根據(jù)Chainalysis報(bào)告顯示,Conti在2021年收入至少達(dá)到1.8億美元,其斂財(cái)能力在勒索軟件組織中處于領(lǐng)先地位。
揭秘勒索攻擊
近年來,來自勒索軟件的攻擊一直呈快速上升趨勢(shì)。由于疫情而讓遠(yuǎn)程辦工成為常態(tài)后,更是如此。勒索軟件正在驅(qū)動(dòng)著“數(shù)字疫情”,不僅勒索軟件組織越來越多,攻擊模式也越來越多樣化,“勒索軟件即服務(wù)(RaaS)”和加密貨幣的非法商業(yè)模式正在形成。
Akamai安全研究人員對(duì)近期意外泄露的Conti的內(nèi)部文檔和聊天記錄進(jìn)行的審查和分析表明,它并不僅限于以大公司為目標(biāo),攻擊對(duì)象也包含了中小企業(yè)。
Akamai的分析揭示了Conti所使用的一系列具體戰(zhàn)術(shù)、技術(shù)和流程 (TTP) 及入侵指標(biāo) (IoC),讓我們可以了解現(xiàn)代勒索軟件團(tuán)體所使用的工具和技術(shù),以及藍(lán)隊(duì)可以使用的潛在反制技術(shù)。
泄露的文檔說明了Conti的網(wǎng)絡(luò)攻擊方法及其傳播目標(biāo),但尚未發(fā)現(xiàn)關(guān)于初始訪問行為的文檔或手冊(cè),只有各種網(wǎng)絡(luò)爬蟲的設(shè)計(jì)文檔。Akamai安全研究人員認(rèn)為,這可能表明該攻擊媒介從某種程度上來說是自動(dòng)化的,初始入侵之后便會(huì)使用操作員準(zhǔn)則。
Conti的攻擊場(chǎng)景是多層面的,而且非常注重細(xì)節(jié),并且是持續(xù)有效的模式:攻擊方法可以概括為“收集憑據(jù)、傳播、重復(fù)”。假定操作員可以訪問網(wǎng)絡(luò)中的某臺(tái)計(jì)算機(jī),那么,他們的目標(biāo)則是通過網(wǎng)絡(luò)進(jìn)行傳播。首先,操作員會(huì)嘗試轉(zhuǎn)儲(chǔ)和解密密碼,或者暴力破解密碼;之后,操作員根據(jù)指示在下一臺(tái)計(jì)算機(jī)上使用憑據(jù),擴(kuò)大他們的攻擊范圍,然后再重復(fù)第一個(gè)步驟。同樣,操作員也學(xué)會(huì)了要在獲取網(wǎng)絡(luò)主導(dǎo)權(quán)后才開始進(jìn)行加密,這樣可以確保盡可能擴(kuò)大攻擊的影響范圍。
Conti 的攻擊方法其實(shí)并不新穎,使用有效的工具和持久化技術(shù)便可以做到這一點(diǎn),其中主要涉及“觸摸鍵盤”。雖然有些功能可以用腳本進(jìn)行控制或者自動(dòng)執(zhí)行,但操作員通常需要竊取憑據(jù),并做出明智的網(wǎng)絡(luò)傳播決策。
Conti非常注重“觸摸鍵盤”網(wǎng)絡(luò)傳播,這表明我們需要強(qiáng)大的防御措施來阻止其橫向移動(dòng),而且這些措施會(huì)在抵御勒索軟件方面發(fā)揮關(guān)鍵作用。
抵抗Conti
針對(duì)勒索軟件組織可能采取的各種攻擊手段,企業(yè)必須時(shí)刻做好應(yīng)對(duì)的準(zhǔn)備。為確保免受Conti 等勒索軟件組織的威脅與攻擊,企業(yè)應(yīng)當(dāng)積極主動(dòng)地采取必要的措施來確保網(wǎng)絡(luò)免受其攻擊。因此,采用一個(gè)全面整合的零信任解決方案至關(guān)重要,可以保障企業(yè)免受勒索軟件等威脅,保護(hù)處于網(wǎng)絡(luò)核心的關(guān)鍵資產(chǎn)。
類似Conti這樣的勒索軟件組織,經(jīng)常通過收集市面上多種安全軟件來驗(yàn)證其攻擊的有效性,在此情況下,企業(yè)應(yīng)該如何驗(yàn)證自身防護(hù)的有效性?
Akamai 安全研究人員給出了建議:Conti 很大程度上依賴于現(xiàn)有用戶及其憑據(jù)來實(shí)現(xiàn)橫向移動(dòng)和訪問,加強(qiáng)對(duì)訪問人員和訪問位置的控制,并有意將高級(jí)用戶與日常活動(dòng)分開,可以極大程度地阻止和減緩橫向移動(dòng)流程,這樣做還可以實(shí)現(xiàn)更多的檢測(cè)面。除了控制用戶訪問權(quán)限之外,企業(yè)還可以控制通信路徑。禁用用戶端點(diǎn)之間可被濫用于橫向移動(dòng)的協(xié)議(RPC、RDP、WinRM、SSH 等),限制對(duì)文件共享的訪問,以及限制對(duì)數(shù)據(jù)庫和備用服務(wù)器的訪問,這些操作可以顯著減少網(wǎng)絡(luò)攻擊面。
對(duì)于企業(yè)愈加復(fù)雜的網(wǎng)絡(luò)環(huán)境以及多云應(yīng)用,Akamai提供了一整套創(chuàng)新和領(lǐng)先的零信任安全解決方案,包括Web應(yīng)用程序防火墻(WAF)、零信任網(wǎng)絡(luò)訪問(ZTNA)、域名系統(tǒng)(DNS)防火墻和Web安全網(wǎng)關(guān)(SWG),有助于企業(yè)防止成功侵入員工設(shè)備的攻擊者和惡意軟件獲得企業(yè)基礎(chǔ)設(shè)施和應(yīng)用程序的訪問權(quán)限,阻止勒索軟件等網(wǎng)絡(luò)攻擊。
此外,面對(duì)企業(yè)內(nèi)部的異構(gòu)系統(tǒng),Akamai還可以簡化管理流程,讓所有資源節(jié)點(diǎn)和終端設(shè)備都做到安全可視,第一時(shí)間找到問題所在,支持對(duì)企業(yè)中的資源進(jìn)行微細(xì)分,防止威脅因素、惡意軟件和勒索軟件的橫向感染和傳播。Akamai能夠在企業(yè)內(nèi)部構(gòu)建防范策略,將安全方案聚焦到有問題的設(shè)備和資源,幫助安全運(yùn)維人員第一時(shí)間發(fā)現(xiàn)并制止惡意行為,阻止勒索軟件在企業(yè)內(nèi)網(wǎng)擴(kuò)散。
據(jù)了解,Akamai平臺(tái)提供多重安全防護(hù),包括應(yīng)用程序和API保護(hù)、詐騙預(yù)防、基礎(chǔ)設(shè)施保護(hù)、訪問控制等等,兼顧安全和性能,并且可以實(shí)現(xiàn)統(tǒng)一的安全策略,消除各種不一致性。
寫在最后
盡管還不能全面了解Conti的內(nèi)幕,但是毋庸置疑的是企業(yè)必須擁有全面的網(wǎng)絡(luò)防御和安全控制措施,并確保它們有效運(yùn)行,盡可能多地識(shí)別和阻止多個(gè)層面的網(wǎng)絡(luò)攻擊。.
如此,企業(yè)才可以將網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)降到最低,保持有效的IT治理,防止自身業(yè)務(wù)系統(tǒng)以及聲譽(yù)免受損失。
