勒索软件遇到APT
安迪·格林伯格(Andy Greenberg)的《连线》文章分享了令人讨厌的细节。找到方法后,LockerGoga使用Metasploit,Mimikatz,Cobalt Strike和其他常见的利用工具来横向移动,不断提升特权,直到攻击者获得域管理员凭据为止。然后,他们利用Active Directory在目标计算机上植入勒索软件有效负载。
LockerGoga是一个例子,说明了更多机会主义、广播式的网络犯罪与民族国家攻击者有针对性的战略努力的融合:
他们知道特定数据可以具有的战略价值。攻击者似乎针对特定用户和功能的机器,使他们每台机器勒索数十万美元,使先前的赎金看起来像是零花钱。
他们可能正在利用更广泛的网络犯罪经济。目前尚不清楚他们如何进行初始输入,但推测他们可能使用的是在暗网上购买的凭证。如果一个小的前期投资可以让您快速而无声地进入,为什么还要费心去尝试和错误的钓鱼攻击呢?
横向移动是该勒索软件活动的重要组成部分。Jai Vijayan 在《黑暗阅读》中的文章描述了一旦到达目标系统,攻击的关键属性。但是到那时,攻击者显然花费了大量精力来收集凭据并提升特权,以定位其端点可执行文件。
Active Directory(AD)在端点定位过程中起着举足轻重的角色。这是如何在攻击过程中以“创造性”方式使用AD的另一个示例。
LockerGoga实现了复杂的方法来绕过传统的检测控件。例如,其代码的某些变体使用被盗的凭据签名,并执行了禁用杀毒软件的实用程序。
通过防止横向移动来停止目标勒索软件犯罪方法和民族方法之间的界线越模糊,停止或阻止横向移动以防止攻击者到达目标系统所采取的措施就越紧急。
过多的凭证和连接会造成主要的网络漏洞。当然,在端点上利用凭证并不是什么新鲜事。尽管这些攻击造成的损害范围很大,但对于在LockerGoga攻击中一直使用的基本横向移动战术的描述是很熟悉的。
它始于攻击者收集凭据以破坏网络并落在特定端点上,然后通过利用其他凭据和连接从那里迁移到其他计算机。攻击者可以轻松地,无声地从一个系统迁移到另一个系统,更改域属性,添加权限,更改密码以及连接到域中的任何计算机,同时始终朝着组织的关键业务资产前进,从那里他们可以伤害最大。
如果他们能够简单地访问每个端点上的凭据和连接,则对于安全分析人员而言,很难区分该行为和正常行为。
定位、识别和减少不需要的内容那么安全团队如何防止这些攻击?尽管始终需要尽早检测,但现在通过巩固网络并解除武装来抢占攻击者是这场战斗的高度战略性和必要组成部分。连接是必需的,但是在每个网络中,应有的数量都超过了应有的数量。多少台计算机包含缓存的域管理员凭据?您是否对提供高级访问的RDP会话存在不正确断开的链接有了解?
每个组织,即使是拥有最佳安全团队和安全控制措施的组织,在其环境中也都具有一些隐藏的,易受攻击的凭据。识别和消除多余和不必要但非常危险的凭据和特权的需求至关重要。
LockerGoga即将进行一些网络清洁。任何规模或预算的组织都可以在数小时内站起来,以立即了解隐藏的高特权凭证,凭证策略违规。