一、 勒索病毒的发展趋势
勒索病毒最早发现于1996年,经过多年的发展,已形成了勒索即服务(RaaS)的模式化新犯罪活动,其主要特点是从最初的单一、独立的攻击者转变为分工明确的攻击团队。2017年“WannaCry”勒索事件爆发,包括我国在内的全球100多个国家和地区均受到了巨大损失,也因此极大提高了大众对勒索病毒的重视程度。
虽然公众的安全意识有所提高,但勒索病毒依旧防不胜防,典型勒索事件频发。在“中招”勒索病毒后,攻击者索要的赎金正在逐步增加,而且支付赎金后的成功恢复概率极低。根据Sophos威胁报告显示,2019Q4的平均每次勒索赎金的金额约84,116.00美元,2020年Q3这个数字提升到233,817.30美元,增加了180%。2021年约有31%的组织在遭受勒索病毒后选择支付赎金,但仅8%的组织支付赎金后取回了数据。
勒索病毒正逐渐成为用户难以承受的危害。
二、 勒索病毒攻击链
正所谓“知己知彼百战不殆”,想要防护勒索病毒攻击,首先要了解它的攻击方式。勒索病毒攻击通常分为非定向攻击和定向攻击。顾名思义,非定向攻击是一种发散式传播勒索病毒的攻击,攻击能力一般主要针对中小企业和小型的政府单位。而定向攻击,接近APT攻击能力,通常伴随着7个攻击阶段,主要针对大型企业和重要的政府单位和设施。
三、 勒索病毒攻击渠道
四、 山石网科勒索病毒防护方案
1、山石智源勒索病毒防护
山石智源•智能安全运营系统是新一代全息数字驱动的AI分析运营系统,由分析平台与丰富探针共同构成,基于大数据分析与关联进行全网流量、日志、威胁检测分析,形成集全链条数据采集、流量实时分析、威胁事件分析、安全风险可视化、资产管理、溯源取证、联动处置的一款安全分析运营闭环平台,结合顶级威胁情报帮助用户把握全局安全态势,及时掌控安全威胁,提升安全管理效率,构建完善的态势感知防御体系。
山石智源•智能运营系统对勒索病毒防护的流程如下图所示:
资产梳理&基线检查:山石智源•智能运营系统可以主动探测内网中未纳入管理资产,帮助用户完成资产全面梳理;可自定义基线检查模板,完成资产基线检查,发现系统和软件漏洞、弱密码等潜在风险,完成系统安全加固。
Web防护&外设管控:山石智源•智能运营系统通过黑白名单系统实现对恶意网站及USB外设进行管理,支持webshell检测、网站后门检测、反弹shell检测等,能有效阻止勒索病毒入侵。
威胁分析:山石智源•智能运营系统从“全局情报匹配、典型进程加黑、命令特征分析、网络特征分析”四个维度实现针对勒索病毒的威胁分析,辅助用户实现分析研判。
事件溯源&证据收集:山石智源•智能运营系统可以提供完整的事件溯源信息,并生成关键证据信息辅助研判决策。
全自动/半自动联动响应:山石智源•智能运营系统支持定制剧本,全自动/半自动实现对勒索事件的自动响应,及时处置。
工单管理&流程跟踪:山石智源•智能运营系统工单系统可以实现事件的全流程闭环跟踪。
2、山石网科安全服务
山石网科安全服务提供风险评估、日志分析与安全加固服务,专业安服专家对安全策略进行调整,充分发挥安全设备的防护能力,另外提供应急响应服务,急客户之所急,解您所需。
风险评估服务:针对客户网络及安全环境内的系统、应用、网站及APP的安全防护能力进行综合评估,由专业工程师根据国家标准、行业标准及相关技术规范要求,采用多种评估方式,实现对安全风险的综合评估。
日志分析服务:由资深安服工程师对安全日志信息进行分析总结。
应急响应服务:为客户提供应急预案设计、安全事件应急响应及处置。通过国际广泛采用的PDCERF应急响应流程,协助客户有效对应安全突发事件(包括网络扫描事件、漏洞攻击事件、Web攻击事件、恶意病毒事件、挖矿程序事件、勒索病毒事件、网站挂马事件、数据篡改事件等)。
五、 客户价值
▪事前事中事后结合
在勒索软件事件发生之前,通过资产梳理、漏洞加固、端口管理等手段,提前规避勒索软件侵入的渠道。在检测到勒索/疑似勒索事件发生后,全自动化/半自动化的响应处置,如阻断相关主机,生成工单报送处置等。事件处理完毕后,可溯源本次事件发生区域、IP等因素,进一步做好防护管控,提供安全防护水平。
▪无接触快速上线
疫情防控背景下,推荐使用软件态势感知监测平台,无接触、快速上线。第一时间监测整网安全状况。
▪结果交付投入少
以“勒索”安全治理结果交付,相比购买硬件、软件设备投入费用、资源较少,又能快速解决安全难题。
附:勒索病毒中招急救4步:
1.隔离感染主机:隔离中勒索病毒的终端,断开所有网络连接并禁用网卡。
2.阻断传播路径:关闭局域网内其他终端的SMB,RDP端口,阻断异常的外联访问。
3.溯源分析:通过工具(探针或终端检测响应类)抓包分析。
4.杀毒修复漏洞:扫描杀毒,更新漏洞补丁,修改终端口令。