微软情报团队看勒索：从自动化到手动

近些年，我们经常看到很多机构包括水利，电力，能源，医疗等基础设施机构甚至包括政府被勒索软件攻击。还有些团伙丝毫没有下限，利用疫情传播勒索软件，攻击医院。一旦攻击成功，带来的不仅是财务损失，而是患者的生命。

作为安全从业人员，我们需要思考，勒索软件到底意味着啥。我们的检测和防御体系如何应对这种挑战。这里我们看下微软情报团队如何看待勒索软件的趋势变化。

勒索最大的变化：从自动化到手动

很多人对勒索软件最深的印象还停留在2017年，WannaCry。

当年WannaCry利用永恒之蓝自动传播，导致校园网，医疗等机构大量文件被锁。我印象中公安的部分系统也被锁了，留下了这个经典界面。熊猫烧香在WannaCry面前不过是个弟弟。

安全从业人员这么经典的共同回忆，已然不多了。近几年大家的共同回忆只有挖矿了。各大公司安全人员打招呼的方式都是，听说你们那有30台主机被用来挖矿了？对方微微一笑，给你一个too naive的表情。不，是300台。

如果世界上的安全事件都像挖矿这样单纯又简单，这该是怎样的一个和谐社会啊！

然而，一切并没有如此简单。

在我们以为，通过公网封禁端口，给服务器打补丁就能解决问题的时候，勒索攻击者已经默默从自动化的勒索攻击变成了手动攻击。按微软的话说，就是：

勒索攻击采用了一些国家级黑客APT攻击的手法。

对检测和响应的影响：只不过是个挖矿？

在该报告里，微软提到了一个很有意思的地方。其实我们在《从金融黑客组织TA505和朝鲜国家队Lazarus思考钓鱼邮件分析》也有提到过类似观点。

微软追踪了一个勒索组织 PARINACOTA ，这个组织一开始可能使用攻陷的主机进行挖矿，发钓鱼邮件以及做代理。几周后再回来部署Wadhrama勒索软件。

这个组织非常暴力，通常控制网络中的一台机器后，在一个小时内完成勒索。

所以，你还敢说这只不过是一个挖矿么？

微软还提到，黑客经常使用商业恶意软件，类似于各种常规bot。往往被运营人员所忽略。不就一个常规bot告警嘛，重装下就好了。更有甚者，这个常规bot已经被杀软杀了啊，不用管了。

这里微软拿Ryuk举了个例子。一开始使用Trickbot打点，然后部署Ryuk勒索软件。

所以，微软认为当出现了Emotet，Dridex，Tickbot这些类似的告警，我们应该第一时间处置，并做系统被完全攻陷的假设来应对。

勒索方式变化

先前的勒索是通过加密用户文件，导致用户业务受损，要求用户交赎金。

而现在，如果用户不交赎金，勒索者已经开始尝试放出被加密的数据，通过GDPR的压力来迫使受害者屈服。

微软追踪的三个团伙的TTP

为啥说市面上对勒索软件的分析很多都是屎？

因为对于勒索软件，很多分析文章都只是分析勒索软件本身的功能。这对我们应对勒索软件的威胁并没有多大意义。

我们需要更多的Focus在攻击者全链路的攻击手法。通过多点布控，延缓和阻止攻击。

这里提供微软跟踪的三个团伙的TTP。

PARINACOTA

InitialAccess：RDP爆破，使用NLbrute.exe或者ForcerX，爆破admin，administrator，guest，test等账户

DefenseEvasion：关闭杀软，使用wevutil.exe清除日志

PrivilegeEscalation：粘滞键提权等

CredentialAccess：Mimikatz ，ProcDump，以及使用findstr搜索特定cookie

Persistence：修改注册表，允许RDP远程连接。安装远程管理软件或者后门。本地管理员组添加账户。添加Run或者Startup目录的自启动项。

Doppelpaymer

Ryuk

如何延缓和阻止攻击

---

微软给出了一个应对图。

但是，我觉得这个不够。

有一些关键点我想提一下。

方案一 端上阻断

**我先前在freebuf发过一个《基于异常行为的未知勒索软件检测》，代码链接：https://github.com/mogongtech/RansomDetection**。

核心思路就是投递诱饵文件，用诱饵文件对文件名进行占位，例如生成aaaa.txt,aaa.doc, zzz.xls,zzz.sql, zzz.db这样的诱饵文件，然后进行文件监控，一旦出现写入行为则进行拦截以及告警。

方案二 核心文件保护

使用微软提供的Controlled Folder Access功能，对存放重要文档的目录设置进程白名单。

详情参见：https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-atp/controlled-folders。

方案三 系统治理

1. 使用代理访问网络

2. 阻止非可信域名二进制文件下载

3. 限制工作站之间的通信，做好网络隔离

4. 禁用宏

5. 启用备份

6. 打补丁

方案四  US-CERT给出的方案

以上方法可以综合使用。

甲方安全人员该做啥？

随着勒索攻击方式的演进和勒索商业模式的变化，勒索带来的危害已经不仅仅是业务停摆，还包括公开的用户数据泄露事件。

甲方安全人员需要建立更多的纵深体系来检测和防御这个灰犀牛。安全运营人员也要时刻注意着头上悬着的达摩克利斯之剑。因为你漏掉的一个挖矿事件，一个bot事件，很可能会带来一次勒索的灾难。

在网络犯罪的这个战场上，没有人或组织可以高高挂起。我们要时刻揣着敬畏之心，建立更广泛的联盟，共同打击包括勒索在内的网络犯罪。

提供一个老外总结的历史勒索软件的检测特征和防御方法。

链接：https://pan.baidu.com/s/1L5JixKCppDEd4TCTzlveMA提取码：0qjf

参考

[1] https://www.microsoft.com/security/blog/2020/03/05/human-operated-ransomware-attacks-a-preventable-disaster/

[2] https://www.us-cert.gov/ncas/alerts/TA17-181A