解

“加密程序”是指發現企業網絡漏洞的程序，這些程序利用這些漏洞進入網絡，獲取企業的重要信息，然后從公司管理層勒索錢財。顯然，這些程序是由人創建的，他們可以聯合成犯罪團伙，也可以單獨行動。

“雖然勒索軟件的主要目標仍然集中在北美、拉丁美洲、歐洲、亞太地區，但最近幾年俄羅斯也不再被認為是一個避風港。根據Group-IB的數據，僅在2021年，勒索軟件對俄羅斯公司的攻擊數量就增加了200%以上。”

近年來，通過加密程序的網絡攻擊正在增加。不幸的是，這一趨勢也影響了俄羅斯——僅在2021年，這種攻擊的數量就增加了三倍以上。

正因如此，俄文版的Oleg Skulkin的書籍才顯得如此及時，作者不僅是俄羅斯的杰出專家，也是國際數字法證領域的專家。作者講述了關于加密程序的所有內容——從攻擊歷史到數字證據。在他的敘述中，程序代碼片段和彩色截圖看起來都很自然。

“對IT基礎設施漏洞的細致偵察及其為部署勒索軟件的準備工作可以為網絡犯罪分子帶來數百萬美元的加密貨幣收入。”

根據作者的觀點（這一觀點基于其在信息安全領域超過十年的工作經驗），如果理解勒索軟件攻擊的生命周期，企業可以保護其網絡和資金。這一生命周期在本書的第二章以及最后一章中詳細描述，作者幫助讀者學習如何重建所有勒索軟件所遵循的通用攻擊生命周期，無論它們具有何種個性特征。

“新冠病毒加劇了這一局面——許多公司為員工提供了遠程工作的機會，并被迫開放了他們的服務器，這些服務器成為了包括勒索軟件運營商在內的各種惡意行為者的目標。”

本書特點：

• 勒索軟件攻擊的歷史；
• 網絡犯罪分子的行動方式：他們的戰術、方法和程序；
• 如何應對勒索軟件事件。

適用對象：

• 學習系統管理的學生，
• 系統和網絡管理員，以及應對專家和網絡威脅分析師。

前言

一個黑客團隊攻擊政府服務器，加密并提取三十多個部門的重要數據，經濟停滯，執法部門無能為力，民眾走上街頭要求政府辭職，國家進入緊急狀態……這不是Netflix的電視劇情節，而是2022年春季真實發生的事情，當時Conti勒索軟件攻擊了整個哥斯達黎加國家。

連續四年，勒索軟件攻擊成為最嚴重和破壞性最大的網絡威脅之一，甚至被稱為第一大網絡威脅。受害者可能是像東芝公司或Colonial Pipeline這樣的跨國公司，也可能是小型私營企業。一次成功的攻擊就能完全癱瘓生產，使公司失去資金（贖金金額高達數億美元）和敏感數據，攻擊者可以先行下載并出售這些數據，以迫使受害者妥協。雖然勒索軟件的主要目標仍在北美、拉美、歐洲和亞太地區，但俄羅斯近年來也不再是一個安全港灣。根據Group-IB的數據，僅在2021年，俄羅斯公司遭受勒索軟件攻擊的次數就增加了200%以上。

2022年上半年，這一數量比2021年第一季度增加了四倍。當偶爾（不常）有逮捕事件發生時，勒索軟件運營者會短暫隱藏并清理痕跡，進行品牌重塑。但說勒索軟件的黃昏已經到來還為時過早。Group-IB計算機取證實驗室團隊在大多數人尚未看到勒索軟件嚴重威脅時就開始關注它們。書籍作者奧列格·斯庫爾金不僅在俄羅斯，而且在國際數字取證領域都是重要人物。他在信息安全領域工作超過十年，撰寫和合著了五本關于取證和事件調查的書籍。

奧列格是研究報告、網絡研討會和技術博客的常駐作者，內容涉及勒索軟件帝國的發展及最活躍的犯罪集團：Conti、OldGremline、LockBit、Hive、REvil。讀者將詳細了解勒索軟件的歷史、運營者使用的戰術和技術，以及如何調查這些攻擊。這本書對于數字取證、事件響應、主動威脅搜尋、網絡情報以及相關領域的專業人士來說都是必不可少的。

Group-IB

引言

人為操控的勒索軟件攻擊徹底改變了現代威脅格局，成為許多組織面臨的主要威脅——這也是為什么各類組織都在提高警惕并準備應對此類事件的原因。

這本書將帶你了解現代勒索軟件攻擊的世界。書中特別關注基于威脅情報分析的主動防御方法，幫助應對和防范此類攻擊。

這本書適合誰？

這本書將吸引廣泛的技術專家——從學習網絡安全的學生，到中小企業的系統和網絡管理員，甚至是希望深入了解人為操控勒索軟件攻擊的事件響應專家和網絡威脅分析師。

這本書的內容？

第一章《現代勒索軟件攻擊的歷史》介紹了人為操控勒索軟件攻擊的世界及其歷史。

第二章《現代勒索軟件攻擊的生命周期》簡要描述了現代攻擊者在勒索軟件攻擊中的行為方式。

第三章《事件響應流程》描述了應對勒索軟件攻擊相關事件的響應流程。

第四章《網絡情報與勒索軟件》概述了關于勒索軟件攻擊的網絡情報。

第五章《勒索軟件團伙的戰術、技術和程序》詳細描述了勒索軟件攻擊者常用的戰術、技術、方法和工具。

第六章《勒索軟件相關的威脅情報數據收集》概述了收集勒索軟件攻擊相關情報的不同來源和方法。

第七章《數字取證證據及其主要來源》概述了響應事件時可用于重建攻擊生命周期的各種取證證據來源。

第八章《初始訪問方法》提供了關于攻擊者使用的初始訪問方法的實用研究。

第九章《后利用方法》討論了攻擊者使用的各種后利用方法。

第十章《數據竊取方法》研究了使用的數據竊取方法。

第十一章《勒索軟件部署方法》研究了勒索軟件的不同部署方法。

第十二章《統一的勒索軟件攻擊生命周期》描述了攻擊生命周期的獨特概念，以及勒索軟件的使用。

第1章 現代勒索軟件攻擊的歷史

勒索軟件攻擊已經成為2020年繼COVID-19之后的第二次大流行的攻擊方式——不幸的是，它還在繼續發展。一些攻擊者停止了活動，但很快就會有新一代網絡犯罪分子填補他們的位置。

現在這些攻擊已經廣為人知，但它們早在著名的WannaCry和NotPetya勒索軟件爆發之前就已經開始了。與不受控制的勒索軟件不同，這些勒索軟件由不同的運營商及其同伙操控。對IT基礎設施漏洞的詳細偵察及其為部署勒索軟件的準備工作可以為網絡犯罪分子帶來數百萬美元的加密貨幣收入。

有很多著名的勒索軟件攻擊案例。在本章中，我們將重點討論幾個具有歷史意義的重要案例，包括現代IT環境中最具代表性的威脅——勒索軟件即服務。

我們將討論以下案例：

• 2016年：SamSam勒索軟件
• 2017年：BitPaymer勒索軟件
• 2018年：Ryuk勒索軟件
• 2019年至今：勒索軟件即服務

2016年：SamSam勒索軟件

SamSam運營商于2016年初出現，徹底改變了勒索軟件威脅格局。他們的目標不是普通用戶和單個設備，而是通過手動操作攻擊各種公司，滲透網絡，盡可能多地加密設備，包括那些包含最重要數據的設備。

攻擊目標范圍廣泛，包括醫療和教育領域的企業，甚至整個城市。一個典型的例子是2018年3月遭受攻擊的喬治亞州亞特蘭大市，恢復基礎設施的成本約為270萬美元。

通常，攻擊者利用公開應用程序中的漏洞，例如JBOSS系統，或者通過猜測RDP服務器的密碼來獲得對目標網絡的初始訪問權。為了獲得更高的訪問權限，他們使用了一系列常見的黑客工具和漏洞利用程序，包括臭名昭著的Mimikatz，該工具可以獲取域管理員的憑證。之后，SamSam運營商掃描內網收集可用主機的信息，將勒索軟件復制到每臺主機上，并使用另一個常用的雙重用途工具PsExec運行它。

圖片 1.1：SamSam勒索信息示例

攻擊者使用暗網中的支付網站。受害者收到勒索軟件生成的贖金要求和解密信息的通知（見圖1.1）。

根據Sophos的數據，2016年至2018年間，攻擊者賺取了約600萬美元（來源：https://www.sophos.com/en-us/medialibrary/PDFs/technical-papers/SamSam-The-Almost-Six-Million-Dollar-Ransomware.pdf）。

SamSam勒索軟件的幕后黑手

2018年11月28日，FBI公開了起訴書，指控Faramarz Shahi Savandi和Mohammad Mehdi Shah Mansouri參與了SamSam勒索軟件的國際傳播。

圖片 1.2：FBI通緝海報片段

這兩名嫌疑人來自伊朗。起訴書公布后，這些罪犯至少以SamSam的名義結束了他們的犯罪活動。

SamSam案件表明，對公司進行勒索軟件攻擊可能非常有利可圖，隨之出現了新的類似犯罪團伙。其中一個例子是BitPaymer勒索軟件。

2017年：BitPaymer勒索軟件

BitPaymer勒索軟件與Evil Corp有關，這是一家被認為源自俄羅斯的網絡犯罪組織。這個勒索軟件標志著人為操控攻擊的新趨勢——獵殺大型目標。

一切始于2017年8月，當時BitPaymer的運營者成功攻擊了幾家NHS Lanarkshire的醫院，并要求高達23萬美元的贖金（53比特幣）。

為了獲得初始訪問權限，該組織使用了其長期使用的工具——Dridex木馬。木馬允許攻擊者加載PowerShell Empire，一個流行的后期利用框架，以便在網絡中橫向移動并獲取高級權限，包括使用Mimikatz，就像SamSam的運營者一樣。罪犯利用組策略修改在整個企業中部署勒索軟件，這使他們能夠向每個主機發送腳本以啟動勒索軟件的實例。

攻擊者通過電子郵件和在線聊天與受害者溝通。

圖片 1.3：BitPaymer勒索信息示例

2019年6月，基于BitPaymer的新勒索軟件DoppelPaymer出現。據稱它由Evil Corp的一個子集團管理 。

BitPaymer勒索軟件的創造者

2019年11月13日，FBI發布了一個聲明，指控Maxim Viktorovich Yakubets和Igor Olegovich Turashev操作Dridex木馬。

圖片 1.4：FBI通緝海報片段

Maxim Viktorovich Yakubets目前因多項網絡犯罪指控被通緝。據報道，懸賞500萬美元捉拿他。

當然，Dridex并不是唯一用于人為操控勒索軟件攻擊的木馬。另一個顯著的例子是與Ryuk勒索軟件密切相關的Trickbot。

2018年：Ryuk勒索軟件

Ryuk勒索軟件將大型獵物的捕獵提升到了一個新的水平。這種勒索軟件與Trickbot組織（也稱為Wizard Spider）有關，并且至今仍然活躍。

根據AdvIntel的數據，該組織在其歷史上攻擊了各種組織，賺取了至少1.5億美元（來源：https://www.advanced-intel.com/post/crime-laundering-primer-inside-ryuk-crime-crypto-ledger-risky-asian-crypto-traders） 。

某些時候，Ryuk被稱為三重威脅，因為感染通常從Emotet木馬開始，然后下載Trickbot，后者用于加載后期利用工具和最終部署勒索軟件。通常，Trickbot用于加載PowerShell Empire代理或Cobalt Strike Beacon，這是另一個非常流行的后期利用框架的一部分。

最近，該團伙改變了工具集，開始使用一種名為Bazar的新木馬。值得注意的是，他們開始使用“vishing”（語音釣魚）。釣魚郵件不包含惡意文件或鏈接，而僅包含虛假的付費訂閱信息和一個電話號碼，用于取消訂閱。如果受害者撥打了電話，操作員會指導他們下載惡意的Microsoft Office文件，打開并啟用宏，從而感染計算機Bazar木馬。與Trickbot一樣，該木馬用于加載和運行后期利用框架——通常是Cobalt Strike。

攻擊者使用了多種方法來啟動Ryuk，包括前面提到的PsExec和組策略修改。起初，他們提供電子郵件地址以便受害者與他們聯系，但很快就開始使用Tor的洋蔥服務。

https://www.advanced-intel.com/post/crime-laundering-primer-inside-ryuk-crime-crypto-ledger-risky-asian-crypto-traders

圖1.5. 贖金消息中的指示[3]

Ryuk勒索軟件的運營者仍然活躍，根據AdvIntel和HYAS的數據，他們已經賺取了超過1.5億美元（來源：https://www.advanced-intel.com/post/crime-laundering-primer-inside-ryuk-crime-crypto-ledger-risky-asian-crypto-traders）。

誰是Ryuk勒索軟件背后的黑手？

2021年6月4日，FBI公布了一份文件，指控Alla Witte（也稱為Max）與負責創建和傳播Trickbot木馬的跨國組織有關。

一些與Ryuk相關的人是Emotet僵尸網絡的運營者。他們在2021年1月被荷蘭、德國、美國、英國、法國、立陶宛、加拿大和烏克蘭的執法部門聯合行動中逮捕。最終當局完全控制了僵尸網絡的基礎設施。

圖1.6. Emotet運營者的工作環境

盡管攻擊者被逮捕，但“勒索游戲”吸引了越來越多的網絡犯罪分子。因此，出現了另一個現象——勒索軟件即服務。

2019年至今：勒索軟件即服務（RaaS）

2019年是勒索軟件即服務（RaaS）流行的一年，至今它仍然是主要趨勢。許多勒索軟件開發者開始向各種攻擊者提供他們的產品，以換取贖金的一部分。

REvil、LockBit、Ragnar Locker、Nefilim只是一些通過勒索軟件即服務模型傳播的勒索軟件家族。即使多個攻擊者使用相同類型的勒索軟件，他們的策略、技術和程序也可能非常不同。

然而，目前許多攻擊者使用同樣的方法：在實際部署勒索軟件之前提取數據。這一趨勢由2019年的Maze勒索軟件運營者設立。目前幾乎所有實施類似攻擊的攻擊者都有自己的網站泄露數據（Data Leak Site, DLS）。

以下是DoppelPaymer勒索軟件運營中使用的DLS示例。

圖1.7. DoppelPaymer的DLS[4]

通常，攻擊的發起者不會親自管理整個攻擊生命周期，而是利用其他攻擊者的服務。例如，他們可能與初始訪問經紀人合作，這些經紀人允許他們進入被攻破的公司網絡。在某些情況下，他們可能會支付專業的滲透測試人員（pentesters）以提升權限或繞過保護措施，以便在整個企業范圍內無縫地啟動勒索軟件。

參與該項目的攻擊者可以從贖金中獲得不同份額。通常，開發者獲得約20%，攻擊的發起者獲得約50%，初始訪問經紀人獲得10%，其余部分歸輔助攻擊者，例如滲透測試員或談判人員。

勒索軟件即服務目前非常普遍。根據Group-IB Ransomware Uncovered 2020/2021報告（https://www.group-ib.com/resources/research-hub/ransomware-2021/），2020年64%的勒索軟件攻擊是由與RaaS相關的人員實施的。

誰是勒索軟件即服務背后的黑手？

與NetWalker勒索軟件相關的一個人，Sebastien Vachon-Desjardins，加拿大公民，于2021年1月被指控。他據稱通過勒索賺取了超過2760萬美元。

另一個例子是與Egregor勒索軟件相關的兩個人，他們在法國當局的幫助下被捕，通過跟蹤付給他們的贖金支付。還有一個例子是與Clop勒索軟件相關的人，他們幫助攻擊者洗錢，也在2021年6月被捕。

因此，勒索軟件即服務使許多網絡犯罪分子——甚至那些缺乏技能和資源的人——加入了“勒索游戲”。這是使人類驅動的勒索軟件攻擊成為網絡大流行的一個重要因素。

結論

在本章中，您了解了現代勒索軟件攻擊的歷史，并對攻擊者的策略、技術和程序、他們的商業模式——甚至一些幕后人物有了一些了解。

https://www.group-ib.com/resources/research-hub/ransomware-2021/

在下一章中，我們將深入了解與勒索軟件相關的現代威脅圖景，并專注于攻擊的生命周期——從初始訪問到實際部署勒索軟件。

第2章 現代勒索軟件攻擊的生命周期

使用勒索軟件的攻擊可能非常復雜，特別是當涉及大型企業時。因此，在深入了解技術細節之前，了解典型攻擊的生命周期非常重要。了解攻擊的生命周期有助于安全專業人員正確重建事件并在各個階段做出正確的響應決策。

如您從第1章“現代勒索軟件攻擊的歷史”中所知，勒索軟件即服務可以由一群人或一系列個別攻擊者管理。這意味著策略、技術和程序可能會有很大不同，但在大多數情況下，攻擊生命周期大致相同，因為攻擊者通常有兩個主要目標——從目標網絡中竊取機密信息并在企業范圍內部署勒索軟件。

在本章中，我們將簡要討論人類驅動的勒索軟件攻擊的各個階段，以形成對這些攻擊生命周期的清晰理解，并準備好深入技術細節。

本章將討論以下主題：

• 攻擊的初始向量
• 后期利用
• 數據盜竊
• 部署勒索軟件

攻擊的初始向量

任何攻擊都從獲得初始訪問開始。這可以通過連接到內部網絡的VPN、通過有針對性的釣魚傳播的木馬、通過入侵公共應用程序的web接口，甚至通過供應鏈攻擊（另一個術語是第三方攻擊）來實現。

三種最常見的初始攻擊向量是通過遠程桌面協議（RDP）獲得訪問權限、有針對性的釣魚和利用軟件漏洞。

以下是Coveware收集的截至2021年第二季度最常見的勒索軟件攻擊向量的統計數據（來源：https://www.coveware.com/blog/2021/7/23/q2-ransom-payment-amounts-decline-as-ransomware-becomes-a-national-security-priority）。

圖2.1. Coveware認為的最常見勒索軟件攻擊向量

我們將詳細探討每一個，并輔以示例。

通過遠程桌面協議（RDP）獲得訪問權限

多年來，RDP一直是攻擊者訪問目標網絡的最常見方式。從第1章“現代勒索軟件攻擊的歷史”中，您已經知道其被SamSam運營者使用。當然，SamSam不是唯一的例子。目前，許多攻擊者都使用這個向量——包括偶爾為之的攻擊者，如Dharma勒索軟件運營者，以及有目標的組織團伙，如REvil。

大流行加劇了這種情況——許多公司為員工提供遠程工作機會，不得不開放他們的服務器，成為各種攻擊者的目標，包括勒索軟件運營者。

例如，通過Shodan搜索工具公開的端口3389（RDP的默認端口）可以看到數百萬臺設備。

圖2.2. 端口3389開放的設備數量

簡單的搜索就能返回數百萬結果——這就是為什么這個初始攻擊向量在勒索軟件運營者中如此受歡迎的原因之一。

在實踐中，攻擊者不一定親自攻擊這些服務器，他們可能只是購買對它們的訪問權限。勒索軟件即服務的運營者不僅可以租用勒索軟件，還可以從所謂的初始訪問經紀人那里購買企業網絡訪問權限。這些經紀人通常不參與后期利用階段，更常見的是，他們以分成的形式（通常約為贖金的10%）出售或分享初始訪問權限。

有時勒索軟件運營者甚至會在地下論壇上發帖，吸引初始訪問經紀人的注意。例如，Crylock勒索軟件運營者發布了一條消息，表明他們有意購買各種類型的企業網絡訪問權限。

圖2.3. 地下論壇上的帖子

我們接下來將討論另一個非常流行的初始攻擊向量——有針對性的釣魚。

有針對性的釣魚

有針對性的釣魚涉及使用社會工程學。攻擊者操縱用戶打開惡意附件或點擊危險鏈接，從而獲取可用于獲得VPN訪問權限的憑證，或如您從第1章“現代勒索軟件攻擊的歷史”中所知，用于感染設備的木馬程序。起初，許多攻擊者使用這些惡意軟件進行銀行欺詐，但它們也用于獲得企業網絡的初始訪問權限。

最常見的此類木馬例子包括：

• BazarLoader
• Hancitor
• IcedID
• Qakbot
• Trickbot

當然，這不是一個完整的列表——這里只列出了最常見的為勒索軟件運營者鋪平道路的工具。

通常，這些木馬的運營者會進行大規模的垃圾郵件活動，主要針對企業用戶。最常見的做法是使用郵件鏈劫持——攻擊者從被攻破的電子郵件地址發送惡意文件作為對真實郵件的回復。

圖2.4. Qakbot運營者的郵件鏈劫持示例5

在某些情況下，攻擊者會使用更復雜的方法：如第1章“現代勒索軟件攻擊的歷史”中所述，BazarLoader的運營者也使用了語音釣魚（vishing）。

以下是此類釣魚郵件的示例。

https://mybook.ru/author/oleg-skulkin/shifrovalshiki-kak-reagirovat-na-ataki-s-ispolzova/Text/link.html

圖2.5. 用于傳播BazarLoader的釣魚郵件示例6

如您所見，這種情況下沒有惡意附件。相反，攻擊者要求受害者不要回復郵件，而是致電虛假公司以取消訂閱。

如果受害者撥打電話，虛假的呼叫中心工作人員會引導他們訪問網站，自行打開惡意文檔并啟用宏，以便下載并運行BazarLoader。

我們將在后面的章節中討論這些木馬的啟動和隱藏技術細節，但請記住，攻擊者可以使用這些木馬在被攻破的主機上下載其他工具，以進行后期利用步驟并獲得特權賬戶以在網絡中推進。

在我們總結初始攻擊向量的討論之前，我們將回顧一些允許勒索軟件運營者獲得網絡訪問權限的軟件漏洞。

軟件漏洞

軟件漏洞讓許多初始訪問經紀人賺取了數十萬美元，但通過勒索軟件即服務賺取了數百萬美元。

當然，不是每個漏洞都能讓攻擊者獲得網絡的初始訪問權限。最常用的漏洞是那些允許遠程執行代碼或獲取憑證文件的漏洞。

一個很好的漏洞例子是Pulse Secure VPN應用程序。例如，CVE-2019-11510漏洞允許攻擊者獲取易受攻擊設備的用戶名和未加密密碼，以用于訪問網絡。

另一個在勒索軟件運營者中流行的漏洞是FortiGate VPN服務器中的CVE-2018-13379漏洞。它也允許攻擊者讀取未加密的憑證文件。

Citrix ADC和Gateway中的CVE-2019-19781漏洞也被許多勒索軟件團伙廣泛利用——它允許攻擊者遠程上傳和執行惡意代碼并執行其他后期利用操作。

另一個例子是Accellion Legacy File Transfer Appliance中的多個漏洞，包括CVE-2021-27101、CVE-2021-27102、CVE-2021-27103和CVE-2021-27104，被Clop勒索軟件團伙利用。

最后，在某些情況下，攻擊者甚至能夠利用零日漏洞——這些是系統或設備中已知但尚未修復的漏洞。2021年7月，REvil團伙成功利用了Kaseya VSA遠程管理服務中的多個漏洞，并啟動了惡意更新包，導致勒索軟件的部署。這次攻擊影響了許多Kaseya的客戶，包括綜合IT基礎設施管理服務提供商，因此攻擊者要求了巨額贖金——7000萬美元。

圖2.6. REvil攻擊DLS的相關信息7

當然，獲得網絡的初始訪問權限只是第一步。在大多數情況下，攻擊者需要提升權限、獲取憑證、進行網絡偵察和其他后期利用操作。

后期利用

訪問網絡只是工作的一半。在許多情況下，攻擊者對網絡不夠了解，只能訪問有限權限的賬戶，無法禁用安全控制措施并在網絡中推進以獲取機密數據和部署勒索軟件。

后期利用操作取決于訪問類型。例如，如果攻擊者有VPN訪問權限，他們可以掃描網絡中的漏洞，以確保在網絡中的推進。

不要驚訝——臭名昭著的EternalBlue漏洞（CVE-2017-0144）在許多企業網絡中仍然非常普遍，包括一些大型企業。

另一個廣泛用于勒索軟件運營者的漏洞是Zerologon（CVE-2020-1472）。它允許攻擊者在幾次點擊內訪問域控制器。

使用各種木馬的攻擊者通常從使用Windows內置服務（如net.exe、nltest等）進行網絡和Active Directory目錄服務的診斷開始，然后使用第三方工具加載到被攻破的主機上。最常見的工具包括：

• AdFind
• Bloodhound (Sharphound)

https://mybook.ru/author/oleg-skulkin/shifrovalshiki-kak-reagirovat-na-ataki-s-ispolzova/Text/link.html

• ADRecon

這些工具允許收集有關用戶和組、計算機、子網、域權限和Active Directory內信任關系的信息。

如果攻擊者通過RDP訪問被攻破的節點，他們通常使用各種工具——從網絡掃描器到密碼轉儲器。以下是一些最常用的工具：

• SoftPerfect Network Scanner
• Advanced IP Scanner
• Mimikatz
• LaZagne
• Process Hacker
• ProcDump
• NLBrute

在某些情況下，特別是當攻擊者已經有了服務器的初始訪問權限時，他們幾乎可以立即通過加載工具集的一部分來獲取提升權限的賬戶憑證，例如創建LSASS（Local Security Authority Subsystem Service）進程內存的快照。

另一個現代勒索軟件攻擊的典型特點是廣泛使用各種后期利用框架。我幾乎可以肯定你聽說過Cobalt Strike。這是最廣泛使用的框架，不僅被網絡犯罪分子使用，還被國家支持的黑客使用。

但這只是一個例子。在響應勒索軟件攻擊時，您還可能遇到：

• Metasploit
• PowerShell Empire
• CrackMapExec
• Koadic
• PoshC2

這些服務使勒索軟件運營者能夠解決各種任務：掃描網絡、提升權限、轉儲憑證、加載和運行第三方工具和腳本、使用各種方法在網絡中橫向移動等。

另一個重要的步驟是確保后備訪問。具體來說，他們可能會傳播已經用于獲得初始訪問權限的木馬、在遠程主機上啟動后期利用框架組件，甚至在某些服務器上安裝合法的遠程訪問軟件，如TeamViewer。

一旦攻擊者對他們侵入的網絡有了足夠的了解并獲得了提升的權限，他們就可以開始實現主要目標——數據盜竊和勒索軟件部署。

數據盜竊

數據盜竊有時被稱為數據泄露、數據導出或數據外流，它在勒索軟件運營者中非常流行。幾乎所有與人類驅動的勒索軟件攻擊有關的攻擊者都有自己的網站泄露數據（Data Leak Site, DLS）。他們在這些網站上發布有關成功攻擊的信息——甚至在公司拒絕支付贖金時發布被盜數據。

被盜數據的量可以有很大差異。在某些情況下，這只是幾個GB的數據，而在其他情況下可能達到TB級別。外流的數據可能包括信用卡信息、社會安全號碼（SSN）、個人身份信息（PII）、受保護的健康信息（PHI）和國家醫療服務提供者標識符（NPI），以及公司的私密和機密信息。

下圖展示了Conti勒索軟件使用的DLS示例。

圖2.7. Conti勒索軟件的DLS8

大多數此類網站位于暗網，通常通過Tor瀏覽器訪問。如果您想使用普通的Web瀏覽器跟蹤這些網站的變化，建議使用Ransomwatch項目（https://www.ransomwatch.org/）。該網站自動捕獲并發布各種勒索軟件運營者DLS的截圖。

攻擊者可能會花費相當長的時間從被攻破的網絡中提取數據——有時長達幾個月。在此期間，他們可能會找到最機密的數據，并確保額外的遠程訪問手段，以防止初始訪問方法被揭露和封鎖。

通常有兩種數據外流方法。第一種情況下，攻擊者可能會為此目的設置一個服務器或使用發起攻擊的服務器，例如，通過后期利用框架。

在這種情況下，攻擊者通常使用合法的工具（如WinSCP或FileZilla）進行數據盜竊。檢測這些工具可能非常困難，尤其是如果公司的安全團隊沒有專門的威脅監控組。

通常數據需要先被收集，但在某些情況下，可以直接從文件服務器中提取數據而無需歸檔。

另一種方法是使用公共云存儲服務，如MEGA、DropMeFiles等。攻擊者可以使用這些存儲服務在他們的DLS上發布數據。

以下是Everest勒索軟件運營者盜取的數據上傳至DropMeFiles的示例。

圖2.8. Everest勒索軟件運營者發布的被盜數據

為了以這種方式上傳數據，攻擊者可以使用普通的Web瀏覽器，或在某些情況下使用相應的客戶端應用程序。例如，Nefilim勒索軟件的運營者在目標主機上安裝了MEGAsync來上傳數據。

另一個明顯的例子是Mount Locker的合作伙伴使用Amazon S3存儲來竊取收集到的數據。AWS和其他云解決方案對于大規模的數據盜竊非常有幫助，因此在沒有適當管理和監督的情況下使用這些解決方案對攻擊者非常有利。

一旦所有機密數據（至少從攻擊者的角度來看）被提取出來，受害者的網絡就可以準備部署勒索軟件了。

部署勒索軟件

您認為勒索軟件運營者的最大敵人是誰？沒錯，是備份——如果它們受到保護并存放在安全的地方。但它們有一個顯著的弱點——攻擊者可以刪除它們。

不幸的是，系統管理員經常忘記3-2-1規則（3份備份存儲在2種不同的介質上，其中1份存放在異地），也忘記了為備份服務器使用單獨的賬戶并啟用多因素認證的必要性。如今，妥善保護備份不僅對于防止勒索軟件至關重要，而且對于企業遵守行業法規也至關重要。

如果沒有足夠的安全措施，攻擊者可以輕易訪問備份服務器并刪除所有可用的備份。在這種情況下，受害公司別無選擇，只能支付贖金。

一些勒索軟件內置了刪除典型備份解決方案文件擴展名的功能。例如，TinyCryptor刪除的備份文件擴展名列表如下：

• vbm
• vib
• vbk
• bkf
• vlb
• vlm
• iso

您可能知道，Windows操作系統內置了一個名為卷影復制服務（Volume Shadow Copy Service）的備份機制。它創建文件甚至卷的備份，使用戶可以將數據恢復到以前的狀態。

當然，勒索軟件運營者注意到了Windows的這一功能——大多數勒索軟件都會禁用它并刪除所有可用的卷影副本。

備份并不是勒索軟件運營者唯一的敵人。另一個敵人是可以有效阻止勒索軟件執行的安全軟件——當然，如果它們正常運行的話。

攻擊者可以將勒索軟件添加到排除列表中，或者直接禁用現有的安全軟件。在這一步，攻擊者通常已經擁有了域管理員權限，因此他們可以部署批處理腳本，操作組策略來達到目的。當然，這不是唯一的方法——也可以通過安全軟件的控制臺界面禁用它。

勒索軟件部署的方法有很多，包括修改組策略、使用PsExec，甚至手動復制和啟動——這取決于網絡犯罪分子的偏好。

另一個重要的點是系統必須保持可訪問，以便受害者可以收到電子郵件或鏈接與攻擊者聯系。這就是為什么許多勒索軟件會將系統文件夾添加到排除列表中的原因。以下是Darkside勒索軟件排除列表中的文件夾：

• $recycle.bin
• config.msi
• $windows.~bt
• $windows.~ws
• windows
• appdata
• application data
• boot
• google
• mozilla
• program files
• program files (x86)
• programdata
• system volume information
• tor browser
• windows.old
• intel
• msocache
• perflogs
• x64dbg
• public
• all users
• default

有趣的是，排除列表中包含了tor browser文件夾。因為Darkside有一個暗網中的受害者門戶，只有通過Tor瀏覽器才能訪問。

一旦勒索軟件部署完成，攻擊者就準備與受害者討論贖金金額。有時他們會分別要求解密贖金和刪除被盜數據的贖金。

有時攻擊并不會到此結束。例如，眾所周知，與REvil團伙有關的攻擊者會對拒絕付款的受害者進行DDoS攻擊。

結論

現在您對典型的勒索軟件攻擊階段有了清晰的理解。盡管在戰術、技術和程序方面這些攻擊可能有很大差異，但主要目標幾乎總是相同的：獲得域的完全控制，竊取最有價值的機密數據，并部署勒索軟件。

在下一章中，我們將探討事件響應過程及其應對現代勒索軟件攻擊的六個階段。

第3章 事件響應過程

您已經對現代勒索軟件攻擊有了相當了解，因此是時候探討事件響應過程了。分析過程可能看起來有點枯燥，但理解它們非常重要——這將幫助您更快速地響應事件。

我們不會停留在您已經知道的事情上。相反，我們將探討美國國家標準與技術研究院（NIST）開發的經典事件響應過程，并結合勒索軟件攻擊的實際案例和經驗進行講解。

這個過程在《計算機安全事件處理指南》（Computer Security Incident Handling Guide）中由Paul Cichonski、Tom Millar、Tim Grance和Karen Scarfone提出。至今，全球許多事件響應團隊在實踐中仍然使用它。我不會在這里復述這篇文章——我將分享我的意見和經驗，以便您在閱讀或重讀時能更好地理解它。

在本章中，我們將探討事件響應過程的各個階段，并討論以下主題：

• 事件準備
• 威脅檢測與分析
• 控制、消除與恢復
• 事件后處理

事件準備

事件準備是事件響應過程中的一個重要部分。這不僅涉及團隊，還涉及被攻擊的IT基礎設施。想象一下，如果您必須應對一個與勒索軟件相關的事件，但您的基礎設施完全被加密，并且只運行基礎級別的日志記錄和防病毒軟件。聽起來很可怕，但這正是我所調查的許多事件的實際情況——公司在受到攻擊之前不會考慮安全問題。

非常重要的是要認識到您的基礎設施缺乏安全控制和人員。為此，您不需要等待實際的事件發生——在許多情況下，簡單的滲透測試就足夠了。

一些公司即使在成功的勒索軟件攻擊之后也不考慮安全問題。一個顯著的例子是澳大利亞的運輸和物流公司Toll Group。2020年2月，該公司遭到Netwalker勒索軟件運營者的攻擊。5月，Toll Group恢復正常運行，立即又被另一個團伙Nefilim勒索軟件成功攻擊。

如您所見，勒索軟件的世界非常殘酷，因此準備團隊和IT基礎設施應對威脅至關重要。

團隊

實際上，公司不一定需要內部的事件響應團隊。許多服務公司提供此類服務，包括識別和分析威脅，并提供消除威脅的指導。

此外，公司還可以利用外部管理檢測和響應（Managed Detection and Response, MDR）團隊的服務，這些團隊負責監控和響應。

當然，如果需要，公司可以在內部創建事件響應團隊，作為安全部門或內部安全運營中心（Security Operations Center, SOC）的一部分。

首先，這種團隊必須具備響應事件的能力。以下是具體含義：

數據收集能力

在事件響應過程中，能夠收集必要的數據至關重要——從單一的運行進程的工件到完整的事件日志或注冊表文件。我們一直使用自己的擴展檢測和響應（Extended Detection and Response, XDR）解決方案Group-IB MXDR，這是市場上眾多解決方案之一。重要的是，選擇的解決方案能夠監控整個基礎設施，從任何主機收集數據，并在必要時進行主動威脅搜索。雖然這些任務可以通過部署各種腳本來解決，但這種方法可能不太高效，并顯著增加事件響應的時間。

數據分析能力

數據收集很重要，但分析更重要。XDR數據可以節省大量時間，但如果不可用，您需要使用各種數字取證工具，包括商業和開源工具。這些工具可以提高處理速度，但不幸的是，它們無法加速分析——因為勒索軟件攻擊的分析，和這些攻擊本身一樣，總是由人來執行。另一個重要的點是，必須訪問良好的威脅情報來源：這將加快分析速度，并幫助您更好地理解您正在尋找的內容。最后，需要進行培訓。培訓可以通過各種形式進行：在教練指導下，通過預錄視頻，借助網絡研討會——甚至只是閱讀一份好的威脅報告或書籍（例如這本書）。

溝通能力

這是一個非常重要的方面。在事件響應團隊中應分配職責——至少一個人負責與管理層的互動，另一個人負責與技術人員的溝通。

基礎設施

本節中寫的內容僅適用于內部事件響應團隊成員，也就是說，您可以與其他團隊溝通并向他們提供IT基礎設施配置建議。

在事件響應過程中，最糟糕的情況是缺乏通訊和空白（或太短）的事件日志。如您所知，在某些情況下，攻擊者在實際部署勒索軟件之前可能會在基礎設施中待上數周，為了追蹤他們到第一個被攻破的主機，您需要該期間內的所有日志。

這在實踐中是如何運作的？假設您通過命令jump psexec_psh發現主機上運行了Cobalt Strike Beacon——這種情況很常見，通常會記錄創建新服務的事件ID為7045的系統日志。我們首先關注的通常是啟動源——這并不難找到，例如，通過系統登錄（事件ID 4624）。難題出現在服務創建兩周前，而您的安全日志僅記錄了最近三天的事件。

另一個例子是防火墻。防火墻確實不能阻止0day，但它們可以在事件響應中非常有用——當然，前提是您保留了需要的時間段的日志。

我曾處理過一個案例，我們在一個小時內確定了所有用于初始訪問的主機。攻擊者使用目標釣魚電子郵件附件獲取初始訪問權限，但這次他們攻擊了四臺主機。我們快速找到其中一臺主機，因為它被用于部署勒索軟件——我們發現該主機在四個月前被攻破。客戶妥善保存了日志，因此我們能夠回溯四個月，通過與命令和控制服務器的通訊識別其他受感染的主機。

在我的實踐中，有一次我們在一個小時內確定了所有用于初始訪問的主機。攻擊者通過帶有惡意附件的目標釣魚電子郵件獲取了初始訪問權限，但這次他們攻擊的不止一臺主機，而是四臺。我們很快找到了其中一臺，因為它被用于部署勒索軟件——我們發現這臺主機在四個月前被攻破。我們的客戶很好地保留了日志，因此我們能夠回溯四個月，通過與命令和控制服務器的通信識別出另外三臺主機。如果沒有這些日志，查找工作可能會花費更多時間，而攻擊者也有機會改變戰術、技術和程序（TTPs），并植入新的后門。

我想你已經明白，仔細保存日志對于應對任何事件至關重要。如果你目前還沒有保存日志，一定要實施日志保存和管理流程。每個行業都有自己的規則和規定，涉及到日志的保存和管理。一定要查清哪些要求適用于你的組織。

另一個與基礎設施相關的重要方面是技術安全措施。我之前提到過XDR（擴展檢測和響應）。你可能會問，為什么是XDR，而不是市場上的其他許多解決方案？原因在于，XDR可以用于監控、威脅搜尋、收集取證數據，更重要的是，它可以阻止惡意文件并隔離受感染的主機。當然，安全信息和事件管理（SIEM）工具也能提供監控、警報和威脅搜尋功能，但它們不能阻止惡意文件或隔離主機，而這在應對勒索軟件攻擊時尤為關鍵。另一方面，SIEM工具可以長期保存日志，因此如果你處理的是長期事件，正確配置的SIEM可能發揮關鍵作用。

當然，這不僅僅是關于XDR：它只是最現代和有效的防止和應對事件的工具。工具越多，處理事件就越容易。

現在我們來看看威脅檢測和分析的階段。

威脅檢測和分析

這是事件響應過程中最重要的兩個階段。為什么？如果檢測和分析失敗，很可能你的基礎設施或客戶的基礎設施將被某種勒索軟件加密。

有兩種可能的情況：

1. 一切已經被加密——也就是說，已經發生了攻擊，需要重建事件。
2. 網絡中出現了勒索軟件的前兆，需要盡快定位并消除。

通常，如果攻擊已經發生，確定你遇到的勒索軟件變種并不難——只需閱讀勒索信息。這些信息通常包含指向門戶網站的鏈接，受害者可以在這些門戶網站上與攻擊者進行談判。

圖3.1. BlackMatter勒索軟件的門戶網站

如圖3.1所示，這些門戶網站向受害者提供了大量信息，包括贖金金額、支付細節、被盜數據——甚至提供測試解密和聊天支持。但更重要的是，屏幕頂部顯示了勒索軟件家族的名稱——BlackMatter。利用這些信息，你可以繼續了解該攻擊者通常使用的TTP。

你可以從各種公開來源獲得一些信息，我們將在第6章“收集勒索軟件相關的網絡威脅數據”中詳細討論這一點。此外，訪問商業網絡威脅分析平臺也非常有用。

圖3.2. Group-IB威脅情報平臺上的BlackMatter檔案

為什么這很方便？這些平臺包含了關于勒索軟件的豐富信息，包括戰略、操作和戰術層面的內容。你可以找到關于勒索軟件TTP的信息，包括它們使用的工具、漏洞等。此外，你還會看到許多不同的妥協指標，如哈希值、文件名和IP地址。最后，通常還有關于目標國家和行業的信息。我們將在第4章“網絡威脅情報和勒索軟件”中更詳細地討論這個主題。

擁有這些信息后，你就可以推測攻擊者如何獲得初始訪問權限，并使用了哪些手段來提升權限、獲取憑證、在網絡中橫向移動等。

讓我們看看我們在前幾章中討論過的一個例子——Ryuk勒索軟件。

如果攻擊已經發生并且文件已被加密，你需要找到勒索軟件的部署源及其使用的方法。Ryuk通常從域控制器部署。假設你很幸運找到了具體的控制器，但問題在于，由于日志記錄不足，你無法看到連接到這臺服務器的源頭。

然后你分析已有的網絡威脅信息，發現與Ryuk相關的攻擊者通常使用Cobalt Strike、AdFind和Bloodhound等工具，并通過目標釣魚郵件獲得初始訪問權限，傳送Trickbot或BazarLoader。

現在你知道該找什么——勒索軟件運營者非常喜歡使用各種后期利用框架，如Cobalt Strike，而這些框架通常會留下大量的痕跡，可以在事件響應過程中找到。關于數字取證工件的來源，你可以在第7章“數字取證工件及其主要來源”中了解更多。

重要的是，威脅主體的TTP信息不僅對于事件響應很重要，也對預防事件有幫助，因此，如果你或你的團隊成員找到了關于攻擊者行為的信息，應立即調整安全措施以應對。

讓我們看看當攻擊還未發生時的情況——勒索軟件尚未部署，但已經有一些入侵前兆。它們是什么樣的？

我們已經知道，攻擊者通常使用Trickbot或BazarLoader來獲得初始訪問權限。這意味著我們必須對任何與這些威脅相關的事件作出反應，例如來自防病毒軟件的警報。即使攻擊已經發生，防病毒軟件也可以有用，因為攻擊者使用的各種工具中有些無法避免被檢測到。因此，這些警報可以提示我們在后期利用過程中攻擊者的行動路徑。

此外，隔離工作站（如果可行且不會影響業務流程）并檢查是否有其他未發現的工件也非常重要。如果你成功發現并刪除了BazarLoader的變種，內存中可能還留有Cobalt Strike Beacon，而威脅主體可能已經在網絡中進一步移動。

同樣，針對網絡或Active Directory的偵查活動的痕跡也很重要。如果你發現了諸如使用AdFind之類的活動，必須判斷它是否合法并作出反應。

這當然不是全部例子——我們將在第5章“勒索軟件團伙的戰術、技術和程序”中更詳細地討論。

現在我們來談談遏制、消除和恢復。

遏制、消除和恢復

一旦你了解了所面對的攻擊類型，就可以采取遏制措施。

最明顯的措施是阻止與命令和控制服務器的連接。沒有連接，攻擊者很難對網絡造成損害——當然，前提是他們沒有計劃執行某些任務，比如啟動一個帶有其他命令服務器地址的后門。

因此，可能需要將整個網絡與互聯網斷開連接。這取決于攻擊的生命周期階段——如果你在攻擊的早期發現攻擊，隔離整個網絡可能是多余的，但如果攻擊者已經在你的網絡中存在一個月，最好謹慎行事。

許多勒索軟件運營者使用合法的遠程訪問應用程序，如：

• TeamViewer
• AnyDesk
• SupRemo
• Remote Utilities
• Atera RMM
• Splashtop
• ScreenConnect

這意味著，一旦你發現了事件，最好立即阻止這些程序。

如你所知，大多數攻擊者都會竊取數據。因此，如果你看到勒索軟件前兆的活動痕跡，并懷疑攻擊者仍在網絡中，最好阻止訪問常用的云文件共享服務，如MEGA、DropMeFiles、MediaFire等。

在某些情況下——尤其是當你面對初始訪問時——隔離受感染的主機可能已經足夠。實際上，這應該在分析階段之前完成，以防止攻擊者在網絡中進一步移動。

網絡犯罪分子總是試圖獲取更高的權限和有效的賬戶憑證，因此，如果你發現任何表明賬戶憑證被泄露的證據，應立即更改其密碼。

如果你已經將攻擊者與被攻破的網絡隔離，并且沒有新的惡意活動痕跡出現，可以開始刪除惡意軟件和攻擊者使用的工具。

刪除腳本和不需要安裝的服務很簡單。

遠程訪問工具如TeamViewer有方便的卸載程序，因此從受感染的主機中刪除它們并不困難。

刪除惡意軟件則稍微復雜一些。例如，它們可能是無文件的，只存在于內存中，不會在磁盤上留下副本。如果惡意軟件在被感染的系統中保持持久性，這種情況相當常見，它將在重新啟動后仍然存在于內存中。

以下是一些用于勒索軟件攻擊的惡意軟件常用的持久性機制：

• 注冊表啟動鍵或啟動文件夾
• Windows服務
• 計劃任務

如果你已經刪除了惡意軟件，有時可以不刪除持久性機制，但這有時可能導致誤報威脅。有一次我的客戶發現了一個與Cobalt Strike相關的惡意服務——我的團隊立即做出了反應，但很快發現這只是幾年前客戶團隊處理過的一次攻擊的殘留物。

所以，你已經阻止了命令服務器，修改了泄露賬戶的密碼，刪除了惡意軟件和攻擊者的工具。這樣夠了嗎？你準備重新啟動這個工作站或服務器了嗎？如果你百分之百確信一切都已清除，那為什么不呢？如果不確定，最好重新從映像中部署系統。

另一種情況是，網絡已經被加密。在這種情況下，通常只有兩個選擇：與網絡犯罪分子談判并支付贖金，或者從頭開始重建基礎設施。

在第一種情況下，攻擊者提供的解密器可能會帶來額外的問題。以下是另一個例子：ProLock勒索軟件運營者在2020年4月至6月期間活躍，一些受害者同意支付贖金并獲得了解密器。但問題在于，解密器不能正常工作，解密過程中超過64MB的文件會被損壞。當這個問題曝光后，攻擊者的聲譽受損，不久ProLock就消失了。

當然，并非所有解密器都工作不良。許多攻擊者提供的可執行文件確實能夠解密所有文件。但這并不保證支付贖金后系統的安全——已知有攻擊者一次又一次地攻擊同一家公司，試圖賺取更多的錢。

因此，在成功的攻擊后——尤其是如果組織決定支付贖金——改善安全狀況以防范未來的攻擊是極其重要的。這就是事件后處理階段的目的。

事件后處理

在最后階段，事件響應團隊應該幫助受害公司了解攻擊者為何成功，以及如何避免類似的情況。

根據使用勒索軟件的不同，事件的生命周期可能完全不同。根據你發現的內容，你可以提供一系列建議。讓我們看看一些通用的建議。

如我們所知，許多勒索軟件攻擊始于公開可訪問的RDP服務器，因此一個好的建議是選擇其他遠程訪問方法，或為這些RDP連接實施多因素認證。

對于公開可訪問的基礎設施部分，組織應確保修補所有漏洞，特別是那些允許攻擊者獲取有效賬戶憑證或遠程執行代碼的漏洞。

如果攻擊者通過目標釣魚獲取訪問權限，可能需要對員工進行額外培訓，或提高郵件流量的安全性，例如實施惡意軟件“沙箱”系統，這些系統會分析所有進出郵件中的附件和鏈接。

同樣地，內部網絡安全產品——在某些情況下，只需正確配置它們，而在其他情況下，則需要更換它們。此外，可能還需要額外的監控能力和受過培訓的人員。

最后，如果現有的備份最終被刪除（如你所知，這是攻擊者的常見策略），組織應考慮備份保護，例如實施3-2-1規則，為備份服務器使用單獨賬戶，并為任何類型的訪問實施多因素認證。

這不是事件后處理的全部內容，而只是一些示例，幫助你理解通常在這個階段做什么。

希望現在你對典型的事件響應過程有了更清晰的理解。你可以在NIST編寫的《計算機安全事件處理指南》中找到更多信息。

結論

在這一章中，我們討論了事件響應過程的各個階段，讓你對抗擊勒索軟件攻擊的主要步驟有了清晰的認識。我們將繼續研究這個問題，以便你能夠更好地了解細節。

你已經知道，網絡威脅情報是事件響應過程的重要組成部分，因此在下一章中，我們將討論不同層次的分析，并特別關注勒索軟件攻擊。我們將查看公開的威脅報告，并從中提取不同類型的數據，以便充分了解它們的區別。

第4章 網絡威脅情報和勒索軟件

網絡威脅情報是應對事件的重要組成部分。讀完前一章后，你應該對當前的威脅形勢和攻擊者使用的方法有了清晰的了解。現在，快速進行分析并進入應對事件的下一階段是至關重要的。

接下來，我們將討論各種類型的網絡威脅信息：戰略信息、操作信息和戰術信息。實踐總是勝過理論，因此在我們的討論中，我們將分析一個公開的報告，嘗試從中提取各種類型的分析數據。

因此，在本章中，我們將通過勒索軟件的視角來審視所有類型的網絡威脅數據：

• who and why？——網絡威脅的戰略信息。
• how and where？——網絡威脅的操作信息。
• what？——網絡威脅的戰術信息。

網絡威脅的戰略信息

網絡威脅的戰略信息通常面向決策者：首席信息安全官（CISO）、首席信息官（CIO）、首席技術官（CTO）等。它包括對攻擊者活動和動機的全局描述，并回答“誰”和“為什么”的問題。這些信息為CISO、CIO和其他網絡安全領導者提供技術和戰術知識，幫助他們預見威脅領域的新趨勢。

因此，“誰”指的是針對組織的攻擊者，而“為什么”則是他們的動機。

從動機的角度來看，網絡犯罪分子相當可預測，他們的主要目標是從受害者那里獲取金錢。通常，這涉及到相當可觀的金額。

另一個重要的問題是哪些組織成為攻擊目標。例如，一些勒索軟件運營者不會攻擊醫院、政府機構、關鍵基礎設施等。BlackMatter運營者就是一個很好的例子，他們禁止其同伙攻擊某些類別的組織（見圖4.1）。

現在讓我們看看SentinelLabs團隊的公開報告《Hive攻擊：針對醫療行業的人類操作勒索軟件分析》（Hive Attacks | Analysis of the Human-Operated Ransomware Targeting Healthcare）。報告可在以下鏈接查看：https://labs.sentinelone.com/hive-attacks-analysis-of-the-human-operated-ransomware-targeting-healthcare/

圖4.1. BlackMatter勒索軟件網站上的規則部分

第一個重要的戰略事實是，使用Hive勒索軟件的攻擊者的目標是醫療機構。是的，一些運營者及其同伙可能專門針對特定的業務領域或行業，有時是在特定的國家。例如，研究人員描述了對俄亥俄州Memorial Healthcare System醫院的攻擊，導致該組織不得不將急診患者從其多個醫院轉移到其他機構。攻擊者非常清楚，醫療行業是一個有利可圖的環境，包含大量數據。醫療行業有許多入口點，允許攻擊者隨心所欲地滲透和移動。如果我們嘗試深入分析這一點，并分析在攻擊者泄漏數據網站（DLS）上可以找到的受害者數據，可以發現更多與攻擊相關的數據（見圖4.2）。

由于受害者名單不僅限于醫療機構，分析可以提供更詳細的目標概覽。這使得決策者能夠清楚地了解他們的業務是否真的面臨威脅。

圖4.2. Hive泄漏數據網站上的受害者信息

此外，從報告中可以看出，使用Hive勒索軟件的團伙非常活躍。他們在2021年6月底開始活動，已經進行了至少30次成功的攻擊。這一事實也有助于在防御策略中確定優先事項。

讓我們進一步分析報告中可以提取的網絡威脅的操作信息。

網絡威脅的操作信息

網絡威脅的操作信息幫助我們了解攻擊者的能力，了解他們的基礎設施，當然還有他們的戰術、技術和程序。這種信息讓我們知道“如何”和“在哪里”，因此它面向安全運營中心（SOC）分析師、事件響應專家、威脅獵人等。

你可能已經明白，“如何”的答案讓安全人員能夠收集關于犯罪者使用的各種戰術、技術和程序的信息，并幫助發現和消除它們。回答“在哪里”可以讓我們知道在哪里尋找實施各種戰術、技術和程序的痕跡，這使得我們可以采取預防性措施。

讓我們繼續分析SentinelLabs關于Hive勒索軟件的報告，并專注于“技術分析”部分。

描述戰術、技術和程序（TTPs）的最佳結構之一是MITRE ATT&CK?。

MITRE ATT&CK?是一個關于攻擊者在網絡攻擊中采取的行動的知識庫和分類系統。它由以下主要部分組成：

• 戰術——攻擊者的戰術目標，如獲得對目標網絡的初始訪問權限。
• 技術——攻擊者為實現目標使用的一般方法定義，例如目標釣魚。
• 子技術——更具體的方法描述，例如使用惡意附件。
• 程序——攻擊者具體如何使用技術或子技術，例如在目標釣魚電子郵件中嵌入惡意的Microsoft Office文檔。

在本書中，我們將頻繁引用MITRE ATT&CK?，因此如果你不熟悉這個知識庫，可以訪問官方網站：https://attack.mitre.org/

在SentinelLabs報告的“技術分析”部分，首先我們看到初始攻擊向量可能不同。遺憾的是，報告中沒有具體說明可能的選項。

但我們立即了解到攻擊者最喜歡的后期利用框架是Cobalt Strike。不過，報告中沒有詳細說明它在攻擊中的具體使用方式。與此同時，研究人員分享了有關另一種工具的信息，即ConnectWise——一種被攻擊者用于維持對被攻破網絡訪問的合法遠程管理工具。正如你從第3章“事件響應過程”中所知，這種工具在與勒索軟件相關的團伙中非常普遍。

MITRE ATT&CK?中記錄了這種方法。其ID為T1219，名稱為Remote Access Software（https://attack.mitre.org/techniques/T1219/）。該方法的要點是，攻擊者可以使用各種遠程訪問工具，如TeamViewer、AnyDesk等，作為備用訪問受感染主機的通信渠道。

接下來我們看看報告中描述的其他方法。

首先，我們看到攻擊者使用cmd.exe來啟動可執行文件。現在我們知道了子技術，即Windows命令外殼（T1059.003）。

此外，攻擊者使用rundll32.exe繞過保護措施——這是通過簽名二進制代理執行的子技術（T1218.011）。

最后，我們看到的主要目標是獲取憑證。在這種情況下，攻擊者通過濫用系統庫comsvcs.dll來獲取lsass.exe進程的轉儲，即操作系統憑證轉儲子技術——本地安全認證子系統服務（LSASS）內存轉儲（T1003.001）。

為什么要進行轉儲？因為系統會在其內存中存儲各種憑證元素，如果攻擊者能將內存內容轉儲到磁盤，他們就能使用各種工具提取有效的憑證。

為了在明文中啟用憑證緩存，攻擊者使用cmd.exe修改了注冊表：

這是MITRE ATT&CK?中記錄的另一種方法，即修改注冊表（T1112）。

報告中另一個重要的事實是，攻擊者在后期利用階段使用了ADRecon。這是另一個流行的工具，許多勒索軟件運營者在網絡偵察階段使用它來從Active Directory環境中提取各種工件。同樣，報告中沒有說明它在此次活動中的具體使用方式。然而，由于這是一個基于PowerShell的工具，我們可以確定另一個子技術，即命令和腳本解釋器——PowerShell（T1059.001）。PowerShell腳本非常普遍，你幾乎在所有與勒索軟件攻擊相關的事件中都會遇到它們。

報告的下一部分專注于分析Hive勒索軟件本身。這也可能揭示攻擊者的TTP。首先，我們看到該程序是用Go語言編寫的，這在勒索軟件創作者中越來越受歡迎。另一個重要點是，該程序使用UPX進行打包，這是一種常見的打包工具，許多攻擊者用它來繞過一些防護措施。這里我們涉及到文件或信息混淆子技術——軟件包（T1027.002）。

接下來，我們看到另一種非常普遍的方法，即許多與勒索軟件相關的犯罪分子使用的方法——停止多個進程和服務，以便不受干擾地加密所有文件。MITRE ATT&CK?中也記錄了這種方法——停止服務（T1489）。

繼續，我們看到勒索軟件創建了一個名為hive.bat的批處理文件，用于刪除惡意程序的組件。以下是它的內容：

這里我們涉及到在主機上清除痕跡的子技術——刪除文件（T1070.004）。

這并不是勒索軟件創建的唯一批處理文件。另一個名為shadow.bat的文件被用來刪除陰影副本，以防止使用操作系統的內置功能恢復文件。

以下是該命令文件的內容：

這里涉及到抑制系統恢復能力的方法（T1490）。

最后，勒索軟件最重要的技術之一是加密數據，以對受害者施加影響（T1486）。

讓我們將找到的數據匯總到一張表中。

表4.1. MITRE ATT&CK匯總表

正如表中所示，我們無法從報告中重建整個攻擊生命周期，但我們仍然提取了許多TTP，這些知識可以在應對事件和主動威脅搜尋中使用。

我們將在第6章“收集與勒索軟件相關的網絡威脅數據”中繼續分析可用報告。

網絡威脅的戰術信息

網絡威脅的戰術信息用于各種安全產品的工作，如安全信息和事件管理系統（SIEM）、防火墻、入侵檢測/防護系統（IDS/IPS）等。這些產品利用妥協指標（IoC）。

這一層次的網絡威脅信息集中于“什么”——具體發生了什么。傳統上，這種分析最為常見，許多供應商提供所謂的供稿——新聞提要或最新信息提要，但目前越來越多的組織轉向TTP，因為傳統的指標生命周期非常短。

在大多數情況下，這些指標包括IP地址、域名和哈希值。通常哈希值有以下幾種類型：

• MD5
• SHA1
• SHA256

這些指標可以通過MISP等網絡威脅分析平臺進行共享，可以用于研究和檢測。

回到我們正在分析的報告。報告中有一個“妥協指標”部分。它包含多個哈希值，包括SHA1和SHA256類型。由于這些是同一文件的哈希值，我們專注于第一種類型——SHA1：

如果使用VirusTotal（https://www.virustotal.com/）等分析各種惡意內容的服務，可以發現所有這些哈希值都與Hive勒索軟件的變種有關。

圖4.3. VirusTotal中一個哈希值的記錄

從檢測的角度來看，它們并不十分有用，因為大多數情況下，勒索軟件的版本是專為每次攻擊定制的，這意味著它們的哈希值不會匹配。

此外，報告中還提到了與Cobalt Strike Beacon相關的IP地址。你總可以收集更多關于IP地址的信息，特別是那些與各種后期利用框架相關的IP地址。例如，可以檢查服務器是否與Cobalt Strike相關（見圖4.4）。

圖4.4. Group-IB MXDR平臺收集的關于檢查過的IP地址的信息

Group-IB MXDR平臺具有構建關系圖的功能，可以用于收集關于你收集的指標的更多信息。圖4.4中我們看到IP地址176.123.8.228屬于Cobalt Strike服務器，因此安全團隊應當阻止或檢查它。

如你所見，即使分析一個簡短的公開報告，有經驗的分析師也能收集足夠的網絡威脅信息，這對應對事件非常有用。

結論

在本章中，我們討論了各種類型的網絡威脅信息，包括戰略信息、操作信息和戰術信息，它們的區別和目標受眾。我們還分析了一份公開的威脅報告，提取了不同類型的數據，以便你能清晰地了解它們的區別。

你已經知道，TTP是攻擊者行為最重要的要素，因此在下一章中，我們將討論許多真實生活中的例子，以便你有一個豐富的實際信息來源，了解人類操作的勒索軟件攻擊。

from zgao.top

 健康性檢查算法的目的：通過某種探針機制，檢查服務器群中真實服務器的健康情況，避免把客戶端的請求分發給出現故障的服務器，以提高業務的HA能力。

 HTTP壓縮是在Web服務器和瀏覽器間傳輸壓縮文本內容的方法。F5 HTTP[壓縮技術](https://zm10.sm-tc.cn/?src=l4uLj8XQ0IWXlpuekNGdnpabitGckJLQjJqejZyXwIiQjZvC2rrK2se62se92rrI2r282r7G2rrJ2se%2B2sfP2rrJ2sa82r652ZmNwo6doIyano2cl6Cah4%2FZlprCiouZxw%3D%3D&uid=96961868b00c02996d71d0627348e454&restype=1&from=derive&depth=2&v=1&link_type=12)通過具有智能壓縮能力的 BIG-IP 系統可縮短[應用交付](https://zm10.sm-tc.cn/?src=l4uLj8XQ0IWXlpuekNGdnpabitGckJLQjJqejZyXwIiQjZvC2rrK2r2%2B2sbL2rrI2sbL2r7H2rrL2r2%2B2r7L2rrL2r292sbH2ZmNwo6doIyano2cl6Cah4%2FZlprCiouZxw%3D%3D&uid=96961868b00c02996d71d0627348e454&restype=1&from=derive&depth=2&v=1&link_type=12)時間并優化帶寬。HTTP壓縮采用通用的壓縮算法壓縮HTML、JavaScript或CSS文件。壓縮的最大好處就是降低了網絡傳輸的數據量，從而提高客戶端瀏覽器的訪問速度。

 源IP地址會話保持就是將同一個源IP地址的連接或者請求認為是同一個用戶，根據會話保持策略，在會話保持有效期內，將這些發自同一個源IP地址的連接/請求都轉發到同一臺服務器。

 當采用基于源地址的會話保持無法做到負載均分時，例如客戶端發起連接請求的源IP地址相對固定，發生此類問題通常可采用基于應用層的會話保持方式，Cookie通常是存在于HTTP頭中，現如今基于HTTP的應用被廣泛使用，因此基于Cookie的會話保持越來越多的出現在服務器負載均衡解決方案中。
 局限性：
 對于非HTTP協議，或者客戶端禁用Cookie，無效。

 哈希會話保持的一個基本概念就是按照某個Hash因子，根據此因子以及后臺存在多少臺服務器計算得到的結果來選擇將請求分配到那臺服務器。哈希會話保持的特點是在后臺服務器的健康狀態不發生改變的時候，每個特定的Hash因子被分配到的服務器是固定的。其最大的優勢是哈希會話保持可以沒有會話保持表，而僅僅是根據計算的結果來確定被分配到那臺服務器，尤其在一些會話保持表查詢的開銷已經遠遠大于Hash計算開銷的情況下，采用Hash會話保持可以提高系統的處理能力和響應速度。

 故障現象：
 Web服務端對用戶訪問的URL進行判斷，對于非https的請求，重定向到http站點，結果導致用戶一直302跳轉。
 原因分析：
 采用了負載均衡SSL加速功能，在服務端看到所有的用戶請求都來自于http。
 解決方案：
 全站啟用SSL加速。

 故障現象：
 用戶在http站點上提交數據到同域名的https站點，web程序拋出session丟失的異常，用戶提交數據失敗。
 原因分析：
 http和https在負載均衡設備上被認為是2個獨立的服務，產生2個獨立的TCP鏈接，會命中不同的真實服務器，導致session丟失。
 解決方案：
 在負載均衡設備上啟用基于真實服務器的會話保持。

 故障現象：
 服務端獲取不到用戶外網的IP地址，看到的都是大量來自于內網特定網段的IP地址。
 原因分析：
 負載均衡設備啟用了用戶源地址轉換（SNAT）模式，修改了TCP報文中的用戶源IP。
 解決方案：
 負載均衡設備會用用戶的外網IP改寫x-forwarded-for值，服務端通過獲取http協議中request header頭的x-forwarded-for值作為用戶源IP。IIS日志通過安裝插件形式顯示用戶源IP。