為什么網(wǎng)絡(luò)安全防御無法抵御勒索軟件?

幾乎每周都有一家大公司成為勒索軟件攻擊的受害者，那么如何改變企業(yè)現(xiàn)在所面臨的巨大挑戰(zhàn)?做到絕對安全很難，因?yàn)闆]有人能100%免受潛在網(wǎng)絡(luò)攻擊的威脅。勒索軟件是如何一次有一次的發(fā)動成功的攻擊?為什么我們沒有更好地防御它們?

首先，我們來了解一些基礎(chǔ)情況，然后再探討主要原因。

1、軟件自身安全問題

2、2FA使用滯后

3、用戶錯(cuò)誤永遠(yuǎn)不會消失

4、過時(shí)的殺毒方案

5、檢測和響應(yīng)延遲

6、LOLBin 技術(shù)更難檢測

7、Cobalt Strike 和其他合法工具被重新利用

8、一流的網(wǎng)絡(luò)犯罪合作

9、加密貨幣催化

軟件自身安全問題

軟件安全是網(wǎng)絡(luò)安全的基礎(chǔ)部分。作為網(wǎng)絡(luò)中關(guān)鍵的基礎(chǔ)部分，軟件安全漏洞對網(wǎng)絡(luò)攻擊的成功與否起到很大作用。美國國家標(biāo)準(zhǔn)與技術(shù)局(NIST)、國家漏洞數(shù)據(jù)庫(NVD)數(shù)據(jù)顯示，90%以上的網(wǎng)絡(luò)安全問題是由軟件自身的安全漏洞被利用導(dǎo)致。隨著數(shù)字化時(shí)代到來，網(wǎng)絡(luò)系統(tǒng)中的軟件呈爆發(fā)式增長，伴隨而來的安全漏洞為發(fā)動網(wǎng)絡(luò)安全事件增加攻擊面。

2FA未普遍實(shí)施

雙因素身份驗(yàn)證 (2FA) 是信息安全專業(yè)人員提倡的解決方案之一。盡管如此，我們?nèi)詴吹较馛olonial Pipeline這樣的漏洞發(fā)生，因?yàn)榻M織要么未能實(shí)施 2FA，要么未能“完全”實(shí)施。

任何需要用戶名和密碼才能訪問的內(nèi)容最好能啟用2FA。包括電子郵件、業(yè)務(wù)應(yīng)用程序、云部署、VPN等。

用戶錯(cuò)誤

現(xiàn)代網(wǎng)絡(luò)釣魚技術(shù)如此先進(jìn)，即使是信息安全從業(yè)者也成為它們的犧牲品，那么普通用戶怎么能表現(xiàn)得更好呢?

現(xiàn)代的網(wǎng)絡(luò)釣魚技術(shù)如此先進(jìn)，以至于連信息安全從業(yè)者都成為了它們的犧牲品。

攻擊者對他們的目標(biāo)執(zhí)行偵察并調(diào)整他們的技術(shù)以獲得成功。許多員工的工作流程實(shí)際上是網(wǎng)絡(luò)釣魚攻擊目標(biāo)的一個(gè)案例研究。

防病毒解決方案依賴于容易繞過的檢測邏輯

殺毒軟件是現(xiàn)存最古老的安全軟件，在過去20年里取得了長足的進(jìn)步。然而，許多反病毒解決方案仍然依賴于過時(shí)的基于簽名的系統(tǒng)來檢測惡意軟件。

使用反病毒檢測惡意代碼是基于代碼的二進(jìn)制簽名，或文件哈希，這只在代碼不改變的情況下有效。在編譯代碼之前重命名代碼內(nèi)部的函數(shù)，或者在代碼內(nèi)部移動代碼塊，會使以前可行的檢測變得失效。

傳統(tǒng)的AV不會“引爆”惡意軟件——也就是說，在一個(gè)受保護(hù)的沙箱中運(yùn)行代碼——因此，即使惡意軟件的行為與其特征無關(guān)，也很難檢測到。

這個(gè)問題是如此系統(tǒng)性，以至于像Invoke-Obfuscation這樣的框架存在，以幫助紅隊(duì)以及隨后的惡意參與者繞過反病毒解決方案。

EDR/XDR/MDR 解決方案容易出現(xiàn)延遲

無數(shù)的“DR”(檢測和響應(yīng))端點(diǎn)解決方案明顯比防病毒軟件更強(qiáng)大，但它們也有其局限性。

由于處理端點(diǎn)事件的邏輯存在于云中，這意味著在事件發(fā)生和到達(dá)管理員控制臺之間可能會有幾秒到幾分鐘的延遲。這使他們?nèi)菀族e(cuò)過勒索軟件的執(zhí)行。

當(dāng)勒索軟件負(fù)載被激活時(shí)，整個(gè)網(wǎng)絡(luò)可以在幾秒鐘甚至幾分鐘內(nèi)關(guān)閉。勒索軟件運(yùn)營商經(jīng)常會提前在網(wǎng)絡(luò)中的所有系統(tǒng)中部署實(shí)際的勒索軟件有效負(fù)載，這樣有效負(fù)載就會在組織中的所有系統(tǒng)中幾乎同時(shí)執(zhí)行，并且比容災(zāi)解決方案能夠檢測到的速度快得多。

值得指出的是，來自同一供應(yīng)商的DR+AV解決方案經(jīng)常帶有“阻止”選項(xiàng)，如果檢測到惡意負(fù)載或操作序列，管理員可以通過該選項(xiàng)隔離/隔離計(jì)算機(jī)。然而，在實(shí)踐中，這個(gè)選項(xiàng)通常是默認(rèn)禁用的——由于擔(dān)心由于誤報(bào)而影響用戶的生產(chǎn)力——它經(jīng)常被禁用。

LOLBin技術(shù)更難檢測

勒索軟件成功的另一個(gè)常見原因是，運(yùn)營商已經(jīng)學(xué)會了使用一種稱為“生活在陸地上的二進(jìn)制文件”(LOLBins)的技術(shù)。

這些都是普通管理工具，通常在Microsoft Windows中，但所有現(xiàn)代操作系統(tǒng)都有一些。這些工具具有有效、合法的途徑，管理員每天都在使用，這使得檢測惡意使用這些工具變得非常困難。例如，最近泄露的Conti集團(tuán)的事件表明，他們嚴(yán)重依賴標(biāo)準(zhǔn)的Windows管理工具。

在某些情況下，LOLBin工具可用于添加到代碼中的附加功能，因?yàn)殚_發(fā)人員或客戶曾希望他們的管理工具能夠從 Internet 下載任意文件，或者工具本身可以作為輔助工具啟動應(yīng)用程序。

這樣做是為了繞過稱為應(yīng)用程序允許列表的安全控制。允許列表”告訴操作系統(tǒng)不要運(yùn)行任何軟件，除非它已經(jīng)由可信的供應(yīng)商(蘋果、谷歌、微軟等)進(jìn)行了數(shù)字簽名。然而，通過欺騙一個(gè)有效的、已簽名的應(yīng)用程序來打開一個(gè)不受信任的、未簽名的應(yīng)用程序，攻擊者可以通過操作系統(tǒng)的默認(rèn)應(yīng)用程序來繞過這種安全控制。

免費(fèi)攻擊工具集降低勒索軟件組織門檻

就免費(fèi)提供的工具(例如Metasploit和Mimikatz)或Cobalt Strike的盜版副本而言，攻擊者從未有過更好的體驗(yàn)。

無論他們需要網(wǎng)絡(luò)釣魚工具集、混淆框架、初始訪問工具、命令和控制 (C2) 基礎(chǔ)設(shè)施、甚至是開源勒索軟件有效載荷，幾乎所有這些都可以在GitHub上免費(fèi)找到。大多數(shù)人認(rèn)為惡意行為者隱藏在暗網(wǎng)上，只向最陰暗的黑帽子出售比特幣工具，但事實(shí)并非如此。

業(yè)界支持攻擊性安全專業(yè)人員開發(fā)和發(fā)布攻擊框架，理由是“防御者需要了解這些戰(zhàn)術(shù)”。但這掩蓋了這樣一個(gè)事實(shí)，即攻擊框架也會幫助攻擊者，并使防御者更難跟上。

雖然防守者確實(shí)需要理解進(jìn)攻戰(zhàn)術(shù)，但在現(xiàn)實(shí)中，大多數(shù)防守者都忙于日常工作，沒有時(shí)間測試每一個(gè)進(jìn)攻框架，然后制定防守指導(dǎo)。

這些攻擊工具中的大多數(shù)在使用過程中都有很好的文檔記錄，但在檢測過程中卻沒有。雖然攻擊者的進(jìn)入障礙已經(jīng)下降到“您能使用谷歌、GitHub并具備基本的計(jì)算機(jī)技能嗎?”，但防御者不得不支付大量的錢來購買復(fù)雜的工具和設(shè)備，這些工具和設(shè)備可能只在受控的測試場景中表現(xiàn)良好。

勒索軟件組織的合作能力

通過將工作分散到多個(gè)犯罪集團(tuán)，它使戰(zhàn)術(shù)、技術(shù)和程序 (TTP) 更難以歸因于任何單個(gè)參與者，它可以混淆惡意參與者的意圖，并允許勒索軟件即服務(wù) (RaaS)卡特爾優(yōu)先考慮高價(jià)值目標(biāo)。

RaaS的利潤分享模式可以很好地激勵這些參與者不斷尋找新目標(biāo)，同時(shí)將繁重的工作轉(zhuǎn)移到更老練的專業(yè)人士身上。這種合作方式促成了一種高效的分工，犯罪集團(tuán)將最初的渠道外包出去，并要求他們的分支機(jī)構(gòu)選擇高價(jià)值、高凈值的組織，這些組織比小型家族企業(yè)更有可能支付贖金(盡管后者顯然也不能幸免)。

一旦攻擊者確定了他們所影響的業(yè)務(wù)和公司的價(jià)值，他們就會將贖金設(shè)置為受害者可以負(fù)擔(dān)得起的金額。一次使一家公司損失10,000美元的攻擊可能會使另一家公司損失 1,000萬美元，而且它將使用完全相同的工具、攻擊流程、訪問代理和勒索軟件負(fù)載。

私營和公共部門缺乏協(xié)調(diào)一致的反應(yīng)和戰(zhàn)略

勒索軟件并不是一種新威脅，但它變得越來越容易實(shí)現(xiàn)、獲得報(bào)酬并逃脫。一方面，由于此前公共層面沒有明確的政策、方向或戰(zhàn)略規(guī)劃，使得受到攻擊的企業(yè)除了支付贖金別無選擇，另一方面，私營企業(yè)在網(wǎng)絡(luò)安全防御上存在潛在風(fēng)險(xiǎn)或網(wǎng)絡(luò)、應(yīng)用軟件安全透明度不高，給網(wǎng)絡(luò)攻擊者以行動的機(jī)會。

隨著在網(wǎng)絡(luò)、數(shù)據(jù)和信息保護(hù)相關(guān)領(lǐng)域的法律法規(guī)不斷完善，企業(yè)和政府在打擊網(wǎng)絡(luò)犯罪上可以協(xié)同共進(jìn)，增加互助合作的粘性。

加密貨幣推動整個(gè)行業(yè)發(fā)展

加密貨幣將因兩件事而被銘記:促進(jìn)勒索軟件和成倍增加二氧化碳排放。嚴(yán)肅地說，如果沒有一個(gè)強(qiáng)大的加密貨幣生態(tài)系統(tǒng)，勒索軟件團(tuán)伙將會被餓死。

加密貨幣助長了整個(gè)犯罪行業(yè)，因?yàn)樗峁┝艘粋€(gè)繞過美國控制的全球金融體系的金融框架，通常很難追蹤(即使贖金通常以比特幣支付，然后它們被轉(zhuǎn)移到另一個(gè)，在撤資前無法追蹤加密貨幣)，并很容易跨越國際邊界。

雖然美國財(cái)政部最近制裁了加密貨幣交易所SUEX，稱其涉嫌參與勒索軟件犯罪，但這一行動只是滄海一粟。這些群體也可以轉(zhuǎn)移到不同的交易所，要求受害者直接交易，或轉(zhuǎn)向難以追蹤的加密貨幣，如Monero。

如果美國政府想要嚴(yán)肅對待打擊犯罪的加密貨幣行業(yè)，它應(yīng)該以不可追蹤的貨幣本身為目標(biāo)，而是通過制裁任何允許這些交易和轉(zhuǎn)換的企業(yè)(加密或其他)。

如何應(yīng)對勒索軟件禍害

沒有什么靈丹妙藥可以阻止勒索軟件對計(jì)算、關(guān)鍵基礎(chǔ)設(shè)施和我們?nèi)找婊ヂ?lián)的生活世界構(gòu)成的生存威脅。但我們可以通過強(qiáng)化軟件自身安全來提高網(wǎng)絡(luò)的安全性。數(shù)據(jù)顯示，90%的網(wǎng)絡(luò)安全事件與安全漏洞被利用有關(guān)，而靜態(tài)代碼安全檢測是在開發(fā)階段降低軟件安全漏洞的有效手段。記住，在軟件開發(fā)早期發(fā)現(xiàn)并及時(shí)補(bǔ)救任何不安全的行為(無論有多小)都是比替代方案更經(jīng)濟(jì)的方法。

參讀鏈接：https://threatpost.com/cybersecurity-failing-ransomware/175637/