勒索病毒是一种恶意软件，它可以从一台主机直接感染到整个网络（包括服务器）并加密磁盘上的任何文件和文档，勒索软件会要求受害者缴纳赎金以取回对电脑的控制权，或取回受害者根本无从自行获取的密钥去解密文件。勒索病毒已成为当今互联网上面临的最大安全问题之一，也是当今组织面临的最大网络犯罪形式之一。

不断演进的勒索病毒攻击

勒索病毒一般通过木马病毒的形式传播，将自身掩盖为看似无害的文件，假冒普通电子邮件等社会工程学方法欺骗受害者点击链接下载，但也有许多与其他蠕虫病毒一样，利用系统的漏洞在互联网的电脑间传播。对于使用它的犯罪分子来说，勒索病毒在全球已是一个价值数十亿美元的行业。

基于目前整体态势，许多公司在应对勒索病毒威胁时捉襟见肘，特别是针对医疗、能源、制造行业，犯罪分子为了最大化的非法利益，他们不断演进自身的攻击方式，通过有更有针对性的定制化勒索软件，攻击者精确地在网络上找到易受攻击的目标，通过各种自动或手动的渗透方式进行攻击。目前比较有针对性的勒索软件攻击并不依靠随机选择的受害者支付的小额赎金，而是遵循完整杀伤链，从获得对网络的初始访问权开始到最终加密文件来完成最大程度的感染，以获取最高额的勒索赎金。

以攻击者角度应对风险

检测和防御不断发展的勒索病毒威胁需要多种类型的防御策略和安全产品，包括漏洞扫描、渗透测试等。虽然以上方法提供一部分威胁评估，但最终无法深入了解目前抵御勒索病毒威胁的总体风险，也无法量化此类威胁的潜在业务影响，评估安全控制策略随时间推移的差异化。基于以上问题如何被动防御转向主动治理，构建事前防御、事中响应、事后审计的动态保障体系显得至关重要。

鉴于勒索软件攻击在互联网的肆虐，墨云科技也在持续跟踪勒索病毒的攻击策略和技术如何变化，及时将国内外最新科技理论和成果应用于研发设计中，帮助客户应对不断变化的勒索病毒攻击方式，进而优化自身网络安全解决方案。

智能自动化攻击模拟平台

为了帮助客户优化网络安全防护体系以实现最大效率和有效性，智能自动化攻击模拟平台VackBAS中引入了新的评估剧本用例，以确保客户安全体系能够防御一系列勒索病毒的攻击。智能自动化攻击模拟平台VackBAS中勒索软件评估场景包括当今勒索软件威胁攻击者最常用的攻击技战术。新的评估剧本与MITRE ATT&CK保持一致，并源自不同的勒索病毒家族和其对应的杀伤链。

涵盖的勒索病毒家族有Emotet，TrickBot，Qakbot，Ryuk，Sodinokibi/REvil，ProLock，Snake，SamSam和NotPetya。攻击者通常使用“无文件攻击”和其他TTP 技战术，例如 T1021.001 - 远程服务：远程桌面协议，用于通过泄露或弱凭据进行横向移动，或使用 T1569.002 - 系统服务：使用 PSExec 服务执行，在受感染的域控制器使用PSExec下发恶意命令以便在受害者网络全部高价值目标中执行勒索病毒。

使用方式：

1.研究勒索软件参与者使用哪些 TTP；

2.确定在 VackBAS平台中实现哪些 TTP；

3.确定为这些 TTP 实现的技术与攻击者用于执行 TTP 的方法匹配；

4.基于VackBAS平台的评估模板选择对应TTP进行编排模拟。

通过智能自动化攻击模拟平台VackBAS对一系列勒索病毒行为模拟可以快速有效地进行事前攻防演练，及时发现纵深防护体系中存在的缺陷与弱点，为客户安全运营中心提升真实有效的对抗素材，评估勒索软件网络防御的有效性至关重要。

墨云将继续密切关注新型勒索病毒动向，并持续发布恶意软件家族和高级持续性威胁相关的内容。想更深入了解此评估的工作原理或将智能自动化攻击模拟平台纳入工作流程中，留言联系我们吧。