网络勒索攻击全过程揭秘（中）

2. 扩散

一旦“黑客”获得访问目标技术资源的权限，他们就会进入扩展阶段，在此过程中会建立持久性连接、进行侦察、更新攻击策略并扩大访问权限。这些活动并不是一个线性递进的过程，而是“你中有我，我中有你”，如图2所示。

图2 网络勒索攻击的“扩展”阶段

本阶段的活动包括以下内容：

建立持久性：“黑客”需要花费较多的时间和精力，并避开受害者的防御措施，来建立持久、可靠的访问。“黑客”可以通过安装远程访问工具、使杀毒软件失效、添加新帐户等等来实现这个目标。

进行侦察：“黑客”通过信息搜集的手段，例如网络映射、密码破解和侦听等，来扩大攻击的范围。

更新攻击策略：“黑客”利用搜集到的信息来确定他们的目标、计划和过程。

提升访问权限：“黑客”通过提升特权、网络横向移动，以及获得对不同应用程序和技术资源的访问，来实现他们对其它系统、帐户或其它网络资源的访问。

在此过程中，“黑客”的所有活动都为防卫者提供了发现和消除威胁的机会。每次交互都会生成独特且稳定的迹象，安全团队可以进行监控以识别威胁。

特别是在攻击的早期阶段，“黑客”处于最脆弱的状态，因为他们可能还不熟悉网络的实际情况，并可能在进行网络侦察和其他扩展活动时无意中发出“响声”。此阶段“黑客”所使用的访问方式以及工具集往往千差万别，因此防卫者所使用的入侵指标（IOC）和检测策略也完全不同。

2.1 持久化控制

仅仅进入受害者的网络一次，通常并不能达到“黑客”的目的。所以“黑客”必须在一段时间内反复地去访问受害者网络上的资源。

通常“黑客”在获得勒索的筹码（例如数据泄露、启动勒索软件）之前，已经在受害者的网络中“潜伏”了很久。这也意味着受害者有足够时间在最坏的情况发生之前发现并解除危机。

防御

“黑客”在这个阶段产生的痕迹会因为使用了不同的连接方案而有所差异，但无论采用哪种方案，都会生成周期性的网络流量。“黑客”经常会使用到命令和控制服务器（简称为C2服务器），来向被感染设备发送控制命令。另外，“黑客”也可能会使用标准的IT远程访问工具，如RDP、Anydesk或其他工具来控制被感染设备。

守卫者可能会注意到以下可疑网络活动的迹象：

• 可疑的源/目标IP地址和域。
• 陌生或异常进程产生的网络通信。
• 错误格式的通信：例如一个DNS请求中并没有包含正常的URL，取而代之的是使用Base64编码的内容。
• 未经授权的远程访问尝试。

2.2 进行侦察（信息收集）

现在“黑客”已经成功的打开了控制受害者计算机的通道，接下来他们需要执行信息搜集任务，以此来获取关于网络、关联设备以及可供进一步渗透的潜在目标。“黑客”可能使用内置的系统工具、第三方软件或两者并用来执行这些任务。“黑客”通常会搜集下列信息：

• 本地IP地址范围信息
• 可用子网
• 域信息
• 可用网络服务
• DNS信息

利用这些从网络中搜集到的信息，“黑客”可以高效地为当前可访问的网络环境建立模型，并借此构建下一步的最佳行动方案。此外，由于系统管理员经常在网络计算机名（比如Fileserver-01或DC-01）中包含功能描述，“黑客”可以借此找出那些具备高价值的目标，并针对其设计对应的攻击方案。

通常在网络侦察的早期阶段，“黑客”的行动就会留下很多蛛丝马迹。这也为守卫者提供了一个机会，可以大大降低“黑客”通过网络扩大战果的能力，甚至可能完全阻止他们的行动。

防御

以下迹象可能意味着网络中的恶意侦察：

• 端口扫描（NMAP）迹象
• 可疑计算机占用的网络资源使用量突然增加
• 出站网络流量在非正常时间达到峰值
• 出站网络流量增加

2.3 权限提升

一旦获得了最初的立足点，“黑客”就会努力扩展对其它网络资源的访问，比如那些存储了登录凭证或者可以用来控制网络资源的高价值系统。在此过程中，“黑客”将尝试获得额外的特权，特别是域管理员权限、对云租户/应用程序的管理访问权限。通常，“黑客”的活动至少会包括以下内容：

特权提升：“黑客”总是试图获得更高级别的的用户特权。在早期阶段，这通常是通过使用Mimikatz等工具从系统内存中抓取登录凭据、从Web浏览器中提取已保存的密码、捕获Kerberos令牌、或简单地在受感染的主机中搜索已记录的凭据来实现的。一旦“黑客”在整个网络中横向移动，他们可能会进行更复杂的特权提升攻击，包括窃取私钥、安全断言标记语言（SAML）、令牌伪造等。

横向移动：“黑客”试图通过使用被盗的密码、利用漏洞或应用其他策略来访问网络上的其他设备。有时网络中的所有设备都会使用相同的管理员密码，这为“黑客”的横向移动提供了极大的便利。

应用程序/云访问：“黑客”通过使用窃取的密码或利用本地系统和服务之间的信任关系访问应用程序和云计算租户（cloud tenants）的资源。

防御

“黑客”在进行扩展行为时的常见迹象包括：

• 本地管理员帐户的异常活动，包括网络身份验证或共享文件夹访问
• 从异常的或未经授权的工作站连接到了组织的核心资产
• 可疑应用程序的访问
• 不可能的行程警报

3. 评估

一旦进入受害者的环境，“黑客”通常会探索和识别任何有价值的数据。“黑客”可能会利用这些数据达成以下目的：

在勒索中施加压力：“黑客”可以利用那些受保护的数据，例如“受电子保护的医疗保健信息”（ePHI）或社会安全号码，来警告受害者可能会遭受罚款、监管调查或其他政府行动。

设定赎金要求：“黑客”可以参考受害者的财务细节和网络保险覆盖范围来提出赎金要求的金额。

销售：知识产权和个人身份信息（PII）都是可出售给第三方的有价值信息。“黑客”可以根据获取到的信息来更新他们的攻击策略。这通常包括确定是否安装勒索软件，确认要渗漏（exfiltrate）的信息，设置赎金要求等等。

防御

“黑客”可能正在评估受害者的基础设施时会产生的常见指标包括：

• 对文件的异常或非授权访问，通常会由第三方安全软件或安全信息和事件管理（SIEM）发出警报。
• 文件的最近一次的阅读/修改日期比实际情况要晚。
• 包含保险范围、财务等信息的电子邮件被复制或转发。

4.清场（Priming）

在发动全面攻击之前，“黑客”通常会对受害者的环境进行“清场”，以确保能尽可能多的取得和“受害者”谈判时的筹码。例如，在启动勒索软件之前，“黑客”可能会修改密钥的网络控制设置并禁用杀毒软件。这些步骤旨在消除障碍，提高下一阶段成功的可能性。

“黑客”通常会修改和/或禁用以下网络组件：

• 防病毒/安全软件
• 进程和应用程序
• 日志/监控系统
• 文件系统的配置和权限

4.1 防病毒软件和安全软件

防病毒软件和安全软件是“黑客”的拦路虎，它们可能在“黑客”行动的任何阶段发出警报。基于特征值的杀毒软件可以检测并删除掉“黑客”投放的恶意软件，而启发式的安全软件则会侦测到文件加密操作，并在其完成前中止该操作。因此，“干掉”安全软件是“黑客”的首要任务。通常“黑客”会采取以下措施：

禁用安全软件：如果“黑客”不担心会弄出“响声”的话，一个常见的策略就是杀死安全软件对应的活动进程，来禁用受害者目前正在使用的安全软件。这可以防止安全软件本身发出警报，但是却可能在受害者的网络中引发预警，从而引起IT安全人员的注意。

修改控制：在某些情况下，“黑客”可能会有权访问用于集中管理安全软件的控制台。如果软件允许进行全局更改的话，则“黑客”可以通过修改控制程序，在整个域中结束软件的运行。例如，“黑客”通常会将安全软件设置成“仅监视”模式，允许“黑客”在不受干扰的情况下自由分发恶意软件。

白名单：一个权限较高的“黑客”可以将自己的恶意软件添加到安全软件的白名单列表中。与更改服务一样，这种类型的更改需要访问中央管理平台，但是极少会引发安全软件的警报。虽然这不是最常见的逃避方法，但优点是受害者往往几乎注意不到这个白名单。

防御

以下迹象表明，网络上的安全软件可能受到攻击：

• 来自终端上杀毒软件无响应的警报
• 来自安全软件的状态更改警报

4.2 正在运行的进程和应用程序

很多应用程序都会以独占的形式来打开文件或数据库，这也是为了避免在使用期间这些文件被其它服务修改，从而最大程度的保证数据安全。这一点在数据库应用程序方面体现的尤为明显，例如SQL服务器应用程序，或者像QuickBooks这样的金融应用程序。这样做带来的正面效果就是，如果这些应用程序正在使用某些数据库和文件，那么勒索软件将无法对这些数据库和文件进行加密操作。

防御

可以使用下面的工具来发现“黑客”正在破坏你网络上的服务和应用程序的行为：

• 系统健康指示器，可以查看到此种类型的修改。
• 签名验证工具，例如ProcessHacker。

4.3 事件日志与监控软件

事件日志和监控软件可以帮助完成以下任务：

• 快速发现异常活动并挫败“黑客”
• 通过网络追踪“黑客”的活动，并消除任何安全漏洞
• 从网络中快速清除“黑客”
• 获得在谈判中可能被“黑客”利用的信息

因此，“黑客”经常会采取各种措施来破坏事件日志和监控软件。如果没有准确的日志记录，包括访问时间、文件系统探索、数据渗漏迹象等在内的有价值信息都将不复存在。而许多中小型组织都没有设置中央SIEM，在进行调查时只能依赖于受影响主机上的本地日志，这也使“黑客”的工作更加容易。

通常，“黑客”会使用以下策略来破坏事件日志和监控软件：

删除日志（Log deletion）：“黑客”可以删除系统关键部分的日志数据，以完全掩盖本地系统活动。这些关键部分通常包括Windows事件日志数据、链接列表、跳转列表、Windows资源管理器历史记录、Web浏览器历史记录等等。

停止服务（Stop services）：如果受害者的系统使用像Winlogbeat或Rsyslog这样的服务来集中收集日志，“黑客”就可以通过简单地中止本地系统上的导出服务，从而有效地停止数据的收集。

修改文件时间戳（Time-stomping）：“黑客”会篡改日志数据上的时间戳，从而使得整个攻击过程变得扑簌迷离，让调查者陷入误区。另外这样做也可以消除在整个攻击过程中使用过文件和程序的痕迹。

防御

以下迹象表明，事件日志与监控软件解决方案已被篡改：

• 提示“日志已经被清除”的事件日志（(例如Windows操作系统中的i.e., Event ID 1102 ）
• 日志清除工具“Sysinternals SDelete”的使用痕迹，这通常是“黑客”为了阻止调查者通过某种方式来恢复日志。
• 来自受监控主机的数据停止警报

4.4 帐户和权限

为了有效的启动勒索加密软件，“黑客”通常会在受害者的系统中添加至少一个账户，并设置好访问权限。以下是一些常用的策略：

创建新的管理员帐户：当黑客进入“清场”阶段时，他们通常已经拥有域管理员访问权限。然而，“黑客”通常会创建一个新的帐户来用于勒索软件的部署。这将使受害者更加难以追踪到敌人进行攻击时所真实使用的账户。

向“远程用户”组添加账户：新创建的用户可以访问已启用远程访问的所有端点。

获得未经授权的网络共享访问权限：这使得勒索软件能够加密共享的驱动器和已连接的设备（包括大多数情况下的备份）。

执行未经授权的软件安装：“黑客”使用通用的管理工具（如PsExec）来自动部署勒索软件。

防御

为以下情况设置日志记录和自动警报：

• 新的或未知的管理员帐户
• 远程连接活动的增多，或者用于远程访问服务的异常帐户的出现
• 在未经授权的情况下访问网络共享
• 安装未经授权的软件