最近,俄罗斯黑客 Darkside 搞了件大事。
这家去年8月才出道的“黑客新人”攻击了美国最大成品油管道运营公司,直接导致美国东海岸8800公里汽油输送“大动脉”瘫痪,首都华盛顿和东部17州均受到严重影响,汽油期货直接飙升至三年新高。据最新消息,该公司声称业务已恢复。
不过,据最新消息,5月13日,美国成品油管道运营公司为此向黑客支付了500万美元的赎金。
哪些行业会是勒索攻击的高发地区?
根据深信服千里目安全实验室发布的《2020勒索病毒年度报告》可知,如今网络攻击种类繁多,其中最令人恐惧的网络攻击之一便是勒索软件(勒索病毒攻击以防为主,目前大部分勒索病毒加密后的文件都无法解密)——通过加密主机数据文件从而勒索赎金的病毒程序。
▲各行业勒索病毒感染分布(图源深信服千里目实验室《2020年度勒索病毒报告》)
从行业来看,政企单位、科研教育、政府遭受的勒索攻击最多,总占比接近3/4;由于这些行业的业务对数据文件依赖较大,安全防护薄弱,系统设施脆弱等因素,极易成为勒索病毒的主要攻击目标。
因此,深信服认为有必要提供一个真实有效的安全解决方案,给予各行业一个清晰的防护思路,避免在遭遇勒索攻击时造成无法挽回的损失。
打造一个全流程闭环的勒索防护解决方案迫在眉睫
深信服基于近1000个用户的最佳实践总结出勒索病毒的防护思路:在云网端的多层架构下,针对勒索病毒在突破边界、病毒投放、加密勒索、横向传播等各个环节,实现实时拦截、快速查杀、多重监测和有效处置,为客户提供全方位的勒索防护能力。
在勒索病毒防护方面,深信服已有一套完整的安全解决方案。
▲勒索防护方案思路
具体而言,这套安全解决方案包含四个层次,即拦截——查杀——监测——闭环处置。
一、拦截
拦截能力覆盖发起勒索攻击时和被勒索攻陷后,又细分为五个环节,即勒索预防、勒索专项防护、慢速爆破防御、RDP 登录二次拦截、进程控制。
1、在勒索预防环节,为确保终端安全性,必须安装杀毒软件、修复操作系统安全漏洞才能接入网络,减少终端中勒索病毒的风险,可采用网络准入类产品,如深信服全网行为管理AC(以下简称深信服AC)建立终端入网安全基线。
2、在勒索专项防护环节,由于漏洞修复成本极高导致内网遗留大量未修复漏洞,给攻击者预留了潜在的漏洞利用攻击机会,故需采用有效识别漏洞且维护便捷方式,业内常以网络串接防护设备,如采用深信服下一代防火墙(以下简称深信服AF)内置 8000+漏洞特征库,并基于攻击泛化的漏洞覆盖技术,从漏洞共性攻击与利用方式,打造具备泛化能力的漏洞语法检测引擎,同时通过云端全球共享情报5分钟完成同步,漏洞攻击有效拦截率 98.7%。
而针对勒索扩散行为,需快速缩小范围,隔离问题主机,可通过深信服终端检测响应平台(以下简称深信服EDR)则利用无文件攻击防护和勒索诱饵防护对勒索病毒进行实时扫描监测,防止病毒进一步加密扩散。
3、在慢速爆破防御环节:目前大部分勒索病毒为绕过各系统自带或安全设备的阈值破解防护,使用慢速爆破难以被安全设备检测的方式,这也是很多用户使用传统的IPS或防火墙仍中勒索病毒的原因。
对此,深信服AF自研口令暴破深度检测引擎,基于多时间窗口尺度异常登录检测和精细化日志审计分析算法结合,并通过多种特征综合判定登录成功或失败的状态,突破加密流量暴破、慢速/分布式暴破的检测盲区,跳出解密困局,检测率高达95%。
4、在 RDP 登录二次拦截环节:RDP 爆破作为唯一或者主流的感染方式,先通过钓鱼邮件/钓鱼网站/漏洞利用等,再 RDP 爆破,或者直接 RDP 爆破。
典型代表:LockCrypt、 Crysis 、Planetary、GlobeImposter 等,主要利用了远程桌面协议 RDP 应用的广泛性以及攻破后使用上的便捷性。
需针对远程访问服务器的行为进行二次密码验证,防止黑客远程登录服务器进行勒索病毒投放,减轻服务器资产损失的风险,可采用终端安全平台,如深信服EDR。
5、在进程控制环节:由于勒索形成前会利用系统进程进行伪装,故需针对服务器全系统进程进行可信识别与控制,如通过通过深信服EDR可信进程的加固防护技术,以进程学习、手动导入的可信进程的防护策略,阻止非可信的勒索进程运行与破坏可信进程。
二、查杀层面
预防之后,最重要的是要对勒索病毒保持时刻警惕,经常查杀。包含两个环节,即检测和查杀环节。
随着 AI 技术的诞生以及物联网应用的普及,勒索软件呈爆发式增长,据统计每14秒就会发生一次勒索攻击事件。因此,勒索病毒的种类也越来越多,单纯的检测方法无法完全检测。
1、在检测环节,深信服 EDR 引入了 5层多维度漏斗型检测框架,通过文件信誉检测引擎、基因特征引擎、人工智能引擎、行为检测引擎、云脑引擎五个维度检测勒索病毒。2、在查杀环节,深信服 EDR 基于文件信誉引擎将病毒文件的md5特征值进行全网通报;也可针对md5特征,主动进行全网威胁定位,从而在全网进行围剿式查杀。
与此同时,配合深信服下一代防火墙采用流模式和启发式文件扫描技术,对 HTTP、 SMTP、 POP3、 IMAP、 FTP、 SMB 等多种协议类型的近百万种病毒进行查杀,以及可对多线程并发、深层次压缩文件等进行有效控制和查杀。
此外,还可利用人工智能引擎通过对数亿维的原始特征进行分析和综合,强大泛化能力,大幅提升对变种、未知勒索威胁的检出及查杀效果。
三、监测层面
查杀之后要做的工作时监测勒索病毒的活动路径。主要包含监测和告警两个环节。
在监测环节又细分为 C&C 非法通信检测、流量行为监测、攻击链监测、勒索诱捕监测。
由于病毒变种数量多,传统监测方式难免会存在漏网之鱼。
1、在勒索主机进行 C&C非法 通信时,常以动态域名进行隐藏,深信服 AF 创新引入 DGA 动态域名、DNS 隐蔽隧道等检测技术识别恶意连接。
2、在流量行为监测方面,则主要基于深信服安全感知平台SIP(以下简称深信服SIP)内置的勒索专项检测系统,采用业界独创的动态流检测技术(非规则漏洞检测、异常点检测、进程级网端检测、异常行为利用、多阶段攻击等APT场景检测点等)。
▲深信服态势感知平台SIP勒索专项检测页面
利用AI 2.0和UEBA2.0技术(涵盖13类攻击类别以及400+算法模型)进行综合分析,能够精准的识别不同的勒索软件家族,并通过专业分析识别出勒索病毒感染行为和加密特征,同时通过可视化界面为用户展示内网整体安全状况,第一时间发现内网横向扫描、病毒扩散、非法外联等勒索病毒行为,全面分析新型勒索病毒的攻击面及其影响范围,帮助用户在勒索病毒大面积感染前及时发现。
3、在告警环节,利用微信告警通知用户,紧急事件会在2分钟内发出,其他事件在告警策略--高级选项--告警频率处所设定的时间内发出。同类事件每日推送三次,超过三次不再推送告警提醒。每日8:00--22:00进行告警推送,其余时间段不主动推送任何消息。
四、处置层面
包括三个环节,即联动响应、自动化响应、应急处置。
1、在联动响应环节,包括联动封锁、访问控制、一键查杀、进程取证、快照备份,并且可根据用户的需要,自由组合多项措施进行处置。
具体而言,当深信服SIP、AF在实时监测到勒索攻击事件后,基于主机实体行为分析引擎EBA、联动EDR快速定位出全网失陷主机,执行联动封堵,如禁止主机对外访问、清除病毒文件。
此外,深信服 EDR 还可对主机访问的恶意域名进行取证,定位访问该域名的子进程、父进程的详细信息。
此外,深信服“人机共智”MSS安全运营服务为用户提供勒索病毒预防与响应专项场景服务,服务专家基于安全运营中心百余项勒索病毒Checklist,定期开展风险排查,并协助用户加固;安全运营中心 7*24H持续监测确保第一时间发现勒索攻击、感染、传播行为,第一时间为用户精准预警,服务专家在线5分钟响应,高效闭环勒索病毒事件。
2、在自动化响应环节,针对勒索事件,配置自动响应策略,当SIP检测到勒索事件时,自动根据响应策略,执行封堵,如联动AF封锁该目标主机、联动EDR禁止主机对外访问、联动EDR清除病毒文件。
3、在应急处置环节,又细分为四个环节,即准备、检测&分析、遏制&消除&恢复、总结优化。
在准备环节,准备勒索病毒事件分析处理所需的资源,如通信保障、人员配合、工具等;
在检测&分析环节,通过查看系统日志、杀毒软件告警日志等对勒索攻击事件进行检测分析,并报告用户安全管理人员;
在遏制&消除&恢复环节,深信服分布式存储 EDS 尝试遏制勒索病毒软件,限制其影响或范围,同时收集证据、执行根本原因分析。在根因分析完毕后快速采取措施进行根除,帮助用户恢复业务正常运转;
在修复完成后,同用户一起回顾事件过程,对事件原因、处置过程等进行复盘,总结经验,并输出事件报告。
综上,深信服认为只有通过拦截、查杀、监测、处置四个阶段对勒索病毒进行精准、快速的闭环处置,才能构建整体的勒索病毒免疫力。
如您对深信服勒索防护方案感兴趣
可扫描下方二维码了解详情