欢迎访问Sunbet官网(www.sunbet.us),Allbet欧博官网(www.ALLbetgame.us)!

首页Sunbet_新闻事件正文

FireEye对勒索软件部署趋势的分析

b9e08c31ae1faa592020-03-2472勒索软件

勒索软件具有破坏性强、影响范围深的特点,从企业到政府机构再到普通用户,无一不受到过勒索软件的影响。近些年来,勒索软件呈爆发增长的态势,FireEye Mandiant的研究人员回顾了2017年到2019年间的多起勒索软件事件响应调查,遍布北美、欧洲、亚太和中东地区,涉及各大行业,总结了初始入侵载体驻留时间和勒索软件部署时间的一些共同特征,研究表明,如果能将防御的重点放在关键领域并能迅速采取行动,就有可能在勒索软件部署之前就将其终止。

FireEye对勒索软件部署趋势的分析  勒索软件 第1张

图1:勒索软件事件中观察总结

事件响应调查能使我们对勒索软件趋势有了更深入的了解(本文展示数据仅代表活动样本中所得)。例如,从2017年到2019年,Mandiant对勒索软件的调查量增加了860%,其中大多数都是先入侵后感染,研究人员认为,这种策略当前已成为主流,目的是增加受害者支付赎金的可能性。当然,勒索软件植入后立即执行的事件也是有的,例如GANDCRAB和GLOBEIMPOSTER,但是就复杂度和检测时间而言,“后感染”策略都有明显的优势。

常见的初始感染媒介

常见初始感染媒介包括三类:RDP、带有恶意链接或附件的钓鱼邮件,以及下载恶意软件进行后续活动的恶意驱动程序。在2017年,观察到的RDP较为频繁,在2018年和2019年有所下降。这些媒介表明勒索软件可以通过多种方式进入受害者环境,且并非所有方式都需要用户交互。

多数勒索软件会在初次感染的三天后才进行部署

Warzone RAT分析

恶意软件即服务是网络犯罪分子获利的一种可靠方式。近期,不同的RAT变得非常流行。虽然这些RAT都被标记为恶意攻击,但其开发者就像销售合法软件一样,提供不同的订阅方案和客户支持,甚至有些还有license和使用选项。这些工具的开发者一直在持续改进这些工具,不断地加入新的特征。本文分析Warzone RAT,其开发者提供了一系列不同的特征。 2018年秋,第一个Warzone RAT广告出现在warzone[.]io网站上。当前,该销售服务位于warzone[.]pw。恶意软件运营者在warzonedns[.]com上运营了一个动态DNS服务。根据该网站的描述,恶意软件具有以下能力和特征: · 不需要.net · 通过VNC实现远程桌面 · 通过RDPWrap隐藏远程桌面 · 权限提升(在最新Windows 10系统中也可以) · 远程web摄像头控制 · 浏览器和主流有用密码窃取 · 下载和

从初次感染到勒索软件部署经历的天数如下图所示。可以看出,在大多数情况下,初次感染和勒索软件部署之间存在一定的时间间隔,有75%的勒索软件与初次感染间至少隔了三天时间。

这也表明,对于多数组织而言,如果能够快速检测、遏制并及时修复,则可以避免勒索软件造成的重大损失。 FireEye对勒索软件部署趋势的分析  勒索软件 第2张

图2:初始访问和勒索软件部署之间经过的天数

勒索软件通常在非工作时间部署

有76%的事件表明,勒索软件是在周末或下午6:00之后到上午8:00之前执行的,如下图3和图4所示。一些攻击者可能有意在下班后,周末或节假日期间部署勒索软件,以最大程度地发挥攻击有效性。还有一些情况例外,比如勒索软件的部署需要与用户操作配合,像是在2019年一起针对美国零售业的勒索软件攻击事件中,攻击者创建了一个Active Directory组策略对象来触发基于用户登录和注销的勒索程序执行。

 FireEye对勒索软件部署趋势的分析  勒索软件 第3张

图3:勒索软件的执行经常在下班后进行 FireEye对勒索软件部署趋势的分析  勒索软件 第4张

图4:勒索软件执行时间

本文翻译自:https://www.fireeye.fr/blog/threat-research/2020/03/they-come-in-the-night-ransomware-deployment-trends.html: