网络勒索攻击之如何快速应急响应（上）

本文选自《揭秘网络勒索攻击》

扫描二维码7.8折购书

当网络勒索攻击发生时，你需要迅速采取行动来遏制所有的恶意活动，如加密、未经授权访问、横向移动、数据渗漏、拒绝服务攻击、命令和控制通信等等。与此同时，响应人员必须确保尽快将黑客驱逐出受害者的环境。

响应人员应当尽可能的快，通常在调查清楚被渗透的范围，以及掌握"黑客"的行动情报之前就应该采取行动。在遏制过程中采取（或未采取）的行动可能会对恢复运营的速度以及数据泄露或其他破坏性后果的风险产生重大影响。

在本章中，我们将回顾常见的遏制策略，包括停止勒索软件加密/破坏、停止数据渗漏、解决拒绝服务攻击和锁定"黑客"的方法。在此过程中，我们将会一方面讨论如何避免错误，另一方面讲解成功控制渗透的案例。

1. 响应速度的重要性

遏制的目标会因为网络勒索的具体情况的不同而不同。常见的遏制活动包括：

如果勒索软件正在对数据进行加密或销毁，请立刻阻止这种行为。
禁用可以自动重新启动勒索软件或其他恶意进程的持久性机制。
如果"黑客"正在进行数据渗漏操作中，请立刻阻止这种行为。
解决拒绝服务攻击，恢复对数据和资源的正常访问
锁定"黑客"：确保"黑客"使用的所有远程访问机制都已被阻止，以便他们不能再获得对网络资源的未经授权的访问。
威胁狩猎：识别并根除网络内恶意活动的迹象，如持续存在的后门或恶意软件的迹象。

在遏制过程中，一个看似很小的错误可能会产生可怕的后果。如果其中一个步骤执行不正确，在其他步骤中付出的所有努力可能都会付之东流。通常，在这一阶段的一个错误会导致以下潜在的结果：

"黑客"重新侵入网络
更多的数据被渗漏
加密软件被再次启动
数据丢失或者被销毁
关键证据被销毁

与此相反，有效的遏制则可以帮助组织免于灾难，甚至使得整个事件消匿于无形。明智而迅速的行动可能产生以下结果：

迅速恢复正常运营
减少未来出现的损害或者再次感染的风险
极少需要法律或者监管方面的响应
有限的媒体关注

2. 重新获得服务器的访问权

在响应人员能够保护受害者的环境之前，他们首先需要获得访问权，但是此时环境已经被"黑客"占领了，这种虎口夺食的事情，可不是很容易做到的。在网络勒索事件发生前的准备阶段，"黑客"往往会利用已建立的远程访问方式来扩大自己在环境中的立足点。

响应者需要确保被授权的各方拥有修复事件所需的访问权限，同时消除"黑客"对恢复工作的破坏能力。通常，响应者会将物理访问和远程访问结合使用来实现这些目标。在条件允许的情况下，物理访问将是响应者最简单的选择。借助物理访问，响应者可以在锁定"黑客"之前，切断所有的远程管理访问。

如果响应人员需要立即进行远程访问，在允许响应人员工作的同时尽可能限制远程访问。可以通过只允许"白名单"IP地址范围的账户访问，增加密码强度要求，设置强大的帐户锁定策略，对所有帐户执行多因素认证，以及在响应的早期阶段采取类似的行动来尽可能地锁定远程访问。

3. 阻止黑客加密和删除行为

在"拒绝式"的网络勒索攻击中，"黑客"通常会对数据进行加密或删除，以此来破坏信息的可用性。对数据加密的密钥或者被删除数据的副本，此时就成为了"黑客"用来胁迫受害者时的筹码。

在这种类型的攻击中，最具有时间敏感性的优先事项就是去阻止正在进行的文件加密或者删除行为。此时的快速行动可以多保全一些受害者的文件，或者至少也可以降低在恢复过程中被再次加密的风险。

即使是恶意活动表面上已经结束，你最好还是认为受到影响的系统仍然处在"勒索软件"的魔爪之下，因为事实也可能正是如此。

以下是制止恶意活动并防止其再次发生的四个策略：

修改权限
断开电源
关闭正在对文件进行加密的程序
切断"黑客"建立的持久性访问机制

3.1 修改文件访问权限

修改文件访问权限是阻止加密的一种快速方法。在一个大型文件系统中，去逐个修改文件的权限是不现实的，但是快速的修改某一个大型资产（比如数据库）的权限来阻止加密，却不失为一个好办法。在还没有找到加密来源时，修改整个共享驱动器的访问权限，也是非常有效的操作。作为第一步，只需要将共享访问限制为一小部分受信任的用户，并将权限设置为"只读"（同样适用于Linux/UNIX）。如果你发现当前有管理员（administrator）级别的账户正处于登录状态，要调整这个账户的权限，使其不能再次重置或者修改刚设置好的访问权限。

3.2 断开电源

按照这种思路，响应者会切断被感染设备的电力供应。断电会立即停止系统上的任何活动。这样做的好处是，可以保住所有尚未被加密或被删除的内容。

但是这样断电的缺点也十分明显，整个系统可能都会因此而损坏。对于系统来说，断电始终是一种风险，而且由于勒索软件的存在，这种风险变得更大了。例如，一些勒索软件的变种往往会对文件就地加密，如果此时切断了电源，那么加密到中途的文件将有可能被破坏，即使得到专门的解密工具也无济于事了。

充分了解所涉及的勒索软件种类有助于我们评估风险，例如某些种类的思路是先创建好一个加密的文件副本，然后再删除原始文件，在这种情况下，文件损坏的风险很低，因为一直到加密完成之前，原始文件都是存在的。

现在我们只需要知道，是可以从受感染主机的不稳定证据源（例如CPU缓存，RAM，活动的网络连接）中恢复有价值的信息。但是如果此时断开电源，那么这种不稳定的证据源也就被清空了。所以在切断电源之前，最好先从系统中快速备份RAM中的内容，当然是否这样做，还要取决于勒索软件加密的速度，以及攻击可能对组织产生的影响。

3.3 关掉恶意进程

在所有的勒索软件攻击中，都会有恶意进程的身影，它们在系统中运行，然后主动地加密并且/或者删除文件。如果响应者不打算切断电源，那么找出正在进行加密的恶意进程就成为了阻止攻击的关键。

但是寻找勒索软件的加密进程可能是一件很棘手的工作，例如著名的Maze团伙就会将恶意进程注入到系统的正常进程svchost.exe中，这样这个恶意进程看起来就像是一个合法的Windows系统进程。Dharma恶意软件则会创建一个看起来像是Windows系统实用程序的进程，例如winhost.exe。

恶意加密进程是一种资源密集（resource-intensive）型进程。响应者可以通过一些指标来查找恶意加密进程，例如高CPU使用率或者可疑的父进程（parent processes）。在Dharma的案例中，如果你仔细检查进程树，就可以看到该进程是由一个不是Windows系统实用程序的服务派生的。另外你也使用Volatility之类的取证工具来验证一些可疑进程。

响应者还可以通过识别与加密文件相关的用户，分析时间线，并在某些情况下利用这些信息将攻击追溯到特定的工作站或服务器，来追踪勒索软件的加密来源。

一旦你锁定了正在加密数据的恶意进程（或多个进程），就用一个命令提示符或在任务管理器结束它们。还请记住两点，第一，勒索软件通常是使用多个进程来实现的；第二，结束一个被勒索软件寄生的Windows系统服务进程会导致系统不稳定。

4. 组织黑客权限维持

"黑客"经常会篡改受害者系统的配置，以确保即便恶意进程被中止或者系统被重启，也能够继续他们的恶意活动。例如，在某些攻击案例中出现的勒索软件变种，就会通过在受害者的系统中安装额外的二进制文件，来创建一个持久的控制权，以定期地进行重新加密或者破坏数据。在遇到将勒索软件设置为自动运行的案例中，需要弄清其实现的原理，以彻底杜绝其再次运行的可能。

在评估如何应对"黑客"实施的持久性机制时，辨别出"黑客"或者恶意软件的身份也可以助响应者一臂之力。虽然"黑客"的战术不断在发生改变，但是其中一些团伙始终保留着一些行为特征。

"黑客"通常会使用以下一种或多种方法来创建持久性机制：

辅助监控进程（Secondary monitoring process）
计划任务（Scheduled tasks）
自动启动（Automatic startup）

4.1 监控进程

通常"黑客"还会为恶意程序配备一个旨在监视进程状态的辅助程序。如果恶意程序对应的进程停止了的话，那么这个辅助程序就会检测到此事件并重新启动它。通常情况下是很难发现这个正在监控进程的辅助程序，因为它在运行时几乎不怎么需要使用CPU或者其它系统资源，并且看起来就是一个合法的系统服务。

4.2 计划任务

"黑客"可以在操作系统中设置计划任务，来定期的重新启动与勒索软件有关的可执行文件。例如在Windows操作系统中，就可以通过注册表中的"AutoRun"键来实现。

首先响应者应该删除任何调用勒索软件或者其它恶意进程的计划任务。如果时间很紧张的话，可以考虑删除所有的计划任务。虽然这有可能会影响系统的正常性能，这往往与受害者自定义的配置有关，但是通常Windows是可以在没有计划任务的情况下运行。在修改系统配置之前，请确保保留了证据（如注册表项）。

4.3 自启动项

许多"黑客"会修改系统配置，以便如果受感染的计算机被重新启动，恶意进程也会随之重新启动。像Dharma这样的勒索软件则更做得更为过分，它在系统重启后的新进程将会使用一个新的加密密钥。因此，受感染的系统最终可能会被两个或多个密钥加密，而这还要取决于受感染主机被重新启动的次数。

5. 阻止数据泄漏

停止当前的任何数据渗漏（Exfifiltration）活动也是首要任务。如果你正在调查一个网络勒索案件，当你不确定数据是否已经发生了渗漏，那么就要假设它确实是。在撰写本文时，大约84%的勒索软件攻击都涉及到了被盗数据渗漏的威胁。

立即检查警报、日志和出站网络流量，是否存在任何可疑的出站通信迹象。如果发现迹象，请立刻停止数据渗漏，下面是一些常用的停止数据渗漏策略：

在边界防火墙，或者内部防火墙上阻止可疑的出站流量。
阻止"黑客"用来传输数据的云访问服务和或者文件访问服务。
除非必要，否者不允许使用FTP应用程序，Powershell或者Win-SCP。
通过适当地修改权限、角色和应用程序配置来限制对数据存储库的访问。
删除由"黑客"创建的任何电子邮件转发规则
视情况而定，采取其他步骤来阻止数据渗漏。

受害者可能会考虑切断所有网络连接作为一项临时措施。这一决定需要在具体情况下做出，并考虑受害者的商业模式，以及权衡网络切断带来的成效和潜在损失。对大多数组织来说，切断所有的网络访问是"核选项"（译者注：英文为Nuclear option，表示就某种情况可能采取的最为极端的反应），但在发现网络勒索攻击后，没有什么手段是不可以采用的。

--- 实验室旗下直播培训课程 ---