防勒索不能只靠事后救援

防勒索不能只靠事后救援

前言

近日,某攻击事件引起了广泛关注。LockBit组织为此事的攻击者,该组织是目前全球最猖獗的黑客组织之一,仅在美国本土,该组织就获得超过9千万美元的赎金。

此外,据区块链分析公司Chainaanalysis在《2023 年年中安全报告》中指出,截至 6 月份,勒索软件攻击者已勒索至少 4.491 亿美元,若保持现有速度趋势,2023年全年勒索金额将高达 8.986 亿美元,勒索赎金或创下新的纪录。

安恒信息猎影实验室及时开展研判分析,发现除本次事件外, LockBit及其联盟成员还利用上个月刚披露的Citrix Bleed漏洞(CVE-2023-4966)成功入侵了多家巨头企业,包括头部的航空公司、金融机构、贸易集团等,使用恶意勒索软件来加密受害者电脑上的文件,然后要求其支付赎金解锁文件。

漏洞利用作为勒索攻击的主要初始攻击向量之一,是勒索组织广泛采用的高效手段。漏洞快速武器化的趋势日益显著,进一步凸显出勒索攻击的高速增长对全球范围的网络安全带来的巨大威胁。

为进一步提高漏洞侦查的敏锐度,应对勒索攻击带来极大损失,安恒信息高度关注全球勒索攻击态势和威胁情报。针对今年备受瞩目的各种漏洞,我们进行了系统综合梳理,将以下几种需要重点关注的漏洞提出,并简要对其相关的勒索组织进行了介绍。

勒索攻击近期热点漏洞梳理

CVE-2023-20269:Akira使用思科VPN中的0day发起攻击

3月出现,6月开发出变体,Akira正迅速成为今年增长最快的勒索家族之一,已经对几十家公司进行了攻击。今年8月,Akira勒索软件被发现滥用思科自适应安全设备(ASA)和 Firepower威胁防御(FTD)产品,对许多组织发起勒索软件攻击,后续思科证实上述产品中存在CVE-2023-20269漏洞。

思科报告称,利用CVE-2023-20269的威胁行为者可以识别有效凭据,这些凭据可能被滥用来建立未经授权的远程访问 VPN会话,并且对于运行Cisco ASA 软件版本9.16或更早版本的受害者,可以建立无客户端SSL VPN 会话。

CVE-2023-46604:被多个勒索组织同时利用的RCE漏洞

该漏洞是ActiveMQ可扩展开源消息代理中的一个RCE类型的漏洞,未经身份验证的攻击者能够在服务器上执行任意shell命令。虽然Apache于10月27日发布了安全更新来修复该漏洞,但发布补丁一周后,Huntress Labs和Rapid7均报告发现攻击者利用该漏洞在客户网络上部署HelloKitty勒索软件。

此外,Arctic Wolf Labs还进一步披露TellYouThePass勒索组织正积极利用该漏洞作为攻击的初始访问。TellYouThePass勒索软件自两年前使用Log4Shell漏洞展开攻击后,在国内近几年都较为活跃,其攻击手法熟练,擅长利用已发布的安全补丁但未及时修复的系统和软件漏洞,曾多次通过OA、财务等软件漏洞入侵攻击,目标主要聚焦于国内的中小企业,需引起重点关注。

CVE-2023-22518:Cerber勒索利用Atlassian漏洞重新回归

2023年10月31日,Atlassian发布了有关CVE-2023-22518的通报,这是一个涉及Confluence数据中心和服务器的不当授权漏洞。最初报告称会导致数据丢失,但最终发现利用此漏洞允许未经授权的用户重置并创建Confluence管理员帐户实例,从而允许他们执行这些帐户可用的所有管理权限。后续发现威胁行为者利用该漏洞进行分发和部署Cerber勒索软件的变种。

CVE-2023-4966:广泛存在的Citrix Netscaler漏洞

2023年10月10日,Citrix发布了针对Citrix Bleed漏洞的,适用于NetscalerADC和Netscaler Gateway产品的安全更新补丁。该漏洞可能会泄露设备内存中的敏感信息,其中可能包括会话令牌。攻击者可以使用这些凭据通过会话劫持进入系统。值得一提的是在发布补丁时,Citrix称是内部发现并不知道是否存在正在使用此漏洞进行攻击,但此后表示他们观察到威胁行为者正在使用该漏洞,包括波音公司在内的大型企业均曾遭受攻击。

安全研究人员称,包括勒索组织在内的威胁行为者早在8月下旬就开始利用该漏洞,而至今仍有5000多家组织未能修补这一安全漏洞。

CVE-2023-47246:Clop勒索组织的又一0day杀器

2023年11月,Microsoft威胁情报团队称有威胁行为者利用服务管理软件 SysAid中的0day漏洞(CVE-2023-47246)来访问公司服务器以窃取数据并部署 Clop 勒索软件。之后SysAid回应已修复该问题并发布了安全更新补丁。

除此之外,Clop勒索团伙在今年上半年宣称利用GoAnywhere MFT(CVE-2023-0669)漏洞入侵了130多个组织,此外,还使用了MOVEit Transfer、Accellion FTA等漏洞,是今年最为活跃的勒索组织之一,也因广泛使用0day漏洞进行攻击而独树一帜。

今年勒索组织利用的新漏洞概览

今年以来的利用漏洞展开勒索攻击的事件突显了勒索组织的演化趋势。攻击者通过寻找并成功利用软件和系统中的漏洞,实施入侵,从而进一步拓展了勒索攻击的可能性。这一趋势不仅表现在漏洞利用的频率上有所增加,更突显了攻击者对新的、更为隐匿漏洞的持续追求,旨在提高攻击的成功率和持续性。以下是今年部分被勒索组织利用的漏洞情况:

CVE编号 漏洞描述 相关勒索家族
CVE-2023-27350 某些版本的PaperCut NG 和 PaperCut MF 中,使未经身份验证的参与者能够在没有凭据的情况下远程执行恶意代码 Bl00dy、Clop、LockBit
CVE-2023-27351 可能允许未经授权的攻击者提取存储在客户的 PaperCut MF 和 NG 服务器中的用户账户信息 Clop、LockBit
CVE-2023-28252 通用日志文件系统驱动程序中的越界写入漏洞,成功利用可进行权限提升 Nokoyawa
CVE-2023-0669 GoAnywhereMFT管理端存在反序列化漏洞,攻击者利用该漏洞无需登录便可以远程执行任意命令 Clop
CVE-2023-34362 SQL 注入漏洞,该漏洞可能允许未经身份验证的攻击者访问 MOVEit 传输的数据库 Clop
CVE-2023-24880 Windows SmartScreen 安全功能绕过漏洞 Magniber
CVE-2023-27532 Veeam Backup & Replication 身份认证绕过漏洞 ALPHV / BlackCat
CVE-2023-4966 未经身份验证的缓冲区相关漏洞,影响 Citrix NetScaler ADC 和Gateway、用于负载平衡、防火墙实施、流量管理、VPN 和用户身份验证的网络设备,未授权的远程攻击者可通过利用此漏洞,窃取敏感信息。 LockBit
CVE-2023-20269 主要影响 Cisco ASA 和 Cisco FTD 的 VPN 功能,允许未经身份验证的远程攻击者暴力破解凭据来访问网络,通过访问帐户,可以在被破坏的网络中建立无客户端SSL VPN 会话。 Akira
CVE-2023-47246 SysAid中的路径遍历漏洞,该漏洞会导致 SysAid 本地软件中的代码执行。 Clop
CVE-2023-22518 Atlassian Confluence 身份验证绕过漏洞。 Cerber
CVE-2023-46604 Apache ActiveMQ 远程命令执行漏洞。 HelloKitty、Tellyouthepass

网络威胁中的“狡猾分子”,攻击态势亟待重视

勒索攻击被视为目前全球最大的网络威胁,针对广泛行业展开的勒索软件攻击已经严重威胁到全球的数据安全和阻碍经济发展和生产的正常运行,成为最流行的网络犯罪行为之一。

在攻防博弈的过程中,勒索攻击背后的威胁行为者正在不断地发展新的攻击策略和勒索软件;同时,针对攻击的初始访问方面,也越来越多的攻击者加入到快速开发漏洞利用武器库的行列。

自今年以来,利用漏洞展开勒索攻击的事件突显了勒索组织猖狂的趋势。攻击者通过寻找并成功利用软件和系统中的漏洞,实施入侵,从而进一步拓展了勒索攻击的可能性。这一趋势不仅表现在漏洞利用的频率上有所增加,更突显了攻击者对新的、更为隐匿漏洞的追求,旨在提高攻击的成功率和持续性。

此外,攻击者的手法不再局限于传统的勒索软件,而是更多地关注于勒索之外的附加手段,如数据泄露和网络瘫痪。这为受害组织带来了更大的威胁,因为不仅要面对加密数据的勒索,还可能面临敏感信息曝光的风险。面对勒索攻击者策略的日益精密和多样化,组织急需更为全面的安全措施加以应对。

作为国内数字安全行业的“佼佼者”,安恒信息具备全面可靠的防勒索解决方案

1、AiLPHA大数据平台&AXDR平台

AiLPHA大数据平台&AXDR平台的流量探针(AiNTA)在第一时间加入了上述漏洞的检测规则,请将规则包升级到1.1.1279版本(AiNTA-v1.2.5_release_ruletag_1.1.1279)及以上版本。

AiNTA流探针规则升级方法:系统管理->手动升级,选择“上传升级包”。升级成功后,规则版本会变为最新的版本号。请从AiLPHA安全中心下载规则包。

AiLPHA安全中心地址:

https://ailpha.dbappsecurity.com.cn/index.html#/login

如果没有账号,请从页面注册账号。

2、APT攻击预警平台

APT攻击预警平台已经在第一时间加入了上述漏洞的检测能力,请将规则包升级到GoldenEyeIPv6_XXXXX_strategy2.0.XXXXX.231115.1及以上版本。

APT攻击预警平台规则升级方法:系统->升级管理,选择“手动升级”或“在线升级”。

APT攻击预警平台的规则升级包请到安恒社区下载:https://bbs.dbappsecurity.com.cn/download/60d406cd22d42322bcde0225/5ddc97a68c885b76dd8d8667?type1=5e01818f8a17d82f9f66fb26

3. 扫描器

(1)明鉴漏洞扫描系统/明鉴远程安全评估系统

已具备上述漏洞的检测能力,将策略库升级至V1.3.1291.1301版本

升级方法:系统管理-系统服务-系统升级-立即升级 可通过网络在线升级至最新版本,或通过离线下载升级包后至系统管理-系统服务-系统升级-选择离线包上传升级包,升级成功后策略库为最新版本

策略库离线下载地址:http://upgrade.websaas.com.cn/offline-package

(2)云鉴版漏洞扫描系统已具备上述漏洞的检测能力,将策略库升级至V1.3.1291.1301版本,具体的升级方式为离线上传更新

具体升级方式可联系杨芳获取

(3)WebScan7已具备上述漏洞的检测能力,将策略库升级至V1.0.1.126版本,具体的升级方式为一键在线升级。策略库离线下载地址:http://upgrade.websaas.com.cn/offline-package?type=web收起链接预览

4. 玄武盾

玄武盾已经支持上述漏洞的检测

5. WAF

WAF已经支持上述漏洞的检测

6. EDR

安恒EDR能够防御已知和未知类型的勒索病毒,有效防护主机安全。

安恒信息再次提醒广大用户,请谨慎对待互联网中来历不明的文件,如有需要,请上传至安恒云沙箱https://sandbox.dbappsecurity.com.cn,进行后续判断。

安恒云沙箱反馈与合作请联系:sandbox@dbappsecurity.com.cn

Comments are closed.