防勒索不能只靠事后救援
前言
近日,某攻击事件引起了广泛关注。LockBit组织为此事的攻击者,该组织是目前全球最猖獗的黑客组织之一,仅在美国本土,该组织就获得超过9千万美元的赎金。
此外,据区块链分析公司Chainaanalysis在《2023 年年中安全报告》中指出,截至 6 月份,勒索软件攻击者已勒索至少 4.491 亿美元,若保持现有速度趋势,2023年全年勒索金额将高达 8.986 亿美元,勒索赎金或创下新的纪录。
安恒信息猎影实验室及时开展研判分析,发现除本次事件外, LockBit及其联盟成员还利用上个月刚披露的Citrix Bleed漏洞(CVE-2023-4966)成功入侵了多家巨头企业,包括头部的航空公司、金融机构、贸易集团等,使用恶意勒索软件来加密受害者电脑上的文件,然后要求其支付赎金解锁文件。
漏洞利用作为勒索攻击的主要初始攻击向量之一,是勒索组织广泛采用的高效手段。漏洞快速武器化的趋势日益显著,进一步凸显出勒索攻击的高速增长对全球范围的网络安全带来的巨大威胁。
为进一步提高漏洞侦查的敏锐度,应对勒索攻击带来极大损失,安恒信息高度关注全球勒索攻击态势和威胁情报。针对今年备受瞩目的各种漏洞,我们进行了系统综合梳理,将以下几种需要重点关注的漏洞提出,并简要对其相关的勒索组织进行了介绍。
勒索攻击近期热点漏洞梳理
CVE-2023-20269:Akira使用思科VPN中的0day发起攻击
3月出现,6月开发出变体,Akira正迅速成为今年增长最快的勒索家族之一,已经对几十家公司进行了攻击。今年8月,Akira勒索软件被发现滥用思科自适应安全设备(ASA)和 Firepower威胁防御(FTD)产品,对许多组织发起勒索软件攻击,后续思科证实上述产品中存在CVE-2023-20269漏洞。
思科报告称,利用CVE-2023-20269的威胁行为者可以识别有效凭据,这些凭据可能被滥用来建立未经授权的远程访问 VPN会话,并且对于运行Cisco ASA 软件版本9.16或更早版本的受害者,可以建立无客户端SSL VPN 会话。
CVE-2023-46604:被多个勒索组织同时利用的RCE漏洞
此外,Arctic Wolf Labs还进一步披露TellYouThePass勒索组织正积极利用该漏洞作为攻击的初始访问。TellYouThePass勒索软件自两年前使用Log4Shell漏洞展开攻击后,在国内近几年都较为活跃,其攻击手法熟练,擅长利用已发布的安全补丁但未及时修复的系统和软件漏洞,曾多次通过OA、财务等软件漏洞入侵攻击,目标主要聚焦于国内的中小企业,需引起重点关注。
CVE-2023-22518:Cerber勒索利用Atlassian漏洞重新回归
CVE-2023-4966:广泛存在的Citrix Netscaler漏洞
2023年10月10日,Citrix发布了针对Citrix Bleed漏洞的,适用于NetscalerADC和Netscaler Gateway产品的安全更新补丁。该漏洞可能会泄露设备内存中的敏感信息,其中可能包括会话令牌。攻击者可以使用这些凭据通过会话劫持进入系统。值得一提的是在发布补丁时,Citrix称是内部发现并不知道是否存在正在使用此漏洞进行攻击,但此后表示他们观察到威胁行为者正在使用该漏洞,包括波音公司在内的大型企业均曾遭受攻击。
安全研究人员称,包括勒索组织在内的威胁行为者早在8月下旬就开始利用该漏洞,而至今仍有5000多家组织未能修补这一安全漏洞。
CVE-2023-47246:Clop勒索组织的又一0day杀器
今年勒索组织利用的新漏洞概览
今年以来的利用漏洞展开勒索攻击的事件突显了勒索组织的演化趋势。攻击者通过寻找并成功利用软件和系统中的漏洞,实施入侵,从而进一步拓展了勒索攻击的可能性。这一趋势不仅表现在漏洞利用的频率上有所增加,更突显了攻击者对新的、更为隐匿漏洞的持续追求,旨在提高攻击的成功率和持续性。以下是今年部分被勒索组织利用的漏洞情况:
CVE编号 | 漏洞描述 | 相关勒索家族 |
CVE-2023-27350 | 某些版本的PaperCut NG 和 PaperCut MF 中,使未经身份验证的参与者能够在没有凭据的情况下远程执行恶意代码 | Bl00dy、Clop、LockBit |
CVE-2023-27351 | 可能允许未经授权的攻击者提取存储在客户的 PaperCut MF 和 NG 服务器中的用户账户信息 | Clop、LockBit |
CVE-2023-28252 | 通用日志文件系统驱动程序中的越界写入漏洞,成功利用可进行权限提升 | Nokoyawa |
CVE-2023-0669 | GoAnywhereMFT管理端存在反序列化漏洞,攻击者利用该漏洞无需登录便可以远程执行任意命令 | Clop |
CVE-2023-34362 | SQL 注入漏洞,该漏洞可能允许未经身份验证的攻击者访问 MOVEit 传输的数据库 | Clop |
CVE-2023-24880 | Windows SmartScreen 安全功能绕过漏洞 | Magniber |
CVE-2023-27532 | Veeam Backup & Replication 身份认证绕过漏洞 | ALPHV / BlackCat |
CVE-2023-4966 | 未经身份验证的缓冲区相关漏洞,影响 Citrix NetScaler ADC 和Gateway、用于负载平衡、防火墙实施、流量管理、VPN 和用户身份验证的网络设备,未授权的远程攻击者可通过利用此漏洞,窃取敏感信息。 | LockBit |
CVE-2023-20269 | 主要影响 Cisco ASA 和 Cisco FTD 的 VPN 功能,允许未经身份验证的远程攻击者暴力破解凭据来访问网络,通过访问帐户,可以在被破坏的网络中建立无客户端SSL VPN 会话。 | Akira |
CVE-2023-47246 | SysAid中的路径遍历漏洞,该漏洞会导致 SysAid 本地软件中的代码执行。 | Clop |
CVE-2023-22518 | Atlassian Confluence 身份验证绕过漏洞。 | Cerber |
CVE-2023-46604 | Apache ActiveMQ 远程命令执行漏洞。 | HelloKitty、Tellyouthepass |
网络威胁中的“狡猾分子”,攻击态势亟待重视
勒索攻击被视为目前全球最大的网络威胁,针对广泛行业展开的勒索软件攻击已经严重威胁到全球的数据安全和阻碍经济发展和生产的正常运行,成为最流行的网络犯罪行为之一。
自今年以来,利用漏洞展开勒索攻击的事件突显了勒索组织猖狂的趋势。攻击者通过寻找并成功利用软件和系统中的漏洞,实施入侵,从而进一步拓展了勒索攻击的可能性。这一趋势不仅表现在漏洞利用的频率上有所增加,更突显了攻击者对新的、更为隐匿漏洞的追求,旨在提高攻击的成功率和持续性。
此外,攻击者的手法不再局限于传统的勒索软件,而是更多地关注于勒索之外的附加手段,如数据泄露和网络瘫痪。这为受害组织带来了更大的威胁,因为不仅要面对加密数据的勒索,还可能面临敏感信息曝光的风险。面对勒索攻击者策略的日益精密和多样化,组织急需更为全面的安全措施加以应对。
作为国内数字安全行业的“佼佼者”,安恒信息具备全面可靠的防勒索解决方案
1、AiLPHA大数据平台&AXDR平台
AiLPHA大数据平台&AXDR平台的流量探针(AiNTA)在第一时间加入了上述漏洞的检测规则,请将规则包升级到1.1.1279版本(AiNTA-v1.2.5_release_ruletag_1.1.1279)及以上版本。
AiNTA流探针规则升级方法:系统管理->手动升级,选择“上传升级包”。升级成功后,规则版本会变为最新的版本号。请从AiLPHA安全中心下载规则包。
AiLPHA安全中心地址:
https://ailpha.dbappsecurity.com.cn/index.html#/login
如果没有账号,请从页面注册账号。
2、APT攻击预警平台
APT攻击预警平台已经在第一时间加入了上述漏洞的检测能力,请将规则包升级到GoldenEyeIPv6_XXXXX_strategy2.0.XXXXX.231115.1及以上版本。
APT攻击预警平台规则升级方法:系统->升级管理,选择“手动升级”或“在线升级”。
APT攻击预警平台的规则升级包请到安恒社区下载:https://bbs.dbappsecurity.com.cn/download/60d406cd22d42322bcde0225/5ddc97a68c885b76dd8d8667?type1=5e01818f8a17d82f9f66fb26
3. 扫描器
(1)明鉴漏洞扫描系统/明鉴远程安全评估系统
已具备上述漏洞的检测能力,将策略库升级至V1.3.1291.1301版本
升级方法:系统管理-系统服务-系统升级-立即升级 可通过网络在线升级至最新版本,或通过离线下载升级包后至系统管理-系统服务-系统升级-选择离线包上传升级包,升级成功后策略库为最新版本
策略库离线下载地址:http://upgrade.websaas.com.cn/offline-package
(2)云鉴版漏洞扫描系统已具备上述漏洞的检测能力,将策略库升级至V1.3.1291.1301版本,具体的升级方式为离线上传更新
具体升级方式可联系杨芳获取
(3)WebScan7已具备上述漏洞的检测能力,将策略库升级至V1.0.1.126版本,具体的升级方式为一键在线升级。策略库离线下载地址:http://upgrade.websaas.com.cn/offline-package?type=web收起链接预览
4. 玄武盾
玄武盾已经支持上述漏洞的检测
5. WAF
WAF已经支持上述漏洞的检测
6. EDR
安恒EDR能够防御已知和未知类型的勒索病毒,有效防护主机安全。
安恒信息再次提醒广大用户,请谨慎对待互联网中来历不明的文件,如有需要,请上传至安恒云沙箱https://sandbox.dbappsecurity.com.cn,进行后续判断。
安恒云沙箱反馈与合作请联系:sandbox@dbappsecurity.com.cn