利用勒索軟件來隱藏數據泄露和攻擊
責編:gltian |2019-04-10 14:23:07大多數勒索軟件只是用來獲取錢財。然而,它也可以作為攻擊者撤退策略的一部分,用來抹去更嚴重入侵的證據。
雖然勒索軟件攻擊呈下降趨勢——Darktrace表示,在2017年至2018年間,感染數量減少了28%——但這些勒索攻擊造成的威脅仍然非常嚴峻,因為這些攻擊不僅僅是擾亂了運營。更老練的攻擊者正在利用勒索軟件,在進行更嚴重攻擊的時候掩蓋他們的蹤跡。
除了增加業務中斷恢復成本之外,這種情況還為勒索軟件受害者造成了其他擔憂:攻擊真的只是為了騙取金錢,還是在為更險惡的目的打掩護?為了回答這個問題,勒索軟件受害者需要在受到攻擊后進行復盤調查。
當勒索軟件被用來掩蓋蹤跡
如同攻擊者利用DDoS攻擊分散注意力,用來隱藏在后臺進行的更嚴重攻擊,安全研究人員發現,攻擊者正在使用勒索軟件作為其撤退策略的一部分,幫助掩蓋和抹去更嚴重攻擊的證據。雖然傳播方式和普通勒索軟件相同——通常是一封釣魚郵件,以及一個帶有惡意文件的鏈接或附件,但其真實目標可能是刪除潛在的法律證據,并希望組織機構在從勒索軟件感染中恢復以后,不要進行進一步調查。
Cybereason首席信息安全官Israel Barak表示:
勒索軟件的典型攻擊方法是散彈槍式的將勒索軟件感染到人們的機器上,然后向他們索取要回數據或服務的費用。另一個種目的就是掩蓋蹤跡。這些工具表面看似勒索軟件:它們會加密數據,會發布贖金通知,還會索要錢財。他們甚至會告訴你如何付款的細節,但他們更習慣刪除端點上的數據,同時讓防御者相信數據丟失的原因是由于勒索軟件的隨機攻擊。
NotPetya可能是最著名的擦除器攻擊之一。然而,近年來一些安全事件中,攻擊者已經開始利用勒索軟件來隱藏證據。2017年,臺灣遠東國際銀行(Far Eastern International Bank)被Hermes惡意病毒的變體所攻擊,因為犯罪分子企圖通過攻擊隱藏竊取6000萬美元的意圖。McAfee的一項分析指出,此次攻擊中使用的這種變體實際上并沒有發布贖金通知,而BAE則將攻擊歸咎于與朝鮮有關的黑客組織Lazarus Group。2017年,日本多家公司受到ONI勒索軟件的攻擊,該攻擊的目的是通過刪除Windows事件日志來掩蓋一場精心策劃的黑客行動,避免防御者通過日志發現他們的行動。
Bitdefender的高級網絡威脅分析師Liviu Arsene表示:攻擊者在成功竊取數據后利用勒索軟件消除痕跡的情況并不少見。
實際上,攻擊者在成功實現目標后,投放勒索軟件掩蓋他們的蹤跡,已經成為一種相對常見的做法。
Arsene表示,他目睹了這種攻擊發生在從金融到關鍵基礎設施等各個領域。并表示,這些攻擊有一個確定的模式,它們可能會變成掩蓋蹤跡的標準作案手法。
其他擦除器勒索軟件包括GoldenEye(也稱為Petrwrap或Nyetya)、Ordinypt、LockerGoga,而較早的類型包括KillDisk和Shamoon。
攻擊者用勒索軟件隱藏了什么證據?
使用勒索軟件作為掩蓋工具的主要目的,是為了隱藏可以被用來了解事件的任何線索,包括工具、技術和程序,這些線索可以顯示出攻擊者是如何入侵的,他們停留的時間,以及訪問或提取了哪些信息。
擦除器勒索軟件可以加密攻擊者放置的包括日志文件到其他二進制文件內的任何文件,攻擊者會橫向移動這些文件以確保持久性。假設受害者設法通過解密工具解密數據,還會有基于硬盤主引導記錄(MBR)區分加密的勒索軟件,使得試圖恢復任何丟失信息變得更加困難。
Cybereason表示,勒索軟件還可以被放置到特定的地方,觸發重新成像和清理一個區域的進程,并讓IT部門在不知情的情況下幫助攻擊者進行清理工作。Barak表示:你可以擁有世界上最好的取證調查員,但如果機器被抹得一干二凈,他們就無法從中找出任何法律證據。
偽勒索軟件/擦除器勒索軟件 vs.業務優先級
在沒有調查清楚的情況下移除勒索軟件,可能意味著會丟掉關鍵線索,但與此同時,勒索軟件攻擊雖然有所減少,但仍然普遍存在,如果信息無法解密,就很難進行調查。
Arsene表示,正因為勒索軟件攻擊如此普遍,如果攻擊目標不是金錢,而是出于其他目的,大多數公司可能不會花太多時間進行調查。
大多數情況下,為了確保最短的宕機時間和業務連續性,公司會盡快從備份中恢復,而把取證工作放在一邊。
正如航運巨頭Maersk受到的攻擊,或最近的Norsk Hydro事件所證明的那樣,勒索軟件可能具有令人難以置信的破壞性和公開性,并會讓人們付出昂貴的代價。在NotPetya事件中,Maersk估計損失了3億美元。然而企業往往把重點放在盡快恢復運營上,以避免進一步虧損,并常常把徹底調查排在優先級清單最后。
Barak解釋道,標準的操作程序通常是從備份中恢復。顯然,如果多個服務器或端點受到影響,這是一個很大的挑戰,因為這非常耗時,在此期間服務器不可用,你基本上是在損失金錢。從攻擊者的角度來看,理想情況下,防御者將費心恢復服務可用性,認為他們是被普通勒索軟件隨機攻擊的,而不是花時間和精力去了解攻擊是如何發生的,為什么會發生,并考慮還發生了什么。
偽勒索軟件的警告標志
區分企圖進行敲詐和掩蓋蹤跡的勒索軟件是非常困難的。BitDefender的Arsene表示,任何不顯示贖金信息的勒索軟件攻擊通常都是一個致命的信號,攻擊者可能在掩蓋他們的蹤跡,但是除此之外,很少有其他明顯的線索。
Cybereasons的Barak表示,絕大多數情況下,勒索軟件表面上使用了擦除器,卻沒有人來收錢。這些看似是擦除器的程序通常是已知勒索軟件的修改版本。攻擊者使用了一個眾所周知的勒索軟件,他們只是把它修改成擦除器。
盡管被敲詐勒索時不建議支付贖金,在這種情況下你支付的贖金可能只是在浪費你的金錢,因為攻擊者并沒有設定接收贖金,或并沒有解密密鑰——甚至他們可能已經從你那里拿走了他們想要的東西。
相反,組織機構應將任何勒索軟件攻擊視為潛在的數據泄露,并啟動相應的調查和取證程序。想要了解勒索軟件的真正意圖,最好的方法是先發制人,在攻擊發生前充分了解網絡和端點活動。
勒索軟件無法隱藏網絡流量,這就是為什么取證調查需要覆蓋這方面,因為網絡流量通常揭示了異常的端點行為、橫向移動,甚至與C&Cs的通信。為了尋找勒索軟件可能被用于掩蓋數據泄露的證據,還應該進行網絡層面的調查,并分析可追溯到勒索事件發生前幾天,幾周甚至幾個月的所有網絡和終端事件記錄。