漏洞、社交工程

遠(yuǎn)程桌面協(xié)議攻擊

它的攻擊方式多種多樣

具備高隱蔽性

逃避檢測(cè)能力優(yōu)秀

善于攻擊企業(yè)和政府機(jī)構(gòu)

它就是惡貫滿盈的BlackMatter勒索家族

何為BlackMatter？

BlackMatter勒索家族于2021年7月首次出現(xiàn)，因其專注于企業(yè)和政府機(jī)構(gòu)作為攻擊目標(biāo)，并索要高額贖金而引起了廣泛關(guān)注。該勒索家族使用的攻擊方式和技術(shù)相對(duì)先進(jìn)，具有高度的隱蔽性和逃避檢測(cè)的能力，這使得它們對(duì)傳統(tǒng)的安全防御機(jī)制構(gòu)成了挑戰(zhàn)。

BlackMatter使用的攻擊方式通常涉及利用漏洞、社交工程、遠(yuǎn)程桌面協(xié)議（RDP）攻擊，通過網(wǎng)絡(luò)入侵和滲透，獲得對(duì)目標(biāo)系統(tǒng)的初始訪問權(quán)限。一旦BlackMatter勒索軟件成功進(jìn)入系統(tǒng)，它會(huì)加密受害者的文件，并要求支付高額的贖金以獲取解密密鑰。該勒索家族還采用了反調(diào)試功能和反虛擬化技術(shù)來阻礙安全研究人員的分析。

【BlackMatter勒索信】

BlackMatter勒索軟件攻擊流程

BlackMatter勒索家族的攻擊方式和其他勒索軟件家族類似，主要通過惡意郵件、漏洞攻擊和遠(yuǎn)程桌面協(xié)議（RDP）攻擊等方式進(jìn)行傳播。

• 攻擊者采用社會(huì)工程學(xué)策略，向目標(biāo)用戶發(fā)送釣魚郵件，誘導(dǎo)客戶點(diǎn)擊附件或者是惡意鏈接，下載惡意軟件。
  

• 借助大規(guī)模的漏洞掃描行為來定位潛在目標(biāo)，利用流行的應(yīng)用程序漏洞提升權(quán)限，或者通過服務(wù)器部署服務(wù)的漏洞，突破防御設(shè)備，獲得初始訪問權(quán)限。

• 通過 RDP 暴力破解或者密碼爆破的方式獲得初始訪問權(quán)限。

在獲得對(duì)網(wǎng)絡(luò)的初始訪問權(quán)限后，其會(huì)利用系統(tǒng)上已開啟的RDP服務(wù)，遠(yuǎn)程登錄到受感染的主機(jī)，并將其作為跳板機(jī)，在內(nèi)網(wǎng)橫向傳播。

【BlackMatter勒索攻擊流程】

亞信安全建議

• 全面部署安全產(chǎn)品，保持相關(guān)組件及時(shí)更新；

• 檢查系統(tǒng)及應(yīng)用軟件是否存在高危漏洞，請(qǐng)及時(shí)修復(fù)漏洞或者升級(jí)版本；

• 關(guān)閉非必要對(duì)外服務(wù)，必須的對(duì)外服務(wù)加強(qiáng)安全防護(hù)；

• 盡量關(guān)閉不必要的默認(rèn)共享，避免被橫向傳播；

• 盡量關(guān)閉不必要的端口；

• 采用高強(qiáng)度密碼，避免使用弱口令，避免多個(gè)密碼相同，定期更換密碼；

• 請(qǐng)注意備份重要文檔。備份的最佳做法是采取3-2-1規(guī)則，即至少做三個(gè)副本，用兩種不同格式保存，并將副本放在異地存儲(chǔ)。

  
  

亞信安全

產(chǎn)品解決方案

●亞信安全新一代終端安全TrustOne

亞信安全新一代終端安全TrustOne可持續(xù)不間斷發(fā)現(xiàn)、評(píng)估組織類可被黑客利用的薄弱環(huán)節(jié)，并顯性化、危險(xiǎn)指數(shù)量化這些薄弱點(diǎn)，通過攻擊面管理提供的各項(xiàng)緩解功能，在攻擊發(fā)生前快速修復(fù)。此外，針對(duì)攻擊鏈的每個(gè)階段，不同的攻擊手段，TrustOne融合了各種防護(hù)能力，通過威脅情報(bào)、攻防對(duì)抗、機(jī)器學(xué)習(xí)等方式，從終端文件、性能、進(jìn)程、行為等多維度來評(píng)估網(wǎng)絡(luò)中存在的已知、未知攻擊風(fēng)險(xiǎn)。

●亞信安全傳統(tǒng)病毒碼版本18.565.60，云病毒碼版本18.565.71，全球碼版本18.565.00已經(jīng)可以檢測(cè)，請(qǐng)用戶及時(shí)升級(jí)病毒碼版本；

●亞信安全夢(mèng)蝶防病毒引擎可以檢測(cè)該類型病毒，可檢測(cè)的病毒碼版本為1.6.0.164；

注意：以上測(cè)試均是在產(chǎn)品聯(lián)網(wǎng)情況下進(jìn)行的