勒索病毒已成當前網絡安全的主要危害
勒索病毒最早可追溯到1989年����,隨著互聯(lián)網技術的不斷發(fā)展。眾所周知�����,2017年爆發(fā)的勒索病毒WannaCry“永恒之藍”在世界范圍內爆發(fā)���,僅僅一天的時間就有242.3萬個IP地址遭受該病毒攻擊��,近3.5萬個IP地址被該勒索軟件感染���,其中我國境內受影響IP約1.8萬個�。高校�����、醫(yī)院����、政府、企業(yè)等單位為主的網絡大范圍癱瘓����。臺灣、北京��、上海�����、江蘇�����、天津等地成為受災重區(qū)。隨后�,在移動端發(fā)現(xiàn)大量“WannaCry”勒索病毒變種。近年來勒索病毒仍在持續(xù)演變��,索軟件不斷擴大的市場規(guī)模催生了新的盈利模式��,同時出現(xiàn)了大量以售賣勒索軟件為主要營生的黑灰產業(yè)�����,現(xiàn)已公認勒索病毒是危害全球網絡安全的最主要因素之一���。2022年國內勒索安全大事件如下:
重慶某醫(yī)院服務器感染Phobos勒索軟件
廣東某企業(yè)多臺主機同時感染Hive和Buran勒索軟件
浙江某運營商遭TellYouThePass勒索病毒攻擊
浙江某企業(yè)遭Mallox勒索病毒攻擊
浙江某高校辦公終端感染Coffee勒索軟件
安徽省某企業(yè)服務器感染TellYouThePass勒索軟件
廣東省某企業(yè)多臺服務器感染Phobos勒索軟件
微軟Exchange服務器被攻擊用于部署Cuba勒索軟件
深圳某醫(yī)療行業(yè)單位辦公終端感染TargetCompany勒索軟件
勒索病毒感染特性
1.中毒癥狀明顯
受感染電腦將被病毒鎖定,電腦中包括照片��、文檔����、音視頻在內的幾乎所有文件將被加密,并彈出一個警告界面,大致意思是�����,你的文件已經被鎖�����,如果想解除,那么需要你支付比特幣可解鎖��,否則7天后將永久無法恢復��。
2.傳播方式多樣
【RDP爆破】黑客可采用RDP爆破內網中某一臺終端���,成功獲取該主機的控制權���;然后散播勒索病毒。
【垃圾郵件】向目標用戶郵箱廣播發(fā)送垃圾郵件�����,附加惡意鏈接或郵件附件���,用戶通過word宏等加載powershell加載���。
【網站掛馬】感染相關網站,讓訪問用戶下載捆綁有惡意程序的軟件��。
【漏洞攻擊】利用操作系統(tǒng)或應用軟件等漏洞,通過無文件方式powershell�、JS、VBS等腳本釋放加載�����。
【惡意下載器下載】通過系統(tǒng)激活工具等常見流行工具中內置的下載器下載勒索病毒并傳播�����。
【U盤感染】U盤隨意使用�,內外網混用等,易于傳播病毒����。
3.病毒變種頻繁
自勒索病毒爆發(fā)至今,圍繞TargetCompany�、Phobos、TellYouThePass���、BadRabbit、GlobeImposter等10多個典型病毒家族�����,至少已衍生上百種勒索病毒變種,并在病毒產業(yè)化的誘導下�,繼續(xù)以驚人的速度衍生新的變種。
4.加密算法難解
在大多數的感染勒索病毒案例中�,想恢復被加密的數據是非常非常困難的。由于大多數加密的密鑰基本上都采用了非對稱的算法����,使用公鑰加密,私鑰解密����,根本不可逆向解密,必須拿到攻擊者手中對應的解密私鑰才有可能無損還原被加密文件����。黑客正是通過這樣的行為向受害用戶勒索高昂的贖金,這些贖金必須通過數字貨幣支付���,一般無法溯源����,因此危害巨大�。
勒索病毒攻擊過程分析
所謂知己知彼,方能百戰(zhàn)不殆��。想要做好勒索病毒防范首先需了解勒索病毒攻擊全過程。通過與絕大多數勒索病毒的常見攻擊方式相比�,可將勒索病毒的攻擊行為簡化為5個階段:
第一階段-偵查目標:偵查目標,充分利用社會工程學了解目標網絡����。
第二階段-傳送工具:主要是指制作定向攻擊工具,利用包括含有惡意代碼的垃圾郵件、網站掛馬����、惡意腳本等方式,將勒索病毒輸送到目標系統(tǒng)中��。
第三階段-觸發(fā)病毒:在目標系統(tǒng)中�����,觸發(fā)勒索病毒執(zhí)行���。
第四階段-執(zhí)行加密:勒索病毒執(zhí)行加密行為�����,加密系統(tǒng)中的照片、文檔�����、視頻等信息資源。
第五階段-橫向轉移:勒索病毒潛入內網并將其作為跳板����,肆無忌憚的在內部橫向流竄,對企業(yè)造成極大的安全威脅�。
北信源EDR一站式勒索防護方案
北信源作為國內終端安全領軍企業(yè),憑借多年終端安全經驗����,全新打造北信源主機安全檢測響應系統(tǒng)(EDR)安全產品。通過對多種勒索傳播事件分析����,形成專項勒索解決方案,一站式解決用戶困境���,形成勒索病毒防護閉環(huán)�����。其中包括對勒索病毒的風險識別能力����、安全防御能力、安全檢測能力��、安全響應能力��,最終實現(xiàn)風險可視化��、防御主動化���、響應自動化的安全目標�,全方位保障用戶的業(yè)務安全�。
1.減少暴露面
在勒索攻擊發(fā)生前,需要整體梳理�、實時定位內網風險,減少暴露面����,全面防護端口掃描、漏洞利用�����、暴力破解等多種攻擊手段�,阻止病毒病毒進入內網。
【提升口令安全性】
北信源EDR對終端的密碼管理權限變化及使用狀況(包括密碼長度����、安全性、弱口令等方面)進行安全檢查及報警�����,同時對不符合要求的終端進行提示或強制修改�,能夠防止弱口令出現(xiàn)。
【高危漏洞檢測與修復】
北信源EDR為用戶提供強大的漏洞檢測�、補丁分發(fā)等安全功能。用戶可全面檢測終端補丁的安裝狀況��,并對沒有安裝補丁的設備進行遠程補丁安裝,可將最新補丁升級包及時分發(fā)到終端計算機�,并提示安裝修補,防止勒索病毒通過漏洞入侵系統(tǒng)����。
【關閉高危端口】
北信源EDR提供高危端口檢測能力,幫助用戶時刻關注自身主機對外開放的端口情況��,避免一些高危端口開放�����。
2.已知勒索主動出擊
明確資產潛在脆弱性�����,并對其不斷修繕,是勒索病毒防護的第一道屏障�����,在此基礎上北信源EDR更進了一步�����,能夠對勒索病毒主動出擊����。
【勒索病毒專項查殺】
北信源EDR搭載反勒索殺毒引擎,對勒索行為進行分析和預判��,發(fā)現(xiàn)勒索病毒后第一時間攔截勒索軟件對文件的加密和破壞行為�����,保護數據安全�,同時反勒索殺毒引擎為用戶建立文件墻,保護重要文件不被篡改和破壞�,做到事中防護。
【勒索病毒主動防護】
結合勒索病毒行為特征,北信源EDR在客戶端內置針對勒索病毒的檢測分析模型����,基于人工智能引擎,可實時發(fā)現(xiàn)并中止勒索病毒行為�����。
【阻斷橫向移動途徑】
經過層層防御可能也無法絕對避免勒索病毒的感染��,北信源EDR設置有微隔離功能���,可對不同業(yè)務系統(tǒng)、不同部門����、不同角色、不同終端進行細粒度的安全隔離與訪問控制����,以防勒索病毒進入內網后進行擴散,將勒索病毒可能造成的危害最小化���。
3.疑似勒索精準定位
北信源EDR內置大數據分析平臺���,可采集終端進程動態(tài)���、網絡訪問記錄、注冊表修改�、DNS請求等多維度信息,結合ATT&CK技術框架對終端發(fā)生的高危行為快速關聯(lián)識別��。針對未知的勒索病毒�����,行為分析既可以對漏洞利用�����、遠程控制等不觸發(fā)殺毒軟件的攻擊方法進行研判��,又可以對勒索病毒落地后的行為進行分析�,能夠第一時間發(fā)現(xiàn)病毒落地后的危險行為并進行追蹤。
【IOC威脅情報】
北信源EDR內置千萬數據量級威脅情報庫���,結合終端實時上報的文件�����、網絡����、進程等采集點信息,實現(xiàn)外部情報與本地行為信息的命中匹配���,對勒索病毒快速精準定位并進行威脅溯源和線索擴展��;
【勒索病毒誘餌】
通過在內網資產操作系統(tǒng)的關鍵目錄中插入誘餌文件�����,捕獲勒索病毒加密行為,一旦發(fā)現(xiàn)誘餌文件發(fā)生被加密操作�����,立即反向定位勒索病毒進程���,并進行終端告警���、中止該進程;
4.勒索行為立體溯源
采用大數據分析架構����,通過采集終端進程信息���、文件操作日志、內網安全流量等數據進行融合聯(lián)動分析�����,輔助用戶對安全風險�、勒索事件精準定位,發(fā)現(xiàn)網內失陷主機并進行反向溯源��,找尋威脅的來龍去脈����,讓勒索病毒無處遁形。
5.應急響應處置聯(lián)動
北信源EDR提供應急響應模型���,當平臺發(fā)現(xiàn)內網終端有疑似勒索行為時�,可將攻擊過程立體展現(xiàn)����,輔助用戶進行威脅追蹤。平臺內置多種響應能力�����,包括核心位置防御、虛擬補丁��、惡意行為阻斷�、勒索病毒誘捕、黑客入侵攔截等�。供用戶在發(fā)現(xiàn)勒索病毒入侵后,在各階段進行響應處置�。
目前,北信源EDR已經通過了中國信通院的測評�,是第一批入圍的廠家。未來���,北信源還將不斷探索維護網絡信息安全的有效措施,共同為國家互聯(lián)網安全提供有力支撐�����。
數字化轉型時代 北信源完善布局
提供更安全�����、智能���、便捷的產品及服務
北信源作為國內終端安全管理領域龍頭企業(yè)�����,國內網絡與信息安全領域領先的解決方案提供商����,26年來持續(xù)深耕網絡安全領域,截至2021年年底����,北信源已在全國近30個省市構建了營銷與服務網絡,目前已累計14年穩(wěn)居中國終端安全管理市場占有率第一����。憑借自身優(yōu)秀的產品體系、強大的研發(fā)能力�����、完整的解決方案和良好的售后服務�,北信源在全國范圍推進了客戶覆蓋,目前客戶群已涵蓋90%以上的政府和行業(yè)部門�,為我國的數千萬終端提供智能、完善的安全服務�����。
近年來,為應對數字化轉型時代下網絡安全的新變化�,北信源從終端殺毒、終端安全管控���、數據安全向大數據安全��、云安全�、移動安全���、工控安全���、物聯(lián)網安全、智慧城市安全���、國產化安全等方向全面拓展。去年9月���,北信源正式入選第九屆CNCERT網絡安全應急服務支撐單位����,為國家互聯(lián)網應急中心提供安全漏洞信息報送、網絡安全事件報送�、重大安全事件響應、專項支撐���、交流培訓等多個維度的應急服務支撐����。同年����,北信源率先參與加入“關鍵信息基礎設施安全保護風險治理框架體系”,并受邀入駐國家等級保護2.0與可信計算3.0攻關示范基地�����。此外�����,北信源接連與華為����、金山辦公、中移集成�、麒麟軟件等達成合作�,融合眾多信創(chuàng)平臺構建完整生態(tài)鏈�,合力打造信息技術應用創(chuàng)新體系,為行業(yè)客戶和城市客戶提供安全可信的軟硬件一體化解決方案�����,提供更加全面���、靈活的網絡安全保障����。
未來����,公司將持續(xù)以網絡安全為基礎,以“信息安全及信創(chuàng)�、移動辦公及安全通訊應用、智慧社區(qū)及健康醫(yī)療”三大格局作為依托���,進一步完善和提升終端安全體系防護能力���,為政府�、重要行業(yè)及廣大互聯(lián)網用戶提供更安全�、更智能�����、更便捷的產品和服務��,為我國信息技術安全可控和互聯(lián)網安全發(fā)展提供更強勁的動力�,為數字經濟保駕護航!
作者:趙勇
