黑客眼中的你，勒索只需要三步( 二 ) _黑客

文章插图

信息不一定是从企业自身泄漏的。如果企业某员工登录公司系统使用的口令，与其他常用网站相同，且都长期未更换，那么任意一个他经常访问的网站发生数据泄漏，都会间接影响所在企业的账号安全。
一个泄漏的远程桌面账号，未必能引起注意，但如果这个IP地址属于某知名企业，它的价值就成倍提高了。
第三步发动攻击：隐秘行动，一击必杀 01 边路突破
马奇诺防线非常坚固，但如果被绕过，就毫无用处。
通常企业会重点加强核心系统的安全防护，但对分散在全国各地的分支机构、合作伙伴，很难有效防护。这就给勒索留下了可乘之机。
某公司发生的勒索案例中，黑客会从防御薄弱的分支机构入手，利用分支机构通往总部的专线，渗透进入总部核心系统，发起勒索攻击。

文章插图

02 发起勒索
勒索攻击，必须加密核心数据才有价值。但核心数据往往是企业重点保护的资产，安全防护不会少。比如安装杀毒软件的主机，就有可能阻止勒索软件运行。
但杀软的病毒库、规则库是固定的，而黑客的攻击方式是灵活多变的，攻击者会不停变换攻击方式，多次试探，直到勒索成功。
某勒索案例，黑客在一个月中，先后使用三个不同的勒索软件发起攻击，前两次都被拦截，直到第三次终于成功。

文章插图

黑客的攻击动作会触发EDR、流量审计等设备产生告警，但如果不能被及时处置，就毫无作用。大部分勒索攻击都发生在深夜，企业想要做到7x24h的及时处置，是非常难的。
03 多重勒索
黑客在完成数据加密后，还可能会留下后手。最常见的是把重要数据上传到自己控制的服务器，并威胁不支付赎金就公开数据。
很多企业有完善的数据备份，不担心数据被加密。但商业秘密遭到泄漏的风险是无法承担的。

文章插图

黑客还会留下后门，以便未来再次发起攻击。
04 分工协作
勒索攻击涉及的技术很多。在利益的驱使下，逐步向专业化分工的方向演化。有的负责窃取登录口令，有的负责开发能绕过杀毒软件的加密工具，有的负责提供支付赎金的账号。力求在每一个环节做到极致，并发展出勒索即服务（Ransome-as-a-Service）的协作模式。
因此，企业面对的不再是单打独斗的黑客，而是有组织的专业团队。
总结建议
Summarize recommendations
针对特定企业的勒索攻击，是对企业网络安全的重大挑战。为了应对这类攻击，最重要的是：
♦摸清资产，明确重要资产，收敛暴露资产；
♦划清边界，隔离重要资产与一般资产；
♦强化监测，部署流量审计、EDR等设备，并及时研判告警；
♦及时处置，发现攻击及时阻断。