公司

首頁 > 關于我們 > 安恒動態(tài) > 2022 > 正文

勒索病毒來勢洶洶，看安恒EDR四招破解

閱讀量：次

近日，國際貨運巨頭Expedit or s 遭遇疑似勒索軟件攻擊，Expedit or s公司官網(wǎng)在當天中午發(fā)布公告，稱由于遭遇針對性網(wǎng)絡攻擊，被迫關停全球業(yè)務系統(tǒng)。雖然目前沒有具體公布此次網(wǎng)絡攻擊的類型，但從相關描述和國外各家媒體提供的線索來看，這極有可能是一起大規(guī)模的惡意勒索事件。

該事件對Expedit or s公司影響巨大，貨運、海關與配送等業(yè)務面臨停擺；Expedit or s公司表示：這是一次“可能對公司業(yè)務、收入、運營能力和商業(yè)聲譽造成嚴重負面影響”的重大事件。

勒索病毒作為目前最具有破壞力的惡意軟件之一，2021年達到爆發(fā)高峰，據(jù)數(shù)據(jù)統(tǒng)計，全網(wǎng)勒索攻擊總次數(shù)高達2234萬+，平均贖金從2020年的 400,000 美元提高到 800,000 美元，影響面從企業(yè)業(yè)務到關鍵基礎設施，從業(yè)務數(shù)據(jù)安全到國家安全與社會穩(wěn)定，勒索病毒已經(jīng)成為了網(wǎng)絡安全領域的一塊“頑疾”。同時，隨著Apache Log4j2漏洞等全球網(wǎng)絡安全事件頻發(fā)，網(wǎng)絡攻擊的強度和破壞性都到達頂峰。

近年，大規(guī)模勒索病毒事件頻發(fā)，隨著勒索病毒的不斷發(fā)展、“變種”，如今的勒索產(chǎn)業(yè)鏈已經(jīng)非常完善，變得更加難以防御。接下來讓我們詳細剖析勒索病毒的入侵過程，分析怎樣才能有效防御勒索病毒。

信息收集? 尋找攻擊點

攻擊者為了尋找攻擊點，首先會搜集目標資產(chǎn)的系統(tǒng)信息、組件、漏洞等信息，攻擊者通過漏洞掃描、網(wǎng)絡嗅探等方式，發(fā)現(xiàn)攻擊目標網(wǎng)絡和系統(tǒng)存在的安全隱患，找到或形成攻擊的突破口。
如何在事前對攻擊者的探測與入侵進行有效防護？

安恒EDR具備防端口掃描功能，實時檢查入站連接并阻斷對本機端口的惡意探測, 防止攻擊者進行掃描和嗅探，導致敏感信息泄露。

安恒EDR能夠幫助用戶清晰梳理資產(chǎn)，發(fā)現(xiàn)資產(chǎn)的薄弱點，進行針對性加固，不給攻擊者“可乘之機”。通過利用基線安全檢查與勒索風險專項評估能力，對系統(tǒng)的弱口令、威脅文件、風險賬號、錯誤配置等進行專業(yè)評估、針對系統(tǒng)的薄弱點進行快速修復，防止被攻擊者利用。

入侵主機持久化攻擊

找到資產(chǎn)的暴露面以及脆弱性之后，攻擊者往往發(fā)送帶有附件的釣魚郵件，引誘點擊并借機執(zhí)行惡意程序完成滲透；或針對存在漏洞風險系統(tǒng)，嘗試遠程攻擊后提權；從而攻陷暴露的內(nèi)部資產(chǎn)，并且留下后門實現(xiàn)持久化的控制，完成探測->掃描->漏洞利用->主機攻陷->遠程控制的攻擊鏈。如何防止攻擊者入侵主機并阻斷遠控持久化控制？

主動防御要前置，EDR三大核心能力，將勒索病毒拒之門外：

?主動防御能力：針對惡意的程序及文件進行檢測和發(fā)現(xiàn)，并進行自動化響應

?暴力破解防護能力：能夠對系統(tǒng)登錄行為進行合理限制，防止賬號被爆破，導致攻擊者提權，從而繞過主機防護

?違規(guī)外聯(lián)防護能力：檢測主機直接連通互聯(lián)網(wǎng)或通過其他設備訪問互聯(lián)網(wǎng)，有效發(fā)現(xiàn)并阻斷惡意外聯(lián)的行為

防護加固正當時，安恒EDR兩大防護功能，讓主機安全固若磐石：

?防單機擴展：針對本機的擴展行為進行監(jiān)測，防止提權行為

?防遠控持久化：對失陷后主機遠控持久化行為進行檢測，并可阻斷遠控

橫向滲透擴大攻擊面

當攻擊者通過漏洞利用或是釣魚郵件、網(wǎng)頁掛馬等攻擊方式攻陷目標系統(tǒng)個別資產(chǎn)后，一般不會立刻投放勒索病毒。因為這樣制造的破壞非常有限，攻擊者的目標是進行一次致命打擊，加密或竊取企業(yè)的核心業(yè)務數(shù)據(jù)，迫使企業(yè)支持巨額贖金。所以攻擊者會在成功控制個別資產(chǎn)后，再嘗試一切可能的方式進行橫向擴散，盡可能去控制更多資產(chǎn)或核心資產(chǎn)。
攻擊者會利用已失陷的資產(chǎn)對其他資產(chǎn)進行掃描滲透，以失陷的資產(chǎn)作為跳板對當前網(wǎng)段進行感染，擴大攻擊面。一旦通過445端口、3389端口連接成功，則會嘗試通過漏洞利用進行感染，以控制盡可能多的網(wǎng)絡資產(chǎn)。如何有效切斷攻擊者攻擊途徑，阻止攻擊者進行滲透呢？

安恒EDR通過防內(nèi)網(wǎng)探測功能對內(nèi)網(wǎng)的惡意攻擊行為進行識別，阻斷攻擊者對內(nèi)網(wǎng)的橫向滲透。并基于業(yè)務隔離的策略劃分特定的網(wǎng)絡域，防止威脅在內(nèi)網(wǎng)擴散；搭載一鍵關閉高危端口，一鍵封鎖威脅IP等應急策略，防止“威脅串網(wǎng)”維持整個網(wǎng)絡環(huán)境穩(wěn)定。

植入勒索病毒 ?迅速擴散

勒索病毒植入后，會遍歷本地目錄，使用RSA、AES 等多種加密算法對本地文件的進行加密操作，同時根據(jù)攻擊目標類型，回傳發(fā)現(xiàn)的敏感、重要的文件和數(shù)據(jù)，便于對攻擊目標進行勒索。攻擊者通過加載勒索信息，脅迫攻擊目標支付勒索贖金。
如何有效切斷勒索病毒加密行為，保護核心業(yè)務文件？

交給安恒EDR專利級勒索病毒防護引擎：及時發(fā)現(xiàn)并阻斷勒索病毒的啟動，準確高效地實時保護用戶關鍵業(yè)務數(shù)據(jù)及服務。

?勒索行為防護引擎：通過分析海量的勒索軟件樣本及病毒家族特性，總結了樣本具有的共性特征形成了引擎行為知識庫，通過系統(tǒng)API級別分析，高效抵御未知勒索病毒。

?勒索防護誘餌引擎：針對勒索病毒遍歷文件實施加密的特點，在終端關鍵目錄下放置誘餌文件，當有勒索病毒嘗試加密誘餌文件時及時精準中止惡意進程，阻止勒索病毒的進一步加密和擴散。

?文件保險柜：安恒EDR添加訪問控制策略，對重要文件或目錄進行訪問權限控制，僅允許配置的例外進程操作，根本上杜絕勒索病毒，根本上保護業(yè)務數(shù)據(jù)安全。

在對勒索病毒入侵的這四步中如果系統(tǒng)沒有形成針對性防御的話，攻擊者在這四個步驟中就會形成完整的勒索攻擊鏈：入侵->滲透->擴散->勒索，將一舉癱瘓目標網(wǎng)絡并實施勒索。安恒EDR能夠幫助用戶打造全流程閉環(huán)的勒索病毒防護體系，對勒索病毒入侵的各個階段實施全面防護，徹底解決用戶的后顧之憂，全方位保障用戶數(shù)據(jù)安全。

關閉

AI智能體專區(qū)

AI智能體專區(qū)

告警研判和降噪智能體

安全運營咨詢服務智能體

惡意郵件研判智能體

數(shù)據(jù)分類分級智能體

API安全智能體

自動化滲透測試智能體

終端數(shù)據(jù)防泄漏智能體

惡意軟件檢測智能體

數(shù)據(jù)安全咨詢服務智能體

核心安全產(chǎn)品

場景解決方案

Saas產(chǎn)品訂閱專區(qū)

熱門產(chǎn)品推薦

安恒數(shù)盾數(shù)據(jù)安全管控平臺最熱

數(shù)據(jù)庫審計與風險控制系統(tǒng)推薦

明御防火墻最熱

AI時代網(wǎng)絡安全產(chǎn)業(yè)人才發(fā)展報告

AI安服數(shù)字員工

AI安服數(shù)字員工

AI滲透測試

AI應急響應

AI安全咨詢

AI代碼審計

AI數(shù)字安全教師

AI+安全服務

AI+ 安全服務

一切產(chǎn)品皆資源，一切資源皆服務

行業(yè)解決方案>

技術解決方案>

安全意識教育解決方案>

公司

勒索病毒來勢洶洶，看安恒EDR四招破解

相關推薦

告警研判和
降噪智能體

安全運營咨詢
服務智能體

惡意郵件研判
智能體

數(shù)據(jù)分類
分級智能體

API安全
智能體

自動化滲透
測試智能體

終端數(shù)據(jù)防
泄漏智能體

惡意軟件檢
測智能體

數(shù)據(jù)安全咨詢
服務智能體

AI數(shù)字
安全教師

一切產(chǎn)品皆資源，一切資源皆服務

勒索病毒來勢洶洶，看安恒EDR四招破解