近年來(lái)，勒索軟件在網(wǎng)絡(luò)安全攻擊中所占比例逐年走高，僅2021年就在全球范圍內(nèi)造成了超過(guò)200億美元的損失。從2017年WannaCry在全球大規(guī)模傳播開始，各種高調(diào)、高影響力的勒索軟件攻擊使得這種攻擊方式廣為人知。在這之后的幾年里，大量勒索軟件以學(xué)校、政府機(jī)構(gòu)、醫(yī)療機(jī)構(gòu)以及基礎(chǔ)設(shè)施等目標(biāo)發(fā)動(dòng)了大量攻擊。

延伸閱讀，了解Akamai 安全解決方案！

自從新冠肺炎疫情大流行以來(lái)，亞太和日本（APJ）地區(qū)就開始遭遇激增的網(wǎng)絡(luò)攻擊。相比全球其他地區(qū)，亞太區(qū)各行各業(yè)企業(yè)遭遇網(wǎng)絡(luò)攻擊的概率往往會(huì)高出80%，澳大利亞、印度、日本通常是最主要的攻擊目標(biāo)。

本文將重點(diǎn)圍繞亞太日本地區(qū)的攻擊活動(dòng)介紹發(fā)起這些攻擊的團(tuán)伙和他們的運(yùn)營(yíng)方式。勒索軟件即服務(wù)（RaaS）團(tuán)伙已經(jīng)發(fā)展成為一種“企業(yè)，”甚至產(chǎn)生了類似于遭受他們攻擊的普通企業(yè)那樣的組織結(jié)構(gòu)，他們也有客戶服務(wù)代表，甚至還有新員工上崗培訓(xùn)。最近，全球盈利能力最強(qiáng)的RaaS團(tuán)伙之一Conti泄漏了部分內(nèi)部文檔，通過(guò)研究這些文檔，我們得以管窺這類團(tuán)伙的運(yùn)作方式。

Akamai的研究人員一直在努力分析并研究RaaS團(tuán)伙，希望借此揭示該團(tuán)伙能夠成功發(fā)起大量勒索軟件攻擊的原因。同時(shí)我們還可以通過(guò)研究結(jié)果進(jìn)一步了解此類攻擊的趨勢(shì)、所用的工具，以及可以采取的緩解措施。

總的來(lái)說(shuō)，通過(guò)這些研究結(jié)果我們可以獲得這些結(jié)論：

• Conti團(tuán)伙在亞太日本地區(qū)發(fā)起的大部分攻擊都以澳大利亞和印度的企業(yè)為目標(biāo)。
• 亞太日本地區(qū)的Conti受害者中，商業(yè)服務(wù)行業(yè)企業(yè)的占比最大，這也意味著通過(guò)第三方發(fā)起的供應(yīng)鏈攻擊可能性較高。
• 亞太日本地區(qū)的所有受害者中，關(guān)鍵基礎(chǔ)設(shè)施占比13.6%。
• 亞太日本地區(qū)的所有受害者中，零售和酒店行業(yè)總占比為27%，這也意味著亞太日本地區(qū)的商業(yè)垂直領(lǐng)域遭受的攻擊正在增加，Akamai最近發(fā)布的Web應(yīng)用程序和API威脅報(bào)告中的結(jié)論也映證了這一點(diǎn)。
• 亞太日本地區(qū)絕大多數(shù)Conti受害者都是年收入在1000萬(wàn)美元到2.5億美元之間的企業(yè)。
• 亞太日本地區(qū)約20%的Conti受害者是年收入超過(guò)10億美元的企業(yè)，這與全球整體趨勢(shì)有所差異，全球整體來(lái)看，Conti攻擊對(duì)高收入企業(yè)的影響要小很多。
• 攻擊場(chǎng)景多種多樣，以細(xì)節(jié)為導(dǎo)向，并且以“手握鍵盤”的網(wǎng)絡(luò)傳播居多。
• 相關(guān)戰(zhàn)術(shù)、技術(shù)和程序（TTP）讓我們認(rèn)為，很有必要針對(duì)橫向移動(dòng)進(jìn)行專門的防護(hù)，這在防御勒索軟件方面起到了關(guān)鍵作用。
• TTP雖然都是眾所周知的，但往往非常有效，還有助于揭示其他團(tuán)伙常用的工具。通過(guò)研究這些TTP，安全團(tuán)隊(duì)可以深入了解攻擊者的運(yùn)作模式，進(jìn)而更好地制定防御措施。
• Conti非常重視入侵和手工傳播，而非加密，因此防御方也有必要重點(diǎn)關(guān)注攻擊鏈中的這部分環(huán)節(jié)，而不要只關(guān)注勒索軟件的加密問題。

Conti在亞太日本地區(qū)的影響

勒索軟件活動(dòng)可以通過(guò)多種方式進(jìn)行在線分析，例如進(jìn)行問卷調(diào)查或分析產(chǎn)品數(shù)據(jù)。在針對(duì)全球范圍內(nèi)的勒索軟件活動(dòng)提供整體視圖方面，每種方法都各有優(yōu)勢(shì)和局限。本報(bào)告則是基于對(duì)Conti組織的研究，以便大家可以更深入地了解這個(gè)全球最領(lǐng)先的RaaS團(tuán)伙之一。

我們會(huì)重點(diǎn)分析Conti團(tuán)伙的受害者，借此確定Conti用到的工具和技術(shù)之間的相關(guān)性，下文將詳細(xì)介紹這些內(nèi)容。相關(guān)數(shù)據(jù)都是從Conti的地下黑市收集而來(lái)的，Conti會(huì)通過(guò)這種黑市買賣受害者數(shù)據(jù)和信息。Conti的目標(biāo)是通過(guò)敲詐讓受害者支付贖金，為此他們分享了一些信息，而這些信息有助于我們分析他們的攻擊偏好、成功率以及失敗原因。我們的報(bào)告中體現(xiàn)了他們過(guò)去一年來(lái)的相關(guān)活動(dòng)，所有數(shù)據(jù)都是完全匿名的。

相關(guān)背景：Conti是一個(gè)臭名昭著的RaaS團(tuán)伙，在2020年被首次發(fā)現(xiàn)，他們的總部似乎在俄羅斯。很多人認(rèn)為該團(tuán)伙是Ryuk勒索軟件團(tuán)伙（也被稱之為Wizard Spider）的繼任者。根據(jù)Chainalysis的分析，Conti是2021年收入最高的勒索軟件團(tuán)伙，估計(jì)收入應(yīng)該超過(guò)了1.8億美元。值得注意的是，該團(tuán)伙最近成功攻擊了哥斯達(dá)黎加政府、愛爾蘭衛(wèi)生部等機(jī)構(gòu)。

最新的新聞中提到，Conti已經(jīng)解散了。但在我們看來(lái)，意味著我們的研究工作更有必要了，因?yàn)?/span>Conti的原成員可能被大量其他勒索軟件團(tuán)伙所吸納，并且經(jīng)過(guò)Conti驗(yàn)證有效的工具和戰(zhàn)術(shù)也可能被更多同類團(tuán)伙所沿用。隨著相關(guān)信息在越來(lái)越多勒索軟件團(tuán)伙中分享，全球范圍內(nèi)這些工具和戰(zhàn)術(shù)的受害者也將進(jìn)一步增加。

亞太日本地區(qū)的勒索軟件攻擊趨勢(shì)

為了理解Conti在亞太日本地區(qū)的攻擊偏好，我們首先仔細(xì)分析了該區(qū)域最主要的受攻擊國(guó)家和地區(qū)。值得注意的是，Conti是一個(gè)主要以西方國(guó)家/地區(qū)（如美國(guó)和歐盟）為目標(biāo)的團(tuán)伙。對(duì)亞太日本地區(qū)的深入研究是為了進(jìn)一步了解Conti在該區(qū)域的影響力，但我們也發(fā)現(xiàn)，其他主要以該地區(qū)為目標(biāo)的團(tuán)伙表現(xiàn)出了不同的攻擊模式。

遭受攻擊數(shù)量排名前五的國(guó)家/地區(qū)

（2021年5月1日——2022年4月30日）

圖1：亞太日本地區(qū)遭受攻擊最多的五大國(guó)家/地區(qū)分別為：澳大利亞、印度、印度尼西亞、新西蘭和中國(guó)

從受害者的國(guó)家/地區(qū)分布（圖1）會(huì)發(fā)現(xiàn)，Conti受害者有45%來(lái)自澳大利亞，隨后是印度、印度尼西亞、新西蘭和中國(guó)。其他國(guó)家/地區(qū)雖然未能進(jìn)入前五名，但也受到了Conti的大量攻擊，例如日本、巴基斯坦、韓國(guó)和越南。

這種情況可以通過(guò)不同方面來(lái)研究，但最主要的問題在于，眾所周知Conti是一個(gè)位于俄羅斯的黑客團(tuán)伙，因此在選擇攻擊目標(biāo)時(shí)，往往會(huì)更傾向于選擇北美和歐洲地區(qū)的企業(yè)。我們?cè)谘芯恐幸舶l(fā)現(xiàn)，93%的Conti受害者都在北美、歐洲以及中東非洲地區(qū)。

因此，澳大利亞和新西蘭出現(xiàn)如此多的受害者，可能是Conti對(duì)西方國(guó)家“偏愛”的延伸。另外猜測(cè)一個(gè)可能的原因在于，選擇這些地區(qū)發(fā)起攻擊，可以重復(fù)利用某些素材（例如用英語(yǔ)寫就的釣魚郵件）。通過(guò)深入研究Conti的受害者，我們發(fā)現(xiàn)英語(yǔ)國(guó)家/地區(qū)比其他地區(qū)更有可能受到Conti的攻擊。

印度和印度尼西亞緊隨其后，成為亞太地區(qū)第二和第三大受害者。尤其是印度，根據(jù)相關(guān)報(bào)道，印度一直在經(jīng)歷非常大量的網(wǎng)絡(luò)攻擊，最新報(bào)道稱印度遭遇的攻擊數(shù)量同比增長(zhǎng)了約25%。盡管存在這樣的趨勢(shì)，盡管俄羅斯的這個(gè)黑客團(tuán)伙已經(jīng)在該地區(qū)大獲成功，但Conti似乎并沒有特別針對(duì)亞太區(qū)的非英語(yǔ)國(guó)家。

遭受攻擊數(shù)量排名領(lǐng)先的地區(qū)

（2021年5月1日——2022年4月30日）

圖2：亞太日本地區(qū)的受害者遠(yuǎn)少于北美以及歐洲中東和非洲

針對(duì)各地區(qū)受害者趨勢(shì)的深入研究（圖2）發(fā)現(xiàn)，北美與歐洲中東和非洲（EMEA）是遭受攻擊數(shù)量排名第一和第二的地區(qū)，隨后是亞太日本（APJ）地區(qū)和拉美（LATAM）地區(qū)。盡管相對(duì)而言亞太日本地區(qū)和拉美地區(qū)的受害者數(shù)量較少，但這些攻擊依然不容忽視，因?yàn)槊恳淮喂粼谒诘貐^(qū)的影響都各不相同。例如Conti最近對(duì)哥斯達(dá)黎加政府機(jī)構(gòu)的攻擊，就在當(dāng)?shù)卦斐闪司薮蟮钠茐摹?/span>

不過(guò)總的來(lái)說(shuō)，Conti更專注于某些地區(qū)，這一點(diǎn)并不讓人覺得吃驚。他們對(duì)哥斯達(dá)黎加發(fā)起的攻擊就說(shuō)明了他們會(huì)盡可能與俄羅斯的國(guó)家“方向”保持一致，這可能導(dǎo)致他們會(huì)針對(duì)全球各地其他出乎我們意料的目標(biāo)發(fā)起攻擊。不過(guò)除此之外，勒索軟件攻擊者似乎正展現(xiàn)出一種“區(qū)域化”特征，對(duì)某種語(yǔ)言、地區(qū)或國(guó)家表現(xiàn)出特別的偏好。

亞太日本地區(qū)的行業(yè)趨勢(shì)

接下來(lái)我們一起看看Conti在亞太日本地區(qū)發(fā)起的攻擊中，受害者在垂直行業(yè)方面的分布情況。在網(wǎng)絡(luò)安全工作中，垂直行業(yè)分析可以起到重要作用。盡管發(fā)起攻擊的團(tuán)伙并不一定會(huì)專門以某個(gè)行業(yè)為目標(biāo)，但圖3所示的數(shù)據(jù)明確體現(xiàn)了Conti的攻擊在不同垂直行業(yè)中的成功率。不同行業(yè)有相似之處，但也有各自的差異，分析時(shí)需要注意到這些因素。

遭受攻擊數(shù)量排名靠前的行業(yè)

（2021年5月1日——2022年4月30日）

圖3：亞太日本地區(qū)遭受攻擊最多的行業(yè)是商業(yè)服務(wù)和能源、公共事務(wù)，以及通信行業(yè)

按照行業(yè)細(xì)分受害者名單時(shí)，我們也發(fā)現(xiàn)了一些值得注意的有趣趨勢(shì)。為了觀察這些趨勢(shì)，我們需要在這些攻擊造成的直接財(cái)務(wù)影響之外，進(jìn)一步研究由于勒索軟件攻擊導(dǎo)致的業(yè)務(wù)中斷所帶來(lái)的更廣泛影響。例如在針對(duì)Colonial Pipeline公司的攻擊中，這種針對(duì)特定垂直行業(yè)進(jìn)行的攻擊可能會(huì)產(chǎn)生持續(xù)時(shí)間更長(zhǎng)，后果更嚴(yán)重的影響。

我們針對(duì)不同行業(yè)的分析得出了三個(gè)發(fā)現(xiàn)：通過(guò)第三方漏洞發(fā)起供應(yīng)鏈攻擊的可能性極高，關(guān)鍵基礎(chǔ)設(shè)施受害者數(shù)量龐大，此類攻擊非常關(guān)注商業(yè)公司。

本次分析中我們發(fā)現(xiàn)供應(yīng)鏈攻擊的可能性非常高，例如最近針對(duì)SolarWinds和Hafnium的攻擊就是如此。從商業(yè)服務(wù)垂直領(lǐng)域產(chǎn)生的大量受害者中可以發(fā)現(xiàn)，供應(yīng)鏈攻擊可能還會(huì)入侵第三方，例如攻擊商業(yè)服務(wù)企業(yè)，借此發(fā)現(xiàn)規(guī)模更大，更有利可圖的受害者。數(shù)量眾多的商業(yè)服務(wù)受害者意味著存在供應(yīng)鏈攻擊的風(fēng)險(xiǎn)，而這種風(fēng)險(xiǎn)不僅來(lái)源于勒索軟件操作者本身（盡管他們確實(shí)造成了很大的風(fēng)險(xiǎn)），還可能源自于被泄漏的信息和數(shù)據(jù)。為其他公司提供服務(wù)的企業(yè)可能會(huì)獲得一些有關(guān)客戶公司的敏感信息，而這些信息往往也可以用于對(duì)他們的客戶公司發(fā)起攻擊。例如在2013年，一家大型零售公司遭到攻擊導(dǎo)致4000萬(wàn)信用卡和借記卡信息外泄，這次攻擊就是通過(guò)一家第三方暖通公司實(shí)現(xiàn)的。亞太日本地區(qū)也出現(xiàn)過(guò)類似的攻擊，其中一些攻擊還造成了較大的影響。

公共事業(yè)、能源和通信行業(yè)的受害者占總數(shù)的13.6%。針對(duì)這些行業(yè)的攻擊會(huì)直接對(duì)大量人員造成直接影響，甚至可能產(chǎn)生災(zāi)難性后果。勒索軟件攻擊造成的影響可能會(huì)產(chǎn)生“后遺癥”，這類后遺癥往往被稱之為賽博動(dòng)力影響（Cyber-kinetic impact）。例如針對(duì)醫(yī)療健康行業(yè)的勒索軟件攻擊就可能造成嚴(yán)重后果，甚至導(dǎo)致人身傷亡。

與全球其他地區(qū)相比，亞太日本地區(qū)的關(guān)鍵基礎(chǔ)設(shè)施受害者數(shù)量明顯更多，幾乎是全球平均值的兩倍。這可能意味著亞太日本地區(qū)需要進(jìn)一步加強(qiáng)關(guān)鍵基礎(chǔ)設(shè)施的防御措施。最近澳大利亞和印度發(fā)生的事件也支持了這一結(jié)論，也進(jìn)一步凸顯了關(guān)鍵基礎(chǔ)設(shè)施面臨更多攻擊這一整體趨勢(shì)。

最后值得注意的是，很多零售和酒店行業(yè)的組織也遭遇了大量攻擊。近年來(lái)，針對(duì)亞太日本地區(qū)零售行業(yè)的攻擊數(shù)量顯著增長(zhǎng)。我們不僅在本次有關(guān)勒索軟件的研究中發(fā)現(xiàn)了這樣的趨勢(shì)，針對(duì)Web應(yīng)用程序和API的威脅分析也得出了類似結(jié)果，似乎商業(yè)公司已經(jīng)成為此類攻擊最主要的垂直行業(yè)之一。值得注意的是，這些數(shù)字并不僅僅是真正成為攻擊目標(biāo)的企業(yè)數(shù)量，而是成為攻擊受害者的企業(yè)數(shù)量。這也再次警醒零售和酒店行業(yè)企業(yè)需要持續(xù)關(guān)注相關(guān)威脅，提前做好防御措施。

收入趨勢(shì)

勒索軟件作為一種攻擊載體，在很大程度上會(huì)以經(jīng)濟(jì)利益為動(dòng)機(jī)，而這也是勒索軟件在近年來(lái)獲得如此多關(guān)注的原因之一。通過(guò)按照收入分析不同攻擊，我們可以了解RaaS團(tuán)伙針對(duì)不同規(guī)模企業(yè)發(fā)起攻擊的動(dòng)機(jī)和成功率。很多人通常認(rèn)為RaaS團(tuán)伙只以大型企業(yè)為目標(biāo)，然而仔細(xì)觀察就會(huì)發(fā)現(xiàn)，受害者的收入分布情況完全不是這樣的。

圖4顯示了RaaS受害者按照收入范圍的分布情況。請(qǐng)注意，這些數(shù)字并不是贖金金額，而是每家公司的總收入。

被攻擊企業(yè)按照收入范圍的分布情況

（2021年5月1日——2022年4月30日）

圖4：在亞太日本地區(qū)，總收入低于5000萬(wàn)美元的公司在受害者中占比最高

亞太地區(qū)很大一部分（73%）受影響組織的收入高達(dá)2.5億美元，但也有超過(guò)40%的受害者其收入不超過(guò)5000萬(wàn)美元，還有32%的受害者收入介于5000萬(wàn)美元到2.5億美元之間。這與Conti勒索軟件團(tuán)伙在全球范圍內(nèi)的平均情況保持了一致。本次分析還揭示了Conti這種RaaS團(tuán)伙成功發(fā)起的攻擊中蘊(yùn)含的一種有趣模式：雖然影響最大的攻擊往往都以知名公司為目標(biāo)，但大部分成功的勒索軟件攻擊都發(fā)生在收入水平并非最高的企業(yè)中。

這些企業(yè)很可能是此類勒索軟件團(tuán)伙最喜歡的攻擊目標(biāo)，他們有足夠的收入可以支付可觀的贖金，但還沒有成熟到足以成功抵御Conti這樣的RaaS團(tuán)伙。

然而與全球趨勢(shì)形成鮮明對(duì)比的是，我們發(fā)現(xiàn)亞太日本地區(qū)的大量受害者收入都在10億美元以上。亞太日本地區(qū)將近1/5的Conti受害者都在這個(gè)范圍內(nèi)，是全球平均水平的三倍。此外，這些高收入受害者所在國(guó)家/地區(qū)大多并不講英語(yǔ)，主要位于日本、韓國(guó)和中國(guó)。

這種現(xiàn)象可以從多方面來(lái)解釋，但很可能是因?yàn)?/span>Conti減少了對(duì)亞太日本地區(qū)的關(guān)注，因此我們獲得的樣本數(shù)量太小，因而造成了統(tǒng)計(jì)結(jié)果的異常。或者可能是因?yàn)閷?duì)該地區(qū)非英語(yǔ)國(guó)家關(guān)注度的降低導(dǎo)致Conti不太愿意選擇這些國(guó)家/地區(qū)的中小企業(yè)作為攻擊目標(biāo)，而是更愿意針對(duì)業(yè)務(wù)遍及全球的大型企業(yè)，或通過(guò)類似方式在該地區(qū)選擇攻擊目標(biāo)。

了解攻擊者的工具包

為了針對(duì)Conti的攻擊，以及其他各類勒索軟件攻擊制定適合的緩解措施，我們首先需要了解勒索軟件運(yùn)營(yíng)人員所使用的工具。幸運(yùn)的是，不同勒索軟件團(tuán)伙在TTP的使用方面存在很多共同之處，這意味著我們的策略將可以緩解或阻止大部分勒索軟件攻擊。

為了對(duì)勒索軟件攻擊者所采取的TTP進(jìn)行分析，我們首先研究了Conti最近泄漏的文檔。2022年2月27日，Twitter上新出現(xiàn)了一個(gè)名為@ContiLeaks的賬戶，該賬戶陸續(xù)公布了該團(tuán)伙的大量?jī)?nèi)部文檔和聊天記錄，以及他們一些內(nèi)部服務(wù)器的地址和軟件源代碼。這些泄漏的文檔和源代碼揭示了Conti最常用的TTP。下文內(nèi)容將重點(diǎn)專注于他們所用的工具和技術(shù)，以及對(duì)應(yīng)的緩解措施。

攻擊鏈

為了研究勒索軟件攻擊所采取的方法，我們首先研究了DFIR報(bào)告中提供的勒索軟件攻擊鏈（如下圖所示）。雖然泄漏的信息讓我們可以概括了解攻擊者的完整工具集以及決定包含/使用任何一個(gè)工具的決策中背后的思考邏輯，但DFIR報(bào)告可以讓我們更清楚地了解這些TTP到底是怎樣使用的。它們都對(duì)應(yīng)了一種類似的情況。

典型的勒索軟件攻擊鏈看起來(lái)應(yīng)該差不多類似這樣：

勒索軟件攻擊是多方面的，最初的入侵還遠(yuǎn)遠(yuǎn)不夠。在開始進(jìn)行加密之前，攻擊者或惡意軟件還必須在整個(gè)網(wǎng)絡(luò)中傳播，這樣才能造成最大化的破壞。如果只有一臺(tái)計(jì)算機(jī)被加密，就無(wú)法獲得足夠的籌碼來(lái)索要贖金。這也使得橫向移動(dòng)成為決定勒索軟件操作成敗的關(guān)鍵。

雖然橫向移動(dòng)（以及攻擊鏈其他環(huán)節(jié)）過(guò)程中所用的工具可以通過(guò)DFIR提取，但為何使用這些工具，這背后的思考方式卻很難獲知。為此我們可以通過(guò)Conti最近泄漏的數(shù)據(jù)來(lái)看看他們的網(wǎng)絡(luò)攻擊過(guò)程。

RaaS攻擊者的“菜譜”

在討論Conti時(shí)，首先要注意的就是他們的操作手冊(cè)，也就是發(fā)起手動(dòng)攻擊的方法。Conti的攻擊理論并不新穎，但依然可以獲得極高成功率。借助有效的工具和一致的操作似乎就可以做到。他們確實(shí)也使用了一些自動(dòng)化工具或腳本，但一般來(lái)說(shuō)，他們的操作人員必須親自獲取憑據(jù)并根據(jù)自己的判斷對(duì)在網(wǎng)絡(luò)中的傳播做出相關(guān)決定。

Conti的方法論可以總結(jié)為“收獲憑據(jù)，傳播，重復(fù)。”這一切都發(fā)生在初始訪問階段之后，隨后就可以假定操作者能夠訪問網(wǎng)絡(luò)中的任何一臺(tái)計(jì)算機(jī)，隨后即可在整個(gè)網(wǎng)絡(luò)中傳播，并嘗試著轉(zhuǎn)儲(chǔ)并解密密碼，或直接進(jìn)行暴力破解。隨后，操作者會(huì)根據(jù)指示在其他計(jì)算機(jī)使用通過(guò)破解所獲得的憑據(jù)，借此擴(kuò)大自己的影響范圍，并重復(fù)執(zhí)行和之前相同的步驟。就這樣，操作者會(huì)在整個(gè)網(wǎng)絡(luò)都在自己掌控下之后才開始進(jìn)行加密，以產(chǎn)生最大程度的影響。

網(wǎng)絡(luò)傳播目標(biāo)

首先，最重要的是，Conti的目標(biāo)在于域控制器（DC）。操作者會(huì)根據(jù)指示，通過(guò)上文提到的憑據(jù)竊取和擴(kuò)張流程執(zhí)行一系列操作，直到最終能成功訪問DC。由于這個(gè)過(guò)程主要以手工操作為主，因此Conti的操作者在選擇目標(biāo)時(shí)就有了一定程度的自由裁量權(quán)。在找到域控制器的憑據(jù)后，操作者將能訪問各種關(guān)鍵資產(chǎn)，例如：

• 大部分網(wǎng)絡(luò)的登錄日志，借此分析用戶行為
• 大部分域的DNS記錄，借此可用于推斷使用情況
• 密碼哈希
• 適合橫向移動(dòng)的目標(biāo)位置

CERT NZ制作的勒索軟件入侵生命周期（圖5）很好地展示出了Conti對(duì)DC的興趣，以及他們?yōu)榱斯?/span>DC所采取的行動(dòng)路線。Conti會(huì)通過(guò)不同的攻擊載體來(lái)實(shí)現(xiàn)自己的目標(biāo)。一旦確定可利用的攻擊面，就會(huì)有操作者立即趁虛而入。操作者會(huì)在初始訪問的基礎(chǔ)上通過(guò)橫向移動(dòng)逐漸擴(kuò)大自己的影響范圍。

圖5：CERT NZ制作的勒索軟件入侵生命周期示意圖

這種對(duì)于DC的特別關(guān)注也讓我們確信，網(wǎng)絡(luò)傳播階段是攻擊全過(guò)程中的一個(gè)重要環(huán)節(jié)。借助DC，攻擊者將能獲得訪問整個(gè)網(wǎng)絡(luò)所需的全部（或者大部分）憑據(jù)。此外，因?yàn)楹芏嗯c域有關(guān)的配置信息都存儲(chǔ)在DC上，攻擊者也能借此進(jìn)一步了解與網(wǎng)絡(luò)本身以及各種重要系統(tǒng)有關(guān)的情報(bào)。

有趣的是，Conti并不鼓勵(lì)在DC上留下后門或進(jìn)行持續(xù)性攻擊，而是鼓勵(lì)在對(duì)外的服務(wù)器上留下后門，因?yàn)?/span>DC（用他們自己的話來(lái)說(shuō)）往往會(huì)受到更多監(jiān)控。這也證明了在發(fā)起攻擊前建立良好的OPSEC心態(tài)將有助于他們提高成功概率。

Conti最關(guān)注的系統(tǒng)包括網(wǎng)絡(luò)文件共享以及包含有價(jià)值數(shù)據(jù)的其他計(jì)算機(jī)，例如：

電子郵件、地址列表、聯(lián)系信息

• 數(shù)據(jù)庫(kù)
• 源代碼
• 賬戶信息
• 設(shè)計(jì)文檔
• 其他網(wǎng)絡(luò)的密碼/憑據(jù)
• 數(shù)字錢包

那么當(dāng)類似的勒索軟件團(tuán)伙已經(jīng)成功確定了目標(biāo)，并嘗試著開始發(fā)起攻擊時(shí)，作為潛在的攻擊目標(biāo)，企業(yè)又該如何有效監(jiān)測(cè)和防御這樣的威脅？針對(duì)攻擊過(guò)程中所用到的不同工具，具體的應(yīng)對(duì)措施也有所差異。

這篇文章的內(nèi)容感覺還行吧？有沒有想要立即在 Linode 平臺(tái)上親自嘗試一下？別忘了，現(xiàn)在注冊(cè)可以免費(fèi)獲得價(jià)值 100 美元的使用額度，快點(diǎn)自己動(dòng)手體驗(yàn)本文介紹的功能和服務(wù)吧↓↓↓

安全云服務(wù)，選擇Akamai Linode！

最后，歡迎關(guān)注Akamai，第一時(shí)間了解Akamai在Web交付性能、安全性、邊緣計(jì)算等領(lǐng)域的最新技術(shù)成果和解決方案，以及整個(gè)行業(yè)的發(fā)展趨勢(shì)。