公司

首頁 > 關(guān)于我們 > 安恒動態(tài) > 2022 > 正文

勒索病毒來勢洶洶，看安恒EDR四招破解

閱讀量：次

近日，國際貨運巨頭Expedit or s 遭遇疑似勒索軟件攻擊，Expedit or s公司官網(wǎng)在當(dāng)天中午發(fā)布公告，稱由于遭遇針對性網(wǎng)絡(luò)攻擊，被迫關(guān)停全球業(yè)務(wù)系統(tǒng)。雖然目前沒有具體公布此次網(wǎng)絡(luò)攻擊的類型，但從相關(guān)描述和國外各家媒體提供的線索來看，這極有可能是一起大規(guī)模的惡意勒索事件。

該事件對Expedit or s公司影響巨大，貨運、海關(guān)與配送等業(yè)務(wù)面臨停擺；Expedit or s公司表示：這是一次“可能對公司業(yè)務(wù)、收入、運營能力和商業(yè)聲譽造成嚴(yán)重負(fù)面影響”的重大事件。

勒索病毒作為目前最具有破壞力的惡意軟件之一，2021年達到爆發(fā)高峰，據(jù)數(shù)據(jù)統(tǒng)計，全網(wǎng)勒索攻擊總次數(shù)高達2234萬+，平均贖金從2020年的 400,000 美元提高到 800,000 美元，影響面從企業(yè)業(yè)務(wù)到關(guān)鍵基礎(chǔ)設(shè)施，從業(yè)務(wù)數(shù)據(jù)安全到國家安全與社會穩(wěn)定，勒索病毒已經(jīng)成為了網(wǎng)絡(luò)安全領(lǐng)域的一塊“頑疾”。同時，隨著Apache Log4j2漏洞等全球網(wǎng)絡(luò)安全事件頻發(fā)，網(wǎng)絡(luò)攻擊的強度和破壞性都到達頂峰。

近年，大規(guī)模勒索病毒事件頻發(fā)，隨著勒索病毒的不斷發(fā)展、“變種”，如今的勒索產(chǎn)業(yè)鏈已經(jīng)非常完善，變得更加難以防御。接下來讓我們詳細(xì)剖析勒索病毒的入侵過程，分析怎樣才能有效防御勒索病毒。

信息收集? 尋找攻擊點

攻擊者為了尋找攻擊點，首先會搜集目標(biāo)資產(chǎn)的系統(tǒng)信息、組件、漏洞等信息，攻擊者通過漏洞掃描、網(wǎng)絡(luò)嗅探等方式，發(fā)現(xiàn)攻擊目標(biāo)網(wǎng)絡(luò)和系統(tǒng)存在的安全隱患，找到或形成攻擊的突破口。
如何在事前對攻擊者的探測與入侵進行有效防護？

安恒EDR具備防端口掃描功能，實時檢查入站連接并阻斷對本機端口的惡意探測, 防止攻擊者進行掃描和嗅探，導(dǎo)致敏感信息泄露。

安恒EDR能夠幫助用戶清晰梳理資產(chǎn)，發(fā)現(xiàn)資產(chǎn)的薄弱點，進行針對性加固，不給攻擊者“可乘之機”。通過利用基線安全檢查與勒索風(fēng)險專項評估能力，對系統(tǒng)的弱口令、威脅文件、風(fēng)險賬號、錯誤配置等進行專業(yè)評估、針對系統(tǒng)的薄弱點進行快速修復(fù)，防止被攻擊者利用。

入侵主機持久化攻擊

找到資產(chǎn)的暴露面以及脆弱性之后，攻擊者往往發(fā)送帶有附件的釣魚郵件，引誘點擊并借機執(zhí)行惡意程序完成滲透；或針對存在漏洞風(fēng)險系統(tǒng)，嘗試遠程攻擊后提權(quán)；從而攻陷暴露的內(nèi)部資產(chǎn)，并且留下后門實現(xiàn)持久化的控制，完成探測->掃描->漏洞利用->主機攻陷->遠程控制的攻擊鏈。如何防止攻擊者入侵主機并阻斷遠控持久化控制？

主動防御要前置，EDR三大核心能力，將勒索病毒拒之門外：

?主動防御能力：針對惡意的程序及文件進行檢測和發(fā)現(xiàn)，并進行自動化響應(yīng)

?暴力破解防護能力：能夠?qū)ο到y(tǒng)登錄行為進行合理限制，防止賬號被爆破，導(dǎo)致攻擊者提權(quán)，從而繞過主機防護

?違規(guī)外聯(lián)防護能力：檢測主機直接連通互聯(lián)網(wǎng)或通過其他設(shè)備訪問互聯(lián)網(wǎng)，有效發(fā)現(xiàn)并阻斷惡意外聯(lián)的行為

防護加固正當(dāng)時，安恒EDR兩大防護功能，讓主機安全固若磐石：

?防單機擴展：針對本機的擴展行為進行監(jiān)測，防止提權(quán)行為

?防遠控持久化：對失陷后主機遠控持久化行為進行檢測，并可阻斷遠控

橫向滲透擴大攻擊面

當(dāng)攻擊者通過漏洞利用或是釣魚郵件、網(wǎng)頁掛馬等攻擊方式攻陷目標(biāo)系統(tǒng)個別資產(chǎn)后，一般不會立刻投放勒索病毒。因為這樣制造的破壞非常有限，攻擊者的目標(biāo)是進行一次致命打擊，加密或竊取企業(yè)的核心業(yè)務(wù)數(shù)據(jù)，迫使企業(yè)支持巨額贖金。所以攻擊者會在成功控制個別資產(chǎn)后，再嘗試一切可能的方式進行橫向擴散，盡可能去控制更多資產(chǎn)或核心資產(chǎn)。
攻擊者會利用已失陷的資產(chǎn)對其他資產(chǎn)進行掃描滲透，以失陷的資產(chǎn)作為跳板對當(dāng)前網(wǎng)段進行感染，擴大攻擊面。一旦通過445端口、3389端口連接成功，則會嘗試通過漏洞利用進行感染，以控制盡可能多的網(wǎng)絡(luò)資產(chǎn)。如何有效切斷攻擊者攻擊途徑，阻止攻擊者進行滲透呢？

安恒EDR通過防內(nèi)網(wǎng)探測功能對內(nèi)網(wǎng)的惡意攻擊行為進行識別，阻斷攻擊者對內(nèi)網(wǎng)的橫向滲透。并基于業(yè)務(wù)隔離的策略劃分特定的網(wǎng)絡(luò)域，防止威脅在內(nèi)網(wǎng)擴散；搭載一鍵關(guān)閉高危端口，一鍵封鎖威脅IP等應(yīng)急策略，防止“威脅串網(wǎng)”維持整個網(wǎng)絡(luò)環(huán)境穩(wěn)定。

植入勒索病毒 ?迅速擴散

勒索病毒植入后，會遍歷本地目錄，使用RSA、AES 等多種加密算法對本地文件的進行加密操作，同時根據(jù)攻擊目標(biāo)類型，回傳發(fā)現(xiàn)的敏感、重要的文件和數(shù)據(jù)，便于對攻擊目標(biāo)進行勒索。攻擊者通過加載勒索信息，脅迫攻擊目標(biāo)支付勒索贖金。
如何有效切斷勒索病毒加密行為，保護核心業(yè)務(wù)文件？

交給安恒EDR專利級勒索病毒防護引擎：及時發(fā)現(xiàn)并阻斷勒索病毒的啟動，準(zhǔn)確高效地實時保護用戶關(guān)鍵業(yè)務(wù)數(shù)據(jù)及服務(wù)。

?勒索行為防護引擎：通過分析海量的勒索軟件樣本及病毒家族特性，總結(jié)了樣本具有的共性特征形成了引擎行為知識庫，通過系統(tǒng)API級別分析，高效抵御未知勒索病毒。

?勒索防護誘餌引擎：針對勒索病毒遍歷文件實施加密的特點，在終端關(guān)鍵目錄下放置誘餌文件，當(dāng)有勒索病毒嘗試加密誘餌文件時及時精準(zhǔn)中止惡意進程，阻止勒索病毒的進一步加密和擴散。

?文件保險柜：安恒EDR添加訪問控制策略，對重要文件或目錄進行訪問權(quán)限控制，僅允許配置的例外進程操作，根本上杜絕勒索病毒，根本上保護業(yè)務(wù)數(shù)據(jù)安全。

在對勒索病毒入侵的這四步中如果系統(tǒng)沒有形成針對性防御的話，攻擊者在這四個步驟中就會形成完整的勒索攻擊鏈：入侵->滲透->擴散->勒索，將一舉癱瘓目標(biāo)網(wǎng)絡(luò)并實施勒索。安恒EDR能夠幫助用戶打造全流程閉環(huán)的勒索病毒防護體系，對勒索病毒入侵的各個階段實施全面防護，徹底解決用戶的后顧之憂，全方位保障用戶數(shù)據(jù)安全。

關(guān)閉

AI+安全>

數(shù)據(jù)安全>

數(shù)據(jù)基礎(chǔ)設(shè)施>

態(tài)勢感知>

云安全>

基礎(chǔ)安全>

終端安全>

商用密碼>

軟件供應(yīng)鏈安全>

網(wǎng)絡(luò)空間靶場>

工業(yè)互聯(lián)網(wǎng)安全>