Part1 前言 

大家好，我是ABC_123。在前面两期着重给大家讲解了最近比较活跃的顶级加密勒索组织LockBit相关情况，包括他的钻石模型、攻击者画像、攻击案例、技战法分析等等，使大家对LockBit有了一个比较深入的了解。本期ABC_123给大家分享这一系列的最后一篇文章，讲讲如何防御加密勒索攻击。

注：这篇文章参考了新西兰国家应急响应中心的防御办法，他们提出了通过"关键防护措施"防御加密勒索软件的思路，我觉得非常具有借鉴意义。ABC_123对这几篇英文文章进行了总结，并把官方报告示意图进行了翻译，希望能帮助到大家。

建议大家把公众号“希潭实验室”设为星标，否则可能就看不到啦！因为公众号现在只对常读和星标的公众号才能展示大图推送。操作方法：点击右上角的【...】，然后点击【设为星标】即可。

 Part2 技术研究过程 

如下图所示，展示了使用分层缓解措施阻止勒索软件的思路。国外安全机构将加密勒索病毒的生命周期大致分为三个阶段，分别是“初始访问”、“整合和筹备”、“实施攻击”，使用不同颜色的六边形图形代表不同的加固策略或者防御手段，放置在攻击者的不同路径不同关键节点，非常直观，企业安全管理员在什么阶段使用什么防护手段一目了然，“关键防护措施”也可以让领导层直观地明白应该把时间和金钱花在哪些地方。该示意图挑选了最常见的攻击路径，并没有把所有路径囊括其中，因此可以为企业内部的规划安全防御的初始参考。

第一阶段。展示了攻击者获取初始访问权限的方法，包括网络钓鱼、密码猜解、漏洞利用和电子邮件等常见的攻击方式。

第二阶段。展示了攻击者内网横向和扩大战果的技战法，包括命令和控制、内网横向移动和权限提升等操作，目标就是为了获取所有主机、设备的访问权限。

第三阶段。展示了加密勒索攻击对目标施加的影响，包括窃取数据、破坏文件备份和对数据进行加密等。

值得注意的是，从该图可以看出一个问题。在攻击的所有阶段，我们安全人员没有办法阻止没有相应检测规则的攻击行为或者未知的攻击行为，因此需要在几乎所有的阶段、每个细微路径上都加上日志记录和威胁告警措施。日志是了解攻击事件如何发生以及何时发生的关键部分，有了这些信息，我们可以通过对日志的审计更快地解决攻击流程并恢复正常业务。如果不启用日志，就很难检测到事件何时发生，或确定攻击事件的覆盖范围。

攻击者的每个阶段、关键节点的攻击技术都包含在黄色边框的圆圈中，连接红线表示了不同元素之间以及三个攻击阶段之间的关系。该图比较直观，通过观察不同攻击阶段的不同的攻击行为，可以直观地得出答案，在数据泄露及文件被加密勒索之前，哪些关键节点应该去检测、预防和响应。国外报告认为，虽然在每个阶段不同的加密勒索攻击者使用不同的攻击技术和攻击武器，但他们的目标是相同的，就是为了勒索钱财，安全人员可以对症下药，不断完善自己的防御体系，使攻击者的目标更难实现。而且对于加密勒索的防御，不能是单一的防御措施，应该采取纵深的防御办法，提前做好应急响应计划，一旦攻击发生，尽快从加密勒索攻击事件中恢复出来。

接下来ABC_123重点讲一讲国外报告对加密勒索生命周期的三个阶段的"关键防护措施"。

 1   初始访问阶段

在加密勒索生命周期的初始访问阶段，攻击者通常会使用以下四种攻击路径：网络钓鱼、密码猜解、漏洞利用和邮件攻击，每一种攻击方式都需要不同的安全策略进行防御。在第一阶段，防御手段包括优化互联网开放服务、设备更新补丁、实施多因素认证（MFA）、禁用宏、应用程序白名单以及使用日志记录和告警措施等方案，这些措施协同工作阻止攻击者获取初始访问权限。

• 使用泄露的凭据获取远程服务权限

攻击者会尝试通过网络钓鱼、黑市购买、暴力猜解等方式获取企业的VPN服务、RDP服务、VNC服务等远程登录权限。防御此类攻击的首要任务是识别并减少暴露在公网的资产或者服务，国外报告特别强调了资产管理的重要性，提出了资产管理生命周期的概念，强调企业内部应该组织人员，梳理暴露在公网的资产清单，详细记录、跟踪、维护每个系统的每个资产的变更，包括软件、硬件和基于云的系统，尤其是边缘资产。值得注意的是，资产清单同样包括了供应链资产，这很明显是为了抵御供应链攻击。资产清单要求完整并且准确，同时也要确保这些资产都是在企业的安全措施保护范围之内，同时需要及时下线或者清理掉无用的资产。

国外安全机构认为，全球很多的加密勒索攻击事件，是由于缺乏有效的资产维护导致的，攻击者利用了暴露在外网的边缘系统、没打补丁的老旧系统、运维离职更替导致的被遗忘的系统、超过终止日期的设备等等，有时候攻击者攻陷的外网服务，结果企业本身都不知道有这么一个资产。

有了完整的资产清单之后，对所有暴露在公网的入口服务添加多重身份认证（MFA），这是简单有效的防止攻击者利用账号密码攻击的措施。日记可以发现和告警潜在的攻击行为，可帮助安全人员在攻击者获取访问权限之前提前感知。此外，企业员工的密码安全策略需要加强，如减少密码重用、增加密码复杂度、完善密码使用策略等，可以防止攻击者的密码猜解攻击。

利用易受攻击的系统。报告指出，在最近几年，多数加密勒索攻击都是利用受害者暴露在互联网中服务的漏洞引发的，例如常见的VPN系统、Exchange邮件服务器、Ctritx Bleed漏洞、Log4j2漏洞等。在相关漏洞披露前夕或披露第一时间，加密勒索攻击者迅速在网络上寻找存在相关漏洞的大型企业或者关基单位进行入侵，攻击者对一个目标也会使用多个漏洞，多个漏洞组合起来就可以获取目标权限。

针对攻击者迅速利用漏洞的习惯，修补漏洞是第一要务。企业应设置应急响应流程，以便收到漏洞通告后第一时间修补，日志记录和威胁告警可以帮助安全人员去确定，企业内部是否已经有相关漏洞的成功利用的案例或者攻击痕迹。

• 通过电子邮件传播恶意软件

为了获取初始访问权限，攻击者会在电子邮件中插入恶意附件或者恶意链接，通常会是一个.doc或.xls文档。如果受害者打开此文档并且允许宏，会运行恶意文件并导致电脑被控。应对这种攻击方式的"关键防护措施"是禁止或者限制宏的运行，这样大多数的恶意文档都无法加载攻击在和运行。如果有也无需求，一定要允许运行宏，也应该允许宏从受信任的位置运行，或者只允许运行经过数字签名的宏，设置应用程序白名单，EDR等安全措施需要记录异常活动日志并发出告警，以便安全团队进行调查。

其中，应用程序白名单指的是，应用程序控制只允许特定的白名单软件包运行，还可以限制应用程序下载、运行、外连等异常行为。

 2  整合和准备阶段

在这个阶段，攻击者会通过命令和控制、内网横向移动和权限提升尝试获取企业所有服务器、主机、设备的访问权限，深度拓展加密勒索的受害范围。为了实现这一目标，攻击者会尝试获取域管理员权限、集权设备、虚拟化平台VMware VCenter系统权限，以便大批量投放加密勒索病毒。在此期间，攻击者通常会使用很多网络攻击武器，识别内网使用的安全防护软件并尝试禁用。为了避免被发现，攻击者的活动通常会避开正常的工作时间。

在整合和筹备阶段，设备打补丁、网络划分、执行最小权限原则、实施多因素认证（MFA）以及日志记录和告警措施协同工作，组织攻击者的内网横向和深度拓展操作；

下图显示了在这个阶段的"关键防护措施"：

命令与控制（C2）。攻击者在内网横向过程中，从一个受害主机转移到另一个受害主机，重要行为就是通过命令和控制，来部署和运行攻击武器。由日志记录和威胁告警支持的应用程序白名单成为了阻止攻击者的关键防御措施，安全工具的开发人员会不断更新，以便能够检测到更多的攻击者攻击武器。如果在您的环境中检测到它们，则阻止它们运行或快速响应是防止攻击事件进一步危害的关键。

横向移动和权限升级。与上述攻击手段是同时进行的，攻击者会使用CobaltStrike、Anydesk等C2工具，部署运行Bloodhound域环境资产测绘工具、netscan存活ip探测而工具、mimikatz系统密码提取工具、使用漏洞利用程序提升系统权限等。在横向移动阶段，攻击者通常会使用操作系统自带的工具（Powershell、RDP和SMB）来执行，这样避免因部署新工具行为而被防护软件告警。

在这个攻击阶段，限制已经获取初始访问权限的攻击行为进一步传播是至关重要的，限制他们的内网横向可以极大降低加密勒索的危害性。作为安全防护人员，我们的目标就是两个：限制攻击者在内网访问其它系统的能力、防止他们获取更高的系统权限。主要的措施有以下几种：

应用最小权限原则。有助于防止攻击者使用获取的凭据获得管理员权限或者其他系统权限。例如，攻击者不应该直接就可以获取内网共享文件的所有数据，不能随意关掉Windows设备的卷影复制权限、或者禁用终端防护。

多重身份认证（MFA）。如果攻击者通过各种方式获取了一些账号密码，对于一些管理控制台的登录验证添加MFA，可以极大限制攻击行为在网络中的横向传播。

日志记录和威胁告警。必须保证覆盖面完整，可以作为所有防御工作的支持。一些异常行为如终端防护软件突然被禁用、SMB远程登录等，安全人员可以做出响应。

防护软件。一旦攻击者使用mimikatz、Bloodhound工具用于内网横向时，这些防护工具会第一时间进行发出告警，安全人员可以迅速处理。

网络划分与网络隔离。让企业内部根据安全风险将其网络分割成更小的、可管理的网络。访问控制用于分隔这些较小网络之间的访问，并且仅限于所需的访问。一些重要的管理员权限可以设置在相对隔离的单独计算机上使用，攻击者将会难以获取相应权限，这也符合了最小特权原则。网络分段也是限制攻击者在内网迅速扩大战果的有效措施，如果攻击者在内网横向中，首先就无法与其他网段进行通信，将会极大限制他们的内网横向拓展。网段之间的防火墙也可以发挥作用，记录异常攻击行为并发出告警。

攻击行为后处理。如果企业内部一经发现了攻击成功的痕迹，在攻击者从网络环境中退出之前，务必确认其攻击范围，因为攻击者意识到被防护人员发现时，他们可以不顾一切迅速启用加密勒索程序。

 3  影响目标

当攻击者达到第三阶段时，意味着攻击者已经获取到目标网络的足够多的关键权限了，他们开始提取敏感信息，重点破坏掉备份系统，并最终加密系统和数据。一旦获取到敏感数据，攻击者会想办法找到并破坏备份系统，所以发现加密勒索攻击时，需要及时脱机或者断开所连接的备份系统。在窃取数据过程中，有很多的攻击行为可以被审计。如将数据重复上传到未知的web服务、云文件存储站点（Mega、Dropbox）是常见攻击行为，用户账户对内部文件和敏感数据的彻底完整访问也是攻击特征，非正常工作时间的异常操作，普通用户突然批量访问、导出数据。

最后，攻击者会将加密勒索信条或者更换操作系统桌面壁纸的方式，提供赎金谈判的联系方式甚至会对受害者进行威胁恐吓，比如将敏感数据公开下载，或者对目标公司进行DDoS攻击服务。

在影响目标阶段，攻击者的目标就是窃取数据、加密数据并索要赎金。日志记录和告警措施、使用和维护备份以及采用应用程序白名单协同工作，以组织或者降低加密勒索软件盗窃数据、加密数据的能力。

在这个阶段，一些终端检测可能会发现加密勒索软件或者停止加密勒索软件的加密进程，但是通常不能完全保证或拦截数据的外泄，所以还是要安全人员人工处理，及时进行一系列的应急响应活动。在制定应急响应计划时需要考虑到，正常的业务系统可能由于加密勒索攻击而导致业务出现故障，安全团队应该如何进行处理。在一些案例中，应急响应计划本身也可能被加密勒索软件加密，因此需要保存一份离线副本，还包括主要联系人、BCP和DR计划等相关文件。在制定应急响应事件计划中，沟通是至关重要的，因此需要提前确定安全团队需要沟通协作的部门的联系方式。

 Part3 总结 

1.  关于LockBit加密勒索软件的系列文章（共3篇）终于告一段落了，相信大家对加密勒索软件也有一个比较深入的了解。

公众号专注于网络安全技术分享，包括APT事件分析、红队攻防、蓝队分析、渗透测试、代码审计等，每周一篇，99%原创，敬请关注。

Contact me: 0day123abc#gmail.com

(replace # with @)