概述

渗透测试其实就是一个攻防对抗的过程,所谓知己知彼,才能百战百胜。

如今的网站基本都有防护措施,大企业或大单位因为网站众多,一般都会选择大型防火墙作为保护措施,比如深信服、天融信等等,小单位或单个网站通常会选择D盾、安全狗或开源的安全软件作为保护措施,一些常见的开源waf有:OpenResty 、ModSecu

概述

渗透测试其实就是一个攻防对抗的过程,所谓知己知彼,才能百战百胜。

如今的网站基本都有防护措施,大企业或大单位因为网站众多,一般都会选择大型防火墙作为保护措施,比如深信服、天融信等等,小单位或单个网站通常会选择D盾、安全狗或开源的安全软件作为保护措施,一些常见的开源waf有:OpenResty 、ModSecu

宣传图1.jpg2020年9月10日,由 安世加(原安全+) 主办的EISS企业信息安全峰会之深圳站再次重磅归来,这是EISS系列峰会的第九届,也是第二届深圳站峰会。不变的主题,全新的议题,重量级的嘉宾分享,后疫情时代首次线下峰会!今夏不容错过的安全圈盛会即将拉开序幕!等什么,赶快来报名吧!

“EISS企业信息安全峰会”始办于2016年,由 安世加(原安全+) 主办,并得到众多行业协会、机构以及媒体等共同参与支持。大会以“直面信息安全挑战,创造最佳实践”为主题,聚焦企业信息安全技术与实践应用等热点话题,致力于推进企业信息安全体系建设、加强企业信息安全管理、助推企业信息安全生态圈的健康发展。

议程.jpg 

扫描二维码

报名参与本次峰会

深圳报名二维码.png

媒体logo.png

 媒体logo2.png


宣传图1.jpg2020年9月10日,由 安世加(原安全+) 主办的EISS企业信息安全峰会之深圳站再次重磅归来,这是EISS系列峰会的第九届,也是第二届深圳站峰会。不变的主题,全新的议题,重量级的嘉宾分享,后疫情时代首次线下峰会!今夏不容错过的安全圈盛会即将拉开序幕!等什么,赶快来报名吧!

“EISS企业信息安全峰会”始办于2016年,由 安世加(原安全+) 主办,并得到众多行业协会、机构以及媒体等共同参与支持。大会以“直面信息安全挑战,创造最佳实践”为主题,聚焦企业信息安全技术与实践应用等热点话题,致力于推进企业信息安全体系建设、加强企业信息安全管理、助推企业信息安全生态圈的健康发展。

议程.jpg 

扫描二维码

报名参与本次峰会

深圳报名二维码.png

媒体logo.png

 媒体logo2.png


Exploit Database

Exploit Database 是最大的公开漏洞利用库。截至目前,Exploit Database中有45450个漏洞利用。图1左是按照漏洞利用类型分类的漏洞利用数和公布时间,图1右是按照平台分布的漏洞利用。统计数据表明web应用是2003之后最流行的漏洞利用。

Left side bar graph shows number of exploits published since 2000, categorized by Web apps, Paper, Shell code, remote, local or DOS. The pie chart on the right categorizes the state of exploit development based on the platforms they were written on, including unix, linux x86, cgi, asp, hardware, linux, windows and multiple platforms.

图1(左)按照漏洞利用类型分类的漏洞利用数和公布时间(右)按照平台分布的漏洞利用

图2是CVSS 2.0评分和漏洞利用的严重等级。49%的漏洞利用为严重等级为high(CVSS >=7),45%的漏洞利用为严重等级为medium(4=<CVSS <7)。换句话说,94%的公开漏洞利用的严重等级为medium或high。

The bar graph on the left shows number of exploits (y-axis) and CVSS score (x-axis). The pie chart on the right illustrates the state of exploit development in terms of severity, categorized as low (CVSS < 4), medium (CVSS < 7 and >= 4) and high (CVSS >=7).

图2. 2000年后公布的漏洞按严重等级划分

漏洞、补丁和漏洞利用之间的时间差

为更好地理解公开漏洞利用的影响,研究人员分析了漏洞利用和相关的CVE编号。此外,还有的漏洞利用没有对应的CVE编号,有些漏洞利用的CVE编号可能还没有公布。目前,Exploit Database中有11079(约26%)的漏洞利用有对应的CVE编号。本研究只关注那些有CVE编号的公开漏洞利用,并分析了漏洞发现、公开漏洞利用以及发布补丁的时间。

图3 是漏洞发现到公开CVE编号的时间线。精确的漏洞发现时间一般是不知道的,但分配CVE-ID的时间和CVE在CVE数据库中发布的时间是可以查到的。一般来说,CVE公布的时间就在厂商发布补丁之后的。一旦补丁发布,攻击者就可以通过逆向补丁来恢复出漏洞。从中可以看出,大多数的漏洞利用开发和公布的时间在补丁发布后的一周内。一些厂商可能会选择延迟CVE发布的时间来给用户更多的时间去更新补丁。

当CVE正式公布后,与漏洞相关的信息就会全部公开。此时,安全厂商开始开发漏洞签名和保护策略。大多数的攻击者也开始进行漏洞利用。在这场攻防对抗的游戏中,速度决定成败。也就是说CVE公布的时间、补丁和漏洞利用发布的时间对安全来说都是非常重要的。

The chart shows possible timelines for exploit development, illustrating what is considered a zero-day vulnerability vs. what is considered an N-day vulnerability, showing both in terms of when vulnerabilities are discovered, when a CVE is assigned, when a patch is released and when a CVE is published.  

图3. 漏洞发现/公布、补丁发布和漏洞利用公布的时间

Number of exploits (y-axis) vs. Week from exploit publication and patch release (x-axis)

图4. 补丁发布后几周内漏洞利用公布的数量

图4是补丁发布后每周漏洞利用公布的数量。Week 1表示漏洞补丁发布后1周内漏洞利用公布的数量。对0 day漏洞,补丁发布日期前公布漏洞利用的week为负值。因为漏洞补丁发布的时间不在Exploit Database和CVE库中,因此研究人员对2015年以来的500个高危漏洞利用作为样本进行了分析。分析发现,14%的漏洞利用在补丁发布前公开,23%的漏洞利用是在补丁发布后1周内公开的,有50%的漏洞利用是在补丁发布后一个月公开的。平均情况下,漏洞利用是在补丁发布后37天公开的。

图5是CVE公布后几周内漏洞利用公开的数量。与图4类似,漏洞利用公布时间早于CVE编号发布时间的week数为负。研究人员发现,有80%的漏洞利用公布时间早于CVE发布时间。一般来说,漏洞利用的发布时间比CVE的发布时间早23天。此外,还有75%的漏洞利用没有对应的CVE编号。

研究人员分析CVE数据库后发现,并不是所有的CVE都是在补丁发布后立刻公布的。因此,CVE发布后,漏洞利用已经发布了,这也说明攻击者比安全研究人员快一步。

Number of exploits (y-axis) vs. Week from cve publication to exploit publication (x-axis)

 图 5. CVE公布后几周内漏洞利用公开的数量

CVE编号分配后,CVE的状态就会变成reserved(预留)。预留的CVE的详细信息在CVE官方发布后不会公开。截至目前,研究人员分析了CVE列表中的177043条记录,并计算了预留的CVE数。

图6是1999年以来公布的CVE和预留CVE数量。平均来看,在CVE-ID分配40天后,CVE就会公布。但仍有超过10000个CVE的预留状态超过2年。这表明漏洞发现和CVE公布之间有很长的时间延迟。虽然有很多厂商会在补丁发布后尽快公布CVE,但仍有厂商没有及时更新CVE 状态。这些数也解释了为什么又这么多的漏洞利用在CVE官方发布之前就公开了。

Number of CVEs (y-axis) vs year (x-axis). Blue bars illustrate published CVEs and a red line illustrates reserved CVEs without a published CVE.

图6. 公布的CVE和预留的CVE数量(按年)

结论

研究人员分析的这45450个公开的漏洞利用只是漏洞利用中的一小部分。许多漏洞利用其实并没有公开,只私人拥有或在黑市交易。研究中并没有将这些数量纳入。研究再次确认了及时修复补丁和更新的重要性。随着补丁的发布,机器被黑的可能性就变大了,因此建议用户在补丁发布后尽快更新和修复。

Exploit Database

Exploit Database 是最大的公开漏洞利用库。截至目前,Exploit Database中有45450个漏洞利用。图1左是按照漏洞利用类型分类的漏洞利用数和公布时间,图1右是按照平台分布的漏洞利用。统计数据表明web应用是2003之后最流行的漏洞利用。

Left side bar graph shows number of exploits published since 2000, categorized by Web apps, Paper, Shell code, remote, local or DOS. The pie chart on the right categorizes the state of exploit development based on the platforms they were written on, including unix, linux x86, cgi, asp, hardware, linux, windows and multiple platforms.

图1(左)按照漏洞利用类型分类的漏洞利用数和公布时间(右)按照平台分布的漏洞利用

图2是CVSS 2.0评分和漏洞利用的严重等级。49%的漏洞利用为严重等级为high(CVSS >=7),45%的漏洞利用为严重等级为medium(4=<CVSS <7)。换句话说,94%的公开漏洞利用的严重等级为medium或high。

The bar graph on the left shows number of exploits (y-axis) and CVSS score (x-axis). The pie chart on the right illustrates the state of exploit development in terms of severity, categorized as low (CVSS < 4), medium (CVSS < 7 and >= 4) and high (CVSS >=7).

图2. 2000年后公布的漏洞按严重等级划分

漏洞、补丁和漏洞利用之间的时间差

为更好地理解公开漏洞利用的影响,研究人员分析了漏洞利用和相关的CVE编号。此外,还有的漏洞利用没有对应的CVE编号,有些漏洞利用的CVE编号可能还没有公布。目前,Exploit Database中有11079(约26%)的漏洞利用有对应的CVE编号。本研究只关注那些有CVE编号的公开漏洞利用,并分析了漏洞发现、公开漏洞利用以及发布补丁的时间。

图3 是漏洞发现到公开CVE编号的时间线。精确的漏洞发现时间一般是不知道的,但分配CVE-ID的时间和CVE在CVE数据库中发布的时间是可以查到的。一般来说,CVE公布的时间就在厂商发布补丁之后的。一旦补丁发布,攻击者就可以通过逆向补丁来恢复出漏洞。从中可以看出,大多数的漏洞利用开发和公布的时间在补丁发布后的一周内。一些厂商可能会选择延迟CVE发布的时间来给用户更多的时间去更新补丁。

当CVE正式公布后,与漏洞相关的信息就会全部公开。此时,安全厂商开始开发漏洞签名和保护策略。大多数的攻击者也开始进行漏洞利用。在这场攻防对抗的游戏中,速度决定成败。也就是说CVE公布的时间、补丁和漏洞利用发布的时间对安全来说都是非常重要的。

The chart shows possible timelines for exploit development, illustrating what is considered a zero-day vulnerability vs. what is considered an N-day vulnerability, showing both in terms of when vulnerabilities are discovered, when a CVE is assigned, when a patch is released and when a CVE is published.  

图3. 漏洞发现/公布、补丁发布和漏洞利用公布的时间

Number of exploits (y-axis) vs. Week from exploit publication and patch release (x-axis)

图4. 补丁发布后几周内漏洞利用公布的数量

图4是补丁发布后每周漏洞利用公布的数量。Week 1表示漏洞补丁发布后1周内漏洞利用公布的数量。对0 day漏洞,补丁发布日期前公布漏洞利用的week为负值。因为漏洞补丁发布的时间不在Exploit Database和CVE库中,因此研究人员对2015年以来的500个高危漏洞利用作为样本进行了分析。分析发现,14%的漏洞利用在补丁发布前公开,23%的漏洞利用是在补丁发布后1周内公开的,有50%的漏洞利用是在补丁发布后一个月公开的。平均情况下,漏洞利用是在补丁发布后37天公开的。

图5是CVE公布后几周内漏洞利用公开的数量。与图4类似,漏洞利用公布时间早于CVE编号发布时间的week数为负。研究人员发现,有80%的漏洞利用公布时间早于CVE发布时间。一般来说,漏洞利用的发布时间比CVE的发布时间早23天。此外,还有75%的漏洞利用没有对应的CVE编号。

研究人员分析CVE数据库后发现,并不是所有的CVE都是在补丁发布后立刻公布的。因此,CVE发布后,漏洞利用已经发布了,这也说明攻击者比安全研究人员快一步。

Number of exploits (y-axis) vs. Week from cve publication to exploit publication (x-axis)

 图 5. CVE公布后几周内漏洞利用公开的数量

CVE编号分配后,CVE的状态就会变成reserved(预留)。预留的CVE的详细信息在CVE官方发布后不会公开。截至目前,研究人员分析了CVE列表中的177043条记录,并计算了预留的CVE数。

图6是1999年以来公布的CVE和预留CVE数量。平均来看,在CVE-ID分配40天后,CVE就会公布。但仍有超过10000个CVE的预留状态超过2年。这表明漏洞发现和CVE公布之间有很长的时间延迟。虽然有很多厂商会在补丁发布后尽快公布CVE,但仍有厂商没有及时更新CVE 状态。这些数也解释了为什么又这么多的漏洞利用在CVE官方发布之前就公开了。

Number of CVEs (y-axis) vs year (x-axis). Blue bars illustrate published CVEs and a red line illustrates reserved CVEs without a published CVE.

图6. 公布的CVE和预留的CVE数量(按年)

结论

研究人员分析的这45450个公开的漏洞利用只是漏洞利用中的一小部分。许多漏洞利用其实并没有公开,只私人拥有或在黑市交易。研究中并没有将这些数量纳入。研究再次确认了及时修复补丁和更新的重要性。随着补丁的发布,机器被黑的可能性就变大了,因此建议用户在补丁发布后尽快更新和修复。

北京时间8月28日,CertiK安全研究团队发SushiSwap项目智能合约中存在多个安全漏洞。该漏洞可能被智能合约拥有者利用,允许拥有者进行包括将智能合约账户内的代币在没有授权的情况下取空等操作在内的任意操作。同时该项目智能合约还存在严重的重入攻击漏洞,会导致潜在攻击者的恶意代码被执行多次。

技术解析

MasterChief.sol:131 

图片来源:https://github.com/sushiswap/sushiswap/blob/master/contracts/MasterChef.sol

在SushiSwap项目MasterChief.sol智能合约的131行中,智能合约的拥有者可以有权限来设定上图中migrator变量的值,该值的设定可以决定由哪一个migrator合约的代码来进行后面的操作。

MasterChief.sol:136 。

图片来源:https://github.com/sushiswap/sushiswap/blob/master/contracts/MasterChef.sol

当migrator的值被确定之后(如上图中142行代码显示),migrator.migrate(lpToken)也就可以被随之确定。由migrate的方法是通过IMigratorChef的接口来进行调用的,因此在调用的时候,migrate的方法中的逻辑代码会根据migrator值的不同而变化。

简而言之,如果智能合约拥有者将migrator的值指向一个包含恶意migrate方法代码的智能合约,那么该拥有者可以进行任何其想进行的恶意操作,甚至可能取空账户内所有的代币。

同时,在上图142行中migrator.migrate(lpToken)这一行代码执行结束后,智能合约拥有者也可以利用重入攻击漏洞,再次重新执行从136行开始的migrate方法或者其他智能合约方法,进行恶意操作。

该漏洞的启示(划重点)

· 智能合约拥有者不应该拥有无限的权利,必须通过社区监管及治理(governance)来限制智能合约拥有者并确保其不会利用自身优势进行恶意操作。

· 智能合约代码需要经过严格的安全验证和检查之后,才能够被允许公布。

当前SushiSwap项目创建者表示,已将该项目迁移到时间锁定(Timelock)合约,即任意SushiSwap项目智能合约拥

有者的操作会有48小时的延迟锁定。

在此CertiK技术团队建议大家在智能合约公布前,尽量寻找专业团队做好审计工作,以免项目出现漏洞造成损失。

北京时间8月28日,CertiK安全研究团队发SushiSwap项目智能合约中存在多个安全漏洞。该漏洞可能被智能合约拥有者利用,允许拥有者进行包括将智能合约账户内的代币在没有授权的情况下取空等操作在内的任意操作。同时该项目智能合约还存在严重的重入攻击漏洞,会导致潜在攻击者的恶意代码被执行多次。

技术解析

MasterChief.sol:131 

图片来源:https://github.com/sushiswap/sushiswap/blob/master/contracts/MasterChef.sol

在SushiSwap项目MasterChief.sol智能合约的131行中,智能合约的拥有者可以有权限来设定上图中migrator变量的值,该值的设定可以决定由哪一个migrator合约的代码来进行后面的操作。

MasterChief.sol:136 。

图片来源:https://github.com/sushiswap/sushiswap/blob/master/contracts/MasterChef.sol

当migrator的值被确定之后(如上图中142行代码显示),migrator.migrate(lpToken)也就可以被随之确定。由migrate的方法是通过IMigratorChef的接口来进行调用的,因此在调用的时候,migrate的方法中的逻辑代码会根据migrator值的不同而变化。

简而言之,如果智能合约拥有者将migrator的值指向一个包含恶意migrate方法代码的智能合约,那么该拥有者可以进行任何其想进行的恶意操作,甚至可能取空账户内所有的代币。

同时,在上图142行中migrator.migrate(lpToken)这一行代码执行结束后,智能合约拥有者也可以利用重入攻击漏洞,再次重新执行从136行开始的migrate方法或者其他智能合约方法,进行恶意操作。

该漏洞的启示(划重点)

· 智能合约拥有者不应该拥有无限的权利,必须通过社区监管及治理(governance)来限制智能合约拥有者并确保其不会利用自身优势进行恶意操作。

· 智能合约代码需要经过严格的安全验证和检查之后,才能够被允许公布。

当前SushiSwap项目创建者表示,已将该项目迁移到时间锁定(Timelock)合约,即任意SushiSwap项目智能合约拥

有者的操作会有48小时的延迟锁定。

在此CertiK技术团队建议大家在智能合约公布前,尽量寻找专业团队做好审计工作,以免项目出现漏洞造成损失。

Ransomware-Prevention-_-Practical-Steps-to-Reducing-Your-Attack-Surface-6.jpg

SentinelOne最近发布了一份关于企业的安全报告——《了解企业中的勒索软件》,这是一份全面的企业安全指南,可帮助组织理解、计划、响应和防范这种目前普遍存在的威胁。

这篇文章就是选取了其中的部分章节,还原了一个关于如何减少攻击面的示例。

随着网络办公成为一种常态,勒索软件攻击也呈现了上升态势,事实上,勒索即服务(Raas)和其相关产业所带来的好处(低风险和丰厚回报)表明,在可预见的未来,勒索软件将继续发展,并变得越来越复杂。

勒索软件即服务模式是指,勒索软件编写者开发出恶意代码,并提供给其他犯罪分子(有时通过购买),让他们可以通过网络钓鱼或其他攻击发送给目标用户。随着云计算、移动互联网、大数据、物联网等新技术的持续演进,网络安全形势变得尤为复杂严峻。网络攻击“道高一尺,魔高一丈”,网络安全问题层出不穷,给政府、企事业单位带来风险威胁级别升高,挑战前所未有。目前灰产、黑产环境比较复杂,很多攻击手段已经向云和SaaS服务方面发展,暗网已经存在专业提供勒索即服务(Raas)的服务模式,另外很多勒索攻击软件已经开源,易用性得到了极大的提高,同时也大大降低了网络攻击的技术门槛。  

例如,DopplePaymer勒索软件,SpaceX和美国宇航局NASA首次载人火箭发射成功后不久,一个名为DopplePaymer的勒索团伙即刻宣布他们入侵了一家名为DMI的公司内网,这家公司正是NASA的一家IT供应商,该团伙甚至嚣张地留下了祝贺信息来挑衅。按照惯例,DopplePaymer团伙在“泄密网站”上发布一些窃取的数据是为了向被入侵网络系统的公司索取赎金,倘若受害者(通常是一家大公司)仍然拒绝支付,他们将会公开所有的文件作为报复,并且向记者提供泄露信息。

通常,DopplePaymer使用闪电般的有效载荷在不到7秒的时间内对主机执行超过2000次恶意操作。这意味着,传统的检测和响应方法无法防止这种攻击,而防御者对勒索软件的响应往往是在勒索软件达到其目标后才开始。

为了更有效地防止勒索软件,请尽可能采取以下步骤。

威胁情报的收集

你对你的攻击面了解多少,只有知己知彼才能增强你的防御能力,并帮助你了解和控制你的攻击面。

高度组织化的犯罪软件组织,如Dridex和TrickBot已经证明了他们利用勒索软件作为主要攻击载体所取得的成功。Dridex 早期版本很原始,但这几年来该恶意软件变得越来越专业和复杂。事实上,Dridex 攻击活动在 2015 和 2016 年里非常活跃,已成最为普遍的电子犯罪恶意软件家族。TrickBot银行木马自2016年问世以来,一直活跃至今。它从最初的银行木马发展到今天已经成为一款强大的恶意家族软件,其功能包括盗取用户电子邮箱、收集系统信息以及盗取浏览器隐私信息等等。经过几年的发展,TrickBot银行木马已经变得高度模块化,其可以由威胁参与者根据目标环境进行配置,进而实现不同的恶意功能。在它们曾经主要依赖银行欺诈的地方,它们的业务已经发生了明显的变化。这吸引了许多新的创业公司试图效仿他们的成功。毫无疑问,RaaS的泛滥已经对许多公司网络造成了严重破坏。

然而,在迅速发展的勒索软件服务领域,各组织争夺主导地位的竞争似乎有所升级。运营商不再满足于个人用户,他们现在正在寻求巨额回报。运营商会在网络上连续数日或数周搜索,试图绘制数据点,找到最诱人的数据目标,从而为他们提供最佳的攻击手段。

勒索软件运营商现在正试图完善他们的勒索方案,美国联邦调查局在RSA发布的最新数据显示,RYUK勒索软件的运营者总共获得了6100万美元的收入。这一数字只包括了2018年2月至2019年10月期间的行动。2020年1月至今,工业企业的生产网络或办公网络遭受数十起勒索软件攻击,其中仅Ryuk勒索软件就感染了EVRAZ、EMCOR Group、EWA等多家工业企业,加密企业关键数据信息,导致企业停工、停产,造成重大的经济损失。

Maze和Revil (sodinokibi)的运营商正在利用媒体和数据泄露网站,以进一步威胁和羞辱受害者,以威胁支付他们满足勒索要求。Maze勒索软件在过去的大约一年时间里被广泛使用,成为全世界许多不同参与者的最终有效载荷。今年,臭名昭著的Maze运营商不仅开始通过加密文件勒索公司,而且威胁会在线发布被窃取的文件,从而勒索公司。最近,我们抓住了一个Maze会员,该会员尝试通过借由我们客户的网络进行传播。许多勒索软件家族,如DoppelPaymer, Clop, Netwalker, ATO和其他类似的网站都有泄露网站的操作。随着网络办公的兴起,这种攻击不太可能在短期内消失,这些恶意组织现在拥有大量的资金来加强他们的攻击并进一步改进他们的产品。

如何发现勒索攻击

勒索软件犯罪分子利用社交,移动,云和软件定义的网络等技术,利用BYOD,物联网和数字化转型计划所带来的挑战和漏洞。远程工作人员要求能够随时随地工作,同时访问公司数据和使用云应用程序也带来了挑战,并增加了攻击面。为了控制并采取行动,防御者的目标是使用主动和被动发现来连续发现所有连接的设备并对其进行指纹识别,以识别并创建甚至间歇性连接的设备的实时清单,以便用户查找和控制恶意终端。

软件漏洞允许攻击者使用开发工具包来传播勒索软件,通过了解终端和服务器上具有哪些操作系统,软件和版本,可以对终端发现进行补充,这对任何修补程序管理过程都很重要。比如:

1.哪些设备连接到我的环境?

2.在我的环境中连接了哪些设备?

3.设备最后一次或第一次出现在我的环境是什么时候?

4.哪些设备是未受管理和不受保护的?

5.什么是设备的IP?苹果电脑?制造商?类型?

6. 此设备是否打开了特定端口?

7.设备在这个端口上报告什么信息?

8.它连接在哪个网络(在哪个GW后面)?

9.连接的终端上安装了哪些应用程序?

10. 组织中是否有未经授权的应用程序在运行?

控制漏洞并强化配置

在你了解了环境中有哪些设备以及它们上安装了哪些程序之后,你需要控制访问、减轻漏洞并加固这些终端及其上的软件。

集中管理设备配置和遵从性的评估和实施对于减少攻击面非常重要,不兼容的设备应该重新配置和加固。加强VPN连接、强制磁盘加密和端口控制将减少勒索软件的攻击面。

修补程序管理是关键,但是由于每年都会出现数以千计的新漏洞,没有哪个组织会真正地修补每一个漏洞。拥有一个基于风险的结构化方法是最好的,但是没有一种方法是绝对正确的。

通过集中管理应用程序控制,安全团队可以控制在终端环境中运行的所有软件,并防止未修补的漏洞被利用。它允许新软件的授权,并防止其他未经授权的、恶意的、不可信的或不必要的应用程序的执行。

控制端的人为漏洞

通常,勒索软件最薄弱的环节是我们人类。主要的攻击渠道仍然是电子邮件或访问有风险的网站。网络钓鱼、鱼叉式网络钓鱼正变得越来越复杂和有针对性,它们附带着恶意文件或勒索软件链接,引诱那些用户去点击。

因此制定一项员工教育和培训计划,对于营造一种怀疑和警惕的企业安全文化很重要,与员工分享现实世界的例子,以及测试弹性很重要,但即便是最优秀的人也会有最脆弱的时刻。你可以降低风险,但不能仅仅通过培训来消除风险。

你可以使用包含以下功能的产品来提高电子邮件安全性:

1.对入站或存档电子邮件进行URL扫描,直到对网站进行恶意软件检查后才允许点击目标网站;

2.在发送之前,检测邮箱中带有攻击附件的邮件,并在点击前重定向到沙箱。

3.防止假冒、社会工程,域名窃取和掩盖;

勒索软件只有在感染病毒的用户更改和加密文件时才有权更改和加密文件,控制用户对关键网络资源的访问是必要的,以限制这种情况的暴露,并确保横向移动感染更加困难。

因此,确保特权是当前的和最新的,并且用户只能访问其职责所需的适当文件和网络位置是至关重要的。

监控和控制网络内外的用户行为将允许警报和操作自动响应对服务器,文件共享或网络异常区域的可疑偏差。由终端记录数据、凭证的使用和连接可以突出显示生产率变化或可能的安全破坏信号。可以使用像EDR这样的工具来记录每个文件的执行和修改、注册表更改、网络连接和跨组织连接终端的二进制执行,增强威胁的可见性以加快运行速度。

改善终端安全性

几乎所有组织都具有终端安全性,但是,为了防止勒索软件,仅靠静态检测和防病毒已远远不够。在终端保护中具有高级功能以及通过集中式管理系统执行终端管理和防御的能力变得越来越重要。

良好的终端安全性应该包括多个静态和行为检测引擎,使用机器学习和人工智能加速检测和分析。开发保护、设备控制、访问控制、漏洞控制和应用程序控制也很重要。在组合中添加终端检测和响应(EDR),提供取证分析和根本原因,以及诸如隔离、转移到沙箱和自动修复的回滚功能等即时响应操作,这些都是重要的考虑因素。

Ransomware-Prevention-_-Practical-Steps-to-Reducing-Your-Attack-Surface-6.jpg

SentinelOne最近发布了一份关于企业的安全报告——《了解企业中的勒索软件》,这是一份全面的企业安全指南,可帮助组织理解、计划、响应和防范这种目前普遍存在的威胁。

这篇文章就是选取了其中的部分章节,还原了一个关于如何减少攻击面的示例。

随着网络办公成为一种常态,勒索软件攻击也呈现了上升态势,事实上,勒索即服务(Raas)和其相关产业所带来的好处(低风险和丰厚回报)表明,在可预见的未来,勒索软件将继续发展,并变得越来越复杂。

勒索软件即服务模式是指,勒索软件编写者开发出恶意代码,并提供给其他犯罪分子(有时通过购买),让他们可以通过网络钓鱼或其他攻击发送给目标用户。随着云计算、移动互联网、大数据、物联网等新技术的持续演进,网络安全形势变得尤为复杂严峻。网络攻击“道高一尺,魔高一丈”,网络安全问题层出不穷,给政府、企事业单位带来风险威胁级别升高,挑战前所未有。目前灰产、黑产环境比较复杂,很多攻击手段已经向云和SaaS服务方面发展,暗网已经存在专业提供勒索即服务(Raas)的服务模式,另外很多勒索攻击软件已经开源,易用性得到了极大的提高,同时也大大降低了网络攻击的技术门槛。  

例如,DopplePaymer勒索软件,SpaceX和美国宇航局NASA首次载人火箭发射成功后不久,一个名为DopplePaymer的勒索团伙即刻宣布他们入侵了一家名为DMI的公司内网,这家公司正是NASA的一家IT供应商,该团伙甚至嚣张地留下了祝贺信息来挑衅。按照惯例,DopplePaymer团伙在“泄密网站”上发布一些窃取的数据是为了向被入侵网络系统的公司索取赎金,倘若受害者(通常是一家大公司)仍然拒绝支付,他们将会公开所有的文件作为报复,并且向记者提供泄露信息。

通常,DopplePaymer使用闪电般的有效载荷在不到7秒的时间内对主机执行超过2000次恶意操作。这意味着,传统的检测和响应方法无法防止这种攻击,而防御者对勒索软件的响应往往是在勒索软件达到其目标后才开始。

为了更有效地防止勒索软件,请尽可能采取以下步骤。

威胁情报的收集

你对你的攻击面了解多少,只有知己知彼才能增强你的防御能力,并帮助你了解和控制你的攻击面。

高度组织化的犯罪软件组织,如Dridex和TrickBot已经证明了他们利用勒索软件作为主要攻击载体所取得的成功。Dridex 早期版本很原始,但这几年来该恶意软件变得越来越专业和复杂。事实上,Dridex 攻击活动在 2015 和 2016 年里非常活跃,已成最为普遍的电子犯罪恶意软件家族。TrickBot银行木马自2016年问世以来,一直活跃至今。它从最初的银行木马发展到今天已经成为一款强大的恶意家族软件,其功能包括盗取用户电子邮箱、收集系统信息以及盗取浏览器隐私信息等等。经过几年的发展,TrickBot银行木马已经变得高度模块化,其可以由威胁参与者根据目标环境进行配置,进而实现不同的恶意功能。在它们曾经主要依赖银行欺诈的地方,它们的业务已经发生了明显的变化。这吸引了许多新的创业公司试图效仿他们的成功。毫无疑问,RaaS的泛滥已经对许多公司网络造成了严重破坏。

然而,在迅速发展的勒索软件服务领域,各组织争夺主导地位的竞争似乎有所升级。运营商不再满足于个人用户,他们现在正在寻求巨额回报。运营商会在网络上连续数日或数周搜索,试图绘制数据点,找到最诱人的数据目标,从而为他们提供最佳的攻击手段。

勒索软件运营商现在正试图完善他们的勒索方案,美国联邦调查局在RSA发布的最新数据显示,RYUK勒索软件的运营者总共获得了6100万美元的收入。这一数字只包括了2018年2月至2019年10月期间的行动。2020年1月至今,工业企业的生产网络或办公网络遭受数十起勒索软件攻击,其中仅Ryuk勒索软件就感染了EVRAZ、EMCOR Group、EWA等多家工业企业,加密企业关键数据信息,导致企业停工、停产,造成重大的经济损失。

Maze和Revil (sodinokibi)的运营商正在利用媒体和数据泄露网站,以进一步威胁和羞辱受害者,以威胁支付他们满足勒索要求。Maze勒索软件在过去的大约一年时间里被广泛使用,成为全世界许多不同参与者的最终有效载荷。今年,臭名昭著的Maze运营商不仅开始通过加密文件勒索公司,而且威胁会在线发布被窃取的文件,从而勒索公司。最近,我们抓住了一个Maze会员,该会员尝试通过借由我们客户的网络进行传播。许多勒索软件家族,如DoppelPaymer, Clop, Netwalker, ATO和其他类似的网站都有泄露网站的操作。随着网络办公的兴起,这种攻击不太可能在短期内消失,这些恶意组织现在拥有大量的资金来加强他们的攻击并进一步改进他们的产品。

如何发现勒索攻击

勒索软件犯罪分子利用社交,移动,云和软件定义的网络等技术,利用BYOD,物联网和数字化转型计划所带来的挑战和漏洞。远程工作人员要求能够随时随地工作,同时访问公司数据和使用云应用程序也带来了挑战,并增加了攻击面。为了控制并采取行动,防御者的目标是使用主动和被动发现来连续发现所有连接的设备并对其进行指纹识别,以识别并创建甚至间歇性连接的设备的实时清单,以便用户查找和控制恶意终端。

软件漏洞允许攻击者使用开发工具包来传播勒索软件,通过了解终端和服务器上具有哪些操作系统,软件和版本,可以对终端发现进行补充,这对任何修补程序管理过程都很重要。比如:

1.哪些设备连接到我的环境?

2.在我的环境中连接了哪些设备?

3.设备最后一次或第一次出现在我的环境是什么时候?

4.哪些设备是未受管理和不受保护的?

5.什么是设备的IP?苹果电脑?制造商?类型?

6. 此设备是否打开了特定端口?

7.设备在这个端口上报告什么信息?

8.它连接在哪个网络(在哪个GW后面)?

9.连接的终端上安装了哪些应用程序?

10. 组织中是否有未经授权的应用程序在运行?

控制漏洞并强化配置

在你了解了环境中有哪些设备以及它们上安装了哪些程序之后,你需要控制访问、减轻漏洞并加固这些终端及其上的软件。

集中管理设备配置和遵从性的评估和实施对于减少攻击面非常重要,不兼容的设备应该重新配置和加固。加强VPN连接、强制磁盘加密和端口控制将减少勒索软件的攻击面。

修补程序管理是关键,但是由于每年都会出现数以千计的新漏洞,没有哪个组织会真正地修补每一个漏洞。拥有一个基于风险的结构化方法是最好的,但是没有一种方法是绝对正确的。

通过集中管理应用程序控制,安全团队可以控制在终端环境中运行的所有软件,并防止未修补的漏洞被利用。它允许新软件的授权,并防止其他未经授权的、恶意的、不可信的或不必要的应用程序的执行。

控制端的人为漏洞

通常,勒索软件最薄弱的环节是我们人类。主要的攻击渠道仍然是电子邮件或访问有风险的网站。网络钓鱼、鱼叉式网络钓鱼正变得越来越复杂和有针对性,它们附带着恶意文件或勒索软件链接,引诱那些用户去点击。

因此制定一项员工教育和培训计划,对于营造一种怀疑和警惕的企业安全文化很重要,与员工分享现实世界的例子,以及测试弹性很重要,但即便是最优秀的人也会有最脆弱的时刻。你可以降低风险,但不能仅仅通过培训来消除风险。

你可以使用包含以下功能的产品来提高电子邮件安全性:

1.对入站或存档电子邮件进行URL扫描,直到对网站进行恶意软件检查后才允许点击目标网站;

2.在发送之前,检测邮箱中带有攻击附件的邮件,并在点击前重定向到沙箱。

3.防止假冒、社会工程,域名窃取和掩盖;

勒索软件只有在感染病毒的用户更改和加密文件时才有权更改和加密文件,控制用户对关键网络资源的访问是必要的,以限制这种情况的暴露,并确保横向移动感染更加困难。

因此,确保特权是当前的和最新的,并且用户只能访问其职责所需的适当文件和网络位置是至关重要的。

监控和控制网络内外的用户行为将允许警报和操作自动响应对服务器,文件共享或网络异常区域的可疑偏差。由终端记录数据、凭证的使用和连接可以突出显示生产率变化或可能的安全破坏信号。可以使用像EDR这样的工具来记录每个文件的执行和修改、注册表更改、网络连接和跨组织连接终端的二进制执行,增强威胁的可见性以加快运行速度。

改善终端安全性

几乎所有组织都具有终端安全性,但是,为了防止勒索软件,仅靠静态检测和防病毒已远远不够。在终端保护中具有高级功能以及通过集中式管理系统执行终端管理和防御的能力变得越来越重要。

良好的终端安全性应该包括多个静态和行为检测引擎,使用机器学习和人工智能加速检测和分析。开发保护、设备控制、访问控制、漏洞控制和应用程序控制也很重要。在组合中添加终端检测和响应(EDR),提供取证分析和根本原因,以及诸如隔离、转移到沙箱和自动修复的回滚功能等即时响应操作,这些都是重要的考虑因素。