400-067-1560
8月10日,思科公司证实,“阎罗王(yanluowang)”勒索软件团伙在5月底攻破其公司网络,导致一些数据发生泄露。尽管思科发言人表示,攻击者只是从与受感染员工账户相关联的 Box 文件夹中窃取了一些非敏感数据,此事件未对思科的业务造成实际影响。但攻击者却声称,他们已经掌握了大约2.75GB思科公司内部数据,大约有3100个文件,其中很多文件涉及保密协议、数据转储和工程图纸等,攻击者将获取的泄露文件列表发布到暗网。
图一:阎罗王(yanluowang)发给思科公司的邮件
图二:证明思科遭到攻击的文件
01 攻击过程分析:窃取员工凭证入侵思科网络
“阎罗王(yanluowang)”恶意团队首先劫持了思科员工的个人谷歌账户(包含从浏览器同步的凭证),随后使用其中的被盗凭证获得了对思科网络的访问权限。“阎罗王(yanluowang)”团伙发出大量多因素身份验证(MFA)推送通知,用疲劳战术搞垮目标员工的心态,之后再伪装成受信任的支持组织发起一系列复杂的语音网络钓鱼攻击。
终于,恶意黑客成功诱导受害者接受了其中一条多因素验证通知,并结合目标用户上下文信息获得了对VPN的访问权限。在思科企业网络上成功站稳脚跟后,“阎罗王(yanluowang)”团伙开始横向移动至Citrix服务器和域控制器。
思科安全研究团队Talos表示,“对方进入了Citrix环境,入侵了一系列Citrix服务器,并最终获得了对域控制器的高权限访问。”在获得域管理员身份后,他们使用域枚举工具(如ntdsutil、adfind以及secretsdump等)收集更多信息,将包括后门在内的多种有效载荷安装到受感染系统上。最后,思科检测到了这一恶意活动,并将恶意黑客从环境中驱逐了出去。在随后几周内,“阎罗王(yanluowang)”团伙仍多次尝试重夺访问权限。
Talos团队补充道,“在获得初始访问权限后,恶意黑客曾采取多种行动来维持访问权限,希望尽可能破坏取证线索,并提高自己在环境中的系统访问级别。”
“恶意黑客随后被成功清理出思科环境,但仍没有彻底放弃。他们在攻击后的几周内,曾反复尝试重新夺取访问权限,但这些尝试均未能奏效。”
在此次思科事件中,攻击者有计划地构造获取登录凭证的步骤和方式,因此可以认为这是一起有预谋的定向勒索攻击。定向勒索的攻击者通常会提前收集目标者地域、业务特征、使用软件等信息,用于制定有针对性的攻击策略或攻击工具。
02 勒索软件攻击特点分析
近年来,勒索软件攻击居高不下,成为危害最严重的、最普遍的网络攻击模式。在此类攻击中,攻击者通常会加密企业数据并要求付款才能恢复访问权限。在某些情况下,攻击者还可能窃取组织的信息并要求支付额外费用,以换取不向当局、竞争对手或公众披露信息。在思科事件中,“阎罗王(yanluowang)”团伙就以在网络上公开信息为威胁进行敲诈。
03 勒索攻击防护体系建设
随着勒索攻击能力向高层次发展,对于勒索攻击防御也不再是简单的部署终端安全产品。勒索攻击的流程化、能力化已经与APT趋同,因此可以参照APT防护进行勒索攻击防护体系的建设。
勒索攻击防护体系:
1. 勒索防护策略建立
在进行勒索软件防护时,遵从PPDR模型,通过持续的预测、防护、检测、响应以达到对企业系统内部的先进、持续、有效防护。持续的运营、服务将依赖于专家、厂商的持续更新的安全能力,为企业赋能。运营、服务应贯穿于勒索软件防护的各个阶段,实时把控企业的安全状态。
2. 勒索攻击事前防护
勒索攻击的事前防御从普遍到进阶依次为容灾备份、安全防护产品和网络保险。在进行安全建设时,可根据实际需求依次进行能力的叠加。
3. 勒索软件识别阻断
勒索软件进驻到企业内之后,需要通过技术避免其扩散或造成实际危害。
4. 勒索攻击应急响应
为保证勒索软件在执行后能够快速响应,需在日常构建应急响应流程,进行应急响应演练,保证在出现勒索攻击时能够按照有效的步骤和方法论执行应急响应。
针对勒索攻击防护体系建设可依据PPDR模型形成持续的预测、防护、检测、响应。依照攻击发生的状态,可分为勒索防护策略建立、勒索攻击事前防护、勒索攻击识别阻断、勒索攻击应急响应。
04 华清信安勒索攻击防护能力
华清信安勒索防护解决方案以TDR智能安全运营平台为核心,TDR智能安全运营平台依据PPDR安全理论模型设计,为客户提供勒索攻击防护安全闭环的整体解决方案。
TDR智能安全运营平台以客户数据为核心,将客户网络内所有安全数据打通,贯穿客户网络安全威胁管理的整个生命周期,实现从识别→保护→检测→响应→恢复的安全闭环管理。
TDR智能安全运营平台具备纵深防御能力、安全管理检测能力、应急响应处置能力,为客户打造整体勒索攻击防护的解决方案。
05 防护建议
用户可以在整体安全防护之上,采用有针对性的勒索软件防护技术。主流的勒索软件防护产品大致分为针对系统安全的防护以及针对文件安全的防护。企业在进行勒索软件产品选型时,需要判断自身更需要何种网络安全产品。
针对勒索软件执行后的防御,我们建议企业除了自身建立健全勒索攻击防护体系外,也建议企业在必要时购买专业的网络安全服务,保证在发生了勒索软件风险后能够快速找到专业人员进行辅助决策,加速应对勒索攻击的响应效率,减轻因勒索攻击导致的企业资产损失。
400-067-1560
公司地址: 北京市朝阳区东大桥8号院SOHO尚都北塔B座10层、20层 (北京总部)
联系电话:400-067-1560
Email:contact@hqsec.com离职员工背景调查(邮箱):hq-hr@hqsec.com
