根据Mandiant M-Trends 2023分析报告,在2022年勒索软件相关的事件中,70%的调查事件是由外部通知的,其中67%是勒索团伙在执行完加密后,通过留下的勒索信通知的。
虽然从2021年到2022年,勒索软件攻击从23%下降到18%,但在2023年,勒索软件仍会是主要的攻击动机之一。所以对于勒索软件的检测和防御,仍然是企业网络安全建设需要关注的重点之一。
一些勒索团伙确实是训练有素,但有一部分勒索团伙也并非我们想象的那么专业,之前DFIR报告中的一个案例就可以看到,攻击者在实施勒索的过程,还会去看命令的帮助信息,而且也存在输错命令的情况。
所以有时候防御失败,并不是因为攻击方太强,而是防守方没有准备或者准备不充分,另外就是一些企业将安全能力外包给第三方安全公司,而第三方公司指派的安全专家并不具备解决相应问题所需的能力。
当然,作为防守方,我们并非没有胜算。在勒索软件事件中,多数TTPs和其他类型攻击一样,但有一部分TTPs是勒索软件活动专有的,我们可以重点关注这部分TTPs,提前检测勒索事件的发生。
下面总结了一些的勒索团伙常用的TTPs,大家在蓝队或者SOC建设过程可以作为参考,评估下现有的检测措施,能否检测到这些攻击行为。
因为公众号放表格显示不是很友好,图片也可能不是很清晰,大家有需要的可以通过下面的链接查看在线文档:
飞书链接:
https://desyncinfosec.feishu.cn/sheets/shtcneQvD02wuKEXR10v0H3ySUb
密码:gBMP
当然这里也只是抛砖引玉,随着时间的推移,可能会出现新的攻击技术,攻击工具。大家可以作为一个起始点进行参考,然后根据自己企业实际情况不断地补充和完善。
另外对于Windows日志审计,可以参考美国国家安全局提供的一个指南(建议至少对关键服务器开启相关日志审计,并对日志中心化存储和消费):
https://github.com/nsacyber/Event-Forwarding-Guidance/blob/master/Events/README.md
相信国内只要对网络安全比较关注的一些企业,都多多少少参加过不同级别的攻防演练。但是攻防演练给带来的实际价值,不同的企业可能有所差异。而且如果大家仔细想想,多数的攻防演练,其实只是各个安全公司之间的利益之争,并不是奔着为客户解决问题而去的。当然,现在有一部分人可能已经感觉到了,竞争来竞争去,给客户的安全问题没有解决多少,却导致各个安全公司大规模裁员。
实际上,“不吹不蹭”,踏踏实实做事,仍然能以低成本方式解决安全问题。这里提供几个参考点,可以用来初步评估下当前安全建设的有效性:
1、是否对关键服务器的日志进行中心化存储和消费?
2、当入侵事件发生后,能否在第一时间发现,是否有足够的数据源,对事件进行调查取证和攻击路径还原?
3、当入侵事件发生后,是否有足够的数据源进行损害评估?
4、对于0day及供应链类型的攻击,或者APT攻击是否有能力检测?(可以参考之前的文章:主动防御&网络欺骗:让网络防御成为一种艺术)
5、是否对不同类型的安全事件有可落地的应急响应预案?而不是一出事就把能找到的安全公司都找去,最后却处于“群龙无首”的状态。
如果上面的问题答案是否定的,那说明大家可能需要换个思路去做安全建设和安全评估了。攻防演练是为了练而不是演,攻防对抗是为了帮助企业检测和防御真实的威胁,而不是为了各方利益之争。这里建议有需要的企业通过下面方法对当前企业的安全能力进行评估和提升:
-
红队评估(对手模拟,不是国内的攻防演练)
-
紫队评估
-
企业员工安全意识评估
如果你的服务提供商没有提供上述服务,或者想了解下国外安全建设如何做的,欢迎后台留言。
最后,在经历了安全行业的裁员和招聘HC冻结后,也希望安全从业人员冷静下来,思考下安全行业存在的意义和价值,是为了证明比其他安全公司强,还是为了拿着别人写的工具打穿客户内网?或者是为了。。。
原文始发于微信公众号(Desync InfoSec):参加了多次攻防演练后,不知你的蓝队能否检测这些勒索组织TTPs!
