![]()
今天,网络安全从业的甲乙方都逐渐意识到,勒索加密只是攻击链的最后一个环节,应对勒索攻击的最好方式,是真刀真枪地演练一次。但一次卓有成效的勒索演练应该包括什么环节、达成什么效果?不妨回顾一下23年10月某大型银行省级分行进行的勒索演练全程。![]()
刚上班,某大型银行省级分行的安全运维人员老王就接到了夺命连环call。老王火急火燎地赶过去,发现一排电脑桌面整齐划一,字里行间都写着“要钱”。这是遭了勒索攻击了。老王只好把受害机器的使用人、IP地址等信息都记下,向上汇报。不一会儿,老王就接到了上级指示:“现在立刻进入勒索攻击应急流程!”老王打开一份神秘文档,开始照做。与此同时,更多的电话打了进来,内容都一样——工作电脑被锁了。而老王不知道的是,此时此刻在某处神秘的大屏上,一组组数字正在安静地跳动……在这之前……
在这场“攻击”发起前,办公桌的两头,该大型银行的信息安全团队和IT业务团队“剑拔弩张”地在对峙。近几年来,全球范围内多次发生严重勒索事件,受害组织业务中断、业务核心机密被窃取,交了赎金也拿不回数据的例子比比皆是。作为业务连续性的第一需求方,他太需要安全团队给个准话了。“你们要装什么我都同意了,防勒索解决方案上了,终端上防病毒、EDR、桌管、准入控制都快乱成一锅粥了,现在要你们给个准话就这么难吗?要是真有勒索,你们、不,咱们到底能不能防住?”面对咄咄逼人的业务老大,信息安全团队的老大丝毫不乱:“能不能防住,试试不就知道了。”“试试?!难道你要真投毒?!”业务老大倒抽一口冷气。“当然不是真投,是演练。”安全老大把早就准备好的方案投在会议室大屏上。“我知道你肯定有很多问题,你尽管问。”“演练怎么做出真实性?风险怎么规避?真应急的时候搞不定怎么办?最后,怎么判断这次演练有没有效果、有多大效果?”业务老大一口气提了一串问题。
“我们会在规定的网段和资产范围里,完全模拟勒索组织的攻击手法,投递仿真病毒。”安全老大解释道,“首先,演习的范围并不是全行,更不可能一上来就在总行搞,一定是在选定的某个分支机构,并划出用于演习的资产区域、网段,为了最大限度保证业务的连续性,还可以划出白名单。”“那怎么做到完全模拟勒索攻击手法?”业务老大感兴趣地追问。“这就要靠我们的外部攻防专家微步红队了,他们长期研究全球的勒索组织,掌握各种类型的攻击手法,从简单的自动化传播,到最高级的APT攻击手法,都可以进行模拟。这样,我们演练完以后就会知道我们大概能防住什么级别的勒索攻击。”安全老大点点头,向下翻动一页:
“仿真病毒和常规的勒索病毒一样,具备防御绕过、勒索加密和感染传播模块,但不同的是加密并不会真正执行,而且还具备完善的熔断自杀能力。同时,微步红队还会通过硬编码的方式从各种维度限制仿真勒索病毒的动作,并在演练开始前在仿真环境中反复测试,确保一切风险的可控性。而且,病毒爆发时会在电脑壁纸和勒索信中对员工明确说明这是勒索演练,禁止拍照传播。““这么厉害的模拟攻击,你们应急的时候要是扛不住怎么办?”业务老大看起来有点幸灾乐祸,又有点不太放心。
“这就要讲讲我们的组织架构和流程了。微步红队专家组不光负责仿真病毒研发和勒索演练的实施,还会做勒索应急的评估。在演练开始前,防守组就需要专门制定《勒索应急响应预案》提交给专家组;演练开始后,专家组会同防守组一起走完应急响应的全流程,在实践中迭代完善应急预案;当然,还少不了最后的复盘。”![]()
“既然都说到复盘了,那就把复盘展开讲讲吧。”业务老大的语气已经平缓了许多。“就像玩剧本杀一样,复盘的时候所有的谜底都会揭晓。《勒索仿真攻击总结报告》《防守应急处置总结报告》《整体勒索演练总结报告》肯定是必须的,我们还会对整个感染过程中收集到的数据进行统计分析,而且也会保留相关的照片、视频、截图等资料。“安全老大开始展示具体的报告类目。“首先,肯定可以回答你‘行还是不行’的问题;其次,可以量化我们目前勒索响应能力的水位,比如我们能防御自动化攻击型、半自动攻击攻击型等层级的勒索组织攻击,但防御更高层级勒索组织攻击,我们还需要继续加强;最后,本次暴露出的安全风险点我们都会一一修复,并且将此次演练过程中我们打磨出的应急预案进一步沉淀下来。”“但是,收集所有的感染数据需要一个现成的平台吧,不会又想找我们开发?。”“完全不需要开发,整个勒索演练方案就是基于微步红队的勒索演练总控平台,很成熟,在其他大型银行里承担过演练全程的态势可视化和数据收集,还能一键清理仿真病毒。“”你只要在前期做网络和资产调研的时候配合我的工作就行了。”安全老大露出蓄谋已久的笑容,“现在轮到我说这句话了——就问你,到底行不行?”10月12日早8点半,微步红队专家成功投递仿真勒索病毒。10月12日下午4点,病毒通过自动感染,已感染30多台服务器。10月12日下午5点,病毒已感染140余台服务器,微步红队安全专家通过控制集权系统,批量推送病毒,感染了200多台个人办公电脑。10月14日早9点,仿真勒索病毒在预定的时间节点集中爆发,于是,出现了文章开始的那一幕。10月14日早10点,X南省行进入应急响应流程,切断网络连接,宣布停止业务,向上汇报并开始隔离失陷终端;10月14日中午11点,勒索演练总控大屏上的“已感染主机”数字停止增长,勒索被遏制;10月14日下午2点,针对此次勒索演练攻击的工作组正式成立,开始取证分析溯源工作,同时,对集权系统进行逐个排查,分析审计日志,发现了内网扫描告警、弱口令爆破告警、MS17010漏洞告警,按照预案开展阻断、上报、分析、处置、恢复等动作;10月15日上午10点,最终确认勒索软件入侵路径,某工位办公电脑在无人使用的开机状态下被攻击者利用,进而通过提权获取集权系统管理员账密,从而实现仿真病毒的批量推送;10月15日下午3点,勒索演练总控平台对感染机器的仿真病毒进行一键清除,安全运营组针对入侵路径进行安全加固,应急响应流程进入尾声。“……根据勒索组织矩阵,我们能防御自动化攻击型、半自动化攻击型、RAAS(勒索即服务)攻击型几个层级的勒索组织攻击,对于定向APT型勒索攻击,我们还需要继续加强。同时,在演练的过程中暴露了省行内网管控和员工电脑设备管控不足等安全风险。此外,完成了X省行完整、可落地的勒索病毒应急预案,接下来要提前准备加白空白USB存储器、5G无线网卡等应急设备。最后,我们发现演练过程中仍然存在提升空间的方面是……”随着最后的汇报结束,整场勒索演练落下帷幕。安全和业务两个负责人一前一后走出会议室。“没想到,还是有200台PC被锁了。”安全老大有些不满意。“不过,这么来一次还是挺有用的,至少我现在比之前更信任你们了。”业务老大道。二人身后的总控大屏,悄然熄灭。
如果你还想了解更多勒索演练的正确姿势,推荐你阅读:
【干货】头部券商勒索软件攻击实战演练复盘
微步OneCare勒索演练服务基于微步高级红队专家能力及微步多年勒索应急处置经验和勒索攻击研究分析积累构建。通过模拟不同类型勒索组织的技战法开展勒索攻击模拟,验证企业勒索防护有效性,动态检测企业勒索防护的整体水位,暴露企业勒索防护体系中的薄弱环节,为企业科学制定勒索攻击防护策略提供依据。
↓↓↓
![]()
文章来源: https://mp.weixin.qq.com/s?__biz=MzI5NjA0NjI5MQ==&mid=2650182306&idx=1&sn=b33ab570e0e76bd5d1d5ca592766d73e&chksm=f448691ec33fe008d91d4c739a95f5f87dcb9509573412fc8570c55add5da48a9109b053b739&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh