为了让 SOC 团队能够抵御勒索软件攻击,他们不仅需要拥有一套正确的安全工具,还需要了解勒索软件攻击的三个主要阶段。 在本文中,我们将深入探讨这些关键阶段,了解它们是如何展开的,以及发生了攻击的迹象,并回顾可以采取哪些措施来减轻任何损害。
当涉及到勒索软件攻击时,大多数时候他们不会"可靠的证据"提醒捍卫者发生了什么。 相反,有许多不同的妥协迹象 (IOCS) 往往出现在攻击的不同阶段,并且本身看起来无害。 因此,尽早确定尽可能多的 IOC,然后确定它们是否相关非常重要。 这使分析人员能够在攻击链的早期拼凑出勒索软件攻击的初始阶段。
这对于防止攻击至关重要,因为 SOC 团队必须在勒索软件攻击进展过快以及数据被泄露和加密之前采取行动。 不幸的是,SOC 团队需要大量的手动威胁搜寻和调查工作来识别勒索软件攻击的早期阶段,更不用说确定他们看到的迹象是否相关了。 这推迟了团队在攻击和勒索软件方面的成熟"爆炸"之前阻止攻击的能力。
这些关键阶段是什么?您和您的 SOC 团队如何在每个阶段检测勒索软件?让我们开始吧。
勒索软件攻击的第一阶段是建立立足点。 在攻击者获得对网络的初始访问权限后,攻击进入此阶段。 最初的违规行为可以通过多种不同的方式实现,但通常从电子邮件网络钓鱼开始。 黑客还可以从公共 Wi-Fi 中心(如酒店或员工热点)获取数据。 这最终导致他们在公司设备上安装初始勒索软件组件,期望员工重新连接到主要公司网络,从而使攻击继续进行并建立立足点。
接下来,勒索软件与命令和控制 (C2) 服务器建立连接,然后确定如何进一步渗透网络,横向移动以查找关键或敏感数据所在的位置。 例如,黑客可以使用远程访问特洛伊木马来访问主机。 然后,黑客将探索网络,识别主机服务,并尝试将这些连接映射回集中式应用程序,例如数据库。 如果攻击者能够规避当前的访问规则或窃取凭据以更有效地在网络上移动,那就更好了。
如何在早期阶段检测和阻止勒索软件?这需要识别网络上奇怪或异常的用户和实体行为,例如访问其工作范围之外的文件、在网络上安装未经公司批准的外部软件、查看 DNS 查询等。
其中许多活动可能表明 IT 管理员的活动是正常的,因此能够识别与正常行为方式的偏差至关重要。 为此,SOC 团队需要部署将用户行为分析与机器 习 相结合的安全解决方案,例如下一代 SIEM 解决方案。 如果 SOC 看不到这些活动,则无法在早期阶段阻止勒索软件。
权限提升和横向移动阶段涉及对网络上其他系统的进一步访问。 一旦黑客进入公司网络,他们就会发现勒索软件的安装位置。 在此过程中,黑客在网络上搜索敏感信息、文件、应用程序或任何可能对公司造成损害的东西,以便利用这些东西获得高薪。 访问可能包含更多敏感信息的更大数据库将导致更严重的勒索软件攻击,黑客也将获得更多报酬。
一旦黑客访问了包含大量敏感信息的数据库或控制了网络,他们将开始在不同区域部署 Putty 等软件,以进一步建立自己并创建勒索软件的备份,以防被发现。
此类事件的最新例子发生在拉斯维加斯,黑客组织 Scattered Spider 对米高梅的财产发起了勒索软件攻击。 黑客冒充他们在LinkedIn上找到的米高梅员工,通过致电公司的IT服务台并冒充该员工来访问米高梅的内部系统和网络。 黑客通过伪造凭证进入网络后,引爆了勒索软件,关闭了***,将客人锁在房间之外,并对公司的网络和应用程序造成了其他损害。
如何检测是否正在发生权限提升和横向移动?在网络上安装新的、未经授权的应用程序是这种情况正在发生的迹象。 如果您有像 putty 这样的应用程序,这可能是一个很大的迹象。 该应用程序可能正在将危险文件传输到网络。 其他入侵迹象包括:
访问基础设施。
查找特定的 DNS 地址。
连接到 Dropbox 等外部云服务。
同样,这些迹象可能很难分辨,因为这些行为看起来像是由被授权访问敏感数据的人完成的,但实际上它们被网络上的黑客模仿了。
一旦黑客找到关键数据,他们就会开始实际的勒索软件有效载荷。 他们可能会泄露数据,设置加密密钥,然后加密重要数据。 IOC 的这一阶段包括与 C2 服务器的通信、数据移动(如果攻击者在加密之前泄露重要数据)以及围绕加密流量的异常活动。
在此阶段执行检查需要更高级的安全产品才能协同工作。 对于勒索软件,将不同类型的分析模型链接在一起是捕获最轻微入侵迹象的有效方法,因为它们可以实时收集网络上下文,使 SOC 团队能够在发生异常行为时识别异常行为。
如果触发了安全警报,这些额外的分析可以提供更多上下文,以帮助拼凑出是否以及如何发生了更大规模的攻击。 然而,许多成功的勒索软件攻击根本不会触发防病毒软件,因此准确了解用户行为并将大量指标编译成一个连贯的时间线至关重要。
虽然检测勒索软件攻击对企业来说可能很困难,但能够识别勒索软件攻击的所有微妙 IOC 将有助于企业了解攻击处于哪个阶段以及如何阻止其发展。 虽然这些国际奥委会可能微不足道,但将它们联系在一起的能力至关重要。 通过使用机器习技术以及行为分析和模型链,您的企业将拥有检测和减轻勒索软件攻击造成的损害所需的工具。