[资安人报导] 如何在没有两种攻击完全相同的情况下侦测和防御 REvil 勒索软体

REvil，也称为 Sodinokibi，是一种成熟且被广为使用的勒索软体即服务 (RaaS) 产品。犯罪分子可以向开发者租用勒索软体，新增自己的锁定目标，再将勒索软体散布到受害者的电脑。因此，REvil 勒索软体攻击的方法和影响力是高度可变的，具体取决于租用者的工具、行为、资源和技能。
 
在一篇最新文章《无情的 REvil 揭密：RaaS 与使用它的犯罪分子一样狡猾》中，SophosLabs 和 Sophos Rapid Response 团队的研究人员详细介绍了攻击者在发动 REvil 攻击时最常使用的工具和行为。该研究的目的是为防御人员提供可执行的深入信息，让他们可以找出即将发生或正在发生的 REvil 攻击并保护组织。
 
Sophos 研究人员发现的 REvil 攻击工具和行为包括：

• 透过暴力破解攻击已知的网际网路服务，如 VPN、远端桌面通讯协定 (RDP)、桌面远端管理工具 (如 VNC），甚至是一些以云端为基础的管理系统；滥用透过恶意软体或网路钓鱼取得的凭证；也会只将装载附加到目标网路上已经存在的其他恶意软体
• 使用 Mimikatz 取得网域系统管理员的凭证和提升权限
• 透过停用或删除备份、停用安全技术，以及找出欲加密的目标电脑，为后续散布勒索软体打下基础 
• 上传大量外泄资料 — 尽管 Sophos 研究人员只在约半数 REvil/Sodonokibi 调查事件中看到这个行为。在有资料被窃的案件中下，大约四分之三的攻击使用 Mega.nz 作为被窃资料的 (临时) 存放区
• 在资料加密之前，将电脑重新启动到安全模式以绕过端点保护工具 

这篇文章还揭露 REvil 勒索软体的内部架构，细数其组成到执行时的行为。
 
Sophos 首席研究员 Andrew Brandt 表示：「REvil/Sodinokibi 是出现以久的常见勒索软体，造成许多破坏并索求数百万美元的赎金。它的成功或许建立在一点，即这种勒索软体即服务产品所发动的攻击每次都是不同的。防御人员很难知道什么才是需要注意的警告信号。
 
「根据 Sophos Rapid Response 的调查结果，部署 REvil 勒索软体的攻击者可能会采人为进行且非常持久。在该团队最近调查的一次 REvil 攻击中，从受感染伺服器收集的资料显示，在五分钟内就遭到大约 35,000 次失败的登入尝试，来自全球 349 个唯一的 IP 地址。此外值得注意的是，勒索软体的发展不仅越来越复杂，而且密度越来越高。在 Sophos 研究人员看到的两次 REvil 攻击中，最初的进入点是另一个攻击者在早期勒索软体攻击时留下的后门。
 
「幸运的是，防御人员可以采取一些措施来保护他们的企业、网路和端点。最理想的情况，就是阻止攻击者进入网路。但这一点不容易办到，因此还必须进行有效的侦测。如果能早期侦测到入侵者的存在，就可以阻止攻击进一步展开。」

资安人报导原文：https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=9292