?事發突然，因這個漏洞中了勒索攻擊

“你訪問的電腦/系統/文件已加密，請支付贖金以繼續使用。”

“請立即支付贖金，否則數據將被公開。”

近期，全球多家知名企業因陸續遭到勒索攻擊而引發關注。研究人員從這些攻擊事件中發現了一些共同點，那就是：不同勒索組織利用一些已公開但未修補的1Day漏洞，來破壞企業系統、竊取數據并加密文件。

這種利用已知漏洞的方式也是攻擊者常用的勒索軟件攻擊方式之一。據國外安全機構對于攻擊者常利用的勒索軟件攻擊途徑調研顯示，利用公開應用中的漏洞進行勒索攻擊占所有事件的43%，運用被盜賬戶占比24%，惡意電子郵占比12%。可見，1Day漏洞確實是攻擊者進行勒索攻擊的“頭號武器”。

以近期發生的Lockbit勒索軟件攻擊和Medusa勒索軟件攻擊事件為例，勒索組織都是依靠一個名為“Citrix Bleed”的漏洞來進行攻擊。盡管Citrix公司早在10月份時就已經發布了關于該漏洞（CVE-2023-4966）的補丁和修復方案，但由于一些企業沒有及時對其使用的Citrix公司設備所存在的漏洞進行修補，造成勒索團伙利用該漏洞進入企業內部網絡，注入勒索病毒，從而實現加密勒索。

面對這種情況，企業客戶需要及時了解和掌握自身資產究竟涉及哪些可能被肆意利用的漏洞，及時打補丁修補漏洞，從而防止隱患資產成為攻擊者的突破口。但由于傳統漏掃工具基于版本匹配的掃描原理，導致它們經常會上報大量無法被利用的資產漏洞，如果要全面修復這些漏洞，不僅需要耗費大量的時間和人力成本，還可能造成頻繁的停機并帶來業務中斷風險，因此很多企業只能選擇讓資產帶“病”運行，給攻擊者創造了可乘之機。所以，從業務連續性角度考慮，企業用戶需要一種可以驗證漏洞是否能被利用的工具并確定漏洞優先級，來為其評估關鍵資產的脆弱性，并決定是否有必要修復漏洞。

作為業內唯一可以提供大量1Day漏洞利用功能的企業級自動化滲透測試工具，奇安信網神自動滲透測試系統（簡稱“加特林”）可幫助企業用戶以攻擊者的角度，對自身業務資產進行自動化的攻擊滲透，包括利用已知的漏洞對系統進行遠程執行代碼、嘗試獲取管理員權限等攻擊行為，從而快速、準確地評估這些資產是否存在必須要立即修復的風險和漏洞。

仍以近期影響較大的Citrix Bleed漏洞為例，加特林不僅可以準確驗證設備是否存在相關漏洞，還能提供漏洞利用功能，為企業內部安全團隊提供強有力的漏洞證明，推動網絡或業務部門修復漏洞。

圖 加特林關于Citrix Bleed漏洞的驗證

圖 加特林關于Citrix Bleed漏洞的利用

圖 通過加特林拿到泄露cookie并登錄某目標Citrix網關設備

圖 加特林支持驗證和利用的近半年內部分1Day漏洞清單

無論是過去的NDay漏洞，還是最近爆出的1Day漏洞，加特林都能幫助企業用戶快速完成自動化評估，評估結果準確率高、誤報率低，從而幫助企業有效提高安全防御能力，不給勒索病毒攻擊任何可乘之機。

圖 天眼檢測到Citrix漏洞利用

當然，勒索組織不僅會通過漏洞利用來尋找突破口，他們往往還會利用賬號盜用、惡意郵件、水坑釣魚、供應鏈投毒等方式來進行滲透，從而達到控制目標系統，投放勒索病毒的目的。在此過程中，如果攻擊者已經利用各種手段成功完成了第一步的滲透，企業用戶也不必過于擔心，因為仍然有機會在勒索病毒投遞和橫向傳播的環節及時發現問題并采取措施，避免勒索病毒的大規模擴散，并阻止最終形成真正的安全事件。

從攻擊手段來看，Lockbit 3.0常采用雙重勒索的方式，在加密文件之前首先會竊取文件，在這個過程中，攻擊者會將惡意代碼注入到文件中，使其看起來更像是正常的文件，從而避免被殺毒軟件等安全工具檢測到。

針對此類載荷投遞方式的勒索軟件樣本攻擊，奇安信天眼系統的文件威脅鑒定器（天眼沙箱）完全可以進行檢測。天眼沙箱本地內置威脅情報類相關的勒索軟件規則達35000+，結合動態行為檢測及靜態規則，充分覆蓋常見的勒索軟件攻擊檢出場景。

其中，天眼沙箱動態行為檢測利用奇安信技術研究院自主可控的動態分析引擎為基礎，基于硬件虛擬化、軟件動態分析、控制流完整性分析等技術方法，研制了一款高對抗的文件沙箱，具備“上帝視角”的能力。該系統完全模擬虛擬環境中各種硬件的運行，并支持Windows、Linux、Android、macOS以及UOS、Kylin等信創操作系統和IOT操作系統，可有效助力企業組織從容應對勒索軟件、加密惡意軟件、零日威脅等廣泛數字攻擊面上迅猛發展且具針對性的新興威脅。

目前，天眼系統實現對勒索軟件的若干變種進行檢測，如近期影響較大的LockBit 勒索家族，以及典型的WannaCry勒索病毒、Sodinokibi勒索病毒、Ryuk勒索病毒等均可進行檢測。

圖 天眼沙箱可檢測到LockBit家族類勒索病毒

圖 天眼沙箱可檢測到WannaCry類勒索病毒

近年來，勒索攻擊席卷全球，政府、金融、教育、醫療、制造、交通、能源等幾乎所有的行業均受到影響，可以說有互聯網的地方就可能存在勒索攻擊。