攻擊發起　勒索軟體的三大攻擊階段

編譯／Cynthia

在防禦組織免受勒索軟體攻擊的道路上，安全運營中心（Security Operations Center，SOC）需要擁有適當的安全工具，同時深入瞭解三個主要的勒索軟體攻擊階段，讓我們深入探究。

階段一，立足之地

勒索軟體攻擊的首要步驟是建立立足之地。攻擊進入此階段後，駭客已成功進入網路。初始入侵途徑多樣，但通常始於釣魚郵件。駭客還可能透過公共Wi-Fi中心取得數據，最終在企業設備上安裝初步的勒索軟體，並等待員工重新連接到主要企業網路，攻擊才得以進一步發展並立足。

更多新聞：勒索軟體攻擊倍增　企業是否已備好戰術？

接下來，勒索軟體將建立與命令和控制（C2）伺服器的連接，並確定如何進一步滲透網路，橫向移動以找到關鍵或敏感數據的存放位置。如何在此階段檢測並阻止勒索軟體的進展？需要識別網路中出現的異常用戶和實體行為，例如訪問其工作範圍之外的文件、在網路上安裝未經公司批准的外部軟體、查看DNS查詢等。

階段二，權限提升與橫向移動

權限提升和橫向移動階段涉及更深入地訪問網路中的其他系統。獲得企業網路訪問權限後，駭客將規劃所有可以安裝勒索軟體的地方。這涉及駭客在網路中搜索敏感資訊、文件、應用程序，或任何可能對公司造成損害的東西，以便他們可以利用它獲得豐厚的賠償。

一旦駭客獲得了具有大量敏感資訊的數據資料庫訪問權限，或者對網路擁有控制權，攻擊者將開始在不同區域部署軟體，進一步鞏固立足之地，並為他們的勒索軟體創建備份，以防被檢測。

如何檢測權限提升和橫向移動？一個明顯的跡象是在整個網路上安裝新的未經授權的應用程序。該應用程序可能正在將危險文件傳輸到網路，其他威脅指標還包括訪問網站基礎設施、尋找特定的DNS地址、連接到外部雲端服務等。

階段三，安裝勒索軟體

一旦駭客找到關鍵數據，他們將開始下載實際的勒索軟體負載。他們可能會洩漏數據、加密重要數據。在這個階段的威脅指標（Indicators of Compromise，IoC）包括與C2伺服器的通信、數據移動和加密流量異常活動。

在這階段的檢測牽涉到更先進的安全產品協同合作。透過模型連結不同類型的分析，有效捕捉有關勒索軟體的威脅指標。這些方法實際上蒐集網路上的相關資訊，讓SOC團隊能夠在發現異常行為時做出及時的識別。

精準防禦，機器學習與行為分析的力量

雖然企業要檢測勒索軟體攻擊可能有點困難，但識別所有威脅指標有助於企業了解攻擊的階段以及如何阻止它的發展。儘管這些指標可能微不足道，但能夠把它們聯繫在一起的能力至關重要。透過運用機器學習技術、行為分析和模型連結，企業將具備檢測和減緩勒索軟體攻擊帶來損害的所需工具。

資料來源：Help Net Security

瀏覽 393 次