大型勒索软件运营商对技术专家需求激增

McAfee Advanced Threat Research网络调查和红队负责人John Fokker表示，鉴于勒索软件可能带来的潜在利润，越来越多的运营商纷纷加入勒索软件市场，并不断扩大其人才规模。成功的大型运营商所寻求的一些顶级技能包括：渗透测试-使用Metasploit和Cobalt Strike等工具。除此之外，还需要熟悉系统管理工具和环境，包括网络连接的存储和备份(例如，使用Microsoft Hyper-V)。

VMware网络安全战略负责人Tom Kellermann表示，无论对被入侵的系统造成什么影响，获得组织访问权限并保留该访问权限仍然是重中之重。一般而言，勒索软件具有14种以上的规避技术。其中包括虚拟化、逃避沙箱、修改注册表、混淆文件和禁用安全工具等等。

但是最重要的，还是要得益于rootkit的复兴。在更高层次上，rootkit是一系列工具或技术的集合，可让恶意软件潜入系统深层，对操作系统不可见。计算机处理器有不同层次的执行权限(ring 0-3)，攻击者可利用这些权限层次来玩弄运行在高层的程序。例如，Windows和Linux之类的操作系统，有用户空间和内核空间之分。在最高层，你只需要知道内核空间(ring0)比用户空间(ring3)权限高就行了。如果你有个程序需要列出目录中的文件列表，你可以调用用户空间函数来做这事，但调用内核函数同样可以。

如果恶意程序获得内核权限，就可以“欺骗”运行在用户空间的程序。因此，如果某程序以用户空间函数调用来扫描文件系统，内核rootkit就可以在它解析文件的时候欺骗之。在该用户空间函数扫描到恶意文件的时候，rootkit可以骗它说，“这些不是你要找的文件”，或者更具体讲，就是简单地绕过这些文件，不将它们作为该用户空间程序的执行结果加以返回。

简言之，恶意软件有时候可以用rootkit功能对本地反病毒(AV)软件隐身——通过对操作系统本身隐藏文件、网络连接或其他东西。

可以说，rootkit的复兴改变了游戏规则，尤其是当我们看到“反事件响应”——从删除日志到实际破坏基础架构或数据在内的所有事情——激增时。但是，攻击者入侵后的头等大事通常是加剧受害者的恢复难度。首先，他们会渗透备份，以阻止其恢复进程。

基础防御

对于企业组织来说，任务很明确：拥有完善的勒索软件防御措施及其他准备。

网络安全公司FireEye在最近的一份报告中表示，

• “组织需要为勒索软件攻击做好准备。这意味着要确保将网络分割开来，确保已制定了实际计划，并已与高级领导者和其他关键人员进行了桌面练习，以便每个人都准备采取最佳行动。组织应制定事件响应服务级别协议(SLA)。 他们还应该建立安全的备份，以便团队在必要时可以利用该备份完成恢复。”

另一项重要的防御措施：使所有软件保持最新状态。根据调查显示，利用尚未修补的已知漏洞仍然“是威胁参与者中最流行的初始访问媒介之一”，尤其是对那些针对更大型目标以获取更多赎金的大型游戏猎人而言。

专家还建议使用多因素身份验证来保护远程桌面协议和虚拟网络访问。如果没有多因素身份验证，攻击者只需要强行使用或窃取有效的凭据即可远程访问系统。而如果具有多因素身份验证，即便攻击者获取正确的凭据，也不可能仅通过使用这些凭据来进行远程访问。

最后，培训员工(尤其是网络安全团队)，以更好地预防和应对此类攻击仍然至关重要。