一、 背景

2021年上半年，勒索病毒席捲美國，受害企業損失動輒數千萬美元。2021年，美國最大燃油管道商（Colonial Pipeline）、全球最大的肉製品生產商JBS、全球500強IT諮詢公司埃森哲等巨型企業先後遭遇勒索病毒攻擊。《2021年勒索攻擊特徵與趨勢研究白皮書》指出，大型企業和基礎設施成為攻擊重點，國內部分公共服務機構、企業曾因勒索攻擊導致服務全面中斷，勒索攻擊往往伴隨嚴重的資料洩露事件，被攻擊的企業還可能面臨與個人資訊保護法、資料安全法等相關的法律訴訟。

騰訊高階威脅檢測系統（御界NDR）由騰訊天幕PaaS提供底層安全算力驅動，透過映象網傳統IT環境、公有云、私有云、單雲、多雲以及混合雲架構並能更快絡邊界流量，結合海量安全資料，運用資料模型、安全模型、感知演算法模型識別各類網路攻擊及高階威脅（APT攻擊）。

御界NDR將勒索病毒相關風險透過“勒索病毒專題”進行場景化呈現，透過豐富的檢測手段與視覺化分析，為政企機構安全運維人員提供豐富直觀的一站式勒索病毒檢測管理平臺。

二、 勒索病毒入侵過程剖析

勒索病毒攻擊一般包括四步：入侵->擴散->竊密->勒索，騰訊安全團隊近年觀察發現，勒索團伙的攻擊手法已日趨APT化。即：攻擊者會採用任何可能的方式，對目標網路進行長期、持續性的探測入侵活動，透過內網橫向擴散逐步從單一節點到控制目標核心系統，先竊取高價值資料上傳，最後釋放加密元件一舉癱瘓目標網路實施勒索攻擊。

攻擊前期，嘗試探測投遞

攻擊者對目標系統的工作人員資訊、系統資產資訊、元件資訊進行詳盡的蒐集探測，以便進行下一步的攻擊武器投遞。攻擊者常常利用工作人員資訊傳送帶有惡意連結的釣魚郵件引誘內部人員點選並藉機執行惡意程式完成滲透；或是利用系統資產對外開放的網路服務漏洞（包括使用0day漏洞）進行攻擊嘗試，從而攻陷暴露的內部資產。

在攻擊者進行資訊蒐集，資產風險探測的過程中，去掃描可能存在漏洞的系統，掃描高危埠（如445、3389），嘗試投遞勒索病毒；或針對存在漏洞風險系統，嘗試遠端攻擊後提權。在此階段，攻擊者的主要行為包括：對低版本SMB協議掃描，SMB服務漏洞利用，以及可疑釣魚郵件連結訪問及下載操作。

嘗試探測入侵階段的所有操作往往需要與攻擊目標伺服器建立網路連線，完成掃描->漏洞利用->武器投遞的攻擊鏈，從而產生大量異常的SMB、RDP南北向流量。

橫向滲透，擴大攻擊面

當攻擊者透過漏洞利用或是釣魚郵件等社工方式，攻陷目標系統個別資產後，一般不會立刻投放勒索病毒。因為這樣製造的破壞太有限了，勒索病毒團伙的目標是一次致命打擊就迫使企業支援鉅額贖金。攻擊者會在成功控制個別資產後，再嘗試一切可能的方式進行橫向擴散，儘可能去控制更多資產或核心資產。

攻擊者會利用已失陷的資產對其他資產進行掃描滲透，比如掃描開放的SMB服務與RDP服務，以失陷的資產作為跳板對當前網段進行感染，擴大攻擊面。一旦透過445埠、3389埠連線成功，則會嘗試透過漏洞利用進行感染，以控制儘可能多的網路資產；

其次，勒索病毒感染後會透過網際網路與攻擊伺服器建立C&C連線，傳遞失陷資產的主機資訊，包括作業系統資訊、IP 地址、地理位置、訪問許可權以及加密金鑰。若攻擊者獲得域管理員許可權，會迅速透過遠端命令發起其他攻擊。這個階段攻擊者通常使用SMB服務埠445和RDP服務埠3389進行內網滲透，而使用標準埠 80 和 HTTP協議或埠 443 和 HTTPS 協議連線C&C伺服器，下載、執行遠端指令。至此攻擊者已經完成提權->橫向滲透->C&C連線的攻擊鏈，併產生大量異常的東西向SMB、RDP協議流量，以及HTTP(HTTPS)，或是協議隧道的南北向流量。

竊取企業機密資訊

攻擊者透過遍歷已控制的企業伺服器資料，將企業重要敏感資訊上傳到駭客控制的伺服器，此期間，會產生大量異常網路流量。

加密資料，實施勒索

最後一步，勒索病毒模組執行後，通常遍歷本地目錄，對本地檔案的進行加密操作。勒索病毒也會感染網路共享目錄。對網路共享檔案的讀寫操作，會產生異常SMB協議流量。

三、 御界NDR勒索病毒檢測方案

御界NDR可對勒索病毒攻擊面進行全面檢測響應

目前安全廠商針對勒索病毒的檢測，主要集中在主機側產品，比如主機安全產品、終端安全軟體等。但基於網路流量的威脅檢測和視覺化更加有利於安全運維團隊全面掌握安全現狀，對控制勒索病毒入侵發揮著重大作用。

從流量側進行勒索病毒攻擊檢測非常有利於還原事件全貌，有利於政企機構運維人員找到全網短板並採取針對性的加固措施。

透過網路流量檢測勒索病毒的優點：

1.檢測面廣

任何透過網路傳播或在網路上造成破壞性行為的勒索病毒都會在流量中產生痕跡，流量側能夠感知到勒索攻擊各個階段的流量資訊，檢測面更廣。

2.資料可信

勒索病毒攻擊過程中，存在惡意修改系統核心從而騙過主機側檔案一致性檢查的可能，流量特徵的後設資料特徵更可信，在勒索病毒已經感染的環境中，不易受勒索病毒製造的假象以及對抗策略等困擾。

3.更易溯源

隨著海量多樣化終端接入網路，主機側對勒索病毒溯源分析的工作量及難度將隨著裝置的接入規模與技術架構的異質化而增加。流量側可以宏觀感知到攻擊過程中系統裡受影響的資產，做到有跡可循，有證可查，非常有利於安全運維團隊綜合主機側、流量側威脅告警來追溯事件，根治網路安全短板。

4.更加輕量

流量側檢測更加輕量，只需在網路中映象流量到產品中即可快速有效定位風險。基於以上優勢，騰訊御界NDR安全團隊針對勒索病毒的通訊行為，加密手段，傳播方法等緯度進行深入的研究，聚焦真實場景下的客戶痛點，將御界NDR產品能力落地到“勒索病毒”專題場景，幫助客戶針對性進行威脅發現與提前預警。透過御界NDR的產品能力盡一切可能加強檢測和響應，將勒索病毒攻擊扼殺在實施加密攻擊之前。

御界NDR產品包含如下檢測手段：

• 勒索病毒指紋檢測：對已知勒索病毒的指紋進行檢測，御界NDR具備國際領先的專家知識庫，獲得國際權威機構評測認證，內建數千勒索病毒的指紋特徵；

• 沙箱檢測：御界NDR結合騰訊自研反病毒引擎TAV以及雲端大資料能力，依靠深度沙箱中的動態分析模組、靜態分析模組以及穩定高效的任務排程框架，實現自動化、智慧化、可定製化的樣本分析，對檔案進行準確的分析鑑定，並透過建設大規模分析叢集，沉澱了包括深度學習在內的多個高覆蓋率的惡意樣本檢測模型，精準高效地對現網中的挖勒索病毒進行打擊。

• 勒索病毒威脅情報能力：協同騰訊威脅情報系統，提供萬級的勒索病毒相關威脅情報資料，涵蓋惡意檔案Hash、惡意URL及C2地址等，可對已知勒索病毒或變種病毒精準檢測。

• 未知勒索病毒檢測：御界NDR基於SMB、RDP、SSH等網路協議進行深度解析，對檔案操作、資料傳輸、遠端訪問、外聯通訊等行為進行基線模型分析，具有極強的檢測泛化能力。

• 資產脆弱性以及暴露面梳理：以WannaCry 勒索病毒家族為例，該病毒利用微軟MS17-010漏洞與低版本的SMB元件進行傳播。NDR擁有深度協議解析能力，透過資產指紋識別技術分析資產暴露的埠資訊、服務資訊、作業系統資訊、SMB元件版本資訊等，可以在勒索病毒傳播發生前預警內網的高危資產。 

• 基於攻擊鏈追溯演算法的關聯分析檢測：以時間軸為主線，透過ATT&CK攻擊框架，將勒索病毒探測嘗試、橫向移動、實施勒索等不同階段的單點檢測結果進行關聯分析，包括進行IP匯聚、事件可信分級、訪問關係關聯分析等，基於攻擊鏈追溯演算法還原勒索病毒入侵的整個活動過程，從而進行攻擊追溯和繪製更準確的攻擊者畫像，最終將可信的勒索病毒相關威脅事件進行關聯展示。

四、 御界NDR針對勒索病毒檢測的五大優勢

1.  攻擊路徑完整呈現，全面感知勒索攻擊

御界NDR將勒索病毒的攻擊流程拆分為外部偵查、病毒投遞、內網偵查、橫向滲透、加密感染、C2外聯6個環節。透過勒索專題控制檯介面可全面掌握內網勒索病毒告警分佈，全面感知勒索病毒對內網資產的威脅程度，方便安全運維人員果斷採取措施阻止破壞。

2. 檢測手段多樣，對未知勒索病毒也可精準檢測。

御界NDR既包含已知勒索病毒的樣本特徵檢測，也能覆蓋未知勒索病毒檢測。對未知勒索病毒的檢測主要基於檔案共享後設資料進行，而不依賴病毒特徵庫，具備發現未知勒索病毒攻擊的能力。

3. 資產勒索風險披露，提前感知勒索威脅

勒索病毒爆發前都會基於資產進行脆弱性掃描，例如暴露的敏感埠，系統或者業務弱密碼，低版本或者未打補丁的系統等。御界NDR支援基於資產進行風險排查，對勒索病毒攻擊面進行梳理，幫助客戶提現資產脆弱性問題。可在勒索攻擊發生前提前感知威脅，有助於運維人員主動排查阻止破壞發生。

4. 勒索檢測覆蓋面廣

御界NDR目前已覆蓋支援超過1000種勒索病毒檢測和500多類勒索病毒贖金檔案的檢測，覆蓋Windows、Linux以及Mac平臺的勒索病毒檢測，覆蓋所有流行勒索病毒家族。

5. 支援一鍵處置勒索攻擊告警

騰訊NDR底層基於騰訊天幕PaaS的安全算力演算法能力，提供一鍵阻斷風險資產連線攻擊者C&C伺服器。在感知到勒索病毒事件時，運維團隊可以迅速果斷處置風險，阻止勒索病毒在內網擴散。

關於騰訊安全御界NDR團隊

騰訊安全御界NDR團隊以流量威脅檢測為核心，專注於打造對威脅攻擊檢測溯源阻斷一體式方案，全方位為不同行業企業及政府提供安全保障。目前騰訊NDR方案已在政務、金融、物流等多個行業成功應用。透過結合規則引擎、哈勃沙箱、威脅情報、AI演算法，由騰訊天幕PaaS安全算力演算法支撐，進行實時流量協議解析及威脅檢測、檔案還原和流量資訊儲存，能快速發現惡意攻擊和潛在未知威脅，並實時響應阻斷，為企業網路安全保駕護航。
目前，騰訊NDR進入Gartner NDR 2021增長報告，躋身成為國際先進廠商。未來，騰訊安全將進一步發揮自身在流量檢測溯源及阻斷上的優勢，協同生態夥伴一道共同促進安全產業規模化發展，更好地護航產業網際網路發展。