FireEye对勒索软件部署趋势的分析
2020-03-24 11:15:00 Author: www.4hou.com(查看原文) 阅读量:187 收藏

勒索软件具有破坏性强、影响范围深的特点,从企业到政府机构再到普通用户,无一不受到过勒索软件的影响。近些年来,勒索软件呈爆发增长的态势,FireEye Mandiant的研究人员回顾了2017年到2019年间的多起勒索软件事件响应调查,遍布北美、欧洲、亚太和中东地区,涉及各大行业,总结了初始入侵载体驻留时间和勒索软件部署时间的一些共同特征,研究表明,如果能将防御的重点放在关键领域并能迅速采取行动,就有可能在勒索软件部署之前就将其终止。

图1:勒索软件事件中观察总结

事件响应调查能使我们对勒索软件趋势有了更深入的了解(本文展示数据仅代表活动样本中所得)。例如,从2017年到2019年,Mandiant对勒索软件的调查量增加了860%,其中大多数都是先入侵后感染,研究人员认为,这种策略当前已成为主流,目的是增加受害者支付赎金的可能性。当然,勒索软件植入后立即执行的事件也是有的,例如GANDCRAB和GLOBEIMPOSTER,但是就复杂度和检测时间而言,“后感染”策略都有明显的优势。

常见的初始感染媒介

常见初始感染媒介包括三类:RDP、带有恶意链接或附件的钓鱼邮件,以及下载恶意软件进行后续活动的恶意驱动程序。在2017年,观察到的RDP较为频繁,在2018年和2019年有所下降。这些媒介表明勒索软件可以通过多种方式进入受害者环境,且并非所有方式都需要用户交互。

多数勒索软件会在初次感染的三天后才进行部署

从初次感染到勒索软件部署经历的天数如下图所示。可以看出,在大多数情况下,初次感染和勒索软件部署之间存在一定的时间间隔,有75%的勒索软件与初次感染间至少隔了三天时间。

这也表明,对于多数组织而言,如果能够快速检测、遏制并及时修复,则可以避免勒索软件造成的重大损失。 

图2:初始访问和勒索软件部署之间经过的天数

勒索软件通常在非工作时间部署

有76%的事件表明,勒索软件是在周末或下午6:00之后到上午8:00之前执行的,如下图3和图4所示。一些攻击者可能有意在下班后,周末或节假日期间部署勒索软件,以最大程度地发挥攻击有效性。还有一些情况例外,比如勒索软件的部署需要与用户操作配合,像是在2019年一起针对美国零售业的勒索软件攻击事件中,攻击者创建了一个Active Directory组策略对象来触发基于用户登录和注销的勒索程序执行。

 

图3:勒索软件的执行经常在下班后进行 

图4:勒索软件执行时间

本文翻译自:https://www.fireeye.fr/blog/threat-research/2020/03/they-come-in-the-night-ransomware-deployment-trends.html如若转载,请注明原文地址:


文章来源: https://www.4hou.com/posts/pX4p
如有侵权请联系:admin#unsafe.sh