事件日志或注冊表文件。我們一直使用自己的擴(kuò)展檢測和響應(yīng)(Extended Detection and Response, XDR)解決方案Group-IB MXDR,這是市場上眾多解決方案之一。重要的是,選擇的解決方案能夠監(jiān)控整個基礎(chǔ)設(shè)施,從任何主機(jī)收集數(shù)據(jù),并在必要時進(jìn)行主動威脅搜索。雖然這些任務(wù)可以通過部署各種腳本來解決,但這種方法可能不太高效,并顯著增加事件響應(yīng)的時間。
數(shù)據(jù)收集很重要,但分析更重要。XDR數(shù)據(jù)可以節(jié)省大量時間,但如果不可用,您需要使用各種數(shù)字取證工具,包括商業(yè)和開源工具。這些工具可以提高處理速度,但不幸的是,它們無法加速分析——因?yàn)槔账鬈浖舻姆治觯瓦@些攻擊本身一樣,總是由人來執(zhí)行。另一個重要的點(diǎn)是,必須訪問良好的威脅情報來源:這將加快分析速度,并幫助您更好地理解您正在尋找的內(nèi)容。最后,需要進(jìn)行培訓(xùn)。培訓(xùn)可以通過各種形式進(jìn)行:在教練指導(dǎo)下,通過預(yù)錄視頻,借助網(wǎng)絡(luò)研討會——甚至只是閱讀一份好的威脅報告或書籍(例如這本書)。
這是一個非常重要的方面。在事件響應(yīng)團(tuán)隊(duì)中應(yīng)分配職責(zé)——至少一個人負(fù)責(zé)與管理層的互動,另一個人負(fù)責(zé)與技術(shù)人員的溝通。
本節(jié)中寫的內(nèi)容僅適用于內(nèi)部事件響應(yīng)團(tuán)隊(duì)成員,也就是說,您可以與其他團(tuán)隊(duì)溝通并向他們提供IT基礎(chǔ)設(shè)施配置建議。
在事件響應(yīng)過程中,最糟糕的情況是缺乏通訊和空白(或太短)的事件日志。如您所知,在某些情況下,攻擊者在實(shí)際部署勒索軟件之前可能會在基礎(chǔ)設(shè)施中待上數(shù)周,為了追蹤他們到第一個被攻破的主機(jī),您需要該期間內(nèi)的所有日志。
這在實(shí)踐中是如何運(yùn)作的?假設(shè)您通過命令jump psexec_psh發(fā)現(xiàn)主機(jī)上運(yùn)行了Cobalt Strike Beacon——這種情況很常見,通常會記錄創(chuàng)建新服務(wù)的事件ID為7045的系統(tǒng)日志。我們首先關(guān)注的通常是啟動源——這并不難找到,例如,通過系統(tǒng)登錄(事件ID 4624)。難題出現(xiàn)在服務(wù)創(chuàng)建兩周前,而您的安全日志僅記錄了最近三天的事件。
另一個例子是防火墻。防火墻確實(shí)不能阻止0day,但它們可以在事件響應(yīng)中非常有用——當(dāng)然,前提是您保留了需要的時間段的日志。
我曾處理過一個案例,我們在一個小時內(nèi)確定了所有用于初始訪問的主機(jī)。攻擊者使用目標(biāo)釣魚電子郵件附件獲取初始訪問權(quán)限,但這次他們攻擊了四臺主機(jī)。我們快速找到其中一臺主機(jī),因?yàn)樗挥糜诓渴鹄账鬈浖覀儼l(fā)現(xiàn)該主機(jī)在四個月前被攻破。客戶妥善保存了日志,因此我們能夠回溯四個月,通過與命令和控制服務(wù)器的通訊識別其他受感染的主機(jī)。
在我的實(shí)踐中,有一次我們在一個小時內(nèi)確定了所有用于初始訪問的主機(jī)。攻擊者通過帶有惡意附件的目標(biāo)釣魚電子郵件獲取了初始訪問權(quán)限,但這次他們攻擊的不止一臺主機(jī),而是四臺。我們很快找到了其中一臺,因?yàn)樗挥糜诓渴鹄账鬈浖覀儼l(fā)現(xiàn)這臺主機(jī)在四個月前被攻破。我們的客戶很好地保留了日志,因此我們能夠回溯四個月,通過與命令和控制服務(wù)器的通信識別出另外三臺主機(jī)。如果沒有這些日志,查找工作可能會花費(fèi)更多時間,而攻擊者也有機(jī)會改變戰(zhàn)術(shù)、技術(shù)和程序(TTPs),并植入新的后門。
我想你已經(jīng)明白,仔細(xì)保存日志對于應(yīng)對任何事件至關(guān)重要。如果你目前還沒有保存日志,一定要實(shí)施日志保存和管理流程。每個行業(yè)都有自己的規(guī)則和規(guī)定,涉及到日志的保存和管理。一定要查清哪些要求適用于你的組織。
另一個與基礎(chǔ)設(shè)施相關(guān)的重要方面是技術(shù)安全措施。我之前提到過XDR(擴(kuò)展檢測和響應(yīng))。你可能會問,為什么是XDR,而不是市場上的其他許多解決方案?原因在于,XDR可以用于監(jiān)控、威脅搜尋、收集取證數(shù)據(jù),更重要的是,它可以阻止惡意文件并隔離受感染的主機(jī)。當(dāng)然,安全信息和事件管理(SIEM)工具也能提供監(jiān)控、警報和威脅搜尋功能,但它們不能阻止惡意文件或隔離主機(jī),而這在應(yīng)對勒索軟件攻擊時尤為關(guān)鍵。另一方面,SIEM工具可以長期保存日志,因此如果你處理的是長期事件,正確配置的SIEM可能發(fā)揮關(guān)鍵作用。
當(dāng)然,這不僅僅是關(guān)于XDR:它只是最現(xiàn)代和有效的防止和應(yīng)對事件的工具。工具越多,處理事件就越容易。
現(xiàn)在我們來看看威脅檢測和分析的階段。
這是事件響應(yīng)過程中最重要的兩個階段。為什么?如果檢測和分析失敗,很可能你的基礎(chǔ)設(shè)施或客戶的基礎(chǔ)設(shè)施將被某種勒索軟件加密。
有兩種可能的情況:
通常,如果攻擊已經(jīng)發(fā)生,確定你遇到的勒索軟件變種并不難——只需閱讀勒索信息。這些信息通常包含指向門戶網(wǎng)站的鏈接,受害者可以在這些門戶網(wǎng)站上與攻擊者進(jìn)行談判。
圖3.1. BlackMatter勒索軟件的門戶網(wǎng)站
如圖3.1所示,這些門戶網(wǎng)站向受害者提供了大量信息,包括贖金金額、支付細(xì)節(jié)、被盜數(shù)據(jù)——甚至提供測試解密和聊天支持。但更重要的是,屏幕頂部顯示了勒索軟件家族的名稱——BlackMatter。利用這些信息,你可以繼續(xù)了解該攻擊者通常使用的TTP。
你可以從各種公開來源獲得一些信息,我們將在第6章“收集勒索軟件相關(guān)的網(wǎng)絡(luò)威脅數(shù)據(jù)”中詳細(xì)討論這一點(diǎn)。此外,訪問商業(yè)網(wǎng)絡(luò)威脅分析平臺也非常有用。
圖3.2. Group-IB威脅情報平臺上的BlackMatter檔案
為什么這很方便?這些平臺包含了關(guān)于勒索軟件的豐富信息,包括戰(zhàn)略、操作和戰(zhàn)術(shù)層面的內(nèi)容。你可以找到關(guān)于勒索軟件TTP的信息,包括它們使用的工具、漏洞等。此外,你還會看到許多不同的妥協(xié)指標(biāo),如哈希值、文件名和IP地址。最后,通常還有關(guān)于目標(biāo)國家和行業(yè)的信息。我們將在第4章“網(wǎng)絡(luò)威脅情報和勒索軟件”中更詳細(xì)地討論這個主題。
擁有這些信息后,你就可以推測攻擊者如何獲得初始訪問權(quán)限,并使用了哪些手段來提升權(quán)限、獲取憑證、在網(wǎng)絡(luò)中橫向移動等。
讓我們看看我們在前幾章中討論過的一個例子——Ryuk勒索軟件。
如果攻擊已經(jīng)發(fā)生并且文件已被加密,你需要找到勒索軟件的部署源及其使用的方法。Ryuk通常從域控制器部署。假設(shè)你很幸運(yùn)找到了具體的控制器,但問題在于,由于日志記錄不足,你無法看到連接到這臺服務(wù)器的源頭。
然后你分析已有的網(wǎng)絡(luò)威脅信息,發(fā)現(xiàn)與Ryuk相關(guān)的攻擊者通常使用Cobalt Strike、AdFind和Bloodhound等工具,并通過目標(biāo)釣魚郵件獲得初始訪問權(quán)限,傳送Trickbot或BazarLoader。
現(xiàn)在你知道該找什么——勒索軟件運(yùn)營者非常喜歡使用各種后期利用框架,如Cobalt Strike,而這些框架通常會留下大量的痕跡,可以在事件響應(yīng)過程中找到。關(guān)于數(shù)字取證工件的來源,你可以在第7章“數(shù)字取證工件及其主要來源”中了解更多。
重要的是,威脅主體的TTP信息不僅對于事件響應(yīng)很重要,也對預(yù)防事件有幫助,因此,如果你或你的團(tuán)隊(duì)成員找到了關(guān)于攻擊者行為的信息,應(yīng)立即調(diào)整安全措施以應(yīng)對。
讓我們看看當(dāng)攻擊還未發(fā)生時的情況——勒索軟件尚未部署,但已經(jīng)有一些入侵前兆。它們是什么樣的?
我們已經(jīng)知道,攻擊者通常使用Trickbot或BazarLoader來獲得初始訪問權(quán)限。這意味著我們必須對任何與這些威脅相關(guān)的事件作出反應(yīng),例如來自防病毒軟件的警報。即使攻擊已經(jīng)發(fā)生,防病毒軟件也可以有用,因?yàn)楣粽呤褂玫母鞣N工具中有些無法避免被檢測到。因此,這些警報可以提示我們在后期利用過程中攻擊者的行動路徑。
此外,隔離工作站(如果可行且不會影響業(yè)務(wù)流程)并檢查是否有其他未發(fā)現(xiàn)的工件也非常重要。如果你成功發(fā)現(xiàn)并刪除了BazarLoader的變種,內(nèi)存中可能還留有Cobalt Strike Beacon,而威脅主體可能已經(jīng)在網(wǎng)絡(luò)中進(jìn)一步移動。
同樣,針對網(wǎng)絡(luò)或Active Directory的偵查活動的痕跡也很重要。如果你發(fā)現(xiàn)了諸如使用AdFind之類的活動,必須判斷它是否合法并作出反應(yīng)。
這當(dāng)然不是全部例子——我們將在第5章“勒索軟件團(tuán)伙的戰(zhàn)術(shù)、技術(shù)和程序”中更詳細(xì)地討論。
現(xiàn)在我們來談?wù)劧糁啤⑾突謴?fù)。
一旦你了解了所面對的攻擊類型,就可以采取遏制措施。
最明顯的措施是阻止與命令和控制服務(wù)器的連接。沒有連接,攻擊者很難對網(wǎng)絡(luò)造成損害——當(dāng)然,前提是他們沒有計(jì)劃執(zhí)行某些任務(wù),比如啟動一個帶有其他命令服務(wù)器地址的后門。
因此,可能需要將整個網(wǎng)絡(luò)與互聯(lián)網(wǎng)斷開連接。這取決于攻擊的生命周期階段——如果你在攻擊的早期發(fā)現(xiàn)攻擊,隔離整個網(wǎng)絡(luò)可能是多余的,但如果攻擊者已經(jīng)在你的網(wǎng)絡(luò)中存在一個月,最好謹(jǐn)慎行事。
許多勒索軟件運(yùn)營者使用合法的遠(yuǎn)程訪問應(yīng)用程序,如:
這意味著,一旦你發(fā)現(xiàn)了事件,最好立即阻止這些程序。
如你所知,大多數(shù)攻擊者都會竊取數(shù)據(jù)。因此,如果你看到勒索軟件前兆的活動痕跡,并懷疑攻擊者仍在網(wǎng)絡(luò)中,最好阻止訪問常用的云文件共享服務(wù),如MEGA、DropMeFiles、MediaFire等。
在某些情況下——尤其是當(dāng)你面對初始訪問時——隔離受感染的主機(jī)可能已經(jīng)足夠。實(shí)際上,這應(yīng)該在分析階段之前完成,以防止攻擊者在網(wǎng)絡(luò)中進(jìn)一步移動。
網(wǎng)絡(luò)犯罪分子總是試圖獲取更高的權(quán)限和有效的賬戶憑證,因此,如果你發(fā)現(xiàn)任何表明賬戶憑證被泄露的證據(jù),應(yīng)立即更改其密碼。
如果你已經(jīng)將攻擊者與被攻破的網(wǎng)絡(luò)隔離,并且沒有新的惡意活動痕跡出現(xiàn),可以開始刪除惡意軟件和攻擊者使用的工具。
刪除腳本和不需要安裝的服務(wù)很簡單。
遠(yuǎn)程訪問工具如TeamViewer有方便的卸載程序,因此從受感染的主機(jī)中刪除它們并不困難。
刪除惡意軟件則稍微復(fù)雜一些。例如,它們可能是無文件的,只存在于內(nèi)存中,不會在磁盤上留下副本。如果惡意軟件在被感染的系統(tǒng)中保持持久性,這種情況相當(dāng)常見,它將在重新啟動后仍然存在于內(nèi)存中。
以下是一些用于勒索軟件攻擊的惡意軟件常用的持久性機(jī)制:
如果你已經(jīng)刪除了惡意軟件,有時可以不刪除持久性機(jī)制,但這有時可能導(dǎo)致誤報威脅。有一次我的客戶發(fā)現(xiàn)了一個與Cobalt Strike相關(guān)的惡意服務(wù)——我的團(tuán)隊(duì)立即做出了反應(yīng),但很快發(fā)現(xiàn)這只是幾年前客戶團(tuán)隊(duì)處理過的一次攻擊的殘留物。
所以,你已經(jīng)阻止了命令服務(wù)器,修改了泄露賬戶的密碼,刪除了惡意軟件和攻擊者的工具。這樣夠了嗎?你準(zhǔn)備重新啟動這個工作站或服務(wù)器了嗎?如果你百分之百確信一切都已清除,那為什么不呢?如果不確定,最好重新從映像中部署系統(tǒng)。
另一種情況是,網(wǎng)絡(luò)已經(jīng)被加密。在這種情況下,通常只有兩個選擇:與網(wǎng)絡(luò)犯罪分子談判并支付贖金,或者從頭開始重建基礎(chǔ)設(shè)施。
在第一種情況下,攻擊者提供的解密器可能會帶來額外的問題。以下是另一個例子:ProLock勒索軟件運(yùn)營者在2020年4月至6月期間活躍,一些受害者同意支付贖金并獲得了解密器。但問題在于,解密器不能正常工作,解密過程中超過64MB的文件會被損壞。當(dāng)這個問題曝光后,攻擊者的聲譽(yù)受損,不久ProLock就消失了。
當(dāng)然,并非所有解密器都工作不良。許多攻擊者提供的可執(zhí)行文件確實(shí)能夠解密所有文件。但這并不保證支付贖金后系統(tǒng)的安全——已知有攻擊者一次又一次地攻擊同一家公司,試圖賺取更多的錢。
因此,在成功的攻擊后——尤其是如果組織決定支付贖金——改善安全狀況以防范未來的攻擊是極其重要的。這就是事件后處理階段的目的。
在最后階段,事件響應(yīng)團(tuán)隊(duì)?wèi)?yīng)該幫助受害公司了解攻擊者為何成功,以及如何避免類似的情況。
根據(jù)使用勒索軟件的不同,事件的生命周期可能完全不同。根據(jù)你發(fā)現(xiàn)的內(nèi)容,你可以提供一系列建議。讓我們看看一些通用的建議。
如我們所知,許多勒索軟件攻擊始于公開可訪問的RDP服務(wù)器,因此一個好的建議是選擇其他遠(yuǎn)程訪問方法,或?yàn)檫@些RDP連接實(shí)施多因素認(rèn)證。
對于公開可訪問的基礎(chǔ)設(shè)施部分,組織應(yīng)確保修補(bǔ)所有漏洞,特別是那些允許攻擊者獲取有效賬戶憑證或遠(yuǎn)程執(zhí)行代碼的漏洞。
如果攻擊者通過目標(biāo)釣魚獲取訪問權(quán)限,可能需要對員工進(jìn)行額外培訓(xùn),或提高郵件流量的安全性,例如實(shí)施惡意軟件“沙箱”系統(tǒng),這些系統(tǒng)會分析所有進(jìn)出郵件中的附件和鏈接。
同樣地,內(nèi)部網(wǎng)絡(luò)安全產(chǎn)品——在某些情況下,只需正確配置它們,而在其他情況下,則需要更換它們。此外,可能還需要額外的監(jiān)控能力和受過培訓(xùn)的人員。
最后,如果現(xiàn)有的備份最終被刪除(如你所知,這是攻擊者的常見策略),組織應(yīng)考慮備份保護(hù),例如實(shí)施3-2-1規(guī)則,為備份服務(wù)器使用單獨(dú)賬戶,并為任何類型的訪問實(shí)施多因素認(rèn)證。
這不是事件后處理的全部內(nèi)容,而只是一些示例,幫助你理解通常在這個階段做什么。
希望現(xiàn)在你對典型的事件響應(yīng)過程有了更清晰的理解。你可以在NIST編寫的《計(jì)算機(jī)安全事件處理指南》中找到更多信息。
在這一章中,我們討論了事件響應(yīng)過程的各個階段,讓你對抗擊勒索軟件攻擊的主要步驟有了清晰的認(rèn)識。我們將繼續(xù)研究這個問題,以便你能夠更好地了解細(xì)節(jié)。
你已經(jīng)知道,網(wǎng)絡(luò)威脅情報是事件響應(yīng)過程的重要組成部分,因此在下一章中,我們將討論不同層次的分析,并特別關(guān)注勒索軟件攻擊。我們將查看公開的威脅報告,并從中提取不同類型的數(shù)據(jù),以便充分了解它們的區(qū)別。
網(wǎng)絡(luò)威脅情報是應(yīng)對事件的重要組成部分。讀完前一章后,你應(yīng)該對當(dāng)前的威脅形勢和攻擊者使用的方法有了清晰的了解。現(xiàn)在,快速進(jìn)行分析并進(jìn)入應(yīng)對事件的下一階段是至關(guān)重要的。
接下來,我們將討論各種類型的網(wǎng)絡(luò)威脅信息:戰(zhàn)略信息、操作信息和戰(zhàn)術(shù)信息。實(shí)踐總是勝過理論,因此在我們的討論中,我們將分析一個公開的報告,嘗試從中提取各種類型的分析數(shù)據(jù)。
因此,在本章中,我們將通過勒索軟件的視角來審視所有類型的網(wǎng)絡(luò)威脅數(shù)據(jù):
網(wǎng)絡(luò)威脅的戰(zhàn)略信息通常面向決策者:首席信息安全官(CISO)、首席信息官(CIO)、首席技術(shù)官(CTO)等。它包括對攻擊者活動和動機(jī)的全局描述,并回答“誰”和“為什么”的問題。這些信息為CISO、CIO和其他網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者提供技術(shù)和戰(zhàn)術(shù)知識,幫助他們預(yù)見威脅領(lǐng)域的新趨勢。
因此,“誰”指的是針對組織的攻擊者,而“為什么”則是他們的動機(jī)。
從動機(jī)的角度來看,網(wǎng)絡(luò)犯罪分子相當(dāng)可預(yù)測,他們的主要目標(biāo)是從受害者那里獲取金錢。通常,這涉及到相當(dāng)可觀的金額。
另一個重要的問題是哪些組織成為攻擊目標(biāo)。例如,一些勒索軟件運(yùn)營者不會攻擊醫(yī)院、政府機(jī)構(gòu)、關(guān)鍵基礎(chǔ)設(shè)施等。BlackMatter運(yùn)營者就是一個很好的例子,他們禁止其同伙攻擊某些類別的組織(見圖4.1)。
現(xiàn)在讓我們看看SentinelLabs團(tuán)隊(duì)的公開報告《Hive攻擊:針對醫(yī)療行業(yè)的人類操作勒索軟件分析》(Hive Attacks | Analysis of the Human-Operated Ransomware Targeting Healthcare)。報告可在以下鏈接查看:https://labs.sentinelone.com/hive-attacks-analysis-of-the-human-operated-ransomware-targeting-healthcare/
圖4.1. BlackMatter勒索軟件網(wǎng)站上的規(guī)則部分
第一個重要的戰(zhàn)略事實(shí)是,使用Hive勒索軟件的攻擊者的目標(biāo)是醫(yī)療機(jī)構(gòu)。是的,一些運(yùn)營者及其同伙可能專門針對特定的業(yè)務(wù)領(lǐng)域或行業(yè),有時是在特定的國家。例如,研究人員描述了對俄亥俄州Memorial Healthcare System醫(yī)院的攻擊,導(dǎo)致該組織不得不將急診患者從其多個醫(yī)院轉(zhuǎn)移到其他機(jī)構(gòu)。攻擊者非常清楚,醫(yī)療行業(yè)是一個有利可圖的環(huán)境,包含大量數(shù)據(jù)。醫(yī)療行業(yè)有許多入口點(diǎn),允許攻擊者隨心所欲地滲透和移動。如果我們嘗試深入分析這一點(diǎn),并分析在攻擊者泄漏數(shù)據(jù)網(wǎng)站(DLS)上可以找到的受害者數(shù)據(jù),可以發(fā)現(xiàn)更多與攻擊相關(guān)的數(shù)據(jù)(見圖4.2)。
由于受害者名單不僅限于醫(yī)療機(jī)構(gòu),分析可以提供更詳細(xì)的目標(biāo)概覽。這使得決策者能夠清楚地了解他們的業(yè)務(wù)是否真的面臨威脅。
圖4.2. Hive泄漏數(shù)據(jù)網(wǎng)站上的受害者信息
此外,從報告中可以看出,使用Hive勒索軟件的團(tuán)伙非常活躍。他們在2021年6月底開始活動,已經(jīng)進(jìn)行了至少30次成功的攻擊。這一事實(shí)也有助于在防御策略中確定優(yōu)先事項(xiàng)。
讓我們進(jìn)一步分析報告中可以提取的網(wǎng)絡(luò)威脅的操作信息。
網(wǎng)絡(luò)威脅的操作信息幫助我們了解攻擊者的能力,了解他們的基礎(chǔ)設(shè)施,當(dāng)然還有他們的戰(zhàn)術(shù)、技術(shù)和程序。這種信息讓我們知道“如何”和“在哪里”,因此它面向安全運(yùn)營中心(SOC)分析師、事件響應(yīng)專家、威脅獵人等。
你可能已經(jīng)明白,“如何”的答案讓安全人員能夠收集關(guān)于犯罪者使用的各種戰(zhàn)術(shù)、技術(shù)和程序的信息,并幫助發(fā)現(xiàn)和消除它們。回答“在哪里”可以讓我們知道在哪里尋找實(shí)施各種戰(zhàn)術(shù)、技術(shù)和程序的痕跡,這使得我們可以采取預(yù)防性措施。
讓我們繼續(xù)分析SentinelLabs關(guān)于Hive勒索軟件的報告,并專注于“技術(shù)分析”部分。
描述戰(zhàn)術(shù)、技術(shù)和程序(TTPs)的最佳結(jié)構(gòu)之一是MITRE ATT&CK?。
MITRE ATT&CK?是一個關(guān)于攻擊者在網(wǎng)絡(luò)攻擊中采取的行動的知識庫和分類系統(tǒng)。它由以下主要部分組成:
在本書中,我們將頻繁引用MITRE ATT&CK?,因此如果你不熟悉這個知識庫,可以訪問官方網(wǎng)站:https://attack.mitre.org/
在SentinelLabs報告的“技術(shù)分析”部分,首先我們看到初始攻擊向量可能不同。遺憾的是,報告中沒有具體說明可能的選項(xiàng)。
但我們立即了解到攻擊者最喜歡的后期利用框架是Cobalt Strike。不過,報告中沒有詳細(xì)說明它在攻擊中的具體使用方式。與此同時,研究人員分享了有關(guān)另一種工具的信息,即ConnectWise——一種被攻擊者用于維持對被攻破網(wǎng)絡(luò)訪問的合法遠(yuǎn)程管理工具。正如你從第3章“事件響應(yīng)過程”中所知,這種工具在與勒索軟件相關(guān)的團(tuán)伙中非常普遍。
MITRE ATT&CK?中記錄了這種方法。其ID為T1219,名稱為Remote Access Software(https://attack.mitre.org/techniques/T1219/)。該方法的要點(diǎn)是,攻擊者可以使用各種遠(yuǎn)程訪問工具,如TeamViewer、AnyDesk等,作為備用訪問受感染主機(jī)的通信渠道。
接下來我們看看報告中描述的其他方法。
首先,我們看到攻擊者使用cmd.exe來啟動可執(zhí)行文件。現(xiàn)在我們知道了子技術(shù),即Windows命令外殼(T1059.003)。
此外,攻擊者使用rundll32.exe繞過保護(hù)措施——這是通過簽名二進(jìn)制代理執(zhí)行的子技術(shù)(T1218.011)。
最后,我們看到的主要目標(biāo)是獲取憑證。在這種情況下,攻擊者通過濫用系統(tǒng)庫comsvcs.dll來獲取lsass.exe進(jìn)程的轉(zhuǎn)儲,即操作系統(tǒng)憑證轉(zhuǎn)儲子技術(shù)——本地安全認(rèn)證子系統(tǒng)服務(wù)(LSASS)內(nèi)存轉(zhuǎn)儲(T1003.001)。
為什么要進(jìn)行轉(zhuǎn)儲?因?yàn)橄到y(tǒng)會在其內(nèi)存中存儲各種憑證元素,如果攻擊者能將內(nèi)存內(nèi)容轉(zhuǎn)儲到磁盤,他們就能使用各種工具提取有效的憑證。
為了在明文中啟用憑證緩存,攻擊者使用cmd.exe修改了注冊表:
這是MITRE ATT&CK?中記錄的另一種方法,即修改注冊表(T1112)。
報告中另一個重要的事實(shí)是,攻擊者在后期利用階段使用了ADRecon。這是另一個流行的工具,許多勒索軟件運(yùn)營者在網(wǎng)絡(luò)偵察階段使用它來從Active Directory環(huán)境中提取各種工件。同樣,報告中沒有說明它在此次活動中的具體使用方式。然而,由于這是一個基于PowerShell的工具,我們可以確定另一個子技術(shù),即命令和腳本解釋器——PowerShell(T1059.001)。PowerShell腳本非常普遍,你幾乎在所有與勒索軟件攻擊相關(guān)的事件中都會遇到它們。
報告的下一部分專注于分析Hive勒索軟件本身。這也可能揭示攻擊者的TTP。首先,我們看到該程序是用Go語言編寫的,這在勒索軟件創(chuàng)作者中越來越受歡迎。另一個重要點(diǎn)是,該程序使用UPX進(jìn)行打包,這是一種常見的打包工具,許多攻擊者用它來繞過一些防護(hù)措施。這里我們涉及到文件或信息混淆子技術(shù)——軟件包(T1027.002)。
接下來,我們看到另一種非常普遍的方法,即許多與勒索軟件相關(guān)的犯罪分子使用的方法——停止多個進(jìn)程和服務(wù),以便不受干擾地加密所有文件。MITRE ATT&CK?中也記錄了這種方法——停止服務(wù)(T1489)。
繼續(xù),我們看到勒索軟件創(chuàng)建了一個名為hive.bat的批處理文件,用于刪除惡意程序的組件。以下是它的內(nèi)容:
這里我們涉及到在主機(jī)上清除痕跡的子技術(shù)——刪除文件(T1070.004)。
這并不是勒索軟件創(chuàng)建的唯一批處理文件。另一個名為shadow.bat的文件被用來刪除陰影副本,以防止使用操作系統(tǒng)的內(nèi)置功能恢復(fù)文件。
以下是該命令文件的內(nèi)容:
這里涉及到抑制系統(tǒng)恢復(fù)能力的方法(T1490)。
最后,勒索軟件最重要的技術(shù)之一是加密數(shù)據(jù),以對受害者施加影響(T1486)。
讓我們將找到的數(shù)據(jù)匯總到一張表中。
表4.1. MITRE ATT&CK匯總表
正如表中所示,我們無法從報告中重建整個攻擊生命周期,但我們?nèi)匀惶崛×嗽S多TTP,這些知識可以在應(yīng)對事件和主動威脅搜尋中使用。
我們將在第6章“收集與勒索軟件相關(guān)的網(wǎng)絡(luò)威脅數(shù)據(jù)”中繼續(xù)分析可用報告。
網(wǎng)絡(luò)威脅的戰(zhàn)術(shù)信息用于各種安全產(chǎn)品的工作,如安全信息和事件管理系統(tǒng)(SIEM)、防火墻、入侵檢測/防護(hù)系統(tǒng)(IDS/IPS)等。這些產(chǎn)品利用妥協(xié)指標(biāo)(IoC)。
這一層次的網(wǎng)絡(luò)威脅信息集中于“什么”——具體發(fā)生了什么。傳統(tǒng)上,這種分析最為常見,許多供應(yīng)商提供所謂的供稿——新聞提要或最新信息提要,但目前越來越多的組織轉(zhuǎn)向TTP,因?yàn)閭鹘y(tǒng)的指標(biāo)生命周期非常短。
在大多數(shù)情況下,這些指標(biāo)包括IP地址、域名和哈希值。通常哈希值有以下幾種類型:
這些指標(biāo)可以通過MISP等網(wǎng)絡(luò)威脅分析平臺進(jìn)行共享,可以用于研究和檢測。
回到我們正在分析的報告。報告中有一個“妥協(xié)指標(biāo)”部分。它包含多個哈希值,包括SHA1和SHA256類型。由于這些是同一文件的哈希值,我們專注于第一種類型——SHA1:
如果使用VirusTotal(https://www.virustotal.com/)等分析各種惡意內(nèi)容的服務(wù),可以發(fā)現(xiàn)所有這些哈希值都與Hive勒索軟件的變種有關(guān)。
圖4.3. VirusTotal中一個哈希值的記錄
從檢測的角度來看,它們并不十分有用,因?yàn)榇蠖鄶?shù)情況下,勒索軟件的版本是專為每次攻擊定制的,這意味著它們的哈希值不會匹配。
此外,報告中還提到了與Cobalt Strike Beacon相關(guān)的IP地址。你總可以收集更多關(guān)于IP地址的信息,特別是那些與各種后期利用框架相關(guān)的IP地址。例如,可以檢查服務(wù)器是否與Cobalt Strike相關(guān)(見圖4.4)。
圖4.4. Group-IB MXDR平臺收集的關(guān)于檢查過的IP地址的信息
Group-IB MXDR平臺具有構(gòu)建關(guān)系圖的功能,可以用于收集關(guān)于你收集的指標(biāo)的更多信息。圖4.4中我們看到IP地址176.123.8.228屬于Cobalt Strike服務(wù)器,因此安全團(tuán)隊(duì)?wèi)?yīng)當(dāng)阻止或檢查它。
如你所見,即使分析一個簡短的公開報告,有經(jīng)驗(yàn)的分析師也能收集足夠的網(wǎng)絡(luò)威脅信息,這對應(yīng)對事件非常有用。
在本章中,我們討論了各種類型的網(wǎng)絡(luò)威脅信息,包括戰(zhàn)略信息、操作信息和戰(zhàn)術(shù)信息,它們的區(qū)別和目標(biāo)受眾。我們還分析了一份公開的威脅報告,提取了不同類型的數(shù)據(jù),以便你能清晰地了解它們的區(qū)別。
你已經(jīng)知道,TTP是攻擊者行為最重要的要素,因此在下一章中,我們將討論許多真實(shí)生活中的例子,以便你有一個豐富的實(shí)際信息來源,了解人類操作的勒索軟件攻擊。
from zgao.top
載均衡 (Load Balancing) 負(fù)載均衡建立在現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)之上,它提供了一種廉價有效透明的方法擴(kuò)展網(wǎng)絡(luò)設(shè)備和服務(wù)器的帶寬、增加吞吐量、加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)處理能力、提高網(wǎng)絡(luò)的靈活性和可用性。
大型網(wǎng)站負(fù)載均衡的利器
全局負(fù)載均衡系統(tǒng)(GSLB)
內(nèi)容緩存系統(tǒng)(CDN)
服務(wù)器負(fù)載均衡系統(tǒng)(SLB)
DNS域名解析的基本過程
最初的負(fù)載均衡解決方案(DNS 輪詢)
優(yōu)點(diǎn)
基本上無成本,因?yàn)橥蛎陨痰倪@種解析都是免費(fèi)的;
部署方便,除了網(wǎng)絡(luò)拓?fù)涞暮唵螖U(kuò)增,新增的 Web 服務(wù)器只要增加一個公網(wǎng) IP 即可
缺點(diǎn)
健康檢查,如果某臺服務(wù)器宕機(jī),DNS 服務(wù)器是無法知曉的,仍舊會將訪問分配到此服務(wù)器。修改 DNS 記錄全部生效起碼要 3-4 小時,甚至更久;
分配不均,如果幾臺 Web 服務(wù)器之間的配置不同,能夠承受的壓力也就不同,但是 DNS 解析分配的訪問卻是均勻分配的。用戶群的分配不均衡導(dǎo)致 DNS 解析的不均衡。
會話保持,如果是需要身份驗(yàn)證的網(wǎng)站,在不修改軟件構(gòu)架的情況下,這點(diǎn)是比較致命的,因?yàn)?DNS 解析無法將驗(yàn)證用戶的訪問持久分配到同一服務(wù)器。雖然有一定的本地 DNS 緩存,但是很難保證在用戶訪問期間,本地 DNS 不過期,而重新查詢服務(wù)器并指向新的服務(wù)器,那么原服務(wù)器保存的用戶信息是無法被帶到新服務(wù)器的,而且可能要求被重新認(rèn)證身份,來回切換時間長了各臺服務(wù)器都保存有用戶不同的信息,對服務(wù)器資源也是一種浪費(fèi)。
全局負(fù)載均衡系統(tǒng)(GSLB)
優(yōu)勢
數(shù)據(jù)中心冗余備份
多站點(diǎn)流量優(yōu)化
確保用戶體驗(yàn)
全局負(fù)載均衡系統(tǒng)(GSLB)的原理
DNS 檢查工具網(wǎng)上有很多,感興趣的可以搜索一下。
內(nèi)容緩存系統(tǒng)(CDN)
內(nèi)容緩存系統(tǒng)(CDN)之靜態(tài)加速
內(nèi)容緩存系統(tǒng)(CDN)之動態(tài)加速
動態(tài)加速的特點(diǎn)
智能路由
傳輸控制協(xié)議(TCP)優(yōu)化
HTTP 預(yù)載
服務(wù)器負(fù)載均衡系統(tǒng)
應(yīng)用背景
訪問流量快速增長
業(yè)務(wù)量不斷提高
用戶需求
希望獲得 7×24 的不間斷可用性及較快的系統(tǒng)反應(yīng)時間
負(fù)載均衡必須滿足性能、擴(kuò)展、可靠性
服務(wù)器負(fù)載均衡系統(tǒng)三種接入方式
服務(wù)器負(fù)載均衡系統(tǒng)的常見調(diào)度算法
輪詢(Round Robin)
加權(quán)輪詢(Weighted Round Robin)
最少連接(Least Connections)
加權(quán)最少連接(Weighted Least Connections)
健康性檢查
健康性檢查算法的目的:通過某種探針機(jī)制,檢查服務(wù)器群中真實(shí)服務(wù)器的健康情況,避免把客戶端的請求分發(fā)給出現(xiàn)故障的服務(wù)器,以提高業(yè)務(wù)的HA能力。
目前常用的健康性檢查算法:
Ping(ICMP)
TCP
HTTP
FTP
系統(tǒng)加速
優(yōu)化功能 -SSL 加速
優(yōu)化功能 -HTTP 壓縮
HTTP壓縮是在Web服務(wù)器和瀏覽器間傳輸壓縮文本內(nèi)容的方法。F5 HTTP[壓縮技術(shù)](https://zm10.sm-tc.cn/?src=l4uLj8XQ0IWXlpuekNGdnpabitGckJLQjJqejZyXwIiQjZvC2rrK2se62se92rrI2r282r7G2rrJ2se%2B2sfP2rrJ2sa82r652ZmNwo6doIyano2cl6Cah4%2FZlprCiouZxw%3D%3D&uid=96961868b00c02996d71d0627348e454&restype=1&from=derive&depth=2&v=1&link_type=12)通過具有智能壓縮能力的 BIG-IP 系統(tǒng)可縮短[應(yīng)用交付](https://zm10.sm-tc.cn/?src=l4uLj8XQ0IWXlpuekNGdnpabitGckJLQjJqejZyXwIiQjZvC2rrK2r2%2B2sbL2rrI2sbL2r7H2rrL2r2%2B2r7L2rrL2r292sbH2ZmNwo6doIyano2cl6Cah4%2FZlprCiouZxw%3D%3D&uid=96961868b00c02996d71d0627348e454&restype=1&from=derive&depth=2&v=1&link_type=12)時間并優(yōu)化帶寬。HTTP壓縮采用通用的壓縮算法壓縮HTML、JavaScript或CSS文件。壓縮的最大好處就是降低了網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)量,從而提高客戶端瀏覽器的訪問速度。
優(yōu)化功能 - 連接復(fù)用
優(yōu)化功能 -TCP 緩存
會話保持
會話保持 - 客戶端源 IP 會話保持
源IP地址會話保持就是將同一個源IP地址的連接或者請求認(rèn)為是同一個用戶,根據(jù)會話保持策略,在會話保持有效期內(nèi),將這些發(fā)自同一個源IP地址的連接/請求都轉(zhuǎn)發(fā)到同一臺服務(wù)器。
會話保持 -Cookie 會話保持
當(dāng)采用基于源地址的會話保持無法做到負(fù)載均分時,例如客戶端發(fā)起連接請求的源IP地址相對固定,發(fā)生此類問題通常可采用基于應(yīng)用層的會話保持方式,Cookie通常是存在于HTTP頭中,現(xiàn)如今基于HTTP的應(yīng)用被廣泛使用,因此基于Cookie的會話保持越來越多的出現(xiàn)在服務(wù)器負(fù)載均衡解決方案中。 局限性: 對于非HTTP協(xié)議,或者客戶端禁用Cookie,無效。
會話保持 -URL 哈希(Hash)會話保持
哈希會話保持的一個基本概念就是按照某個Hash因子,根據(jù)此因子以及后臺存在多少臺服務(wù)器計(jì)算得到的結(jié)果來選擇將請求分配到那臺服務(wù)器。哈希會話保持的特點(diǎn)是在后臺服務(wù)器的健康狀態(tài)不發(fā)生改變的時候,每個特定的Hash因子被分配到的服務(wù)器是固定的。其最大的優(yōu)勢是哈希會話保持可以沒有會話保持表,而僅僅是根據(jù)計(jì)算的結(jié)果來確定被分配到那臺服務(wù)器,尤其在一些會話保持表查詢的開銷已經(jīng)遠(yuǎn)遠(yuǎn)大于Hash計(jì)算開銷的情況下,采用Hash會話保持可以提高系統(tǒng)的處理能力和響應(yīng)速度。
URL 哈希會話保持通常針對后臺采用 Cache 服務(wù)器的應(yīng)用場景,針對 URL 進(jìn)行 Hash 計(jì)算,將同一個 URL 的請求分配到同一臺 Cache 服務(wù)器,這樣,對后臺的 Cache 服務(wù)器群來說,每臺 Cache 服務(wù)器上存放的內(nèi)容都是不一樣的,提高 Cache 服務(wù)器的利用率。
故障案例分析
Q&A 案例分析(1)- 循環(huán)跳轉(zhuǎn)
故障現(xiàn)象: Web服務(wù)端對用戶訪問的URL進(jìn)行判斷,對于非https的請求,重定向到http站點(diǎn),結(jié)果導(dǎo)致用戶一直302跳轉(zhuǎn)。 原因分析: 采用了負(fù)載均衡SSL加速功能,在服務(wù)端看到所有的用戶請求都來自于http。 解決方案: 全站啟用SSL加速。
Q&A 案例分析(2)- 用戶 Session 丟失
故障現(xiàn)象: 用戶在http站點(diǎn)上提交數(shù)據(jù)到同域名的https站點(diǎn),web程序拋出session丟失的異常,用戶提交數(shù)據(jù)失敗。 原因分析: http和https在負(fù)載均衡設(shè)備上被認(rèn)為是2個獨(dú)立的服務(wù),產(chǎn)生2個獨(dú)立的TCP鏈接,會命中不同的真實(shí)服務(wù)器,導(dǎo)致session丟失。 解決方案: 在負(fù)載均衡設(shè)備上啟用基于真實(shí)服務(wù)器的會話保持。
Q&A 案例分析(3)- 客戶端源 IP 取不到
故障現(xiàn)象: 服務(wù)端獲取不到用戶外網(wǎng)的IP地址,看到的都是大量來自于內(nèi)網(wǎng)特定網(wǎng)段的IP地址。 原因分析: 負(fù)載均衡設(shè)備啟用了用戶源地址轉(zhuǎn)換(SNAT)模式,修改了TCP報文中的用戶源IP。 解決方案: 負(fù)載均衡設(shè)備會用用戶的外網(wǎng)IP改寫x-forwarded-for值,服務(wù)端通過獲取http協(xié)議中request header頭的x-forwarded-for值作為用戶源IP。IIS日志通過安裝插件形式顯示用戶源IP。
服務(wù)器負(fù)載均衡設(shè)備選型
1. 價格因素
硬件設(shè)備:F5、 Citrix 、Redware 、A10
軟件:LVS、Nginx、Haproxy、zen loadbalance
2. 性能
4/7 層吞吐量 (單位 bps)
4/7 層新建連接數(shù)(單位 CPS)
并發(fā)連接數(shù)
功能模塊性能指標(biāo)(ssl 加速、 HTTP 壓縮、內(nèi)存 Cache)
3. 滿足真實(shí)和未來需求
如果你是一名Java程序員,針對現(xiàn)在的自己很難進(jìn)步,想突破瓶頸,那么你可以加JAVA架構(gòu)師群,里面學(xué)習(xí)前沿知識,授人以魚不如授人以漁 ,群號:190713474
1)如果確認(rèn)負(fù)載均衡設(shè)備對所有應(yīng)用的處理都是最簡單的 4 層處理,那么理論上選擇的負(fù)載均衡設(shè)備的 4 層性能稍高于實(shí)際性能需求即可。
2)如果確認(rèn)負(fù)載均衡設(shè)備對所有應(yīng)用的處理都是簡單的 7 層處理,那么理論上選擇的負(fù)載均衡設(shè)備的 7 層性能稍高于實(shí)際性能需求即可。
3)如果負(fù)載均衡設(shè)備處理的應(yīng)用既有 4 層的也有 7 層的,建議按照 7 層應(yīng)用的性能來考慮負(fù)載均衡設(shè)備。
4)如果確認(rèn)自己的應(yīng)用經(jīng)過負(fù)載均衡處理時,需要復(fù)雜的 4 層或者 7 層處理,例如需要根據(jù)客戶端的地址做策略性分發(fā),需要根據(jù) tcp 的內(nèi)容做處理,需要根據(jù) HTTP 頭或者 HTTP 報文做處理,那么建議選擇的負(fù)載均衡設(shè)備 4/7 層性能為真實(shí)性能需求的兩倍。
5)如果負(fù)載均衡設(shè)備有混合的復(fù)雜流量處理并且還開啟了一些功能模塊,那么建議選擇的負(fù)載均衡設(shè)備 4/7 層性能為真實(shí)性能需求的 3 倍。
6)考慮到設(shè)備需要輕載運(yùn)行才能更加穩(wěn)定,所以有可能的話在以上基礎(chǔ)上再增加 30% 的性能。
7)如果還要滿足未來幾年的發(fā)展需求,在以上基礎(chǔ)上還要留出未來發(fā)展所需要增加的性能。
8)不同負(fù)載均衡設(shè)備廠家由于不同的架構(gòu),使得某些設(shè)備在復(fù)雜環(huán)境下可能也表現(xiàn)的比較優(yōu)秀,這個客戶可以對比判斷,但總體來說,以上建議適合于所有廠家的設(shè)備。
*請認(rèn)真填寫需求信息,我們會在24小時內(nèi)與您取得聯(lián)系。
