正文

勒索软件最锋利的矛:漏洞武器化

admin
admin V管理员 /0 评论 /187 阅读
0130
此篇文章发布距今已超过653天,您需要注意文章的内容或图片是否可用!

  勒索攻击更具规模化



巨量数据泄露、暗网交易猖獗、国家进入紧急状态… …这些网络安全事件背后都离不开勒索犯罪集团。2022年,勒索组织的活跃度不亚于往年,LockBit、Conti和Lapsus$三大勒索组织空前活跃,政府网站、医疗业、制造业、金融业等行业饱受勒索软件困扰。


回顾今年的勒索软件形势和重大事件,我们发现,勒索即服务(RaaS)愈加成熟,旧的恶意软件变体回归,新的变体不断发展,漏洞愈发武器化,勒索生态逐渐工业化


在漏洞数量和复杂性逐年增长的背景下,这些漏洞愈来愈成为勒索组织手中一把趁手的利器。组织遭受勒索攻击的原因不一,缺乏良好的网络习惯、安全预算有限、人力有限、人才缺失、威胁情报不足和各组织之间缺乏透明度… …所谓知己知彼,了解勒索软件的趋势、发展、攻击手段演变十分有必要。



一、2022年勒索软件三大趋势


1

越来越多跨平台勒索软件,适应性提高


为了造成尽可能多的损害并提高恢复难度,勒索组织会加密更多的系统,这意味着其勒索软件需要在不同的架构和操作系统中运行。


应对方法是用“跨平台编程语言”(如 Rust 或 Golang)编写勒索软件,使用跨平台语言还方便将勒索软件移植到其他平台。此外,对分析人员来说,破解跨平台二进制文件比破解普通C语言编写的恶意软件更困难。


例如,Conti勒索集团的目标是全球范围内的组织,它使用双重勒索技术以及联盟般的结构。某些联盟机构能够访问Conti勒索软件的Linux变体,它支持各种不同的命令行参数,联盟机构可以利用这些参数来定制执行。


Conti勒索软件Linux变体的不同命令行参数



2

勒索软件生态系统不断发展,更加“工业化”


网络犯罪集团的工具包在不断升级,以使数据泄露的过程更快、更轻松。集团不断重塑和更新勒索软件品牌,使其具备高可用性。Lockbit集团是最著名的勒索软件即服务(RaaS)商。



Lockbit 勒索集团RaaS品牌更新历程


在RaaS生态中,定制化的工具使用频率明显提升。Conti勒索集团最开始使用公开的数据渗出工具Filezilla,不久后便改为自己定制的工具StealBIT。因为定制的工具能在更短时间内渗出数据,对勒索软件来说,速度至关重要,渗出数据时间越长,勒索组织被发现的机率就越大。



3

勒索组织在地缘政治中开始主张立场


2022年2月,俄乌冲突爆发。在这类地缘政治冲突中,人们会将实施网络攻击的组织和国家背景联系起来。这场冲突中衍生了一种新型参与方式:网络犯罪论坛和勒索软件组织对局势作出反应并采取行动。


反应最明显的是Conti勒索集团。2月25日,Conti在其网站上发布了一则消息,声明称,如果俄罗斯成为网络攻击的目标,它将全面报复任何“敌人”的关键基础设施。这种网络犯罪集团公开支持某个国家的例子非常罕见


Conti在网站发布的支持俄罗斯声明


勒索组织的政治立场除了通过勒索信息表达,也通过恶意软件的特性表达。特性之一就是擦拭功能。如果恶意软件入侵了一个文件列表,其目的不是加密,而是从系统中删除文件。另一个突出特性是恶意软件的高质量,应用的加密方法和多线程的使用方式大大提高了网络攻击行动的效率。



二、漏洞武器化,助推勒索软件发展


勒索软件攻击的流行与利用漏洞(尤其是旧漏洞)直接相关。Cyber Security Works(CSW)和Ivanti在其最新的《2022年第一季度勒索软件指数报告》中,深入研究了与勒索软件有关的漏洞。该季度,勒索组织利用的旧漏洞数量环比激增17.9%;新漏洞数量则相比上季度增加了22个,环比增幅达7.6%。


《2022年第一季度勒索软件指数报告》


值得注意的是,这22个漏洞中有一半是在2019年披露的,这表明威胁行为者正在积极寻找网络薄弱之处和漏洞管理流程中的漏洞。


CSW全球渗透测试总监梅丽莎·伍滕(Melissa Wooten)表示,APT组织对漏洞的利用没有放缓迹象,新旧漏洞的武器化正在快速发生


另一个坏消息是,并非所有勒索组织利用的漏洞,都能被漏洞扫描工具检测到。梅丽莎介绍,“在报告中,我们专门跟踪了未被扫描工具检测出的漏洞数量。从积极的方面看,2022年第一季度未被检测到的勒索相关漏洞数量为11个,而2021年第四季度该数字为22个。”


她还表示,CISA的已知漏洞(KEV)中有141个正被勒索软件组织使用,其中18个漏洞是一季度发现的。


报告还公布了164个易受勒索软件影响的产品,其中包括17个F5 Big IP产品中,143个微软Windows产品,5个VMware Cloud Foundation和vCenter Server产品。操作系统中的漏洞最容易被勒索软件利用,其数量在2022年第一季度为125个。


CSW还研究了漏洞公布时间、补丁发布时间和被勒索组织利用时间这三者之间的关系。平均而言,漏洞披露时间和补丁发布时间一致,披露8天内就会被勒索组织利用,披露一周后会被添加至NVD(国家漏洞数据库)。



三、如何预防漏洞武器化


勒索攻击正在成为全球企业的“毒瘤”,它改变了网络威胁格局,网络环境和网络产品中的漏洞成为勒索组织手中的一把利器。借助漏洞的影响范围,勒索组织和恶意软件大举进攻,攻击面和攻击效率大大提升。在勒索软件频繁将攻击触角伸向政府部门后,Check Point Research甚至创造出“国家勒索”一词来命名这类攻击。



减缓漏洞武器化趋势是减少勒索攻击的途径之一,不论是企业还是组织都应该重视漏洞检测、修补和管理。首先做好网络卫生管理,培养用户和员工良好的用网习惯;其次部署漏洞检测安全工具,定时使用漏洞扫描系统,及时发现环境中的漏洞,发现漏洞后要及时下载补丁进行更新;最后,在整个过程中,企业应该做好漏洞生命周期管理,达到动态和可持续的管理,这样才能最大限度预防漏洞武器化趋势。


文章来源于网络,侵删



END

 推荐 

 阅读 



点赞在看

扫码关注|更多好玩

 长风实验室 · 


勒索软件最锋利的矛:漏洞武器化


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
ZhouSa.com-周飒博客