黑客眼中的你，勒索只需要三步

前言 /preface/

近些年，勒索案件时有发生。每一个受害者都很震惊：黑客为什么会盯上我？黑客是怎么进来的？采购了那么多安全设备，怎么还是会被勒索？

第一步 策略选择:薄利多销or高投高产

黑客发起勒索的目的是要赚钱，要计算成本和收益。

就像所有生意一样，黑客也有两种盈利策略：要么压低成本，薄利多销；要么高投入高产出，走高端路线。

01 薄利多销的攻击--无差别自动化攻击

如果你有维护过暴露在公网的服务器，你一定会发现，你的服务器有大量的访问量来自陌生的IP，其归属地并没有你的业务或客户，这样的流量可能占到服务器总流量的50%以上。为什么会有这么高的陌生访问量呢？

原因就是公网上有大量服务器，不停的对全网所有IP扫描，寻找存活的IP及其服务。一旦发现某个IP有开放的服务，就会发起自动的攻击。常见的攻击有弱口令爆破（如针对SSH、RDP、数据库的爆破）和高危通用漏洞（Log4j反序列化漏洞、永恒之蓝漏洞）。

 

黑客要做的只是搭几台服务器，不停的对全网发起探测、爆破、漏洞利用。一旦入侵成功，会自动对服务器价值进行评估——价值较高的，就发起勒索攻击；价值不高的，就运行挖矿程序。并留下后门，长期控制该失陷主机。

 

很多人会说，我的服务器没有开其他端口，只开放 RDP 用于管理运维，且设置了复杂的密码，这样总没问题吧？

然而，很多勒索案件就是这样发生的。密码的强弱，不在于位数多或者有复杂的字符组合。关键在于，你的弱密码在不在黑客的字典里。黑客会不停收集各网站泄漏的用户口令，并通过各种组合产生巨量的密码字典。

为了绕过防火墙的防爆破规则，黑客会利用IP代理池发起爆破。目前网上有大量免费的IP代理池，IP每分钟更新。有大量的IP，就不怕防火墙封禁。

 

这类攻击的受害者，大部分是小微企业。由于安全投入不足，缺乏有效的网络安全建设和安全意识，给黑客留下可乘之机。

02 高投入高产出--针对特定目标的攻击

如果你所在的公司，业务发展迅速，业绩蒸蒸日上，知名度越来越大，千万不要忘了，惦记你的黑客，也会越来越多。

一方面随着企业实力增强，有更多资源投入到安全建设中，提高了安全水位。另一方面，随着业务发展，企业的分支机构、合作伙伴、客户也增多，网络结构复杂，网络边界治理变难，网络安全管理挑战增加。

 

在黑客看来，企业支付赎金的能力和意愿也提高了，黑客有了更强的动机。

第二步 信息收集：寻找攻击路径 01 公开信息收集

黑客在开始攻击之前，首先会进行信息收集。一般会收集目标企业的域名、子域名、IP、员工信息（姓名、职务、邮件地址等），以及企业的子公司、分支机构等。这些信息通过公司的官网、公告、新闻、网络空间搜索引擎等公开途径，都可以轻易得到。

收集信息的目的，是为了找到目标企业安全防护的薄弱点。

02 泄漏数据收集

有大量的泄漏数据在黑客论坛出售。数据内容五花八门，知名网站数据库泄漏的账号信息、远程桌面账号密码、企业员工无意间上传到github的登录密钥等。

 

信息不一定是从企业自身泄漏的。如果企业某员工登录公司系统使用的口令，与其他常用网站相同，且都长期未更换，那么任意一个他经常访问的网站发生数据泄漏，都会间接影响所在企业的账号安全。

一个泄漏的远程桌面账号，未必能引起注意，但如果这个IP地址属于某知名企业，它的价值就成倍提高了。

第三步 发动攻击：隐秘行动，一击必杀 01 边路突破

马奇诺防线非常坚固，但如果被绕过，就毫无用处。

通常企业会重点加强核心系统的安全防护，但对分散在全国各地的分支机构、合作伙伴，很难有效防护。这就给勒索留下了可乘之机。

某公司发生的勒索案例中，黑客会从防御薄弱的分支机构入手，利用分支机构通往总部的专线，渗透进入总部核心系统，发起勒索攻击。

 

02 发起勒索

勒索攻击，必须加密核心数据才有价值。但核心数据往往是企业重点保护的资产，安全防护不会少。比如安装杀毒软件的主机，就有可能阻止勒索软件运行。

但杀软的病毒库、规则库是固定的，而黑客的攻击方式是灵活多变的，攻击者会不停变换攻击方式，多次试探，直到勒索成功。

某勒索案例，黑客在一个月中，先后使用三个不同的勒索软件发起攻击，前两次都被拦截，直到第三次终于成功。

 

黑客的攻击动作会触发EDR、流量审计等设备产生告警，但如果不能被及时处置，就毫无作用。大部分勒索攻击都发生在深夜，企业想要做到7x24h的及时处置，是非常难的。

03 多重勒索

黑客在完成数据加密后，还可能会留下后手。最常见的是把重要数据上传到自己控制的服务器，并威胁不支付赎金就公开数据。

很多企业有完善的数据备份，不担心数据被加密。但商业秘密遭到泄漏的风险是无法承担的。

 

黑客还会留下后门，以便未来再次发起攻击。

04 分工协作

勒索攻击涉及的技术很多。在利益的驱使下，逐步向专业化分工的方向演化。有的负责窃取登录口令，有的负责开发能绕过杀毒软件的加密工具，有的负责提供支付赎金的账号。力求在每一个环节做到极致，并发展出勒索即服务（Ransome-as-a-Service）的协作模式。

因此，企业面对的不再是单打独斗的黑客，而是有组织的专业团队。

总结建议

Summarize recommendations

针对特定企业的勒索攻击，是对企业网络安全的重大挑战。为了应对这类攻击，最重要的是：

♦摸清资产，明确重要资产，收敛暴露资产；

♦划清边界，隔离重要资产与一般资产；

♦强化监测，部署流量审计、EDR等设备，并及时研判告警；

♦及时处置，发现攻击及时阻断。

 

来源：安恒信息