駭客眼中的你,勒索只需要三步

2022-12-29|由 老李講安全 發表于 母嬰

前言 /preface/

近些年,勒索案件時有發生。每一個受害者都很震驚:駭客為什麼會盯上我?駭客是怎麼進來的?採購了那麼多安全裝置,怎麼還是會被勒索?

第一步 策略選擇:薄利多銷or高投高產

駭客發起勒索的目的是要賺錢,要計算成本和收益。

就像所有生意一樣,駭客也有兩種盈利策略:要麼壓低成本,薄利多銷;要麼高投入高產出,走高階路線。

01 薄利多銷的攻擊——無差別自動化攻擊

如果你有維護過暴露在公網的伺服器,你一定會發現,你的伺服器有大量的訪問量來自陌生的IP,其歸屬地並沒有你的業務或客戶,這樣的流量可能佔到伺服器總流量的50%以上。

為什麼會有這麼高的陌生訪問量呢?

原因就是公網上有大量伺服器,不停的對全網所有IP掃描,尋找存活的IP及其服務。

一旦發現某個IP有開放的服務,就會發起自動的攻擊。

常見的攻擊有弱口令爆破(如針對SSH、RDP、資料庫的爆破)和高危通用漏洞(Log4j反序列化漏洞、永恆之藍漏洞)。

駭客眼中的你,勒索只需要三步

駭客要做的只是搭幾臺伺服器,不停的對全網發起探測、爆破、漏洞利用。一旦入侵成功,會自動對伺服器價值進行評估——價值較高的,就發起勒索攻擊;價值不高的,就執行挖礦程式。並留下後門,長期控制該失陷主機。

駭客眼中的你,勒索只需要三步

很多人會說,我的伺服器沒有開其他埠,只開放 RDP 用於管理運維,且設定了複雜的密碼,這樣總沒問題吧?

然而,很多勒索案件就是這樣發生的。

密碼的強弱,不在於位數多或者有複雜的字元組合。關鍵在於,你的弱密碼在不在駭客的字典裡。

駭客會不停收集各網站洩漏的使用者口令,並透過各種組合產生巨量的密碼字典。

為了繞過防火牆的防爆破規則,駭客會利用IP代理池發起爆破。

目前網上有大量免費的IP代理池,IP每分鐘更新。有大量的IP,就不怕防火牆封禁。

駭客眼中的你,勒索只需要三步

這類攻擊的受害者,

大部分是小微企業。

由於安全投入不足,缺乏有效的網路安全建設和安全意識,給駭客留下可乘之機。

02 高投入高產出——針對特定目標的攻擊

如果你所在的公司,業務發展迅速,業績蒸蒸日上,知名度越來越大,千萬不要忘了,惦記你的駭客,也會越來越多。

一方面隨著企業實力增強,有更多資源投入到安全建設中,提高了安全水位。另一方面,隨著業務發展,企業的分支機構、合作伙伴、客戶也增多,

網路結構複雜,網路邊界治理變難,網路安全管理挑戰增加。

駭客眼中的你,勒索只需要三步

在駭客看來,企業支付贖金的能力和意願也提高了,駭客有了更強的動機。

第二步 資訊收集:尋找攻擊路徑

01 公開資訊收集

駭客在開始攻擊之前,首先會進行資訊收集。一般會收集目標企業的域名、子域名、IP、員工資訊(姓名、職務、郵件地址等),以及企業的子公司、分支機構等。這些資訊透過公司的官網、公告、新聞、網路空間搜尋引擎等公開途徑,都可以輕易得到。

收集資訊的目的,是為了找到目標企業安全防護的薄弱點。

02 洩漏資料收集

有大量的洩漏資料在駭客論壇出售。資料內容五花八門,知名網站資料庫洩漏的賬號資訊、遠端桌面賬號密碼、企業員工無意間上傳到github的登入金鑰等。

駭客眼中的你,勒索只需要三步

資訊不一定是從企業自身洩漏的。

如果企業某員工登入公司系統使用的口令,與其他常用網站相同,且都長期未更換,那麼任意一個他經常訪問的網站發生資料洩漏,都會間接影響所在企業的賬號安全。

一個洩漏的遠端桌面賬號,未必能引起注意,

但如果這個IP地址屬於某知名企業,它的價值就成倍提高了。

第三步 發動攻擊:隱秘行動,一擊必殺

01 邊路突破

馬奇諾防線非常堅固,但如果被繞過,就毫無用處。

通常企業會重點加強核心系統的安全防護,但對分散在全國各地的分支機構、合作伙伴,很難有效防護。這就給勒索留下了可乘之機。

某公司發生的勒索案例中,駭客會從防禦薄弱的分支機構入手,利用分支機構通往總部的專線,滲透進入總部核心系統,發起勒索攻擊。

駭客眼中的你,勒索只需要三步

02 發起勒索

勒索攻擊,必須加密核心資料才有價值。

但核心資料往往是企業重點保護的資產,安全防護不會少。比如安裝防毒軟體的主機,就有可能阻止勒索軟體執行。

但殺軟的病毒庫、規則庫是固定的,而駭客的攻擊方式是靈活多變的,

攻擊者會不停變換攻擊方式,多次試探,直到勒索成功。

某勒索案例,駭客在一個月中,先後使用三個不同的勒索軟體發起攻擊,前兩次都被攔截,直到第三次終於成功。

駭客眼中的你,勒索只需要三步

駭客的攻擊動作會觸發EDR、流量審計等裝置產生告警,但如果不能被及時處置,就毫無作用。大部分勒索攻擊都發生在深夜,

企業想要做到7x24h的及時處置,是非常難的。

03 多重勒索

駭客在完成資料加密後,還可能會留下後手。

最常見的是把重要資料上傳到自己控制的伺服器,並威脅不支付贖金就公開資料。

很多企業有完善的資料備份,不擔心資料被加密。但商業秘密遭到洩漏的風險是無法承擔的。

駭客眼中的你,勒索只需要三步

駭客還會留下後門,以便未來再次發起攻擊。

04 分工協作

勒索攻擊涉及的技術很多。在利益的驅使下,逐步向專業化分工的方向演化。有的負責竊取登入口令,有的負責開發能繞過防毒軟體的加密工具,有的負責提供支付贖金的賬號。力求在每一個環節做到極致,並發展出勒索即服務(Ransome-as-a-Service)的協作模式。

因此,企業面對的不再是單打獨鬥的駭客,而是有組織的專業團隊。

總結建議

Summarize recommendations

針對特定企業的勒索攻擊,是對企業網路安全的重大挑戰。為了應對這類攻擊,最重要的是:

♦摸清資產,明確重要資產,收斂暴露資產;

♦劃清邊界,隔離重要資產與一般資產;

♦強化監測,部署流量審計、EDR等裝置,並及時研判告警;

♦及時處置,發現攻擊及時阻斷。

TAG: 駭客勒索攻擊IP企業