勒索病毒已成當前網絡安全的主要危害 勒索病毒最早可追溯到1989年,隨著互聯網技術的不斷發展。眾所周知,2017年爆發的勒索病毒WannaCry“永恒之藍”在世界范圍內爆發,僅僅一天的時間就有242.3萬個IP地址遭受該病毒攻擊,近3.5萬個IP地址被該勒索軟件感染,其中我國境內受影響IP約1.8萬個。高校、醫院、政府、企業等單位為主的網絡大范圍癱瘓。臺灣、北京、上海、江蘇、天津等地成為受災重區。隨后,在移動端發現大量“WannaCry”勒索病毒變種。近年來勒索病毒仍在持續演變,索軟件不斷擴大的市場規模催生了新的盈利模式,同時出現了大量以售賣勒索軟件為主要營生的黑灰產業,現已公認勒索病毒是危害全球網絡安全的最主要因素之一。2022年國內勒索安全大事件如下: 重慶某醫院服務器感染Phobos勒索軟件 廣東某企業多臺主機同時感染Hive和Buran勒索軟件 浙江某運營商遭TellYouThePass勒索病毒攻擊 浙江某企業遭Mallox勒索病毒攻擊 浙江某高校辦公終端感染Coffee勒索軟件 安徽省某企業服務器感染TellYouThePass勒索軟件 廣東省某企業多臺服務器感染Phobos勒索軟件 微軟Exchange服務器被攻擊用于部署Cuba勒索軟件 深圳某醫療行業單位辦公終端感染TargetCompany勒索軟件 勒索病毒感染特性 1.中毒癥狀明顯 受感染電腦將被病毒鎖定,電腦中包括照片、文檔、音視頻在內的幾乎所有文件將被加密,并彈出一個警告界面,大致意思是,你的文件已經被鎖,如果想解除,那么需要你支付比特幣可解鎖,否則7天后將永久無法恢復。 2.傳播方式多樣 【RDP爆破】黑客可采用RDP爆破內網中某一臺終端,成功獲取該主機的控制權;然后散播勒索病毒。 【垃圾郵件】向目標用戶郵箱廣播發送垃圾郵件,附加惡意鏈接或郵件附件,用戶通過word宏等加載powershell加載。 【網站掛馬】感染相關網站,讓訪問用戶下載捆綁有惡意程序的軟件。 【漏洞攻擊】利用操作系統或應用軟件等漏洞,通過無文件方式powershell、JS、VBS等腳本釋放加載。 【惡意下載器下載】通過系統激活工具等常見流行工具中內置的下載器下載勒索病毒并傳播。 【U盤感染】U盤隨意使用,內外網混用等,易于傳播病毒。 3.病毒變種頻繁 自勒索病毒爆發至今,圍繞TargetCompany、Phobos、TellYouThePass、BadRabbit、GlobeImposter等10多個典型病毒家族,至少已衍生上百種勒索病毒變種,并在病毒產業化的誘導下,繼續以驚人的速度衍生新的變種。 4.加密算法難解 在大多數的感染勒索病毒案例中,想恢復被加密的數據是非常非常困難的。由于大多數加密的密鑰基本上都采用了非對稱的算法,使用公鑰加密,私鑰解密,根本不可逆向解密,必須拿到攻擊者手中對應的解密私鑰才有可能無損還原被加密文件。黑客正是通過這樣的行為向受害用戶勒索高昂的贖金,這些贖金必須通過數字貨幣支付,一般無法溯源,因此危害巨大。 勒索病毒攻擊過程分析 所謂知己知彼,方能百戰不殆。想要做好勒索病毒防范首先需了解勒索病毒攻擊全過程。通過與絕大多數勒索病毒的常見攻擊方式相比,可將勒索病毒的攻擊行為簡化為5個階段: 第一階段-偵查目標:偵查目標,充分利用社會工程學了解目標網絡。 第二階段-傳送工具:主要是指制作定向攻擊工具,利用包括含有惡意代碼的垃圾郵件、網站掛馬、惡意腳本等方式,將勒索病毒輸送到目標系統中。 第三階段-觸發病毒:在目標系統中,觸發勒索病毒執行。 第四階段-執行加密:勒索病毒執行加密行為,加密系統中的照片、文檔、視頻等信息資源。 第五階段-橫向轉移:勒索病毒潛入內網并將其作為跳板,肆無忌憚的在內部橫向流竄,對企業造成極大的安全威脅。 北信源EDR一站式勒索防護方案 北信源作為國內終端安全領軍企業,憑借多年終端安全經驗,全新打造北信源主機安全檢測響應系統(EDR)安全產品。通過對多種勒索傳播事件分析,形成專項勒索解決方案,一站式解決用戶困境,形成勒索病毒防護閉環。其中包括對勒索病毒的風險識別能力、安全防御能力、安全檢測能力、安全響應能力,最終實現風險可視化、防御主動化、響應自動化的安全目標,全方位保障用戶的業務安全。 1.減少暴露面 在勒索攻擊發生前,需要整體梳理、實時定位內網風險,減少暴露面,全面防護端口掃描、漏洞利用、暴力破解等多種攻擊手段,阻止病毒病毒進入內網。 【提升口令安全性】 北信源EDR對終端的密碼管理權限變化及使用狀況(包括密碼長度、安全性、弱口令等方面)進行安全檢查及報警,同時對不符合要求的終端進行提示或強制修改,能夠防止弱口令出現。 【高危漏洞檢測與修復】 北信源EDR為用戶提供強大的漏洞檢測、補丁分發等安全功能。用戶可全面檢測終端補丁的安裝狀況,并對沒有安裝補丁的設備進行遠程補丁安裝,可將最新補丁升級包及時分發到終端計算機,并提示安裝修補,防止勒索病毒通過漏洞入侵系統。 【關閉高危端口】 北信源EDR提供高危端口檢測能力,幫助用戶時刻關注自身主機對外開放的端口情況,避免一些高危端口開放。 2.已知勒索主動出擊 明確資產潛在脆弱性,并對其不斷修繕,是勒索病毒防護的第一道屏障,在此基礎上北信源EDR更進了一步,能夠對勒索病毒主動出擊。 【勒索病毒專項查殺】 北信源EDR搭載反勒索殺毒引擎,對勒索行為進行分析和預判,發現勒索病毒后第一時間攔截勒索軟件對文件的加密和破壞行為,保護數據安全,同時反勒索殺毒引擎為用戶建立文件墻,保護重要文件不被篡改和破壞,做到事中防護。 【勒索病毒主動防護】 結合勒索病毒行為特征,北信源EDR在客戶端內置針對勒索病毒的檢測分析模型,基于人工智能引擎,可實時發現并中止勒索病毒行為。 【阻斷橫向移動途徑】 經過層層防御可能也無法絕對避免勒索病毒的感染,北信源EDR設置有微隔離功能,可對不同業務系統、不同部門、不同角色、不同終端進行細粒度的安全隔離與訪問控制,以防勒索病毒進入內網后進行擴散,將勒索病毒可能造成的危害最小化。 3.疑似勒索精準定位 北信源EDR內置大數據分析平臺,可采集終端進程動態、網絡訪問記錄、注冊表修改、DNS請求等多維度信息,結合ATT&CK技術框架對終端發生的高危行為快速關聯識別。針對未知的勒索病毒,行為分析既可以對漏洞利用、遠程控制等不觸發殺毒軟件的攻擊方法進行研判,又可以對勒索病毒落地后的行為進行分析,能夠第一時間發現病毒落地后的危險行為并進行追蹤。 【IOC威脅情報】 北信源EDR內置千萬數據量級威脅情報庫,結合終端實時上報的文件、網絡、進程等采集點信息,實現外部情報與本地行為信息的命中匹配,對勒索病毒快速精準定位并進行威脅溯源和線索擴展; 【勒索病毒誘餌】 通過在內網資產操作系統的關鍵目錄中插入誘餌文件,捕獲勒索病毒加密行為,一旦發現誘餌文件發生被加密操作,立即反向定位勒索病毒進程,并進行終端告警、中止該進程; 4.勒索行為立體溯源 采用大數據分析架構,通過采集終端進程信息、文件操作日志、內網安全流量等數據進行融合聯動分析,輔助用戶對安全風險、勒索事件精準定位,發現網內失陷主機并進行反向溯源,找尋威脅的來龍去脈,讓勒索病毒無處遁形。 5.應急響應處置聯動 北信源EDR提供應急響應模型,當平臺發現內網終端有疑似勒索行為時,可將攻擊過程立體展現,輔助用戶進行威脅追蹤。平臺內置多種響應能力,包括核心位置防御、虛擬補丁、惡意行為阻斷、勒索病毒誘捕、黑客入侵攔截等。供用戶在發現勒索病毒入侵后,在各階段進行響應處置。 目前,北信源EDR已經通過了中國信通院的測評,是第一批入圍的廠家。未來,北信源還將不斷探索維護網絡信息安全的有效措施,共同為國家互聯網安全提供有力支撐。 數字化轉型時代 北信源完善布局 提供更安全、智能、便捷的產品及服務 北信源作為國內終端安全管理領域龍頭企業,國內網絡與信息安全領域領先的解決方案提供商,26年來持續深耕網絡安全領域,截至2021年年底,北信源已在全國近30個省市構建了營銷與服務網絡,目前已累計14年穩居中國終端安全管理市場占有率第一。憑借自身優秀的產品體系、強大的研發能力、完整的解決方案和良好的售后服務,北信源在全國范圍推進了客戶覆蓋,目前客戶群已涵蓋90%以上的政府和行業部門,為我國的數千萬終端提供智能、完善的安全服務。 近年來,為應對數字化轉型時代下網絡安全的新變化,北信源從終端殺毒、終端安全管控、數據安全向大數據安全、云安全、移動安全、工控安全、物聯網安全、智慧城市安全、國產化安全等方向全面拓展。去年9月,北信源正式入選第九屆CNCERT網絡安全應急服務支撐單位,為國家互聯網應急中心提供安全漏洞信息報送、網絡安全事件報送、重大安全事件響應、專項支撐、交流培訓等多個維度的應急服務支撐。同年,北信源率先參與加入“關鍵信息基礎設施安全保護風險治理框架體系”,并受邀入駐國家等級保護2.0與可信計算3.0攻關示范基地。此外,北信源接連與華為、金山辦公、中移集成、麒麟軟件等達成合作,融合眾多信創平臺構建完整生態鏈,合力打造信息技術應用創新體系,為行業客戶和城市客戶提供安全可信的軟硬件一體化解決方案,提供更加全面、靈活的網絡安全保障。 未來,公司將持續以網絡安全為基礎,以“信息安全及信創、移動辦公及安全通訊應用、智慧社區及健康醫療”三大格局作為依托,進一步完善和提升終端安全體系防護能力,為政府、重要行業及廣大互聯網用戶提供更安全、更智能、更便捷的產品和服務,為我國信息技術安全可控和互聯網安全發展提供更強勁的動力,為數字經濟保駕護航! 作者:趙勇
