科技巨頭英偉達、思科相繼“中招”!企業防勒索攻擊需要“特效藥”
2022年勒索攻擊事件
仍在全球各地頻繁發生
2022年2月23日,全球知名的半導體芯片公司英偉達被爆遭到勒索軟件攻擊,不久后,英偉達公司官方證實遭到入侵,LAPSUS$勒索組織要求刪除其禁止挖礦(Lite Hash Rate,LHR)功能,否則將在線泄露員工憑據和私密信息。
勒索組織要求英偉達刪除禁止挖礦(Lite Hash Rate,LHR)功能
據報道,國外一家汽車供應商在2022年4-5月份的兩周內同時遭受了三種不同的勒索軟件攻擊,導致該汽車供應商的文件被多重加密。Sophos的事件響應人員在5月中旬協助受害者對攻擊進行調查,發現了被Lockbit、Hive和BlackCat勒索軟件加密了三次的文件,以及加密系統上的三種不同的贖金要求文件,意味著該受害者即使向各攻擊者分別支付了贖金,也很難恢復其文件。
某汽車供應商文件被勒索加密五次
歐洲能源集團Encevo Group公司發布了一份安全公告,該集團旗下的供電網絡Creos與能源制造商Enovos在2022年7月22日與23日遭到網絡攻擊,BlackCat勒索軟件組織聲稱從該公司竊取了超過150GB的數據,總共180000個文件,并準備公布。
BlackCat 勒索組織表示將公布竊取的數據
2022年8月10日,思科證實,Yanluowang勒索軟件集團在今年5月下旬入侵了公司網絡,勒索組織聲稱已經竊取了2.75GB數據,大約有3100個文件,其中很多文件涉及保密協議、數據轉儲和工程圖紙,攻擊者將此次安全事件中的文件列表發布到了暗網,試圖以泄露被盜數據威脅索要贖金。
攻擊者將文件列表發布到暗網
由此看來,勒索病毒已成為網絡安全中的最大威脅!在勒索病毒威脅下,沒有組織是絕對安全的,任何一封網絡釣魚電子郵件都可能以假亂真,而一旦點擊它就無異于打開“潘多拉魔盒”,隨之而來的將是敏感數據泄露、文件遭到加密、系統被迫離線等等。
三重技術手段實現勒索病毒綜合防范
要防御勒索病毒攻擊,則要從勒索病毒本身出發,深度剖析勒索病毒的普遍性特點,有針對性地進行干預和防范。
我們通過對流行勒索病毒的分析發現勒索病毒行為具有高度趨同性,由此梳理了勒索病毒的殺傷鏈模型,整個勒索殺傷鏈涉及感染&準備、遍歷&加密、破壞勒索三個環節,感染準備階段主要行為是漏洞利用、自身模塊釋放、進程中止和服務清除;遍歷加密階段主要行為是文件遍歷、數據加密;破壞勒索階段主要行為是刪除系統備份、彈出勒索通知。
勒索殺傷鏈模型圖
清楚了勒索病毒殺傷鏈的典型行為特征,接下來我們就能有效應對勒索病毒。威努特主機防勒索系統(以下簡稱:防勒索系統)從勒索病毒殺傷鏈入手,設計了檢測、防護、恢復三重的技術手段,可實現全球范圍內勒索病毒的防范,以多種技術手段組合應用、層層遞進、相互交叉的方式來保證對勒索病毒進行最有效的防范。
主機防勒索系統防護的三重技術手段
事前檢測
勒索病毒的磁盤遍歷、進程終止、文件加密、回收站清空等行為,實際上都是在調用操作系統底層驅動的高危指令。防勒索系統安裝后,會接管操作系統底層的進程、文件、磁盤、網絡驅動,勒索病毒在執行高危指令調用時,必然優先被防勒索系統感知,防勒索系統內置惡意行為監測引擎,通過規則樹的匹配來識別惡意破壞行為,進而實現對勒索病毒的攔截和阻斷。此外,勒索病毒在磁盤遍歷時,會優先檢索系統常規路徑,如桌面、文檔路徑、磁盤根目錄等,然后破壞這些文件。為了提高勒索病毒的檢測能力,防勒索系統安裝后還會在系統中投放誘餌文件,并持續監控對誘餌文件的操作,由于正常應用一般不會訪問誘餌文件,因此對誘餌文件的操作基本上可以判定為勒索病毒,防勒索系統會直接殺死可疑進程并置于隔離區。
勒索行為監測+勒索病毒誘捕
事中防護
勒索病毒加密文件前,會優先終止業務進程,以解除文件占用,便于文件加密或刪除操作。防勒索系統安裝到操作系統后,會接管操作系統進程驅動,當有進程終止或線程退出指令時,防勒索系統會對指令來源和指令類型進行判斷,如果是不可信的進程發起的跨進程、跨地址空間的指令行為,防勒索系統將會對指令操作進行攔截,從而避免勒索病毒對關鍵業務進程的破壞,在保障業務連續性的同時,保持關鍵應用對數據文件的持續占用,進而確保數據文件不會被加密勒索。
未安裝防勒索系統時,無論是正常的應用,還是勒索病毒,對應用數據的讀寫都是不受限制的,勒索病毒隨意對數據文件進行加密寫入,致使用戶無法正常使用數據文件。安裝防勒索系統后,通過內置規則及動態識別技術,可以很方便地建立可信應用與應用數據間的訪問關系模型,因為勒索病毒不在可信應用列表內,不具備應用數據的訪問權限,所以勒索病毒嘗試加密系統中文檔、數據庫、工程文件、音視頻等數據文件時,將會被攔截阻斷。核心數據保護功能一方面可避免應用數據被惡意加密,防范典型的文件加密勒索行為,另一方面還可以防范雙重勒索中文件信息泄露的勒索行為。
關鍵業務保護+核心數據保護
事后恢復
防勒索系統安裝后,任何文件的操作均會觸發防勒索的安全檢查,可信應用文件操作放行,非可信應用文件操作將觸發備份動作,在備份入庫前,防勒索系統會檢查入庫數據的安全性,通過文件名、后綴名、信息熵、方差值完成文件是否被勒索加密的判斷,已經被勒索加密的文件將直接丟棄,并對操作該文件的進程進行終止和隔離操作;被識別為正常的數據文件則經過放重復檢查后進入備份區。
備份恢復技術用于對抗勒索病毒很有效,防勒索系統通過智能數據備份功能,可以安全可靠的備份現場業務數據,支撐現場業務的快速恢復。
數據智能備份
相較于其他產品,威努特主機防勒索系統具備哪些優勢?
產品一:基于黑名單的傳統殺毒軟件防范勒索病毒
勒索即服務(Raas)的興起,使得勒索病毒變種呈現極高頻的趨勢,基于病毒特征庫的傳統殺毒軟件已經無法有效檢測新型勒索病毒變種。
勒索病毒變異較快
防勒索系統不依賴病毒特征庫,基于行為規則引擎檢測勒索病毒惡意行為,結合主動防御技術實現新型勒索病毒的檢測防范,具備勒索病毒的持續防范能力。
產品二:通過數據備份和恢復技術抵御勒索攻擊
傳統數據備份類產品通過備份方式將數據及關鍵系統進行備份,使企業在遭受勒索攻擊后無需支付贖金即可快速成功實現數據恢復。但是此方式存在以下幾點弊端:
第一、 搭建備份系統部署周期久,投入較大,對系統資源占用較大。
第二、備份系統不具備識別勒索加密文件的能力,無論文件是否被加密,備份系統都會進行備份,不僅增加系統的資源占用,而且會導致備份系統中數據受到污染。
第三、備份系統無法防范勒索攻擊,勒索病毒同樣會破壞備份數據,導致備份系統的數據庫無法使用,給客戶造成嚴重的數據損失。
所以防范勒索攻擊的重點應在事前防御環節而不是放在遭受攻擊后數據備份恢復環節。威努特防勒索系統不僅可以在事前全面檢測勒索病毒傳播感染、遍歷加密、勒索破壞等惡意行為,實現進對勒索病毒的攔截和阻斷,而且具有數據備份的功能。防勒索系統數據智能備份基于熵對入庫數據的檢查,能避免加密數據入庫;同時輕量化按需觸發的機制,也能盡可能減少系統資源占用。
防勒索系統五大功能
產品三:以EDR為核心的勒索攻擊防護產品
終端EDR類產品注重的是針對終端主機的各種檢測與響應,可以輔助以各種安全能力和策略,最大程度的了解終端的安全狀態并及時反饋。但此方式也存在以下幾種弊端:
第一、EDR類產品完全依賴檢測能力,存在漏報的可能性,漏報會導致的嚴重后果,會造成巨大數據損失。
第二、無事先防范能力,難以對抗較新型的勒索攻擊。
第三、此類產品大多不具備份機制,沒有風險兜底的措施,一但系統遭受勒索攻擊,無法支撐業務的快速恢復。
勒索攻擊是一種新型威脅,需要有專門的特效藥去解決,威努特主機防勒索系統具有行為檢測、身份識別、權限控制、數據安全等多項策略,每項獨立生效均可防范勒索病毒,構成多層次縱深防御體系,極大降低被勒索破壞的風險。
