压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

大多數(shù)勒索軟件只是用來獲取錢財。然而，它也可以作為攻擊者撤退策略的一部分，用來抹去更嚴(yán)重入侵的證據(jù)。

雖然勒索軟件攻擊呈下降趨勢——Darktrace表示，在2017年至2018年間，感染數(shù)量減少了28%——但這些勒索攻擊造成的威脅仍然非常嚴(yán)峻，因為這些攻擊不僅僅是擾亂了運營。更老練的攻擊者正在利用勒索軟件，在進行更嚴(yán)重攻擊的時候掩蓋他們的蹤跡。

除了增加業(yè)務(wù)中斷恢復(fù)成本之外，這種情況還為勒索軟件受害者造成了其他擔(dān)憂：攻擊真的只是為了騙取金錢，還是在為更險惡的目的打掩護？為了回答這個問題，勒索軟件受害者需要在受到攻擊后進行復(fù)盤調(diào)查。

當(dāng)勒索軟件被用來掩蓋蹤跡

如同攻擊者利用DDoS攻擊分散注意力，用來隱藏在后臺進行的更嚴(yán)重攻擊，安全研究人員發(fā)現(xiàn)，攻擊者正在使用勒索軟件作為其撤退策略的一部分，幫助掩蓋和抹去更嚴(yán)重攻擊的證據(jù)。雖然傳播方式和普通勒索軟件相同——通常是一封釣魚郵件，以及一個帶有惡意文件的鏈接或附件，但其真實目標(biāo)可能是刪除潛在的法律證據(jù)，并希望組織機構(gòu)在從勒索軟件感染中恢復(fù)以后，不要進行進一步調(diào)查。

Cybereason首席信息安全官Israel Barak表示：

勒索軟件的典型攻擊方法是散彈槍式的將勒索軟件感染到人們的機器上，然后向他們索取要回數(shù)據(jù)或服務(wù)的費用。另一個種目的就是掩蓋蹤跡。這些工具表面看似勒索軟件：它們會加密數(shù)據(jù)，會發(fā)布贖金通知，還會索要錢財。他們甚至?xí)嬖V你如何付款的細(xì)節(jié)，但他們更習(xí)慣刪除端點上的數(shù)據(jù)，同時讓防御者相信數(shù)據(jù)丟失的原因是由于勒索軟件的隨機攻擊。

NotPetya可能是最著名的擦除器攻擊之一。然而，近年來一些安全事件中，攻擊者已經(jīng)開始利用勒索軟件來隱藏證據(jù)。2017年，臺灣遠東國際銀行（Far Eastern International Bank）被Hermes惡意病毒的變體所攻擊，因為犯罪分子企圖通過攻擊隱藏竊取6000萬美元的意圖。McAfee的一項分析指出，此次攻擊中使用的這種變體實際上并沒有發(fā)布贖金通知，而BAE則將攻擊歸咎于與朝鮮有關(guān)的黑客組織Lazarus Group。2017年，日本多家公司受到ONI勒索軟件的攻擊，該攻擊的目的是通過刪除Windows事件日志來掩蓋一場精心策劃的黑客行動，避免防御者通過日志發(fā)現(xiàn)他們的行動。

Bitdefender的高級網(wǎng)絡(luò)威脅分析師Liviu Arsene表示：攻擊者在成功竊取數(shù)據(jù)后利用勒索軟件消除痕跡的情況并不少見。

實際上，攻擊者在成功實現(xiàn)目標(biāo)后，投放勒索軟件掩蓋他們的蹤跡，已經(jīng)成為一種相對常見的做法。

Arsene表示，他目睹了這種攻擊發(fā)生在從金融到關(guān)鍵基礎(chǔ)設(shè)施等各個領(lǐng)域。并表示，這些攻擊有一個確定的模式，它們可能會變成掩蓋蹤跡的標(biāo)準(zhǔn)作案手法。

其他擦除器勒索軟件包括GoldenEye（也稱為Petrwrap或Nyetya)、Ordinypt、LockerGoga，而較早的類型包括KillDisk和Shamoon。

攻擊者用勒索軟件隱藏了什么證據(jù)?

使用勒索軟件作為掩蓋工具的主要目的，是為了隱藏可以被用來了解事件的任何線索，包括工具、技術(shù)和程序，這些線索可以顯示出攻擊者是如何入侵的，他們停留的時間，以及訪問或提取了哪些信息。

擦除器勒索軟件可以加密攻擊者放置的包括日志文件到其他二進制文件內(nèi)的任何文件，攻擊者會橫向移動這些文件以確保持久性。假設(shè)受害者設(shè)法通過解密工具解密數(shù)據(jù)，還會有基于硬盤主引導(dǎo)記錄（MBR）區(qū)分加密的勒索軟件，使得試圖恢復(fù)任何丟失信息變得更加困難。

Cybereason表示，勒索軟件還可以被放置到特定的地方，觸發(fā)重新成像和清理一個區(qū)域的進程，并讓IT部門在不知情的情況下幫助攻擊者進行清理工作。Barak表示：你可以擁有世界上最好的取證調(diào)查員，但如果機器被抹得一干二凈，他們就無法從中找出任何法律證據(jù)。

偽勒索軟件/擦除器勒索軟件 vs.業(yè)務(wù)優(yōu)先級

在沒有調(diào)查清楚的情況下移除勒索軟件，可能意味著會丟掉關(guān)鍵線索，但與此同時，勒索軟件攻擊雖然有所減少，但仍然普遍存在，如果信息無法解密，就很難進行調(diào)查。

Arsene表示，正因為勒索軟件攻擊如此普遍，如果攻擊目標(biāo)不是金錢，而是出于其他目的，大多數(shù)公司可能不會花太多時間進行調(diào)查。

大多數(shù)情況下，為了確保最短的宕機時間和業(yè)務(wù)連續(xù)性，公司會盡快從備份中恢復(fù)，而把取證工作放在一邊。

正如航運巨頭Maersk受到的攻擊，或最近的Norsk Hydro事件所證明的那樣，勒索軟件可能具有令人難以置信的破壞性和公開性，并會讓人們付出昂貴的代價。在NotPetya事件中，Maersk估計損失了3億美元。然而企業(yè)往往把重點放在盡快恢復(fù)運營上，以避免進一步虧損，并常常把徹底調(diào)查排在優(yōu)先級清單最后。

Barak解釋道，標(biāo)準(zhǔn)的操作程序通常是從備份中恢復(fù)。顯然，如果多個服務(wù)器或端點受到影響，這是一個很大的挑戰(zhàn)，因為這非常耗時，在此期間服務(wù)器不可用，你基本上是在損失金錢。從攻擊者的角度來看，理想情況下，防御者將費心恢復(fù)服務(wù)可用性，認(rèn)為他們是被普通勒索軟件隨機攻擊的，而不是花時間和精力去了解攻擊是如何發(fā)生的，為什么會發(fā)生，并考慮還發(fā)生了什么。

偽勒索軟件的警告標(biāo)志

區(qū)分企圖進行敲詐和掩蓋蹤跡的勒索軟件是非常困難的。BitDefender的Arsene表示，任何不顯示贖金信息的勒索軟件攻擊通常都是一個致命的信號，攻擊者可能在掩蓋他們的蹤跡，但是除此之外，很少有其他明顯的線索。

Cybereasons的Barak表示，絕大多數(shù)情況下，勒索軟件表面上使用了擦除器，卻沒有人來收錢。這些看似是擦除器的程序通常是已知勒索軟件的修改版本。攻擊者使用了一個眾所周知的勒索軟件，他們只是把它修改成擦除器。

盡管被敲詐勒索時不建議支付贖金，在這種情況下你支付的贖金可能只是在浪費你的金錢，因為攻擊者并沒有設(shè)定接收贖金，或并沒有解密密鑰——甚至他們可能已經(jīng)從你那里拿走了他們想要的東西。

相反，組織機構(gòu)應(yīng)將任何勒索軟件攻擊視為潛在的數(shù)據(jù)泄露，并啟動相應(yīng)的調(diào)查和取證程序。想要了解勒索軟件的真正意圖，最好的方法是先發(fā)制人，在攻擊發(fā)生前充分了解網(wǎng)絡(luò)和端點活動。

勒索軟件無法隱藏網(wǎng)絡(luò)流量，這就是為什么取證調(diào)查需要覆蓋這方面，因為網(wǎng)絡(luò)流量通常揭示了異常的端點行為、橫向移動，甚至與C&Cs的通信。為了尋找勒索軟件可能被用于掩蓋數(shù)據(jù)泄露的證據(jù)，還應(yīng)該進行網(wǎng)絡(luò)層面的調(diào)查，并分析可追溯到勒索事件發(fā)生前幾天，幾周甚至幾個月的所有網(wǎng)絡(luò)和終端事件記錄。