为什么网络安全防御无法抵御勒索软件?

中科天齐软件源代码安全检测中心

共 3605字,需浏览 8分钟

 ·

2021-10-25 10:14

几乎每周都有一家大公司成为勒索软件攻击的受害者,那么如何改变企业现在所面临的巨大挑战?做到绝对安全很难,因为没有人能100%免受潜在网络攻击的威胁。勒索软件是如何一次有一次的发动成功的攻击?为什么我们没有更好地防御它们?

首先,我们来了解一些基础情况,然后再探讨主要原因。

1、软件自身安全问题

2、2FA使用滞后

3、用户错误永远不会消失

4、过时的杀毒方案

5、检测和响应延迟

6、LOLBin 技术更难检测

7、Cobalt Strike 和其他合法工具被重新利用

8、一流的网络犯罪合作

9、加密货币催化


软件自身安全问题


软件安全是网络安全的基础部分。作为网络中关键的基础部分,软件安全漏洞对网络攻击的成功与否起到很大作用。美国国家标准与技术局(NIST)、国家漏洞数据库(NVD)数据显示,90%以上的网络安全问题是由软件自身的安全漏洞被利用导致。随着数字化时代到来,网络系统中的软件呈爆发式增长,伴随而来的安全漏洞为发动网络安全事件增加攻击面。


2FA未普遍实施


双因素身份验证 (2FA) 是信息安全专业人员提倡的解决方案之一。尽管如此,我们仍会看到像Colonial Pipeline这样的漏洞发生,因为组织要么未能实施 2FA,要么未能“完全”实施。

任何需要用户名和密码才能访问的内容最好能启用2FA。包括电子邮件、业务应用程序、云部署、VPN等。


用户错误


现代网络钓鱼技术如此先进,即使是信息安全从业者也成为它们的牺牲品,那么普通用户怎么能表现得更好呢?

现代的网络钓鱼技术如此先进,以至于连信息安全从业者都成为了它们的牺牲品。

攻击者对他们的目标执行侦察并调整他们的技术以获得成功。许多员工的工作流程实际上是网络钓鱼攻击目标的一个案例研究。


防病毒解决方案依赖于容易绕过的检测逻辑


杀毒软件是现存最古老的安全软件,在过去20年里取得了长足的进步。然而,许多反病毒解决方案仍然依赖于过时的基于签名的系统来检测恶意软件。

使用反病毒检测恶意代码是基于代码的二进制签名,或文件哈希,这只在代码不改变的情况下有效。在编译代码之前重命名代码内部的函数,或者在代码内部移动代码块,会使以前可行的检测变得失效。

传统的AV不会“引爆”恶意软件——也就是说,在一个受保护的沙箱中运行代码——因此,即使恶意软件的行为与其特征无关,也很难检测到。

这个问题是如此系统性,以至于像Invoke-Obfuscation这样的框架存在,以帮助红队以及随后的恶意参与者绕过反病毒解决方案。


EDR/XDR/MDR 解决方案容易出现延迟


无数的“DR”(检测和响应)端点解决方案明显比防病毒软件更强大,但它们也有其局限性。

由于处理端点事件的逻辑存在于云中,这意味着在事件发生和到达管理员控制台之间可能会有几秒到几分钟的延迟。这使他们容易错过勒索软件的执行。

当勒索软件负载被激活时,整个网络可以在几秒钟甚至几分钟内关闭。勒索软件运营商经常会提前在网络中的所有系统中部署实际的勒索软件有效负载,这样有效负载就会在组织中的所有系统中几乎同时执行,并且比容灾解决方案能够检测到的速度快得多。

值得指出的是,来自同一供应商的DR+AV解决方案经常带有“阻止”选项,如果检测到恶意负载或操作序列,管理员可以通过该选项隔离/隔离计算机。然而,在实践中,这个选项通常是默认禁用的——由于担心由于误报而影响用户的生产力——它经常被禁用。


LOLBin技术更难检测


勒索软件成功的另一个常见原因是,运营商已经学会了使用一种称为“生活在陆地上的二进制文件”(LOLBins)的技术。

这些都是普通管理工具,通常在Microsoft Windows中,但所有现代操作系统都有一些。这些工具具有有效、合法的途径,管理员每天都在使用,这使得检测恶意使用这些工具变得非常困难。例如,最近泄露的Conti集团的事件表明,他们严重依赖标准的Windows管理工具。

在某些情况下,LOLBin工具可用于添加到代码中的附加功能,因为开发人员或客户曾希望他们的管理工具能够从 Internet 下载任意文件,或者工具本身可以作为辅助工具启动应用程序。

这样做是为了绕过称为应用程序允许列表的安全控制。允许列表”告诉操作系统不要运行任何软件,除非它已经由可信的供应商(苹果、谷歌、微软等)进行了数字签名。然而,通过欺骗一个有效的、已签名的应用程序来打开一个不受信任的、未签名的应用程序,攻击者可以通过操作系统的默认应用程序来绕过这种安全控制。


免费攻击工具集降低勒索软件组织门槛


就免费提供的工具(例如Metasploit和Mimikatz)或Cobalt Strike的盗版副本而言,攻击者从未有过更好的体验。

无论他们需要网络钓鱼工具集、混淆框架、初始访问工具、命令和控制 (C2) 基础设施、甚至是开源勒索软件有效载荷,几乎所有这些都可以在GitHub上免费找到。大多数人认为恶意行为者隐藏在暗网上,只向最阴暗的黑帽子出售比特币工具,但事实并非如此。

业界支持攻击性安全专业人员开发和发布攻击框架,理由是“防御者需要了解这些战术”。但这掩盖了这样一个事实,即攻击框架也会帮助攻击者,并使防御者更难跟上。

虽然防守者确实需要理解进攻战术,但在现实中,大多数防守者都忙于日常工作,没有时间测试每一个进攻框架,然后制定防守指导。

这些攻击工具中的大多数在使用过程中都有很好的文档记录,但在检测过程中却没有。虽然攻击者的进入障碍已经下降到“您能使用谷歌、GitHub并具备基本的计算机技能吗?”,但防御者不得不支付大量的钱来购买复杂的工具和设备,这些工具和设备可能只在受控的测试场景中表现良好。


勒索软件组织的合作能力


通过将工作分散到多个犯罪集团,它使战术、技术和程序 (TTP) 更难以归因于任何单个参与者,它可以混淆恶意参与者的意图,并允许勒索软件即服务 (RaaS)卡特尔优先考虑高价值目标。

RaaS的利润分享模式可以很好地激励这些参与者不断寻找新目标,同时将繁重的工作转移到更老练的专业人士身上。这种合作方式促成了一种高效的分工,犯罪集团将最初的渠道外包出去,并要求他们的分支机构选择高价值、高净值的组织,这些组织比小型家族企业更有可能支付赎金(尽管后者显然也不能幸免)。

一旦攻击者确定了他们所影响的业务和公司的价值,他们就会将赎金设置为受害者可以负担得起的金额。一次使一家公司损失10,000美元的攻击可能会使另一家公司损失 1,000万美元,而且它将使用完全相同的工具、攻击流程、访问代理和勒索软件负载。


私营和公共部门缺乏协调一致的反应和战略


勒索软件并不是一种新威胁,但它变得越来越容易实现、获得报酬并逃脱。一方面,由于此前公共层面没有明确的政策、方向或战略规划,使得受到攻击的企业除了支付赎金别无选择,另一方面,私营企业在网络安全防御上存在潜在风险或网络、应用软件安全透明度不高,给网络攻击者以行动的机会。

随着在网络、数据和信息保护相关领域的法律法规不断完善,企业和政府在打击网络犯罪上可以协同共进,增加互助合作的粘性。


加密货币推动整个行业发展


加密货币将因两件事而被铭记:促进勒索软件和成倍增加二氧化碳排放。严肃地说,如果没有一个强大的加密货币生态系统,勒索软件团伙将会被饿死。

加密货币助长了整个犯罪行业,因为它提供了一个绕过美国控制的全球金融体系的金融框架,通常很难追踪(即使赎金通常以比特币支付,然后它们被转移到另一个,在撤资前无法追踪加密货币),并很容易跨越国际边界。

虽然美国财政部最近制裁了加密货币交易所SUEX,称其涉嫌参与勒索软件犯罪,但这一行动只是沧海一粟。这些群体也可以转移到不同的交易所,要求受害者直接交易,或转向难以追踪的加密货币,如Monero。

如果美国政府想要严肃对待打击犯罪的加密货币行业,它应该以不可追踪的货币本身为目标,而是通过制裁任何允许这些交易和转换的企业(加密或其他)。


如何应对勒索软件祸害


没有什么灵丹妙药可以阻止勒索软件对计算、关键基础设施和我们日益互联的生活世界构成的生存威胁。但我们可以通过强化软件自身安全来提高网络的安全性。数据显示,90%的网络安全事件与安全漏洞被利用有关,而静态代码安全检测是在开发阶段降低软件安全漏洞的有效手段。记住,在软件开发早期发现并及时补救任何不安全的行为(无论有多小)都是比替代方案更经济的方法。


参读链接:https://threatpost.com/cybersecurity-failing-ransomware/175637/
浏览 24
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报