欢迎访问电脑商情在线! 请免费注册
分享到





位置:首页 > 网络安全 > 业界新闻

Sophos揭示最经久不衰的勒索软件家族如何攻击受害者

作者: cbinews编辑   责任编辑:贾西贝 2019-12-24 08:38:26
来源:电脑商情在线关键字:Sophos

2019年12月23日 ─ 全球网络及端点安全领导厂商 Sophos 发布了防御者手册How Ransomware Attacks,解释了勒索软件变种如何攻击和影响受害者。该手册是对11月4日发布的《2020 威胁报告》的补充,并详细分析了11最经久不衰的软件家族,包括Ryuk,BitPaymer和MegaCortex。

SophosLabs的研究着重揭示了勒索软件如何通过滥用受信任的合法流程来试图躲避安全控制措施,然后利用内部系统加密最大数量的文件,并在IT安全团队发现之前禁用备份和恢复过程。

本手册涵盖相关工具和技术:

主要勒索软件家族的主要分发模式。勒索软件常通过这三种方式之一进行分发:以加密蠕虫的方式分发,可以将自身快速复制到其他计算机以发挥最大影响(例如WannaCry);勒索软件即服务(RaaS)的方式,在暗网上以分发工具包的形式出售(例如Sodinokibi);或通过自动的主动对手攻击分发,攻击者在对网络进行自动扫描后,对有弱点的系统手动部署勒索软件。报告中显示,这种自动的主动的攻击方式是顶级家族中最常使用的方法。

密码代码签名勒索软件通过购买或是窃取得来的合法数字证书,获得安全软件的信任而免于被系统分析。

特权升级利用随时存在的漏洞(例如EternalBlue)来提升访问权限。这使攻击者可以安装程序,例如远程访问工具(RAT),查看、更改或删除数据,创建具有完全用户权限的新帐户并禁用安全软件。

在整个网络中横向移动和搜寻文件并进行服务器备份,同时为了释放勒索软件攻击的全部影响而保持低调。攻击者可以在一小时内创建脚本,在网络端点和服务器上复制并执行勒索软件。为了加快攻击速度,勒索软件可能会优先处理远程/共享驱动器的数据,首先将较小的文档定为目标,然后同时运行多个加密过程。

远程攻击。文件服务器本身通常没有感染勒索软件,相反,威胁通常在一个或多个缺乏抵抗力的端点上运行,滥用特权用户帐户对文档进行远程攻击,有时通过远程桌面协议(RDP)或锁定远程监视和管理(RMM)解决方案,通常由托管服务提供商(MSP)来管理客户的IT基础架构和/或最终用户系统。

文件加密和重命名。有多种不同的文件加密方法,包括简单地重写文档,但是大多数都伴随着备份或原始副本的删除,从而阻碍了恢复过程。

该手册揭示了11个勒索软件家族是如何实现这些技术和应用这些工具的,这些勒索软件包括:WannaCry, GandCrab, SamSam, Dharma, BitPaymer, Ryuk, LockerGoga, MegaCortex, RobbinHood, Matrix 和 Sodinokibi。

报告的作者,Sophos威胁环节技术工程总监Mark Loman表示:“勒索软件的创建者非常了解安全软件的工作原理并据此相应地调整攻击。所有的设计都旨在避免检测,同时恶意软件会尽快加密尽可能多的文档,使情况变得艰难且有可能无法恢复数据。在某些情况下,攻击发生在IT团队在家睡觉的夜晚,当受害者意识到遭受了攻击,为时已晚。拥有强大的覆盖所有端点、网络和系统的安全控制、监视和响应系统,并在每次发布时安装软件更新十分重要。”

如何防范勒索软件

? 检查您是否拥有连接到网络的所有设备的完整清单,以及在这些设备上使用的任何安全软件是否为最新版本

? 始终在可行的情况下尽快在网络上的所有设备上安装最新的安全更新

? 按照以下说明,验证您的计算机是否针对WannaCry中使用的EternalBlue漏洞进行了修补: 如何验证机器是否易受EternalBlue攻击 - MS17-010

? 在脱机存储设备上定期备份最重要和最新的数据,因为这是避免在勒索软件影响下必须支付勒索的最佳方法

? 管理员应在支持该功能的所有管理系统上启用多因素身份验证,以防止攻击者在攻击期间禁用安全产品

? 安全没有灵丹妙药,分层的安全模型是所有企业实施的最佳实践

? 例如,Sophos Intercept X采用全面的纵深防御方法来进行端点保护,结合多种领先的下一代技术来提供恶意软件检测,漏洞利用保护以及内置的端点检测和响应(EDR)

完整的How Ransomware Attacks手册,SophosLabs Uncut文章,以及最具破坏性的勒索软件如何规避IT安全检测均已上线。

网友评论(0) 评论仅代表网友个人观点,不代表CBINews观点。
CBINews网友您好,欢迎发表评论:(注册 后发表评论,可就本文发起辩论,将会获得更多关注)
 CBINews网友  注册邮箱:  

CBI 友情链接:

至顶网 |  腾讯科技 |  凤凰科技 |  商业伙伴 |  移动信息化 |  企业网 |  中国软件网 |  CIO时代网 |  更多>>

整合营销 |  CBINews刊例 |  《电脑商情报》刊例 |  版权声明 |  友情链接

内容版权所有:电脑商情在线 北京三人行广告有限公司

地址:北京海淀区学院南路68号吉安大厦B座308。联系电话:(010)62178877

商务、内容合作QQ:2291221 联系电话:13391790444 詹老师

ICP证:川B2-20070068-5 川预审H8VZ-RBP6-X228-T60Z号 北京市公安局海淀分局备案编号:1101083710

声明:本媒体部分图片、文章来源于网络,版权归原作者所有,我司致力于保护作者版权,如有侵权,请与我司联系删除。