勒索軟體2.0時代,美創科技諾亞防勒索如何構建主動防禦體系?
導讀:經過多年變種演進,勒索軟體加密手段多元化、傳播媒介多樣化、勒索流程產業化,勒索軟體2.0時代呈現新的發展趨勢。如何構建主動安全防禦體系?美創諾亞防勒索系統從資產、入侵和風險三個視角出發,基於底層驅動技術,提供主動防禦,並結合底層防禦和安全保險,構建完整的安全防禦體系。
近日,美國最大成品油管道公司Colonial Pipeline因遭勒索攻擊,輸送業務被迫暫停。為了最大程度減輕輸油管道持續關閉帶來的影響,美國多州進入國家緊急狀態,放寬陸路石油運輸限制,以保障地方的燃油供應。數小時後,該公司支付了近500萬美元贖金,以期儘快恢復業務系統。
近年來,隨著網路和資訊科技的迅猛發展,大資料、雲端計算和移動網際網路的廣泛應用以及各類加密數字貨幣的持續火爆,勒索病毒迎來“大爆發”,給各行各業帶來巨大的威脅和恐慌,其已然成為全球網路安全的主要威脅之一。
勒索病毒行為技術的原理分析
為了方便大家對勒索病毒有一個全面、系統的認知,我們首先對勒索行為技術原理進行簡單分析,整體來說,一個勒索病毒至少包含3個不同的模組,分別應用於勒索過程的不同階段,攻擊模組,前勒索階段;加密模組,中勒索階段;勒索模組,後勒索階段。
1) 攻擊模組,前勒索階段
勒索病毒攻擊模組主要透過攜帶各類漏洞exploit、密碼字典等形式,對攻擊目標進行漏洞檢測以及服務口令爆po等。2020年起勒索病毒的攻擊手段全線“開花”,弱口令攻擊、橫向滲透、釣魚郵件、漏洞利用、網站掛馬、破解或啟用工具、殭屍網路、供應鏈攻擊等手段悉數登場。
2) 加密模組,中勒索階段
當攻擊模組成功獲取本地許可權後,加密模組將開始執行,透過公鑰加密或對稱金鑰加密等形式進行本地檔案加密操作。具有竊密行為的勒索病毒還會在該環節進行特定格式檔案竊取上傳。在該階段勒索病毒將對檔案造成真實損害,因故稱之為中勒索階段,勒索病毒執行加密模組後會加密特定型別的檔案,不同的勒索病毒會加密幾十到幾百種型別的檔案,基本都會包括常見的文件、圖片、資料庫檔案。
3) 勒索模組,後勒索階段
一旦勒索病毒加密完成,其往往將進行部分模組自毀,以防止自身加密邏輯或記憶體殘留資訊被利用於解密,並釋放勒索模組向受害者使用者提供勒索資訊,要求受害者使用者透過特定渠道支付贖金。在該階段,主要勒索過程均已完成,只剩餘提示勒索資訊,因故稱之為後勒索階段。同時具有二次投毒功能的勒索病毒在該環節還會根據當前作業系統植入不同型別的持久化後門渠道用於後續人工操作二次勒索或擴大攻擊面。
勒索軟體1.0時代加密讓資料無法使用
事實上,最早被記錄的勒索病毒可追溯到1989年-AIDS木馬,這款木馬的傳輸方式和加密手段包括支付贖金的方式都相對簡單,且無特定目標。17年後,另一款勒索軟體Archievus木馬釋出,這是首款使用非對稱加密的勒索軟體,Archievus木馬會將系統中“我的文件”裡面的所有檔案都加密,需要使用者從指定網站購買金鑰才可以解密檔案。
從2013年的CryptoLocker開始,駭客團伙開始利用比特幣作為贖金;2015年,全球首例安卓勒索軟體LockerPin出現,這也是第一款能真正重置(修改)手機PIN碼,永久鎖定裝置的惡意軟體。當時,LockerPin要求500美元才幫受害者解鎖。同年,勒索軟體即服務(RaaS)也開始出現。總的來說,從1989到2016十餘年間,勒索病毒攻擊事件僅零星發生,影響很小,並未形成規模。
勒索軟體2.0時代加密之上的手段多元化
經過多年變種演進,勒索病毒開始產業化發展,迅速催生出完整的勒索產業鏈,專業的勒索家族團伙開始做大。同時,勒索病毒開始不講武德,不再只是單純的加密資料,而且還會在網際網路上釋出被盜資料,並呈現出新的發展趨勢:
1) 雙重勒索成為新常態,不給錢就洩密。企業為應對勒索病毒攻擊,通常會採用多套備份方案,當遭遇勒索病毒加密系統時,一般會選擇自行恢復,拒絕繳納贖金。駭客團伙為避免勒索失敗,開始採取新的策略:先竊取敏感資料,之後再對企業資產進行加密。如果企業拒絕繳納贖金解密,就在暗網上公開企業部門敏感資料,如果企業依然拒絕繳納贖金,攻擊者就會直接公開所竊取的企業敏感資料,或將竊取的資料進行出售,進行二次獲利。
2) 傳播媒介開始多樣化,勒索病毒1.0時代,其主要透過釣魚郵件、網路共享檔案、惡意內部人員、社交網路、彈窗和可移動儲存介質等進行傳播,隨著駭客團伙不斷對其攻擊媒介進行改進,現在勒索病毒更多利用曝出的各種技術漏洞,以及人員的漏洞、魚叉式攻擊,或水坑攻擊等非常專業的駭客攻擊方式傳播,乃至透過軟體供應鏈傳播,都大大加大了入侵成功率和病毒影響面。同時勒索病毒開始引入持久化後門,進行後期人工後門入侵投毒的二次傷害情況
3) 定向攻擊特點愈發明顯,相比之前“廣撒網”,近年來針對性的攻開始井噴,勒索軟體團伙針對高價值的大型政企機構攻擊行為越來越頻繁。為了追求利益最大化,多數情況下,攻擊者並不滿足於加密企業內的一臺機器。攻擊者往往在攻陷企業一臺網路資產之後,會利用該資產持續滲透攻陷更多資產,之後大量植入檔案加密模組,從而迫使企業在系統大面積癱瘓的情況下繳納贖金。
4) 在勒索病毒2.0時代,出現了RaaS之上的橫向產業鏈合作,即在產業鏈同一維度中的勒索病毒團伙間開始了商業合作模式,彼此將勒索的使用者資料共享,共享相同的資料洩露服務渠道,多團伙多次向同一目標持續勒索等。
勒索軟體2.0時代防禦體系
當前,勒索病毒解決方案仍然以防毒軟體為主,但勒索病毒的變異特徵較為明顯,會透過更新/修改自身程式碼以繞過防毒軟體的查殺,因此,傳統以黑名單為主的勒索病毒防護產品需要頻繁地更新特徵庫,以適應病毒的變化,其被動防禦的缺陷已無法滿足政企使用者對勒索病毒防護的最新需求。
主動防護
美創科技透過對大量勒索軟體分析,發現勒索病毒無論如何變化,最終都需要修改檔案來達到加密目的,這其中包括讀取檔案、寫入檔案、刪除檔案、複製檔案等操作,美創諾亞防勒索系統從資產、入侵和風險三個視角出發,結合底層驅動技術,監控所有核心應用程式,基於多個認證因子實現核心可信應用程式判斷,對非認證授權範圍內的程式讀寫操作直接阻斷。
針對當前政企使用者複雜的防護場景,諾亞防勒索全面滿足文件、資料庫、啞終端等防護需求,適配相容包括Windows、Ubuntu、RedHat、CentOS、Oracle Linux等作業系統。
美創諾亞防勒索系統
1) 文件防勒索
針對員工PC、伺服器的文件進行防護,如:核心機密文件、日常辦公文件、高價值檔案、各類隱私文件。
2) 資料庫防勒索
針對Oracle、Sql Server、Mysql、DB2、DM、人大金倉、達夢、優炫等主流資料庫、國產資料庫,指定資料庫型別或新增資料庫可執行程式,允許只有資料庫本身才能對資料檔案進行修改等操作。
3) 啞終端防勒索
針對廣泛使用啞終端的關鍵性行業,如銀行的ATM機、加油站自助機、醫院自助查詢機等。在堡壘模式下,任何新的軟體都無法執行,勒索軟體執行失敗,從而無法破壞檔案。
底線防禦
資料備份與災難恢復,是針對勒索病毒攻擊事件進行風險規避的重要組成部分,美創科技執行安全業務聚焦使用者業務連續性和資料完整性,可提供資料級容災、資料複製、全業務容災、CDP災備一體機、災備集中管控等產品,透過離線備份、異地實時備份,以及建立異地容災站點等服務保證生產庫和備份庫分離,確保二者不被同時勒索,即使勒索後依然有資料可以恢復,最大程度減少對業務的影響。
安全保險
安全保險
網路勒索保險是低機率、高損失風險轉移的重要手段,美創科技為進一步消除廣大企業對勒索病毒入侵造成的損失,做好風險兜底,聯合國任保險、源堡科技公司,推出“網路勒索損失保險”風險解決方案,以 “勒索風險評估+諾亞防勒索防護+保險兜底”形式,幫助使用者有效轉嫁潛在的安全風險與經濟損失。
此外,購買勒索軟體防護保險也是一種有效的組織風險控制手段,如:承保前的風險評估;在保期間的風險預防管理,勒索威脅情報、意識培訓等,都能從一定程度提升組織對於潛在安全風險的識別能力、突發安全事件的應對能力和事後的恢復能力。
透過“諾亞防勒索+容災備份+勒索軟體防護保險”三位一體構建的勒索病毒防禦體系,可有效幫助各行業使用者有效降低潛在的安全風險與經濟損失,提高突發安全事件的應對能力。截止目前,美創科技已成功為醫療、政府、能源、物流交通等行業近百家客戶抵禦勒索病毒攻擊。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69973247/viewspace-2773071/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 美創諾亞防勒索系統助力合肥市財政局防範勒索病毒攻擊
- Incaseformat蠕蟲爆發,刪除磁碟檔案,美創諾亞防勒索可防禦!ORM
- 勒索病毒如何防禦?交科所聯合美創科技給出實踐方案
- 全面助力勒索軟體病毒防禦 銳捷有話要說
- 美創科技勒索病毒“零信任”防護和資料安全治理體系的探索實踐
- 勒索軟體攻擊猖狂,教你如何正確防範~
- 面對勒索軟體,該怎麼防範~
- 數千臺Linux主機被勒索,該如何打好防禦戰?Linux
- win10怎麼防禦勒索病毒_win10預防勒索病毒的方法Win10
- 【推薦】最常用的勒索軟體防護工具!
- CCTV:未知木馬防不勝防 主動防禦是防毒軟體發展方向防毒
- 恆訊科技分析:香港伺服器如何防禦勒索病毒的攻擊?伺服器
- 看直播,領報告 |《勒索軟體的認識與防禦指南》最新發布!
- 我國研發出勒索病毒防禦軟體:能阻止其破壞檔案
- 勒索病毒剋星 江民科技重磅釋出赤豹防勒索系統
- 用於預防勒索軟體的 DevSecOps 流程dev
- 應對勒索軟體,應採取哪些預防措施
- 盤一盤,勒索軟體的認知與防範
- 勒索軟體來襲考驗全球網路安防
- 1+2+3體系化防禦能力|綠盟科技定向勒索攻擊防護解決方案讓你不再"談虎色變"
- PaloAlto推出全新Traps高階終端功能,強化勒索軟體防禦優勢
- 醫療行業防禦勒索病毒的三原則 ——美創醫療資料安全11行業
- 網路安全守護錦囊丨醫療機構如何防禦勒索病毒?
- 上海貝嶺攜手亞信安全治理勒索郵件建設主動防護體系實現零感染率
- MedusaLocker勒索病毒Debug版本洩露,看我如何高效檢測防禦
- 勒索軟體屢禁不止 如何降低遭受勒索軟體攻擊的風險?
- 破解勒索軟體
- 醫療資訊化建設實踐丨雲安全賦能智慧醫院構建縱深、主動防禦體系
- 兩會代表:加強防範勒索軟體攻擊,提升國家網路空間安全防禦能力
- 軟體開發中,如何為你的程式碼構建三層防護體系
- 為什麼網路安全防禦無法抵禦勒索軟體?
- 勒索病毒防禦 運維安全管控 | 某菸草公司資料安全建設實踐運維
- 思科曹圖強:勒索軟體將打破安全防禦平衡
- 瓦解勒索病毒突襲,三大真實案例披露美創“諾亞”防毒之路防毒
- 如何應對勒索軟體的威脅
- 雙重預防體系建設和系統軟體開發
- 構建資料防洩露體系,防範敏感資料外洩
- 美創安全速遞|NETFILIM勒索軟體攻擊法國行動網路運營商