最近,俄羅斯黑客 Darkside 搞了件大事。
這家去年8月才出道的“黑客新人”攻擊了美國最大成品油管道運營公司,直接導致美國東海岸8800公里汽油輸送“大動脈”癱瘓,首都華盛頓和東部17州均受到嚴重影響,汽油期貨直接飆升至三年新高。據最新消息,該公司聲稱業務已恢復。
不過,據最新消息,5月13日,美國成品油管道運營公司為此向黑客支付了500萬美元的贖金。
哪些行業會是勒索攻擊的高發地區?
根據深信服千里目安全實驗室發布的《2020勒索病毒年度報告》可知,如今網絡攻擊種類繁多,其中最令人恐懼的網絡攻擊之一便是勒索軟件(勒索病毒攻擊以防為主,目前大部分勒索病毒加密后的文件都無法解密)——通過加密主機數據文件從而勒索贖金的病毒程序。
▲各行業勒索病毒感染分布(圖源深信服千里目實驗室《2020年度勒索病毒報告》)
從行業來看,政企單位、科研教育、政府遭受的勒索攻擊最多,總占比接近3/4;由于這些行業的業務對數據文件依賴較大,安全防護薄弱,系統設施脆弱等因素,極易成為勒索病毒的主要攻擊目標。
因此,深信服認為有必要提供一個真實有效的安全解決方案,給予各行業一個清晰的防護思路,避免在遭遇勒索攻擊時造成無法挽回的損失。
打造一個全流程閉環的勒索防護解決方案迫在眉睫
深信服基于近1000個用戶的最佳實踐總結出勒索病毒的防護思路:在云網端的多層架構下,針對勒索病毒在突破邊界、病毒投放、加密勒索、橫向傳播等各個環節,實現實時攔截、快速查殺、多重監測和有效處置,為客戶提供全方位的勒索防護能力。
在勒索病毒防護方面,深信服已有一套完整的安全解決方案。
▲勒索防護方案思路
具體而言,這套安全解決方案包含四個層次,即攔截——查殺——監測——閉環處置。
一、攔截
攔截能力覆蓋發起勒索攻擊時和被勒索攻陷后,又細分為五個環節,即勒索預防、勒索專項防護、慢速爆破防御、RDP 登錄二次攔截、進程控制。
1、在勒索預防環節,為確保終端安全性,必須安裝殺毒軟件、修復操作系統安全漏洞才能接入網絡,減少終端中勒索病毒的風險,可采用網絡準入類產品,如深信服全網行為管理AC(以下簡稱深信服AC)建立終端入網安全基線。
2、在勒索專項防護環節,由于漏洞修復成本極高導致內網遺留大量未修復漏洞,給攻擊者預留了潛在的漏洞利用攻擊機會,故需采用有效識別漏洞且維護便捷方式,業內常以網絡串接防護設備,如采用深信服下一代防火墻(以下簡稱深信服AF)內置 8000+漏洞特征庫,并基于攻擊泛化的漏洞覆蓋技術,從漏洞共性攻擊與利用方式,打造具備泛化能力的漏洞語法檢測引擎,同時通過云端全球共享情報5分鐘完成同步,漏洞攻擊有效攔截率 98.7%。
而針對勒索擴散行為,需快速縮小范圍,隔離問題主機,可通過深信服終端檢測響應平臺(以下簡稱深信服EDR)則利用無文件攻擊防護和勒索誘餌防護對勒索病毒進行實時掃描監測,防止病毒進一步加密擴散。
3、在慢速爆破防御環節:目前大部分勒索病毒為繞過各系統自帶或安全設備的閾值破解防護,使用慢速爆破難以被安全設備檢測的方式,這也是很多用戶使用傳統的IPS或防火墻仍中勒索病毒的原因。
對此,深信服AF自研口令暴破深度檢測引擎,基于多時間窗口尺度異常登錄檢測和精細化日志審計分析算法結合,并通過多種特征綜合判定登錄成功或失敗的狀態,突破加密流量暴破、慢速/分布式暴破的檢測盲區,跳出解密困局,檢測率高達95%。
4、在 RDP 登錄二次攔截環節:RDP 爆破作為唯一或者主流的感染方式,先通過釣魚郵件/釣魚網站/漏洞利用等,再 RDP 爆破,或者直接 RDP 爆破。
典型代表:LockCrypt、 Crysis 、Planetary、GlobeImposter 等,主要利用了遠程桌面協議 RDP 應用的廣泛性以及攻破后使用上的便捷性。
需針對遠程訪問服務器的行為進行二次密碼驗證,防止黑客遠程登錄服務器進行勒索病毒投放,減輕服務器資產損失的風險,可采用終端安全平臺,如深信服EDR。
5、在進程控制環節:由于勒索形成前會利用系統進程進行偽裝,故需針對服務器全系統進程進行可信識別與控制,如通過通過深信服EDR可信進程的加固防護技術,以進程學習、手動導入的可信進程的防護策略,阻止非可信的勒索進程運行與破壞可信進程。
二、查殺層面
預防之后,最重要的是要對勒索病毒保持時刻警惕,經常查殺。包含兩個環節,即檢測和查殺環節。
隨著 AI 技術的誕生以及物聯網應用的普及,勒索軟件呈爆發式增長,據統計每14秒就會發生一次勒索攻擊事件。因此,勒索病毒的種類也越來越多,單純的檢測方法無法完全檢測。
1、在檢測環節,深信服 EDR 引入了5層多維度漏斗型檢測框架,通過文件信譽檢測引擎、基因特征引擎、人工智能引擎、行為檢測引擎、云腦引擎五個維度檢測勒索病毒。
2、在查殺環節,深信服 EDR 基于文件信譽引擎將病毒文件的md5特征值進行全網通報;也可針對md5特征,主動進行全網威脅定位,從而在全網進行圍剿式查殺。
與此同時,配合深信服下一代防火墻采用流模式和啟發式文件掃描技術,對 HTTP、 SMTP、 POP3、 IMAP、 FTP、 SMB 等多種協議類型的近百萬種病毒進行查殺,以及可對多線程并發、深層次壓縮文件等進行有效控制和查殺。
此外,還可利用人工智能引擎通過對數億維的原始特征進行分析和綜合,強大泛化能力,大幅提升對變種、未知勒索威脅的檢出及查殺效果。
三、監測層面
查殺之后要做的工作時監測勒索病毒的活動路徑。主要包含監測和告警兩個環節。
在監測環節又細分為 C&C 非法通信檢測、流量行為監測、攻擊鏈監測、勒索誘捕監測。
由于病毒變種數量多,傳統監測方式難免會存在漏網之魚。
1、在勒索主機進行 C&C非法 通信時,常以動態域名進行隱藏,深信服 AF 創新引入 DGA 動態域名、DNS 隱蔽隧道等檢測技術識別惡意連接。
2、在流量行為監測方面,則主要基于深信服安全感知平臺SIP(以下簡稱深信服SIP)內置的勒索專項檢測系統,采用業界獨創的動態流檢測技術(非規則漏洞檢測、異常點檢測、進程級網端檢測、異常行為利用、多階段攻擊等APT場景檢測點等)。
▲深信服態勢感知平臺SIP勒索專項檢測頁面
利用AI 2.0和UEBA2.0技術(涵蓋13類攻擊類別以及400+算法模型)進行綜合分析,能夠精準的識別不同的勒索軟件家族,并通過專業分析識別出勒索病毒感染行為和加密特征,同時通過可視化界面為用戶展示內網整體安全狀況,第一時間發現內網橫向掃描、病毒擴散、非法外聯等勒索病毒行為,全面分析新型勒索病毒的攻擊面及其影響范圍,幫助用戶在勒索病毒大面積感染前及時發現。
3、在告警環節,利用微信告警通知用戶,緊急事件會在2分鐘內發出,其他事件在告警策略--高級選項--告警頻率處所設定的時間內發出。同類事件每日推送三次,超過三次不再推送告警提醒。每日8:00--22:00進行告警推送,其余時間段不主動推送任何消息。
四、處置層面
包括三個環節,即聯動響應、自動化響應、應急處置。
1、在聯動響應環節,包括聯動封鎖、訪問控制、一鍵查殺、進程取證、快照備份,并且可根據用戶的需要,自由組合多項措施進行處置。
具體而言,當深信服SIP、AF在實時監測到勒索攻擊事件后,基于主機實體行為分析引擎EBA、聯動EDR快速定位出全網失陷主機,執行聯動封堵,如禁止主機對外訪問、清除病毒文件。
此外,深信服 EDR 還可對主機訪問的惡意域名進行取證,定位訪問該域名的子進程、父進程的詳細信息。
此外,深信服“人機共智”MSS安全運營服務為用戶提供勒索病毒預防與響應專項場景服務,服務專家基于安全運營中心百余項勒索病毒Checklist,定期開展風險排查,并協助用戶加固;安全運營中心 7*24H持續監測確保第一時間發現勒索攻擊、感染、傳播行為,第一時間為用戶精準預警,服務專家在線5分鐘響應,高效閉環勒索病毒事件。
2、在自動化響應環節,針對勒索事件,配置自動響應策略,當SIP檢測到勒索事件時,自動根據響應策略,執行封堵,如聯動AF封鎖該目標主機、聯動EDR禁止主機對外訪問、聯動EDR清除病毒文件。
3、在應急處置環節,又細分為四個環節,即準備、檢測&分析、遏制&消除&恢復、總結優化。
在準備環節,準備勒索病毒事件分析處理所需的資源,如通信保障、人員配合、工具等;
在檢測&分析環節,通過查看系統日志、殺毒軟件告警日志等對勒索攻擊事件進行檢測分析,并報告用戶安全管理人員;
在遏制&消除&恢復環節,深信服分布式存儲 EDS 嘗試遏制勒索病毒軟件,限制其影響或范圍,同時收集證據、執行根本原因分析。在根因分析完畢后快速采取措施進行根除,幫助用戶恢復業務正常運轉;
在修復完成后,同用戶一起回顧事件過程,對事件原因、處置過程等進行復盤,總結經驗,并輸出事件報告。
綜上,深信服認為只有通過攔截、查殺、監測、處置四個階段對勒索病毒進行精準、快速的閉環處置,才能構建整體的勒索病毒免疫力。