FireEye对勒索软件部署趋势的分析 - 嘶吼 RoarTalk – 网络安全行业综合服务平台,4hou.com

FireEye对勒索软件部署趋势的分析

Change 勒索软件 2020-03-24 10:15:00
2694298
收藏

导语:多数勒索软件会在初次感染的三天后才开始进行部署,且大多是在非工作时间段。

勒索软件具有破坏性强、影响范围深的特点,从企业到政府机构再到普通用户,无一不受到过勒索软件的影响。近些年来,勒索软件呈爆发增长的态势,FireEye Mandiant的研究人员回顾了2017年到2019年间的多起勒索软件事件响应调查,遍布北美、欧洲、亚太和中东地区,涉及各大行业,总结了初始入侵载体驻留时间和勒索软件部署时间的一些共同特征,研究表明,如果能将防御的重点放在关键领域并能迅速采取行动,就有可能在勒索软件部署之前就将其终止。

图1:勒索软件事件中观察总结

事件响应调查能使我们对勒索软件趋势有了更深入的了解(本文展示数据仅代表活动样本中所得)。例如,从2017年到2019年,Mandiant对勒索软件的调查量增加了860%,其中大多数都是先入侵后感染,研究人员认为,这种策略当前已成为主流,目的是增加受害者支付赎金的可能性。当然,勒索软件植入后立即执行的事件也是有的,例如GANDCRAB和GLOBEIMPOSTER,但是就复杂度和检测时间而言,“后感染”策略都有明显的优势。

常见的初始感染媒介

常见初始感染媒介包括三类:RDP、带有恶意链接或附件的钓鱼邮件,以及下载恶意软件进行后续活动的恶意驱动程序。在2017年,观察到的RDP较为频繁,在2018年和2019年有所下降。这些媒介表明勒索软件可以通过多种方式进入受害者环境,且并非所有方式都需要用户交互。

多数勒索软件会在初次感染的三天后才进行部署

从初次感染到勒索软件部署经历的天数如下图所示。可以看出,在大多数情况下,初次感染和勒索软件部署之间存在一定的时间间隔,有75%的勒索软件与初次感染间至少隔了三天时间。

这也表明,对于多数组织而言,如果能够快速检测、遏制并及时修复,则可以避免勒索软件造成的重大损失。 

图2:初始访问和勒索软件部署之间经过的天数

勒索软件通常在非工作时间部署

有76%的事件表明,勒索软件是在周末或下午6:00之后到上午8:00之前执行的,如下图3和图4所示。一些攻击者可能有意在下班后,周末或节假日期间部署勒索软件,以最大程度地发挥攻击有效性。还有一些情况例外,比如勒索软件的部署需要与用户操作配合,像是在2019年一起针对美国零售业的勒索软件攻击事件中,攻击者创建了一个Active Directory组策略对象来触发基于用户登录和注销的勒索程序执行。

 

图3:勒索软件的执行经常在下班后进行 

图4:勒索软件执行时间

本文翻译自:https://www.fireeye.fr/blog/threat-research/2020/03/they-come-in-the-night-ransomware-deployment-trends.html如若转载,请注明原文地址:
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论

 
本站4hou.com,所使用的字体和图片文字等素材部分来源于原作者或互联网共享平台。如使用任何字体和图片文字有侵犯其版权所有方的,嘶吼将配合联系原作者核实,并做出删除处理。
©2022 北京嘶吼文化传媒有限公司 京ICP备16063439号-1 本站由 提供云计算服务