勒索软件故事:真正有中间人的 MitM 攻击

勒索软件故事:真正有中间人的 MitM 攻击

时间戳:24年2023月1日下午59:XNUMX
源节点: 2674840
by

这起案件用了五年多的时间才伸张正义,但警察和法院 到了那里 到底。

英国执法办公室SEROCU,简称 东南地区有组织犯罪组, 本周报道了 奇特的故事 一个 Ashley Liles,我们在标题中提到的字面上的中间人。

这些天,我们通常会扩展行话 MITM 意思是 中间的操纵器,不仅是为了避免性别术语“男人”,而且因为如今许多(如果不是大多数的话)MitM 攻击都是由机器执行的。

一些技术人员甚至采用了这个名字 机器在中间,但我们更喜欢“操纵者”,因为我们认为它可以有效地描述这种攻击的工作原理,并且因为(如这个故事所示)有时它真的是人,而不是机器,在中间。

中间人解释

MitM 攻击取决于某人或某物可以拦截发送给您的消息,并在途中修改它们以欺骗您。

攻击者通常还会修改您对原始发件人的回复,这样他们就不会发现欺骗行为,并与您一起陷入骗局。

可以想象,密码学是避免 MitM 攻击的一种方法,其想法是如果数据在发送之前被加密,那么中间的任何人或任何东西都无法理解它。

攻击者不仅需要解密来自每一端的消息以弄清楚它们的含义,而且还需要在传递之前正确地重新加密修改后的消息,以避免被发现并保持背叛。

一个经典且致命的 MitM 故事可以追溯到 1580 年代后期,当时英格兰女王伊丽莎白一世的间谍总手能够截获并操纵来自苏格兰女王玛丽的秘密信件。

玛丽是伊丽莎白的堂兄和政治上的劲敌,当时被严格软禁。 她的秘密信息显然是在啤酒桶中偷运进出的,这些啤酒桶被运送到她被拘留的城堡。

对玛丽来说致命的是,贝丝女王的间谍头目不仅能够截获和阅读玛丽的消息,而且还能发送伪造的回复,引诱玛丽以书面形式提供足够的细节来煮她自己的鹅,就像这样,表明她知道,并积极支持暗杀伊丽莎白的阴谋。

玛丽被判处死刑,并于 1587 年被处决。

快进到2018

这次还好没有暗杀计划,英国在1998年就废除了死刑。

但这种 21 世纪的信息拦截犯罪既简单又大胆、狡猾。

15 年,位于英格兰牛津的一家企业在 Sophos 北部(我们位于泰晤士河畔阿宾登下游 2018 公里处,如果您想知道的话)遭到勒索软件攻击。

到 2018 年,我们已经进入了当代勒索软件时代,犯罪分子一次闯入并勒索整个公司,索要巨额资金,而不是以每台 300 美元的价格追捕数万名个人计算机所有者。

就在那时,现已被定罪的肇事者从受影响企业的系统管理员变成了中间人网络犯罪分子。

在与公司和警方合作处理袭击事件时,28 岁的肇事者 Ashely Liles 通过以下方式攻击他的同事:

  • 修改原始骗子发给他老板的电子邮件信息,并编辑用于勒索付款的比特币地址。 莱尔斯因此希望拦截任何可能进行的付款。
  • 来自原始骗子的欺骗性消息,以增加支付压力。 我们猜测 Liles 使用他的内部知识来创建最坏情况,这比原始攻击者可能想出的任何威胁都更可信。

从警方的报告中并不清楚 Liles 打算如何套现。

也许他只是想带着所有的钱跑掉,然后表现得好像加密骗子偷偷跑了,带着加密币潜逃了?

也许他在费用中加上自己的加成,并试图通过谈判降低攻击者的要求,希望在为自己清算巨额报酬的同时获得解密密钥,成为“恢复”过程中的英雄,从而转移怀疑?

计划的漏洞

碰巧的是,Liles 的卑鄙计划被两件事破坏了:公司没有付款,所以没有比特币可供他拦截,他在公司电子邮件系统中未经授权的摆弄显示在系统日志中。

警方逮捕了 Liles 并搜查了他的电脑设备以寻找证据,结果发现他几天前擦掉了电脑、手机和一堆 USB 驱动器。

尽管如此,警察还是从 Liles 的设备中恢复了数据,这些数据并不像他想象的那样空白,将他直接与您认为的双重勒索联系起来:试图欺骗他的雇主,同时欺骗那些骗子已经在欺骗他的雇主。

耐人寻味的是,这个案子拖了五年,直到 2023 年 05 月 17 日突然决定在法庭听证会上认罪时,莱尔斯一直保持清白。

(认罪可获得减刑,但根据现行法规,“折扣”的数量,正如在英格兰相当奇怪但官方所称的那样,被告在承认他们所做的之前坚持的时间越长,就会减少。)

怎么办呢?

这是 第二次内部威胁 我们已经写了关于这个月的文章,所以我们将重复之前给出的建议:

  • 分而治之。 尽量避免个别系统管理员可以不受限制地访问所有内容的情况。 这使得流氓员工更难在不将其他人纳入其计划的情况下编造和执行“内部”网络犯罪,从而冒及早暴露的风险。
  • 保留不可变的日志。 在这种情况下,莱尔斯显然无法删除表明有人篡改了他人电子邮件的证据,这导致了他的被捕。 尽可能让任何人(无论是内部人员还是外部人员)难以篡改您的官方网络历史记录。
  • 永远衡量,永远不要假设。 获得对安全声明的独立、客观的确认。 与 Ashley Liles 不同,绝大多数系统管理员都是诚实的,但他们中很少有人始终 100% 正确。

    永远衡量,从不假设

    缺乏时间或专业知识来处理网络安全威胁响应?
    担心网络安全最终会分散您对所有其他需要做的事情的注意力?

    查看 Sophos Managed Detection and Response:
    24/7 威胁追踪、检测和响应  ▶

    详细了解如何应对攻击

    再一次突破口,亲爱的朋友们,再一次!

    Sophos 事件响应总监 Peter Mackenzie 在一次会议中谈论现实生活中的网络犯罪斗争,该会议将同等程度地警示、娱乐和教育您。 (完整的成绩单 可用。)

    单击并拖动下面的声波以跳到任何一点。你也可以 直接听 在 Soundcloud 上。

时间戳记:

更多来自 裸体安全