虹科分享｜关于SANS报告的顶级勒索软件洞察

事实证明，新冠肺炎大流行的条件是勒索软件攻击的完美温床。公司突然转向新的地点、技术和安全策略，同时将更多工作转移到网络和云。作为回应，勒索软件攻击变得更加频繁、成功和毁灭性。威胁参与者采用了新的和更新的技术、战术和程序(TTP)来帮助恶意软件逃避检测并绕过防御，包括以下内容。

情报收集

攻击者“浏览”目标以获取侦察信息，从而使他们的攻击成为可能，或者鼓励他们索要赎金。知道在组织内部何处以及如何横向移动，可以使最终的攻击更有可能成功并交付(或超过)预期的收益。但如果攻击者遇到路障或情况与威胁行动者的情报计划不匹配，这也可以对防御者有利。

竞赛心态

当新的漏洞被发现时，它会引发一场竞赛，一方面将它们武器化，另一方面进行防御。攻击者通常获胜是因为开发和实施补丁所需的时间–通常是几周或几个月–而一次攻击只需要几分钟。威胁参与者的速度优势加强了防御的必要性，以阻止攻击链中更早出现的新威胁。广泛使用的基于行为和签名的防御措施，如下一代防病毒(NGAV)和终端检测和响应(EDR)，正在努力应对未知和逃避的威胁。

躲避攻击

为了逃避NGAV和EDR等检测解决方案，攻击者采用了无文件、内存中、运行时攻击，并在到达最终目标的途中利用本地二进制文件进行攻击。防止勒索软件依赖于及早发现并应对攻击。因此，回避让攻击变得极其难以阻止。SANS的报告指出，传统的防御措施，如基于磁盘的文件分析，不能胜任这项任务。

流网 VS 捕鱼

许多恶意软件攻击撒下了一张大网。他们的目标不是特定的实体，而是使用自动化来尝试并瞄准尽可能广泛的目标。自动化的一个成功例子是最近勒索软件集团与银行家特洛伊木马下载器合作的小趋势。然而，如今成功的勒索软件攻击越来越多地是手动的和高度针对性的。这使他们能够快速适应组织并定制他们的攻击–带来毁灭性的后果。