CACT中国信通院 补索病毒安全秽护手看 植入、实施勒索4个阶段。 1.探测侦察阶段 (1)收集基础信虑。攻击者通过主动扫描、网络钓鱼以 及在暗网黑市购买等方式,收集攻击目标的网络信息、身份 信息、主机信息、组织信息等,为实施针对性、定向化的勒索 病毒攻击打下基础。 (2)发现攻击入口,攻击者通过漏洞扫描、网络嗅探等 方式,发现攻击目标网络和系统存在的安全隐患,形成网络 攻击的突破口。此外,参照勒索病毒典型传播方式,攻击者 同样可利用网站挂马、钓鱼邮件等方式传播勒索病毒。 2.攻击入侵阶段 (1)部署攻击资源。根据发现的远程桌面弱口令,在网 信息系统漏洞等网络攻击突破口,部署相应的网络攻击资 源,如MetaSploit、CobaltStrike,RDP Over Tor等网络 攻击工具。 (2)获取访问权限。采用合适的网络攻击工具,通过软 件供应链攻击、远程桌面入侵等方式,获取攻击目标网络和 系统的访问权限,并通过使用特权账户、修改域策略设置等 方式提升自身权限,攻击入侵组织内部网络。 3.病毒植入阶段 (1)植入勒索病毒。攻击者通过恶意脾本、动态链接 库DLL等部署勒索病毒,并劫持系统执行流程、修改注册
勒索病毒安全防护手册 8 植入、实施勒索 4 个阶段。 1.探测侦察阶段 (1)收集基础信息。攻击者通过主动扫描、网络钓鱼以 及在暗网黑市购买等方式,收集攻击目标的网络信息、身份 信息、主机信息、组织信息等,为实施针对性、定向化的勒索 病毒攻击打下基础。 (2)发现攻击入口。攻击者通过漏洞扫描、网络嗅探等 方式,发现攻击目标网络和系统存在的安全隐患,形成网络 攻击的突破口。此外,参照勒索病毒典型传播方式,攻击者 同样可利用网站挂马、钓鱼邮件等方式传播勒索病毒。 2.攻击入侵阶段 (1)部署攻击资源。根据发现的远程桌面弱口令、在网 信息系统漏洞等网络攻击突破口,部署相应的网络攻击资 源,如 MetaSploit、CobaltStrike、RDP Over Tor 等网络 攻击工具。 (2)获取访问权限。采用合适的网络攻击工具,通过软 件供应链攻击、远程桌面入侵等方式,获取攻击目标网络和 系统的访问权限,并通过使用特权账户、修改域策略设置等 方式提升自身权限,攻击入侵组织内部网络。 3.病毒植入阶段 (1)植入勒索病毒。攻击者通过恶意脚本、动态链接 库 DLL 等部署勒索病毒,并劫持系统执行流程、修改注册
CACT中回信通院 利家精青安全背护手彩 表、混淆文件信息等方式规避安全软件检测功能,确保勒索 病毒成功植入并发挥作用。 (2)扩大感染范围。攻击者在已经入侵内部网络的情况 下,通过实施内部鱼叉式网络钓鱼、利用文件共享协议等方 式在攻击目标内部网络横向移动,或利用勒索病毒本身类蠕 虫的功能,进一步扩大勒索病毒感染范围和攻击影响。 4.实施勒索阶段 (1)加密窃取数据。攻击者通过运行勒索病毒,加密 图像、视频、音频、文本等文件以及关键系统文件、磁盘引 导记录等,同时根据攻击目标类型,回传发现的敏感、重要 的文件和数据,便于对攻击目标进行勒索。 (2)加载勒索信息。攻击者通过加载粉索信息,胁迫 攻击目标支付勒索赎金,通常勒索信息包括通过暗网论坛 与攻击者的联系方式、以加密货币支付赎金的钱包地址,支付 赎金获取解密工具的方式等, 四、勒索病毒攻击安全防护举措 (一)勒索病毒攻击安全防护框架 由于不同的安全防护措施在勒索病毒攻击的不同阶段 发挥不同程度的作用,通过梳理勒索病毒典型安全防护措 施,按照核心防护措施(·)、重要防护措施(。入、一般防 护措施(口),与勒索病毒攻击的4个阶段形成映射关系,构 建形成勒索病毒攻击安全防护框架。建议用户根据自身情
勒索病毒安全防护手册 9 表、混淆文件信息等方式规避安全软件检测功能,确保勒索 病毒成功植入并发挥作用。 (2)扩大感染范围。攻击者在已经入侵内部网络的情况 下,通过实施内部鱼叉式网络钓鱼、利用文件共享协议等方 式在攻击目标内部网络横向移动,或利用勒索病毒本身类蠕 虫的功能,进一步扩大勒索病毒感染范围和攻击影响。 4.实施勒索阶段 (1)加密窃取数据。攻击者通过运行勒索病毒,加密 图像、视频、音频、文本等文件以及关键系统文件、磁盘引 导记录等,同时根据攻击目标类型,回传发现的敏感、重要 的文件和数据,便于对攻击目标进行勒索。 (2)加载勒索信息。攻击者通过加载勒索信息,胁迫 攻击目标支付勒索赎金。通常勒索信息包括通过暗网论坛 与攻击者的联系方式、以加密货币支付赎金的钱包地址、支付 赎金获取解密工具的方式等。 四、勒索病毒攻击安全防护举措 (一)勒索病毒攻击安全防护框架 由于不同的安全防护措施在勒索病毒攻击的不同阶段 发挥不同程度的作用,通过梳理勒索病毒典型安全防护措 施,按照核心防护措施(●)、重要防护措施(◎)、一般防 护措施(○),与勒索病毒攻击的 4 个阶段形成映射关系,构 建形成勒索病毒攻击安全防护框架。建议用户根据自身情
CAICT中国信通院 物索病毒安全防护手册 况,选择恰当的防护措施,防范化解勒索病毒攻击风险。 1.核心防护措施。该类措施在特定勒索病毒攻击阶段发 挥核心防护作用,有效阻断勒索病毒攻击行为或全面消除 勒索病毒攻击引发的特定影响等。例如,数据备份、数据恢 复主要针对勒索病毒攻击实施勒索的阶段,通过攻击前备份 数据、攻击后恢复数据,消除由于勒索病毒加密、窃取数据,引 发数据丢失,甚至是业务中断等方面的攻击影响。 2.重要防护措施。该类措施在特定勒索病毒攻击阶段发 挥重要防护作用,但与核心防护措施相比,未能发挥全面防 范应对勒索病毒攻击的效果。例如,采取恰当的安全管理措 施,如严格的网络隔离、访问控制等,在攻击者获取访问权 限实施攻击入侵方面发挥核心防护作用,但在侦察探测的收 集基础信息攻击阶段,攻击者可能采取主动网络探测、暗网 黑市购买等多种方式,安全管理在该阶段未能发挥全面防范 应对的效果,发挥重要防护作用。 3.一般防护措施。该类措施在特定勒索病毒攻击阶段发 挥一般的防护作用,但与核心防护措施和重要防护措施相 比,仅能在一定程度上发挥防范应对勒索病毒攻击的效 果。例如,制定应急预案主要针对攻击者已经开始实施勒索 病毒攻击,明确应急处置机制、流程等,在已经发现遭受勒 索病毒攻击的情况,启动预案并采取措施应对攻击风险,但 在勒索病毒攻击发生前,安全防护措施主要以事前防范为 10
勒索病毒安全防护手册 10 况,选择恰当的防护措施,防范化解勒索病毒攻击风险。 1.核心防护措施。该类措施在特定勒索病毒攻击阶段发 挥核心防护作用,有效阻断勒索病毒攻击行为或全面消除 勒索病毒攻击引发的特定影响等。例如,数据备份、数据恢 复主要针对勒索病毒攻击实施勒索的阶段,通过攻击前备份 数据、攻击后恢复数据,消除由于勒索病毒加密、窃取数据,引 发数据丢失,甚至是业务中断等方面的攻击影响。 2.重要防护措施。该类措施在特定勒索病毒攻击阶段发 挥重要防护作用,但与核心防护措施相比,未能发挥全面防 范应对勒索病毒攻击的效果。例如,采取恰当的安全管理措 施,如严格的网络隔离、访问控制等,在攻击者获取访问权 限实施攻击入侵方面发挥核心防护作用,但在侦察探测的收 集基础信息攻击阶段,攻击者可能采取主动网络探测、暗网 黑市购买等多种方式,安全管理在该阶段未能发挥全面防范 应对的效果,发挥重要防护作用。 3.一般防护措施。该类措施在特定勒索病毒攻击阶段发 挥一般的防护作用,但与核心防护措施和重要防护措施相 比,仅能在一定程度上发挥防范应对勒索病毒攻击的效 果。例如,制定应急预案主要针对攻击者已经开始实施勒索 病毒攻击,明确应急处置机制、流程等,在已经发现遭受勒 索病毒攻击的情况,启动预案并采取措施应对攻击风险,但 在勒索病毒攻击发生前,安全防护措施主要以事前防范为