之前����,勒索軟件的制造成了一種地下黑產(chǎn)����,有著技術(shù)支持服務(wù)、新聞中心以及廣告活動�����。與其他任何行業(yè)一樣���,想創(chuàng)造出有競爭力的產(chǎn)品就要不斷改進(jìn)����。例如���,LockBit 先于其他網(wǎng)絡(luò)犯罪組織同行,宣布自己能通過域控制器自動感染本地計算機(jī)����。
LockBit 遵循勒索軟件即服務(wù)(RaaS)模型,為其客戶(實(shí)際發(fā)動攻擊的人)提供基礎(chǔ)設(shè)施和惡意程序���,然后收取一部分贖金分紅�����。攻入受害者網(wǎng)絡(luò)是承包商的義務(wù)����,就勒索軟件在整個網(wǎng)絡(luò)中的分發(fā)而言,LockBit 設(shè)計出了一種相當(dāng)有趣的技術(shù)���。
█ LockBit 2.0 的分發(fā)
根據(jù) Bleeping Computer 報道���,在攻擊者取得網(wǎng)絡(luò)訪問權(quán)限,進(jìn)入域控制器之后��,會在域控制器上運(yùn)行惡意軟件����,創(chuàng)建新的用戶組策略,然后將其自動推送給網(wǎng)絡(luò)中的每一臺設(shè)備�。策略首先會禁用操作系統(tǒng)的內(nèi)置安全技術(shù),隨后其他策略會在所有 Windows 計算機(jī)上創(chuàng)建一個計劃任務(wù)��,運(yùn)行勒索軟件的可執(zhí)行文件�����。
Bleeping Computer 援引研究員 Vitali Kremez 的話說,勒索軟件使用 Windows Active Directory API 執(zhí)行輕量級目錄訪問協(xié)議(LDAP)查詢��,獲取計算機(jī)列表���。隨后�����,LockBit 2.0繞過用戶帳戶控制(UAC)并靜默運(yùn)行�,不會在正被加密的設(shè)備上觸發(fā)任何警報���。
很明顯����,這是史上第一個通過用戶組策略傳播的批發(fā)型惡意軟件��。除此之外�����,LockBit 2.0遞送勒索信的方式相當(dāng)異想天開�,它會讓連接到網(wǎng)絡(luò)的所有打印機(jī)把勒索信給印出來�。
█ 怎樣才能保護(hù)自己的公司免受類似威脅��?
請記住���,域控制器其實(shí)是一臺 Windows 服務(wù)器,因此需要加以保護(hù)��。網(wǎng)絡(luò)安全解決方案 - Windows Server��,與我們的大多數(shù)企業(yè)端點(diǎn)安全解決方案配套提供�,能保護(hù)運(yùn)行 Windows 的服務(wù)器免受當(dāng)下的大多數(shù)威脅,您可以用它來充實(shí)自己的武器庫����。
但是,出現(xiàn)通過組策略傳播的勒索軟件��,意味著攻擊進(jìn)入了最終階段���。惡意活動應(yīng)該早點(diǎn)加以注意�����,比如當(dāng)攻擊者第一次進(jìn)入網(wǎng)絡(luò)或試圖劫持域控制器時���,就應(yīng)該注意到����。托管檢測和響應(yīng)解決方案���,能高效檢測出此類攻擊的蛛絲馬跡����。
最重要的是���,網(wǎng)絡(luò)犯罪分子經(jīng)常通過社會工程學(xué)技術(shù)和釣魚郵件來獲得初始訪問權(quán)限��。為了防止您的員工落入這種陷阱���,請定期培訓(xùn)以提高他們的網(wǎng)絡(luò)安全意識。
