如何进行日常勒索演练？| 总第224周

渗透技巧 4个月前 admin

34 0 0

‍‍

如何进行日常勒索演练？| 总第224周

0x1本周话题

话题：日常的勒索演练怎么演练？感觉沙盘搞一搞作用有限。

A1：我觉得勒索做演练不如先把加密存储和备份恢复做好。真的加密了，还能恢复，泄露部分又不受啥影响。把每年的安全预算省下来不用，几年凑一个勒索预算。

A2：备份恢复演练是都有做。但是还有类似隔离、系统恢复等也挺重要。比如把系统软件也加密了，运行不了。

A3：主要是啥防御理念都有一个覆盖率的问题。被勒索的那份数据是否刚好备份能恢复。比如在agent上做了一个防勒索的功能，检测到勒索逻辑就给阻断了，这个功能的覆盖率也有问题。服务器和PC分别覆盖，兼容性也要搞半天，敢不敢真开阻断，又要纠结。单纯说理念的话，说穿了大家做个demo都还是OK的。

A4：反正不是个一刀切的事。综合起来搞。勒索感觉很难搞。

A5：防勒索次序：1. 做好备份，2. 投入安全攻防团队建设（自建或MDR），3.做好安全治理。勒索就是APT变现的商业模式，对于大部分公司和机构而言，关键就是跑的比同行快，不要成为靶子。基本被盯上了就是死。

A6：估计lockbit搞之前也得看，值不值得搞、有没有能力支付赎金。

A7：lockbit只是ransomeware as a service，最后变现的一环，把icbcfs选做目标就没这么简单了。

A8：lockbit是加盟模式运作的，上到波音、泰勒斯这种国际顶级军工企业，下到面包店，都搞。

Q：大小通吃吗？这都有中间商了。

A9：看样子还是付赎金的多，100个里边有1个付了的，就不亏了。或者大佬们成立一个网络安全保险公司，然后再把这些勒索厂商干死，应该也能挣钱。

A10：走在前面，“走在勒索前面”，把勒索的活对着自己怼一遍，争取不做勒索投资回报最高的那个。

Q：意思是精心选择的而不是因为有个什么Citrix漏洞无意中遭殃的？

A11：对于企业防勒索的目标的设计，建议可以考虑两个维度，一个是核心数据/业务不被勒索，第二是不被大范围勒索。例如勒索三五台无关痛痒的电脑/服务器是可以接受的，但是核心业务/数据不能被勒索，也不能搞掉几百台设备。基于这个目标，bas上一波。

A12：问题是只要进了内网就直接穿了，核心数据被干，那就是早晚的事。

A13：其实核心问题是，大部分企业的安全都是嘴上吹的，首先得有专业安全团队，哪怕是一个人的安全部，否则被盯上了就是死。

A14：can not agree more，所以勒索组织本身对全球的企业安全提升在某个视角上看是有积极意义的，lockbit的目标之一也是提升企业安全。从实战效果的角度出发，即便是很多大厂，站在防守视角，也是知道自己是个筛子。

A15：对付犯罪/黑产活动，根本还是要能抓人灭队，就像电诈，运营商上手段、手机上反诈APP是需要的，但关键还是缅北抓人。但勒索是大裂变下全球治理问题了，基本上很可难形成有效的全球司法协作了。这是治理视角，不是防御视角哈，对每个关基、每家机构，防御和运营当然是要搞好的。对每个关基、每家机构，防御和运营当然是要搞好的。

A16：有没有可能RaaS的背景下驱动安全建设实质性提高，lockbit如果一直不被抓，大家都学他们。

A17：要看黑客的目标是什么。勒索事件不太多，也因为这个犯罪的风险成本过高。这种黑客一般存活不久的，除非他本人早就走上绝路了。

A18：有了加密货币，这事其实风险就不那么高了，人在国外＋加密货币，这叠两层甲多少可以有一些作用了。

A19：经济要是持续下行，是不是就有更多的人找不到工作，然后琢磨着直接在网上干勒索，把匿名这件事情弄的更专业一点，然后就可以赚钱了。毕竟被抓这个风险也是可以通过一些更专业的建设来治理的。

A20：经济下行最先影响的，一定不是这些黑客，最先出现的应该还是线下偷窃和抢劫。其实攻防演习也有演练勒索。

A21：感觉还是浓浓的中国味道，不知道是不是错觉。

The oldest international [Ransomware] LockBit affiliate program welcomes you.
We are located in the Netherlands, completely apolitical and only interested in money.We always have an unlimited amount of affiliates, enough space for all professionals. It does not matter what country you live in, what types of language you speak, what age you are, what religion you believe in, anyone on the planet can work with us at any time of the year.First and foremost, we're looking for cohesive and experienced teams of pentestors.In the second turn we are ready to work with access providers: sale or on a percentage of redemption, but you have to trust us completely. We provide a completely transparent process - you can control the communication with the victim. In case when the company was encrypted and has not paid, you will see the stolen data in the blog.We also work with those who don't encrypt networks, but just want to sell the stolen data, posting it on the largest blog on the planet.