當(dāng)談到勒索軟件攻擊時(shí)，大多數(shù)時(shí)候沒有“確鑿的證據(jù)”來提示防御者發(fā)生了什么。相反，在攻擊的不同階段，往往有許多不同的危害跡象，當(dāng)單獨(dú)來看時(shí)，這些指標(biāo)似乎是良性的。因此，重要的是盡早確定盡可能多的危害跡象，然后確定它們是否符合事實(shí)，這使分析師能夠在攻擊鏈中及早發(fā)現(xiàn)勒索軟件攻擊的初始階段。

這對(duì)防止攻擊至關(guān)重要，因?yàn)榘踩珗F(tuán)隊(duì)必須在勒索軟件攻擊深入之前采取行動(dòng)，并在數(shù)據(jù)外泄和加密之前采取行動(dòng)，不幸的是，安全團(tuán)隊(duì)要識(shí)別勒索軟件攻擊的早期階段，需要進(jìn)行大量的手動(dòng)威脅搜索和調(diào)查工作，更不用說確定他們看到的指標(biāo)是否具有相關(guān)性了，這阻礙了安全團(tuán)隊(duì)在攻擊深入之前獲得阻止攻擊的機(jī)會(huì)的能力，勒索軟件被“引爆”。

這些關(guān)鍵階段是什么?你和你的安全團(tuán)隊(duì)如何在每個(gè)階段檢測勒索軟件?讓我們深入了解一下。

第一個(gè)階段：建立立足點(diǎn)

勒索軟件攻擊的第一階段是建立立足點(diǎn)。在攻擊者獲得網(wǎng)絡(luò)的初始訪問權(quán)限后，攻擊進(jìn)入此階段。最初的入侵可以通過許多不同的方式實(shí)現(xiàn)，但通常從電子郵件釣魚開始，黑客還可以從酒店或員工熱點(diǎn)等公共Wi-Fi中心獲取數(shù)據(jù)，這最終導(dǎo)致他們在公司設(shè)備上安裝初始勒索軟件組件，并期望員工重新連接到主要公司網(wǎng)絡(luò)，在那里攻擊可以進(jìn)行并建立立足點(diǎn)。

下一步，勒索軟件將建立命令和控制服務(wù)器的連接，然后確定如何進(jìn)一步滲透到網(wǎng)絡(luò)中并橫向移動(dòng)，以找到關(guān)鍵或敏感數(shù)據(jù)的存放位置，例如，黑客可以使用遠(yuǎn)程訪問特洛伊木馬來訪問主機(jī)，然后，黑客將探索網(wǎng)絡(luò)，識(shí)別主機(jī)服務(wù)，并嘗試將這些連接映射回集中式應(yīng)用程序，如數(shù)據(jù)庫。如果攻擊者能夠繞過當(dāng)前的訪問規(guī)則或竊取憑據(jù)以更有效地在網(wǎng)絡(luò)中移動(dòng)，那就更好了。

在這個(gè)早期階段，你如何既檢測到勒索軟件又阻止其發(fā)展?它需要識(shí)別整個(gè)網(wǎng)絡(luò)中奇怪或不尋常的用戶和實(shí)體行為，例如訪問其工作范圍之外的文件、在網(wǎng)絡(luò)上安裝外部非公司批準(zhǔn)的軟件、查看DNS查詢等。

其中許多活動(dòng)可能表示正常的IT管理員活動(dòng)，因此關(guān)鍵是能夠識(shí)別與用戶正常行為的區(qū)別。為此，安全團(tuán)隊(duì)需要部署將用戶行為分析和機(jī)器學(xué)習(xí)相結(jié)合的安全解決方案(例如，下一代SIEM解決方案)。如果安全團(tuán)隊(duì)看不到這一活動(dòng)，他們就無法在早期階段阻止勒索軟件。

第二個(gè)階段：提升特權(quán)并橫向移動(dòng)

權(quán)限提升和橫向移動(dòng)階段涉及進(jìn)一步訪問網(wǎng)絡(luò)上的其他系統(tǒng)。在獲得組織網(wǎng)絡(luò)的訪問權(quán)限后，黑客將繪制出他們可以安裝勒索軟件的所有地點(diǎn)，這一過程涉及黑客偵察網(wǎng)絡(luò)中的敏感信息、文件、應(yīng)用程序或任何可能對(duì)公司造成損害的東西，以便他們可以利用網(wǎng)絡(luò)獲得大筆贖金。獲得對(duì)可能包含更敏感信息的更大數(shù)據(jù)庫的訪問權(quán)限，將導(dǎo)致更嚴(yán)重的勒索軟件攻擊，并對(duì)黑客來說，獲得更大金額的贖金。

一旦黑客訪問了包含大量敏感信息的數(shù)據(jù)庫或控制了網(wǎng)絡(luò)，攻擊者將開始在不同地區(qū)部署PuTTY等軟件，進(jìn)一步建立他們的立足點(diǎn)，并為他們的勒索軟件創(chuàng)建備份，以防他們被發(fā)現(xiàn)。

這類事件的最新例子發(fā)生在拉斯維加斯，黑客組織Sundant Spider對(duì)米高梅的物業(yè)發(fā)動(dòng)了勒索軟件攻擊。黑客冒充他們在LinkedIn上找到的一名米高梅員工，通過呼叫公司的IT幫助臺(tái)并假扮成該員工進(jìn)入了米高梅的內(nèi)部系統(tǒng)和網(wǎng)絡(luò)。通過偽造憑證進(jìn)入網(wǎng)絡(luò)后，黑客引爆勒索軟件，關(guān)閉老虎機(jī)，將客人鎖在房間外，并對(duì)公司的網(wǎng)絡(luò)和應(yīng)用程序造成其他損害。

你如何檢測權(quán)限提升和橫向移動(dòng)是否正在發(fā)生?這種情況正在發(fā)生的一個(gè)明顯跡象是，你的網(wǎng)絡(luò)中安裝了新的未經(jīng)授權(quán)的應(yīng)用程序。如果下載了PuTTY等應(yīng)用程序，這可能是一個(gè)重大危險(xiǎn)信號(hào)，該應(yīng)用程序可能正在將危險(xiǎn)文件傳輸?shù)骄W(wǎng)絡(luò)。其他危害跡象包括：

• 訪問網(wǎng)站基礎(chǔ)設(shè)施
• 查找特定的DNS地址
• 連接到Dropbox等外部云服務(wù)

同樣，這些跡象可能很難區(qū)分，因?yàn)檫@些操作看起來可能是由某個(gè)有權(quán)訪問敏感數(shù)據(jù)的人做出的，但實(shí)際上是黑客在網(wǎng)絡(luò)上模仿它們。

第三個(gè)階段：安裝勒索軟件

一旦黑客找到關(guān)鍵數(shù)據(jù)，他們就會(huì)開始下載實(shí)際的勒索軟件有效載荷，他們可能會(huì)泄露數(shù)據(jù)，設(shè)置加密密鑰，然后對(duì)重要數(shù)據(jù)進(jìn)行加密，此階段的危害跡象包括與命令和控制服務(wù)器的通信、數(shù)據(jù)移動(dòng)(如果攻擊者在加密之前泄漏了重要數(shù)據(jù))以及圍繞加密流量的異常活動(dòng)。

在此階段進(jìn)行檢測需要更先進(jìn)的安全產(chǎn)品協(xié)同工作，將不同類型的分析模型鏈接在一起是在涉及勒索軟件時(shí)捕獲次要危害指標(biāo)的有效方法，因?yàn)樗鼈儗?shí)時(shí)收集網(wǎng)絡(luò)上的上下文，使安全團(tuán)隊(duì)能夠在發(fā)生異常行為時(shí)識(shí)別它。

如果安全警報(bào)被觸發(fā)，這些其他分析可以提供更多的上下文，以幫助識(shí)別更大的攻擊是否以及如何發(fā)生，但許多成功的勒索軟件攻擊根本不會(huì)觸發(fā)殺毒軟件，因此收集用戶行為的準(zhǔn)確圖景并將眾多指標(biāo)匯編成連貫的時(shí)間表至關(guān)重要。

雖然組織可能很難檢測勒索軟件攻擊，但能夠識(shí)別勒索軟件攻擊的所有細(xì)微危害跡象將幫助你的組織了解攻擊處于哪個(gè)階段，以及你可以做些什么來阻止它的發(fā)展。雖然這些危害跡象本身可能不具備參考價(jià)值，但將所有這些連接在一起的能力至關(guān)重要，通過使用機(jī)器學(xué)習(xí)技術(shù)以及行為分析和模型鏈，你的組織將擁有檢測和減輕勒索軟件攻擊造成的損害所需的工具。