勒索病毒敲警钟,全球最大保险集团遭勒索
文 /深信服
据外媒报道,全球最大的保险集团法国某公司最近遭到了勒索软件病毒攻击,一个名为Avaddon勒索软件团伙宣称已经获得了该集团亚洲业务3TB的数据,其中包括客户的医疗报告、身份证复印件、付款记录等敏感信息。该集团在中国也有分部。该组织还对这家保险集团发起了数次DDoS拒绝服务攻击,导致网站无法正常为客户提供服务。
图片来源:BleepingComputer的报道
早前,网络上可以看到深信服千里目安全实验室已对该团伙进行了多次分析,于2020年对包括阿瓦顿(Avaddon)这个勒索软件本身和它的新变种,以及它的发展历程等等进行了详细分析。可点击查看技术分析:
最近黑客活动有愈演愈烈之势,前有美国成品油管道运营商被勒索,业务遭停摆,后有法国某保险集团被攻击,可导致敏感数据泄露,这也再一次给各个行业敲响了警钟,网络安全不容忽视。
打造一个全流程闭环的勒索防护解决方案迫在眉睫
那么面对这些愈发猖狂的勒索病毒,各行业应该怎么办呢?
深信服基于近1000个用户的最佳实践总结出勒索病毒的防护思路:在云网端的多层架构下,针对勒索病毒在突破边界、病毒投放、加密勒索、横向传播等各个环节,实现实时拦截、快速查杀、多重监测和有效处置,能为用户提供全方位的勒索防护能力。
来看看在勒索病毒防护方面,深信服的这套完整的安全解决方案。
勒索防护方案思路
具体而言,这套安全解决方案包含四个层次,即拦截——查杀——监测——闭环处置。
1.拦截
拦截能力覆盖发起勒索攻击时和被勒索攻陷后,又细分为五个环节,即勒索预防、勒索专项防护、慢速爆破防御、RDP登录二次拦截、进程控制。
(1)在勒索预防环节,为确保终端安全性,必须安装杀毒软件、修复操作系统安全漏洞才能接入网络,减少终端中勒索病毒的风险,可采用网络准入类产品,如深信服全网行为管理AC(以下简称深信服AC)建立终端入网安全基线。
(2)在勒索专项防护环节,由于漏洞修复成本极高导致内网遗留大量未修复漏洞,给攻击者预留了潜在的漏洞利用攻击机会,故需采用有效识别漏洞且维护便捷方式,业内常以网络串接防护设备,如采用深信服下一代防火墙(以下简称深信服AF)内置 “8000+”漏洞特征库,并基于攻击泛化的漏洞覆盖技术,从漏洞共性攻击与利用方式,打造具备泛化能力的漏洞语法检测引擎,同时通过云端全球共享情报5分钟完成同步,漏洞攻击有效拦截率 98.7%。
而针对勒索扩散行为,需快速缩小范围,隔离问题主机,可通过深信服终端检测响应平台(以下简称深信服EDR)利用无文件攻击防护和勒索诱饵防护对勒索病毒进行实时扫描监测,防止病毒进一步加密扩散。
(3)在慢速爆破防御环节,目前大部分勒索病毒为绕过各系统自带或安全设备的阈值破解防护,使用慢速爆破难以被安全设备检测的方式,这也是很多用户使用传统的IPS或防火墙仍中勒索病毒的原因。
对此,深信服AF自研口令暴破深度检测引擎,基于多时间窗口尺度异常登录检测和精细化日志审计分析算法结合,并通过多种特征综合判定登录成功或失败的状态,突破加密流量暴破、慢速/分布式暴破的检测盲区,跳出解密困局,检测率高达95%。
(4)在 RDP 登录二次拦截环节,RDP 爆破作为唯一或者主流的感染方式,先通过钓鱼邮件/钓鱼网站/漏洞利用等,再RDP爆破,或者直接RDP爆破。
典型代表:LockCrypt、 Crysis 、Planetary、GlobeImposter 等,主要利用了远程桌面协议RDP应用的广泛性以及攻破后使用上的便捷性。
需针对远程访问服务器的行为进行二次密码验证,防止黑客远程登录服务器进行勒索病毒投放,减轻服务器资产损失的风险,可采用终端安全平台,如深信服EDR。
(5)在进程控制环节,由于勒索形成前会利用系统进程进行伪装,故需针对服务器全系统进程进行可信识别与控制,如通过深信服EDR可信进程的加固防护技术,以进程学习、手动导入的可信进程的防护策略,阻止非可信的勒索进程运行与破坏可信进程。
2.查杀
预防之后,最重要的是对勒索病毒保持时刻警惕,经常查杀。包含两个环节,即检测和查杀环节。
随着 AI 技术的诞生以及物联网应用的普及,勒索软件呈爆发式增长,据统计每14秒就会发生一次勒索攻击事件。因此,勒索病毒的种类也越来越多,单纯的检测方法无法完全检测。
(1)在检测环节,深信服EDR引入了5层多维度漏斗型检测框架,通过文件信誉检测引擎、基因特征引擎、人工智能引擎、行为检测引擎、云脑引擎五个维度检测勒索病毒。
(2)在查杀环节,深信服EDR基于文件信誉引擎将病毒文件的md5特征值进行全网通报;也可针对md5特征,主动进行全网威胁定位,从而在全网进行围剿式查杀。
与此同时,配合深信服下一代防火墙采用流模式和启发式文件扫描技术,对HTTP、SMTP、POP3、IMAP、FTP、SMB等多种协议类型的近百万种病毒进行查杀,以及对多线程并发、深层次压缩文件等进行有效控制和查杀。
此外,还可利用人工智能引擎通过对数亿维的原始特征进行综合分析,提高泛化能力,大幅提升对变种、未知勒索威胁的检出及查杀效果。
3.监测
查杀之后要做的工作是监测勒索病毒的活动路径。主要包含监测和告警两个环节。
在监测环节又细分为C&C非法通信检测、流量行为监测、攻击链监测、勒索诱捕监测。
由于病毒变种数量多,传统监测方式难免会存在漏网之鱼。
(1)在勒索主机进行 C&C非法通信时,常以动态域名进行隐藏,深信服AF创新引入DGA动态域名、DNS隐蔽隧道等检测技术识别恶意连接。
(2)在流量行为监测方面,则主要基于深信服安全感知平台SIP(以下简称深信服SIP)内置的勒索专项检测系统,采用业界独创的动态流检测技术(非规则漏洞检测、异常点检测、进程级网端检测、异常行为利用、多阶段攻击等APT场景检测点等)。
深信服态势感知平台SIP勒索专项检测页面
利用AI 2.0和UEBA2.0技术(涵盖13类攻击类别以及“400+”算法模型)进行综合分析,能够精准地识别不同的勒索软件家族,并通过专业分析识别出勒索病毒感染行为和加密特征,同时通过可视化界面为用户展示内网整体安全状况,第一时间发现内网横向扫描、病毒扩散、非法外联等勒索病毒行为,全面分析新型勒索病毒的攻击面及其影响范围,帮助用户在勒索病毒大面积感染前及时发现。
(3)在告警环节,利用微信告警通知用户,紧急事件会在2分钟内发出,其他事件在告警策略--高级选项--告警频率处所设定的时间内发出。同类事件每日推送三次,超过三次不再推送告警提醒。每日8:00--22:00进行告警推送,其余时间段不主动推送任何消息。
4.闭环处置
包括三个环节,即联动响应、自动化响应、应急处置。
(1)在联动响应环节,包括联动封锁、访问控制、一键查杀、进程取证、快照备份,并且可根据用户的需要,自由组合多项措施进行处置。
具体而言,当深信服SIP、AF在实时监测到勒索攻击事件后,基于主机实体行为分析引擎EBA、联动EDR快速定位出全网失陷主机,执行联动封堵,如禁止主机对外访问、清除病毒文件。
深信服EDR还可对主机访问的恶意域名进行取证,定位访问该域名的子进程、父进程的详细信息。
此外,深信服“人机共智”MSS安全运营服务为用户提供勒索病毒预防与响应专项场景服务,服务专家基于安全运营中心百余项勒索病毒Checklist,定期开展风险排查,并协助用户加固;安全运营中心 7*24H持续监测确保第一时间发现勒索攻击、感染、传播行为,第一时间为用户精准预警,服务专家在线5分钟响应,高效闭环勒索病毒事件。
(2)在自动化响应环节,针对勒索事件,配置自动响应策略,当SIP检测到勒索事件时,自动根据响应策略,执行封堵,如联动AF封锁该目标主机、联动EDR禁止主机对外访问、联动EDR清除病毒文件。
(3)在应急处置环节,又细分为四个环节,即准备、检测&分析、遏制&消除&恢复、总结优化。
在准备环节,准备勒索病毒事件分析处理所需的资源,如通信保障、人员配合、工具等;
在检测&分析环节,通过查看系统日志、杀毒软件告警日志等对勒索攻击事件进行检测分析,并报告用户安全管理人员;
在遏制&消除&恢复环节,深信服分布式存储 EDS 尝试遏制勒索病毒软件,限制其影响或范围,同时收集证据、执行根本原因分析。在根因分析完毕后快速采取措施进行根除,帮助用户恢复业务正常运转;
在修复完成后,同用户一起回顾事件过程,对事件原因、处置过程等进行复盘,总结经验,并输出事件报告。
四个阶段可以防患于未然
综上,通过深信服的详细剖析,只有通过拦截、查杀、监测、处置四个阶段对勒索病毒进行精准、快速的闭环处置,才能构建整体的勒索病毒免疫力。
如果您想咨询拦截—查杀—监测—闭环处置整个生命周期的全面勒索防护,可以扫码咨询使用。
推荐阅读
(点击图片查看精彩内容)
精彩内容回顾
(点击查看精彩内容)
■ 毕小文:加速“标准 + 认证”双核驱动 ——激活金融科技正能量,谱写守正创新新篇章
《金融电子化》新媒体部:主任 / 邝源 编辑 / 傅甜甜 潘婧