勒索軟件攻擊的頭條新聞似乎每天都在發(fā)生，這給本就非常復(fù)雜的數(shù)據(jù)保護(hù)業(yè)務(wù)帶來(lái)了新的危險(xiǎn)和混亂。此類威脅之一是Conti，它通常用于針對(duì)醫(yī)療保健組織和零售商。

　　它的行為方式可以告訴我們很多關(guān)于現(xiàn)代勒索軟件攻擊的信息——所以我最近在一個(gè)受控環(huán)境中引爆了Conti勒索軟件，以證明適當(dāng)?shù)木W(wǎng)絡(luò)保護(hù)的重要性。

　　準(zhǔn)備攻擊

　　我在這次攻擊中使用了三個(gè)虛擬機(jī)來(lái)模擬不同的場(chǎng)景。第一臺(tái)機(jī)器是全新安裝的Windows，沒有任何保護(hù)，這臺(tái)機(jī)器顯示了勒索軟件的功能。另外兩臺(tái)機(jī)器要么采用勒索軟件保護(hù)來(lái)補(bǔ)救攻擊，要么采用URL過(guò)濾來(lái)防止安裝惡意payload。

　　SysInternals Suite中的Process Monitor和Process Explorer幫助我密切關(guān)注整個(gè)攻擊過(guò)程中的勒索軟件活動(dòng)。當(dāng)然有正常進(jìn)程，但也有由勒索軟件啟動(dòng)的進(jìn)程，以及注冊(cè)表更改。

　　作為攻擊媒介，我根據(jù)與稅務(wù)相關(guān)的發(fā)票創(chuàng)建了一個(gè)虛假的惡意電子郵件，以模仿常見的網(wǎng)絡(luò)釣魚誘餌。該電子郵件基于真實(shí)電子郵件，因此看起來(lái)是合法的。在快速更新電子郵件設(shè)置后，它甚至將公司名稱顯示為發(fā)件人。我使用了官方徽標(biāo)和顏色，但用下載鏈接替換了發(fā)票詳細(xì)信息，以確保可能希望收到此類電子郵件的人與我制作的電子郵件進(jìn)行交互，而不僅僅是查看它。

　　該鏈接使用受信任的文件共享服務(wù)下載帶有嵌入式Visual Basic腳本的“發(fā)票”，該腳本會(huì)自動(dòng)下載并運(yùn)行勒索軟件。

　　通常，受害者必須在此腳本運(yùn)行之前啟用活動(dòng)內(nèi)容，因此攻擊者通常會(huì)將內(nèi)容設(shè)置為隱藏直到此時(shí)。在這種情況下，我打算勒索我自己，所以我將Word設(shè)置為自動(dòng)運(yùn)行內(nèi)容。這是一個(gè)簡(jiǎn)單的設(shè)置更改，不應(yīng)作為公司網(wǎng)絡(luò)上的一個(gè)可能的漏洞而被忽視。

　　引爆

　　最初，我將準(zhǔn)備好的電子郵件發(fā)送給“受害者”，后者單擊電子郵件中的鏈接從受信任的文件共享服務(wù)下載文檔。一旦文檔打開，Visual Basic腳本就會(huì)運(yùn)行，拉下勒索軟件并自動(dòng)運(yùn)行它。

　　幾秒鐘后，可以在Process Explorer中看到勒索軟件文件作為WINWORD.EXE的子進(jìn)程。Windows注冊(cè)表顯示來(lái)自勒索軟件的查詢，從CurrentControlSet條目開始，然后繼續(xù)重新啟動(dòng)設(shè)置，這表明Conti正在尋找一種在系統(tǒng)上獲得持久性的方法。

　　隨著勒索軟件加密文件，機(jī)器開始運(yùn)行緩慢。如果用戶沒有注意到有什么問(wèn)題，Conti將繼續(xù)對(duì)添加到機(jī)器中的新文件進(jìn)行加密。

　　雖然系統(tǒng)性能下降可能是問(wèn)題的第一個(gè)跡象，但還有一些其他指標(biāo)，包括文件擴(kuò)展名更改為文件名后附加“。ZSSCI”（盡管不同的勒索軟件將使用不同的擴(kuò)展名），同時(shí)文件圖標(biāo)更改為空白頁(yè)圖標(biāo)，因?yàn)槲募愋筒辉俦蛔R(shí)別。對(duì)于Conti和大多數(shù)其他現(xiàn)代勒索軟件，readme.txt文件被放置在文件被加密的任何目錄中。

　　readme.txt文件是通知受害者遭受攻擊并提供支付指令的贖金票據(jù)。過(guò)去常常會(huì)有浮夸的贖金票據(jù)取代桌面背景，或是一打開網(wǎng)頁(yè)便會(huì)出現(xiàn)可怕的消息和大量不良gif圖像，這樣的日子已經(jīng)一去不復(fù)返了。在這里，我們看到一個(gè)。onion地址用于聯(lián)系攻擊者，這需要使用Tor瀏覽器，并在透明網(wǎng)絡(luò)上使用HTTPS替代方案。

　　攻擊者還威脅說(shuō)如果忽視這些被盜的數(shù)據(jù)的話，就會(huì)將其公開發(fā)布，這是當(dāng)驚大多數(shù)勒索軟件團(tuán)伙所采用的雙重勒索方法。

　　需要是發(fā)明之母

　　在這一點(diǎn)上，有幾種方法可以恢復(fù)您的數(shù)據(jù)。您可以支付贖金以獲取解密密鑰，從干凈的備份中恢復(fù)（如果有的話），或者找到一臺(tái)時(shí)光機(jī)穿越到過(guò)去。除了資助犯罪分子、在恢復(fù)期間關(guān)閉或穿越時(shí)空之外，還有一些現(xiàn)實(shí)的方法可以避免成為受害者。

　　由于沒有一種方法可以解決所有問(wèn)題，因此多層解決方案將是保護(hù)您的數(shù)據(jù)免受此類攻擊的最有效方法。

　　近年來(lái)，組織加強(qiáng)了網(wǎng)絡(luò)釣魚培訓(xùn)，這是非常好的開始。不幸的是，即使是訓(xùn)練有素的人也可能被精心設(shè)計(jì)的攻擊所愚弄。因此，必須實(shí)施工具來(lái)防止攻擊。讓我們來(lái)看看在保護(hù)措施到位后會(huì)發(fā)生什么。

　　有了勒索軟件保護(hù)，在某種程度上而言，攻擊開始時(shí)看起來(lái)與對(duì)未受保護(hù)系統(tǒng)的攻擊非常相似。Conti仍在運(yùn)行，訪問(wèn)注冊(cè)表，并開始加密文件。但隨后Conti突然關(guān)閉，Word文檔安全打開。

　　這次的不同之處在于，file entropy被監(jiān)控，軟件在只加密了八個(gè)文件后停止了Conti啟動(dòng)的進(jìn)程。勒索軟件防護(hù)軟件會(huì)自動(dòng)從加密開始時(shí)生成的緩存副本中恢復(fù)加密，從而避免了與從備份中恢復(fù)所帶來(lái)的麻煩和寶貴的停機(jī)時(shí)間。

　　當(dāng)然，在安裝有效payload之前停止攻擊始終是首選。高級(jí)電子郵件安全解決方案可以防止惡意電子郵件到達(dá)您的最終用戶，而適當(dāng)?shù)腢RL過(guò)濾器可以阻止訪問(wèn)下載有效payload的已知惡意URL。

　　無(wú)論保護(hù)組織數(shù)據(jù)有多復(fù)雜，模擬一次攻擊都向我們表明，并非所有希望都已破滅。通過(guò)教育、規(guī)劃和努力，我們可以通過(guò)識(shí)別可能攻擊的跡象并實(shí)施多層解決方案來(lái)自動(dòng)檢測(cè)和響應(yīng)我們遇到的攻擊，從而應(yīng)對(duì)這些攻擊。