利用勒索软件来隐藏数据泄露和攻击

大多数勒索软件只是用来获取钱财。然而,它也可以作为攻击者撤退策略的一部分,用来抹去更严重入侵的证据。

虽然勒索软件攻击呈下降趋势——Darktrace表示,在2017年至2018年间,感染数量减少了28%——但这些勒索攻击造成的威胁仍然非常严峻,因为这些攻击不仅仅是扰乱了运营。更老练的攻击者正在利用勒索软件,在进行更严重攻击的时候掩盖他们的踪迹。

除了增加业务中断恢复成本之外,这种情况还为勒索软件受害者造成了其他担忧:攻击真的只是为了骗取金钱,还是在为更险恶的目的打掩护?为了回答这个问题,勒索软件受害者需要在受到攻击后进行复盘调查。

当勒索软件被用来掩盖踪迹

如同攻击者利用DDoS攻击分散注意力,用来隐藏在后台进行的更严重攻击,安全研究人员发现,攻击者正在使用勒索软件作为其撤退策略的一部分,帮助掩盖和抹去更严重攻击的证据。虽然传播方式和普通勒索软件相同——通常是一封钓鱼邮件,以及一个带有恶意文件的链接或附件,但其真实目标可能是删除潜在的法律证据,并希望组织机构在从勒索软件感染中恢复以后,不要进行进一步调查。

Cybereason首席信息安全官Israel Barak表示:

勒索软件的典型攻击方法是散弹枪式的将勒索软件感染到人们的机器上,然后向他们索取要回数据或服务的费用。另一个种目的就是掩盖踪迹。这些工具表面看似勒索软件:它们会加密数据,会发布赎金通知,还会索要钱财。他们甚至会告诉你如何付款的细节,但他们更习惯删除端点上的数据,同时让防御者相信数据丢失的原因是由于勒索软件的随机攻击。

NotPetya可能是最著名的擦除器攻击之一。然而,近年来一些安全事件中,攻击者已经开始利用勒索软件来隐藏证据。2017年,台湾远东国际银行(Far Eastern International Bank)被Hermes恶意病毒的变体所攻击,因为犯罪分子企图通过攻击隐藏窃取6000万美元的意图。McAfee的一项分析指出,此次攻击中使用的这种变体实际上并没有发布赎金通知,而BAE则将攻击归咎于与朝鲜有关的黑客组织Lazarus Group。2017年,日本多家公司受到ONI勒索软件的攻击,该攻击的目的是通过删除Windows事件日志来掩盖一场精心策划的黑客行动,避免防御者通过日志发现他们的行动。

Bitdefender的高级网络威胁分析师Liviu Arsene表示:攻击者在成功窃取数据后利用勒索软件消除痕迹的情况并不少见。

实际上,攻击者在成功实现目标后,投放勒索软件掩盖他们的踪迹,已经成为一种相对常见的做法。

Arsene表示,他目睹了这种攻击发生在从金融到关键基础设施等各个领域。并表示,这些攻击有一个确定的模式,它们可能会变成掩盖踪迹的标准作案手法。

其他擦除器勒索软件包括GoldenEye(也称为Petrwrap或Nyetya)、Ordinypt、LockerGoga,而较早的类型包括KillDisk和Shamoon。

攻击者用勒索软件隐藏了什么证据?

使用勒索软件作为掩盖工具的主要目的,是为了隐藏可以被用来了解事件的任何线索,包括工具、技术和程序,这些线索可以显示出攻击者是如何入侵的,他们停留的时间,以及访问或提取了哪些信息。

擦除器勒索软件可以加密攻击者放置的包括日志文件到其他二进制文件内的任何文件,攻击者会横向移动这些文件以确保持久性。假设受害者设法通过解密工具解密数据,还会有基于硬盘主引导记录(MBR)区分加密的勒索软件,使得试图恢复任何丢失信息变得更加困难。

Cybereason表示,勒索软件还可以被放置到特定的地方,触发重新成像和清理一个区域的进程,并让IT部门在不知情的情况下帮助攻击者进行清理工作。Barak表示:你可以拥有世界上最好的取证调查员,但如果机器被抹得一干二净,他们就无法从中找出任何法律证据。

伪勒索软件/擦除器勒索软件 vs.业务优先级

在没有调查清楚的情况下移除勒索软件,可能意味着会丢掉关键线索,但与此同时,勒索软件攻击虽然有所减少,但仍然普遍存在,如果信息无法解密,就很难进行调查。

Arsene表示,正因为勒索软件攻击如此普遍,如果攻击目标不是金钱,而是出于其他目的,大多数公司可能不会花太多时间进行调查。

大多数情况下,为了确保最短的宕机时间和业务连续性,公司会尽快从备份中恢复,而把取证工作放在一边。

正如航运巨头Maersk受到的攻击,或最近的Norsk Hydro事件所证明的那样,勒索软件可能具有令人难以置信的破坏性和公开性,并会让人们付出昂贵的代价。在NotPetya事件中,Maersk估计损失了3亿美元。然而企业往往把重点放在尽快恢复运营上,以避免进一步亏损,并常常把彻底调查排在优先级清单最后。

Barak解释道,标准的操作程序通常是从备份中恢复。显然,如果多个服务器或端点受到影响,这是一个很大的挑战,因为这非常耗时,在此期间服务器不可用,你基本上是在损失金钱。从攻击者的角度来看,理想情况下,防御者将费心恢复服务可用性,认为他们是被普通勒索软件随机攻击的,而不是花时间和精力去了解攻击是如何发生的,为什么会发生,并考虑还发生了什么。

伪勒索软件的警告标志

区分企图进行敲诈和掩盖踪迹的勒索软件是非常困难的。BitDefender的Arsene表示,任何不显示赎金信息的勒索软件攻击通常都是一个致命的信号,攻击者可能在掩盖他们的踪迹,但是除此之外,很少有其他明显的线索。

Cybereasons的Barak表示,绝大多数情况下,勒索软件表面上使用了擦除器,却没有人来收钱。这些看似是擦除器的程序通常是已知勒索软件的修改版本。攻击者使用了一个众所周知的勒索软件,他们只是把它修改成擦除器。

尽管被敲诈勒索时不建议支付赎金,在这种情况下你支付的赎金可能只是在浪费你的金钱,因为攻击者并没有设定接收赎金,或并没有解密密钥——甚至他们可能已经从你那里拿走了他们想要的东西。

相反,组织机构应将任何勒索软件攻击视为潜在的数据泄露,并启动相应的调查和取证程序。想要了解勒索软件的真正意图,最好的方法是先发制人,在攻击发生前充分了解网络和端点活动。

勒索软件无法隐藏网络流量,这就是为什么取证调查需要覆盖这方面,因为网络流量通常揭示了异常的端点行为、横向移动,甚至与C&Cs的通信。为了寻找勒索软件可能被用于掩盖数据泄露的证据,还应该进行网络层面的调查,并分析可追溯到勒索事件发生前几天,几周甚至几个月的所有网络和终端事件记录。

上一篇:如何通过多维数据整合,实现网络安全的高效运维

下一篇:针对机场运营系统的4个攻击场景