网络勒索攻击 之 如何快速应急响应（下）

文件加密和删除并不是唯一类型的“拒绝”网络攻击。对网络资源和功能的访问也可能受到分布式拒绝服务（DDoS）攻击的严重影响。在DDos攻击中，“黑客”故意利用网络流量使得在线的基础设施超载，来阻止服务的正常运行。这些类型的攻击可能对网络基础设施造成破坏，需要立即予以关注。

多年来，网络犯罪分子一直试图在各种网络勒索案件中利用DDoS攻击。例如，在2020年8月，一个被称为“Lazarus Bear Armada”的组织对金融和旅游行业的目标发起了一系列精心策划的DDoS攻击。根据特定目标的弹性及其在技术供应链中的位置的不同，DDoS攻击可能只是影响单个组织，也有可能会引起广泛的连锁效应。

在DDoS类型的勒索攻击中，犯罪分子会对受害者发起DDoS攻击，然后主动提出结束这次攻击，以换取赎金。例如，在2021年1月，安全公司Radware警告说，有客户收到勒索邮件，对其威胁要进行DDoS攻击，除非他们向“黑客”支付5到10个比特币（当时价值约15万到30万美元）。

此后不久，互联网安全公司Akamai警告称，2021年的DDoS攻击已经变得“更有针对性、也更持久”。在某些情况下，“黑客”使用了复杂的攻击策略，“通过多个DDoS攻击载体轮流攻击，以此来增加破坏后端环境的可能性”。

在抵御DDoS攻击时，可以考虑利用专门的DDoS缓解服务（DDoS mitigation service）。CloudFlare、Akamai等第三方提供商都专门提供有DDoS缓解选项，其中包括人工智能（AI）驱动的威胁身份和响应、分布式缓存代理等。

7. 将黑客拒之门外

“黑客”会一直潜伏在攻陷的受害者环境中，监控着通信，甚至可能与他人共享访问权限。除非响应者将它们彻底驱逐出去，否则“黑客”将会一直阴魂不散。

在遏制阶段的最初步骤中，响应者通常不完全了解“黑客”的侵入方法，甚至不了解当前所采用的访问机制，这是正常的。尽管破解这些谜题是个明显的挑战，但将“黑客”从系统中驱逐出去才是最为关键的，这样才能确保不会再遭受损失，以及在调查过程中也不会被安装额外的恶意软件。

将“黑客”拒之门外的策略包括：

• 关闭远程连接服务

• 重设密码

• 推广多因素认证

• 限制周边通信

• 审查并尽量减少第三方访问

• 减轻遭破坏软件产生的风险

7.1 关闭远程连接服务

许多企业环境都允许员工、承包商、供应商、IT人员和其他一些企业人员远程访问其网络，通常是通过远程桌面协议（RDP）、虚拟专用网络（VPN）和安全Shell（SSH）登录。远程访问系统成为“黑客”的主要攻击目标的案例已经屡见不鲜。访问的通道已经建好，在很多情况下，使用这个通道的唯一要求就是提供“用户名和密码”。

在对网络勒索事件的最初响应中，响应者应考虑采取以下措施来锁定远程连接服务：

• 禁用任何允许从公共互联网进行RDP的端口转发。

• 关闭所有VPN接入点。

• 禁用来自公共互联网上的SSH服务

• 终止RDP、VPN、SSH和其他远程连接工具所有处于活跃状态的远程会话，除非它们是绝对必要的，并且已经过响应团队的审查。

7.2 重置本地帐户和云帐户的密码

密码重置是快速减少持续损害风险的一种基本策略，甚至应该在响应团队完全弄清楚遭受攻击的范围之前就予以实施。

7.2.1 哪些密码应该重置？

在首次响应期间，通常建议对所有与域相关的帐户以及Microsoft 365和QuickBooks等云服务进行大规模密码重置，这将防止黑客使用被盗密码访问服务，而且通常会降低黑客使用已批准的远程访问工具重新进入组织的风险。

每个环境都是独一无二的。当决定是否重置密码，或确定一个重设密码的时间表时，响应者应权衡重设密码的带来的好处，以及行动的难度和付出的成本。

7.2.2 何时和如何重置密码

在没做充分准备的情况下就贸然对密码进行更改，往往是无效的，而且还可能又埋下了新的隐患。如果“黑客”已经在受害者网络中建立了一个不依赖“账号密码”的访问权限（例如RAT），那么即便是更改了密码，也可能很快就被“黑客”把新密码删除。

在确定本地系统已经彻底清理干净了之后，应该尽快执行密码重置。在与沦陷环境相隔离的网段上执行此操作是最安全的。如果有被感染的主机连接到了已经“干净”的网络中，那么响应者应该再次执行此操作。

此外，响应者应该确保重置Kerberos访问令牌，作为预防使用基于令牌的域攻击的一种手段。有关完整的重置过程，请参考供应商文档。

云服务也是渗透攻击的主要目标，需要快速解决。响应者应该撤销其云环境中的所有活动会话，然后重置所有帐户的密码。只能使用未受恶意软件感染且不属于受感染网络的一部分的计算机进行云服务密码重置。

7.2.3 新密码的选择

在任何情况下，新密码都应该是安全的、强壮的且唯一的。IT人员使用共享的“本地管理员密码”来初始设置和持续维护企业网络的情况并不罕见。在这种情况下，响应者应该考虑使用本地管理员密码跟踪解决方案，例如本地管理员密码解决方案（LAPS），以避免在多个设备之间共享密码。

7.3 审计帐户

许多“黑客”经常会修改帐户权限或创建新的用户帐户。这往往同时也会涉及到空间共享访问、软件安装权限、远程访问等方面。如果响应者未能识别和纠正这些变化，它就可以为黑客重新进入环境敞开大门，并破坏或否定恢复工作。

响应者应对用户帐户进行审计和评估，同时寻找如下所列的可疑迹象：

• 最近创建的账户

• 新启用的远程访问权限

• 管理权限分配

• 新的文件共享访问

• 密码的修改

确保立即禁用或限制所有“黑客”创建的或者更改过的账户。当授权用户的帐户通过审计并得到适当的保护，就可以重新建立访问权限。

7.4 多因素身份验证

检查对受害者环境的远程访问是否都设置了多因素身份验证（MFA）。如果不是的话，或者只有部分进行了设置，要明确差距。认真考虑为所有远程访问都设置多因素身份验证，包括VPN、Web邮件和云环境。

虽然MFA的缺乏似乎与网络勒索攻击的原因没有直接关系，但快速部署MFA通常可以显著降低由于密码盗窃而导致的持续沦陷或再次感染的风险。

许多组织往往花了几个月的时间来探讨如何部署MFA，但是在网络勒索事件发生后的一个周末就奇迹般地完成了实施。虽然这种加速的时间框架并不理想，但它通常是降低风险的明智选择。

7.5 限制边界通信

无论是出站还是入站的通信，一律加以限制，这可能是切断未经授权访问的最快方案。但是请注意：此时如果响应者需要远程访问组织基础设施的关键部分，边界网络限制也可能成为一个障碍。如果可能的话，需要限制以下服务：

• RDP服务，即使它们通过其他端口运行

• VPN访问，除非访问来自特定允许的IP地址

• MB、FTP或任何其他共享协议

• SSH访问

• 任何非必要的服务

7.6 减少第三方访问

第三方，包括托管服务提供商（MSP）、技术供应商、软件提供商和其他供应商，都有可能会无意中充当未经授权的远程访问客户网络的载体。如果他们自己的技术生态系统最先受到攻击，这种结果就尤其有可能出现。

例如，经常会看到网络勒索者通过攻击获取了MSP的账户，并利用这些特权对MSP的客户发起勒索攻击。如果发生网络勒索攻击，立即通知受害者的MSP通常是一个明智的选择。这样，MSP就可以提供支持，并能够适应任何远程访问或网络控制的变化。此外，MSP用于管理环境的任何管理帐户以及远程访问软件都应该被快速限制或禁用。这样，即使MSP的访问特权被“黑客”获取，他们也不能轻易地利用这些访问特权。

技术供应商也存在类似的风险，特别是如果他们能够持续地远程访问受害者的环境。虽然技术供应商可能在整个技术生态系统中没有完整的管理帐户，但他们可能拥有多个标准用户，这也使得它们成为被攻击的目标。

为了减少攻击的风险，可以采取以下措施：

• 在响应的早期阶段，应尽量减少第三方对网络的远程访问。

• 除非绝对必要，否则应禁用所有供应商帐户。

• 虑断开由可能被渗透的供应商管理的任何硬件或软件。

7.7 降低受损软件带来的危害

软件产品可能是将恶意后门或其他恶意软件注入受害者环境的载体，这种情况往往特别棘手而又难以解决，尤其是像SolarWinds和Kaseya事件一样，在这些案例下，遭破坏的软件是受害者的技术环境不可或缺的一部分。

在响应的早期阶段，明智的做法是只运行必需的软件，直到完全掌握攻击的来源和范围。如果有证据表明“黑客”破坏了现有软件或在软件中植入了后门：立即联系该软件的供应商，进行告知并获得指导。如果可能，请从网络中删除遭破坏的软件。

否则：

采取措施清除“黑客”，安装能尽快解决这个问题的软件补丁。

—  实验室旗下直播培训课程  —