根據 Cisco Talos 的最新研究,
濫用遠端存取軟體和服務已成為勒索軟體攻擊前最明顯的預警指標。
研究人員發現攻擊者常利用合法的遠端服務,如遠端桌面協定(RDP)、PsExec 和 PowerShell 等工具。此外,AnyDesk、Atera 和 Microsoft Quick Assist 等遠端存取軟體也頻繁被攻擊者濫用。
Cisco Talos 指出,
網路犯罪分子運用這些戰術、技術和程序(TTPs)的主要目標是取得被入侵系統中的企業級網域管理員權限。「勒索軟體前期活動」是指在攻擊過程中,威脅行為者在執行全面加密前,進行權限提升、憑證竊取和部署遠端存取等準備工作的階段。
為降低遠端存取軟體與服務濫用風險,建議採取以下防護措施:
- 設定安全解決方案,只允許已驗證的安全應用程式執行,並阻止安裝未經授權的軟體。
- 在所有關鍵服務上啟用多因素驗證(MFA),特別是遠端存取和身分識別存取管理(IAM)服務,同時監控 MFA 的異常使用模式。
- 部署 Windows 系統監視器(System Monitor)等工具,強化端點可見性與日誌記錄能力
作業系統憑證擷取(credential dumping)是另一種常見的勒索軟體前兆戰術。駭客使用此技術從已入侵系統中竊取帳號憑證,以便進行橫向移動。
研究人員發現,最常見的憑證擷取目標包括
網域控制器登錄檔、SAM 登錄檔分支、Active Directory 瀏覽器、本地安全授權子系統服務(LSASS)及 NTDS.DIT 檔案。開源工具 Mimikatz 也經常被用於憑證竊取。。
網路服務探查(Network Service Discovery)是另一項被強調的重要勒索軟體前期戰術。研究發現,攻擊者主要使用 netscan、nltest 和 netview 等工具和指令進行網路服務探查。
研究人員建議,優先管控遠端服務與遠端存取軟體的使用,同時加強保護前述的憑證存放區,能有效限制大多數勒索軟體前期活動中的攻擊行為。研究高度確信,所有分析的資安事件都展現了勒索軟體部署前的常見攻擊手法與特徵。
快速反應是防止勒索軟體部署的關鍵
Cisco Talos 於 9 月 8 日發布的研究報告強調,快速反應是防止嚴重勒索軟體事件的關鍵。研究顯示,當 Talos 事件應變團隊(IR)能在首次發現可疑活動後一至兩天內介入時,有三分之一(32%)的案例成功阻止了勒索軟體的執行。
研究發現,EDR/MDR(端點偵測與回應/託管偵測與回應)系統所產生的警報是關鍵因素,促使資安團隊能在兩小時內採取遏制行動,成功阻止了 32% 的攻擊。
來自美國政府合作夥伴及其受管理服務供應商(MSP)的通知,成功防止了 14% 案例中勒索軟體的執行。這些通知警示環境中可能存在勒索軟體部署準備活動,包括美國網路安全暨基礎設施安全局(CISA)於 2023 年 3 月啟動的「勒索軟體前期通知機制」所提供的警報。
在 9% 的成功防禦案例中,組織實施的安全限制成為阻斷攻擊鏈的關鍵因素。例如,即使駭客成功入侵了目標組織的服務帳號,但因為該帳號已設置適當的權限限制,使攻擊者無法存取網域控制站等重要系統。
本文轉載自 InfosecurityMagazine。