自2017年WannaCry勒索病毒爆发以来，全球范围内针对政府机构、大型企业、医疗机构等的勒索软件攻击持续增加，并呈现出勒索赎金高涨，勒索软件攻击产业链愈发完善，商业化运作更加规模化、职业化等特点.因此，亟需开展针对勒索软件组织的研究.而传统的基于网络大数据分析的攻击检测技术无法有效还原和刻画勒索软件组织的攻击链条，基于网络杀伤链模型描述勒索软件组织的攻击方法存在抽象度高、缺乏统一描述机制等问题，导致不同安全研究人员对同一勒索软件组织的描述存在差异.为了统一描述机制，完整刻画攻击链条，采用了统一原语的ATT&CK模型，针对性选取分析了Conti等9个近年异常活跃的勒索软件组织，使用ATT&CK模型描述其攻击方法，然后使用ATT&CK模型聚类了勒索软件组织在各个攻击阶段常用的技战术，最后使用ATT&CK模型针对Conti组织的勒索攻击案例进行刻画.

• 单位
  公安部第三研究所