勒索病毒已成當(dāng)前網(wǎng)絡(luò)安全的主要危害
勒索病毒最早可追溯到1989年�,隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展���。眾所周知�,2017年爆發(fā)的勒索病毒W(wǎng)annaCry“永恒之藍(lán)”在世界范圍內(nèi)爆發(fā)����,僅僅一天的時(shí)間就有242.3萬(wàn)個(gè)IP地址遭受該病毒攻擊,近3.5萬(wàn)個(gè)IP地址被該勒索軟件感染����,其中我國(guó)境內(nèi)受影響IP約1.8萬(wàn)個(gè)。高校����、醫(yī)院、政府�、企業(yè)等單位為主的網(wǎng)絡(luò)大范圍癱瘓。臺(tái)灣����、北京、上海�、江蘇、天津等地成為受災(zāi)重區(qū)��。隨后,在移動(dòng)端發(fā)現(xiàn)大量“WannaCry”勒索病毒變種���。近年來(lái)勒索病毒仍在持續(xù)演變��,索軟件不斷擴(kuò)大的市場(chǎng)規(guī)模催生了新的盈利模式�����,同時(shí)出現(xiàn)了大量以售賣(mài)勒索軟件為主要營(yíng)生的黑灰產(chǎn)業(yè)�,現(xiàn)已公認(rèn)勒索病毒是危害全球網(wǎng)絡(luò)安全的最主要因素之一����。2022年國(guó)內(nèi)勒索安全大事件如下:
重慶某醫(yī)院服務(wù)器感染Phobos勒索軟件
廣東某企業(yè)多臺(tái)主機(jī)同時(shí)感染Hive和Buran勒索軟件
浙江某運(yùn)營(yíng)商遭TellYouThePass勒索病毒攻擊
浙江某企業(yè)遭Mallox勒索病毒攻擊
浙江某高校辦公終端感染Coffee勒索軟件
安徽省某企業(yè)服務(wù)器感染TellYouThePass勒索軟件
廣東省某企業(yè)多臺(tái)服務(wù)器感染Phobos勒索軟件
微軟Exchange服務(wù)器被攻擊用于部署Cuba勒索軟件
深圳某醫(yī)療行業(yè)單位辦公終端感染TargetCompany勒索軟件
勒索病毒感染特性
1.中毒癥狀明顯
受感染電腦將被病毒鎖定��,電腦中包括照片��、文檔����、音視頻在內(nèi)的幾乎所有文件將被加密,并彈出一個(gè)警告界面,大致意思是�,你的文件已經(jīng)被鎖,如果想解除��,那么需要你支付比特幣可解鎖,否則7天后將永久無(wú)法恢復(fù)��。
2.傳播方式多樣
【RDP爆破】黑客可采用RDP爆破內(nèi)網(wǎng)中某一臺(tái)終端����,成功獲取該主機(jī)的控制權(quán);然后散播勒索病毒�����。
【垃圾郵件】向目標(biāo)用戶(hù)郵箱廣播發(fā)送垃圾郵件�,附加惡意鏈接或郵件附件,用戶(hù)通過(guò)word宏等加載powershell加載�����。
【網(wǎng)站掛馬】感染相關(guān)網(wǎng)站��,讓訪問(wèn)用戶(hù)下載捆綁有惡意程序的軟件�����。
【漏洞攻擊】利用操作系統(tǒng)或應(yīng)用軟件等漏洞����,通過(guò)無(wú)文件方式powershell�����、JS��、VBS等腳本釋放加載�。
【惡意下載器下載】通過(guò)系統(tǒng)激活工具等常見(jiàn)流行工具中內(nèi)置的下載器下載勒索病毒并傳播��。
【U盤(pán)感染】U盤(pán)隨意使用�,內(nèi)外網(wǎng)混用等,易于傳播病毒����。
3.病毒變種頻繁
自勒索病毒爆發(fā)至今,圍繞TargetCompany���、Phobos、TellYouThePass��、BadRabbit�、GlobeImposter等10多個(gè)典型病毒家族,至少已衍生上百種勒索病毒變種�����,并在病毒產(chǎn)業(yè)化的誘導(dǎo)下,繼續(xù)以驚人的速度衍生新的變種���。
4.加密算法難解
在大多數(shù)的感染勒索病毒案例中��,想恢復(fù)被加密的數(shù)據(jù)是非常非常困難的����。由于大多數(shù)加密的密鑰基本上都采用了非對(duì)稱(chēng)的算法��,使用公鑰加密���,私鑰解密����,根本不可逆向解密���,必須拿到攻擊者手中對(duì)應(yīng)的解密私鑰才有可能無(wú)損還原被加密文件����。黑客正是通過(guò)這樣的行為向受害用戶(hù)勒索高昂的贖金�����,這些贖金必須通過(guò)數(shù)字貨幣支付,一般無(wú)法溯源���,因此危害巨大�。
勒索病毒攻擊過(guò)程分析
所謂知己知彼��,方能百戰(zhàn)不殆��。想要做好勒索病毒防范首先需了解勒索病毒攻擊全過(guò)程�����。通過(guò)與絕大多數(shù)勒索病毒的常見(jiàn)攻擊方式相比��,可將勒索病毒的攻擊行為簡(jiǎn)化為5個(gè)階段:
第一階段-偵查目標(biāo):偵查目標(biāo)�,充分利用社會(huì)工程學(xué)了解目標(biāo)網(wǎng)絡(luò)。
第二階段-傳送工具:主要是指制作定向攻擊工具,利用包括含有惡意代碼的垃圾郵件��、網(wǎng)站掛馬��、惡意腳本等方式��,將勒索病毒輸送到目標(biāo)系統(tǒng)中���。
第三階段-觸發(fā)病毒:在目標(biāo)系統(tǒng)中�,觸發(fā)勒索病毒執(zhí)行�����。
第四階段-執(zhí)行加密:勒索病毒執(zhí)行加密行為�����,加密系統(tǒng)中的照片����、文檔、視頻等信息資源���。
第五階段-橫向轉(zhuǎn)移:勒索病毒潛入內(nèi)網(wǎng)并將其作為跳板����,肆無(wú)忌憚的在內(nèi)部橫向流竄�����,對(duì)企業(yè)造成極大的安全威脅�。
北信源EDR一站式勒索防護(hù)方案
北信源作為國(guó)內(nèi)終端安全領(lǐng)軍企業(yè)���,憑借多年終端安全經(jīng)驗(yàn),全新打造北信源主機(jī)安全檢測(cè)響應(yīng)系統(tǒng)(EDR)安全產(chǎn)品�。通過(guò)對(duì)多種勒索傳播事件分析,形成專(zhuān)項(xiàng)勒索解決方案����,一站式解決用戶(hù)困境,形成勒索病毒防護(hù)閉環(huán)�。其中包括對(duì)勒索病毒的風(fēng)險(xiǎn)識(shí)別能力、安全防御能力�����、安全檢測(cè)能力���、安全響應(yīng)能力���,最終實(shí)現(xiàn)風(fēng)險(xiǎn)可視化、防御主動(dòng)化�、響應(yīng)自動(dòng)化的安全目標(biāo),全方位保障用戶(hù)的業(yè)務(wù)安全���。
1.減少暴露面
在勒索攻擊發(fā)生前�����,需要整體梳理���、實(shí)時(shí)定位內(nèi)網(wǎng)風(fēng)險(xiǎn),減少暴露面�,全面防護(hù)端口掃描、漏洞利用����、暴力破解等多種攻擊手段,阻止病毒病毒進(jìn)入內(nèi)網(wǎng)���。
【提升口令安全性】
北信源EDR對(duì)終端的密碼管理權(quán)限變化及使用狀況(包括密碼長(zhǎng)度�����、安全性����、弱口令等方面)進(jìn)行安全檢查及報(bào)警��,同時(shí)對(duì)不符合要求的終端進(jìn)行提示或強(qiáng)制修改��,能夠防止弱口令出現(xiàn)。
【高危漏洞檢測(cè)與修復(fù)】
北信源EDR為用戶(hù)提供強(qiáng)大的漏洞檢測(cè)��、補(bǔ)丁分發(fā)等安全功能��。用戶(hù)可全面檢測(cè)終端補(bǔ)丁的安裝狀況���,并對(duì)沒(méi)有安裝補(bǔ)丁的設(shè)備進(jìn)行遠(yuǎn)程補(bǔ)丁安裝,可將最新補(bǔ)丁升級(jí)包及時(shí)分發(fā)到終端計(jì)算機(jī)��,并提示安裝修補(bǔ)����,防止勒索病毒通過(guò)漏洞入侵系統(tǒng)����。
【關(guān)閉高危端口】
北信源EDR提供高危端口檢測(cè)能力,幫助用戶(hù)時(shí)刻關(guān)注自身主機(jī)對(duì)外開(kāi)放的端口情況����,避免一些高危端口開(kāi)放。
2.已知勒索主動(dòng)出擊
明確資產(chǎn)潛在脆弱性�����,并對(duì)其不斷修繕���,是勒索病毒防護(hù)的第一道屏障��,在此基礎(chǔ)上北信源EDR更進(jìn)了一步����,能夠?qū)账鞑《局鲃?dòng)出擊�����。
【勒索病毒專(zhuān)項(xiàng)查殺】
北信源EDR搭載反勒索殺毒引擎��,對(duì)勒索行為進(jìn)行分析和預(yù)判�����,發(fā)現(xiàn)勒索病毒后第一時(shí)間攔截勒索軟件對(duì)文件的加密和破壞行為����,保護(hù)數(shù)據(jù)安全,同時(shí)反勒索殺毒引擎為用戶(hù)建立文件墻���,保護(hù)重要文件不被篡改和破壞�,做到事中防護(hù)��。
【勒索病毒主動(dòng)防護(hù)】
結(jié)合勒索病毒行為特征,北信源EDR在客戶(hù)端內(nèi)置針對(duì)勒索病毒的檢測(cè)分析模型�����,基于人工智能引擎���,可實(shí)時(shí)發(fā)現(xiàn)并中止勒索病毒行為���。
【阻斷橫向移動(dòng)途徑】
經(jīng)過(guò)層層防御可能也無(wú)法絕對(duì)避免勒索病毒的感染,北信源EDR設(shè)置有微隔離功能���,可對(duì)不同業(yè)務(wù)系統(tǒng)��、不同部門(mén)�����、不同角色�、不同終端進(jìn)行細(xì)粒度的安全隔離與訪問(wèn)控制����,以防勒索病毒進(jìn)入內(nèi)網(wǎng)后進(jìn)行擴(kuò)散,將勒索病毒可能造成的危害最小化。
3.疑似勒索精準(zhǔn)定位
北信源EDR內(nèi)置大數(shù)據(jù)分析平臺(tái)�����,可采集終端進(jìn)程動(dòng)態(tài)���、網(wǎng)絡(luò)訪問(wèn)記錄�����、注冊(cè)表修改、DNS請(qǐng)求等多維度信息�����,結(jié)合ATT&CK技術(shù)框架對(duì)終端發(fā)生的高危行為快速關(guān)聯(lián)識(shí)別�。針對(duì)未知的勒索病毒,行為分析既可以對(duì)漏洞利用��、遠(yuǎn)程控制等不觸發(fā)殺毒軟件的攻擊方法進(jìn)行研判����,又可以對(duì)勒索病毒落地后的行為進(jìn)行分析,能夠第一時(shí)間發(fā)現(xiàn)病毒落地后的危險(xiǎn)行為并進(jìn)行追蹤���。
【IOC威脅情報(bào)】
北信源EDR內(nèi)置千萬(wàn)數(shù)據(jù)量級(jí)威脅情報(bào)庫(kù)��,結(jié)合終端實(shí)時(shí)上報(bào)的文件�����、網(wǎng)絡(luò)�����、進(jìn)程等采集點(diǎn)信息�����,實(shí)現(xiàn)外部情報(bào)與本地行為信息的命中匹配����,對(duì)勒索病毒快速精準(zhǔn)定位并進(jìn)行威脅溯源和線索擴(kuò)展;
【勒索病毒誘餌】
通過(guò)在內(nèi)網(wǎng)資產(chǎn)操作系統(tǒng)的關(guān)鍵目錄中插入誘餌文件��,捕獲勒索病毒加密行為���,一旦發(fā)現(xiàn)誘餌文件發(fā)生被加密操作��,立即反向定位勒索病毒進(jìn)程��,并進(jìn)行終端告警��、中止該進(jìn)程�;
4.勒索行為立體溯源
采用大數(shù)據(jù)分析架構(gòu),通過(guò)采集終端進(jìn)程信息�����、文件操作日志����、內(nèi)網(wǎng)安全流量等數(shù)據(jù)進(jìn)行融合聯(lián)動(dòng)分析,輔助用戶(hù)對(duì)安全風(fēng)險(xiǎn)���、勒索事件精準(zhǔn)定位,發(fā)現(xiàn)網(wǎng)內(nèi)失陷主機(jī)并進(jìn)行反向溯源�,找尋威脅的來(lái)龍去脈,讓勒索病毒無(wú)處遁形����。
5.應(yīng)急響應(yīng)處置聯(lián)動(dòng)
北信源EDR提供應(yīng)急響應(yīng)模型,當(dāng)平臺(tái)發(fā)現(xiàn)內(nèi)網(wǎng)終端有疑似勒索行為時(shí)����,可將攻擊過(guò)程立體展現(xiàn),輔助用戶(hù)進(jìn)行威脅追蹤。平臺(tái)內(nèi)置多種響應(yīng)能力��,包括核心位置防御�、虛擬補(bǔ)丁、惡意行為阻斷�����、勒索病毒誘捕���、黑客入侵?jǐn)r截等�。供用戶(hù)在發(fā)現(xiàn)勒索病毒入侵后�,在各階段進(jìn)行響應(yīng)處置。
目前����,北信源EDR已經(jīng)通過(guò)了中國(guó)信通院的測(cè)評(píng),是第一批入圍的廠家���。未來(lái)�����,北信源還將不斷探索維護(hù)網(wǎng)絡(luò)信息安全的有效措施�����,共同為國(guó)家互聯(lián)網(wǎng)安全提供有力支撐����。
數(shù)字化轉(zhuǎn)型時(shí)代 北信源完善布局
提供更安全、智能�����、便捷的產(chǎn)品及服務(wù)
北信源作為國(guó)內(nèi)終端安全管理領(lǐng)域龍頭企業(yè)��,國(guó)內(nèi)網(wǎng)絡(luò)與信息安全領(lǐng)域領(lǐng)先的解決方案提供商����,26年來(lái)持續(xù)深耕網(wǎng)絡(luò)安全領(lǐng)域,截至2021年年底���,北信源已在全國(guó)近30個(gè)省市構(gòu)建了營(yíng)銷(xiāo)與服務(wù)網(wǎng)絡(luò),目前已累計(jì)14年穩(wěn)居中國(guó)終端安全管理市場(chǎng)占有率第一�。憑借自身優(yōu)秀的產(chǎn)品體系、強(qiáng)大的研發(fā)能力����、完整的解決方案和良好的售后服務(wù)��,北信源在全國(guó)范圍推進(jìn)了客戶(hù)覆蓋���,目前客戶(hù)群已涵蓋90%以上的政府和行業(yè)部門(mén),為我國(guó)的數(shù)千萬(wàn)終端提供智能����、完善的安全服務(wù)。
近年來(lái)���,為應(yīng)對(duì)數(shù)字化轉(zhuǎn)型時(shí)代下網(wǎng)絡(luò)安全的新變化���,北信源從終端殺毒、終端安全管控����、數(shù)據(jù)安全向大數(shù)據(jù)安全、云安全��、移動(dòng)安全���、工控安全��、物聯(lián)網(wǎng)安全���、智慧城市安全�、國(guó)產(chǎn)化安全等方向全面拓展����。去年9月,北信源正式入選第九屆CNCERT網(wǎng)絡(luò)安全應(yīng)急服務(wù)支撐單位�,為國(guó)家互聯(lián)網(wǎng)應(yīng)急中心提供安全漏洞信息報(bào)送、網(wǎng)絡(luò)安全事件報(bào)送���、重大安全事件響應(yīng)����、專(zhuān)項(xiàng)支撐�����、交流培訓(xùn)等多個(gè)維度的應(yīng)急服務(wù)支撐���。同年����,北信源率先參與加入“關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)風(fēng)險(xiǎn)治理框架體系”���,并受邀入駐國(guó)家等級(jí)保護(hù)2.0與可信計(jì)算3.0攻關(guān)示范基地��。此外�����,北信源接連與華為��、金山辦公��、中移集成�、麒麟軟件等達(dá)成合作�����,融合眾多信創(chuàng)平臺(tái)構(gòu)建完整生態(tài)鏈�����,合力打造信息技術(shù)應(yīng)用創(chuàng)新體系���,為行業(yè)客戶(hù)和城市客戶(hù)提供安全可信的軟硬件一體化解決方案���,提供更加全面�、靈活的網(wǎng)絡(luò)安全保障����。
未來(lái),公司將持續(xù)以網(wǎng)絡(luò)安全為基礎(chǔ)�,以“信息安全及信創(chuàng)、移動(dòng)辦公及安全通訊應(yīng)用����、智慧社區(qū)及健康醫(yī)療”三大格局作為依托,進(jìn)一步完善和提升終端安全體系防護(hù)能力����,為政府、重要行業(yè)及廣大互聯(lián)網(wǎng)用戶(hù)提供更安全���、更智能��、更便捷的產(chǎn)品和服務(wù)�,為我國(guó)信息技術(shù)安全可控和互聯(lián)網(wǎng)安全發(fā)展提供更強(qiáng)勁的動(dòng)力�,為數(shù)字經(jīng)濟(jì)保駕護(hù)航!
作者:趙勇
