· 公众号:王曙说 原文链接 ↗

勒索软件攻击者的典型行为模式和动作

——再读《Ransomware: Understand. Prevent, Recover》

前阵子我逐章介绍了Amazon上排名第一的勒索软件书籍《Ransomware: Understand. Prevent. Recover》的主要内容,并基于书中内容探讨了支付赎金的利弊与复杂性,两篇文章分别是:

  1. Amazon上排名第一的勒索软件书籍导读
  2. “交赎金还是不交赎金?“这是一个值得思考的问题

勒索软件攻击行为模式

理解(Understand)勒索软件攻击者的典型行为模式和行动,对预防(Prevent)和应对(Recover)勒索软件攻击事件极为关键。这次,我想介绍一下《Ransomware: Understand. Prevent. Recover》书中提到的这部分内容(本文由AI辅助完成,本人不对内容全部负责 ;-))

一、勒索软件攻击者的行为模式(行为特征总结)

根据书中多章(特别是第1、6、7、10、11、12、13、15章)的描述,现代勒索软件攻击并不是”一发加密就走”,而是一个多阶段、多人协作、产业化分工的过程,行为模式主要包括:

商业化分工

  • 初始访问代理(IAB)获取并出售企业网络入口
  • 勒索软件运营方负责攻击工具、加密程序开发
  • 联盟/加盟商(Affiliates)负责实际入侵、部署和谈判

动机驱动

  • 主要为经济利益,但可能混入政治、报复、数据窃取等动机
  • 具备”品牌意识”,会在谈判中维护自己的”声誉”

战术多样化

  • 入口方式多样:钓鱼、RDP暴力破解、漏洞利用、被盗凭证等
  • 攻击链覆盖从情报收集到数据外泄的全流程
  • 常用多重勒索(加密+窃取+威胁公开+骚扰客户/员工)

高度适应

  • 根据目标行业、目标防御水平调整战术
  • 快速更换基础设施(C2服务器、域名)、重命名品牌

二、结合 Cyber Kill Chain 的勒索攻击流程

以下将勒索攻击者的行动映射到 Cyber Kill Chain 七个阶段,并补充关键 TTP(战术、技术与程序):

1. Reconnaissance(侦察)

目的:确定攻击目标、收集情报。

📌 行动模式:

  • 扫描互联网暴露面(Shodan、Censys)寻找RDP、VPN、邮件网关等入口
  • 利用公开信息(OSINT)收集员工邮箱、技术栈、供应商信息
  • 针对特定行业/组织定制钓鱼邮件模板

书中要点(Ch.6, Ch.7, Ch.8):高级攻击者会利用暗网数据集(泄露的凭证数据库)做目标筛选;偏好有业务连续性依赖的行业(医疗、制造、能源)。

2. Weaponization(武器化)

目的:准备可投递的恶意载荷或攻击脚本。

📌 行动模式:

  • 定制化恶意文档(宏病毒、恶意PDF、恶意LNK)
  • 构建带有加密功能的执行文件(可能使用RaaS工具包)
  • 配置Cobalt Strike、Sliver、Metasploit等远控框架

书中要点(Ch.2, Ch.10, Ch.12):很多加盟商直接从RaaS平台获取打包好的payload和部署脚本;部分攻击会在payload中加入安全软件绕过机制(EDR evasion)。

3. Delivery(投递)

目的:将恶意代码或入口方法交付到目标环境。

📌 行动模式:

  • 钓鱼邮件(带附件或恶意链接)
  • 利用暴露的RDP或VPN进行凭证暴力破解/凭证填充
  • 漏洞利用(如Exchange ProxyShell、VPN设备漏洞)

书中要点(Ch.8, Ch.9, Ch.10):RDP和钓鱼是主要入口;近年越来越多利用0-day/N-day漏洞快速进入。

4. Exploitation(利用)

目的:在目标环境中执行恶意代码或获取控制。

📌 行动模式:

  • 利用漏洞获得代码执行权限
  • 利用弱配置提升权限(如未打补丁的AD服务器)
  • 运行恶意脚本部署后续工具

书中要点(Ch.10, Ch.13):Mimikatz用来窃取凭证;AdFind等工具用于AD信息枚举。

5. Installation(安装)

目的:建立持久化访问能力。

📌 行动模式:

  • 部署后门(Cobalt Strike Beacon)
  • 修改注册表、计划任务、服务启动项
  • 创建隐蔽账户、修改组策略

书中要点(Ch.6, Ch.12):高级攻击会保持多条访问路径(多后门、多账户);有的会用远程管理工具(如AnyDesk、TeamViewer)作为隐蔽通道。

6. Command & Control(命令与控制)

目的:与攻击者控制服务器建立通信,接收命令、上传数据。

📌 行动模式:

  • 使用加密通道(HTTPS、DNS隧道、Tor)与C2交互
  • 多个C2节点以防封锁
  • 控制横向移动、数据打包传输

书中要点(Ch.12, Ch.14):有时通过合法云服务(OneDrive、Dropbox)中转数据;蜜罐/蜜文件可在此阶段早期触发预警。

7. Actions on Objectives(目标行动)

目的:实现攻击最终目的(多重勒索)。

📌 行动模式:

  • 数据外泄:打包并上传敏感文件至攻击者控制服务器
  • 清除防御:删除影子副本、禁用备份、破坏安全日志
  • 加密部署:利用域控或批量脚本推送勒索软件至全网
  • 威胁勒索:发送赎金通知、倒计时、联系媒体/客户施压

书中要点(Ch.6, Ch.15, Ch.19):双重勒索已成标配,部分团伙加入三重(骚扰员工/客户);加密前会先确保已清理掉恢复选项。

三、映射总结表

Cyber Kill Chain 阶段勒索攻击者典型动作对应书中章节
Reconnaissance收集目标资产信息、暴露面扫描、凭证搜索Ch.6, Ch.7, Ch.8
Weaponization定制恶意载荷、利用RaaS工具打包Ch.2, Ch.10
Delivery钓鱼、漏洞利用、RDP入侵Ch.8, Ch.9, Ch.10
Exploitation提权、执行攻击脚本Ch.10, Ch.13
Installation部署后门、持久化机制Ch.6, Ch.12
C2加密通信、横向移动控制Ch.12, Ch.14
Actions on Objectives数据外泄、删除备份、全网加密、勒索Ch.6, Ch.15, Ch.19

原文发表于公众号”王曙说”