勒索病毒(Ransomware)��,又稱勒索軟件�,是一種特殊的惡意軟件����,又被人歸類為“阻斷訪問(wèn)式攻擊”(denial-of-access attack)��。
勒索病毒屬于惡意軟件的一種病毒類型�����,這種病毒的誕生還要追溯到二十世紀(jì)八十年代�����,早在1989年哈佛大學(xué)博士學(xué)位的生物學(xué)家約瑟夫波普J(rèn)oseph Popp開(kāi)發(fā)了一款軟件���,并向世界衛(wèi)生組織艾滋病會(huì)議的參加者分發(fā)了20000張受感染的磁盤���,以艾滋病信息-入門軟盤命名���,當(dāng)軟盤插入電腦就會(huì)感染該勒索病毒,彈出勒索提示信息框���,受害者必須在巴拿馬的郵政郵箱向PC Cyborg Corporation發(fā)送189美元��,以解鎖電腦的訪問(wèn)權(quán)限����,這就是最早的勒索病毒以及勒索攻擊��。
我國(guó)國(guó)內(nèi)首款勒索病毒Redplus于2006年被首次發(fā)現(xiàn)�����,這個(gè)病毒并不會(huì)刪除電腦里的文件����,而是把它們轉(zhuǎn)移到一個(gè)具有隱藏屬性的文件夾��,然后彈出窗口要求用戶將贖金匯到指定的銀行賬戶�,金額從70元到200元不等。
勒索病毒主要攻擊方式
勒索病毒主要的攻擊方式,主要有三種:
一是 通過(guò)RDP���、VPN以及 組織 電子郵箱���。 不管是通過(guò)暴力破解,還是通過(guò)地下暗網(wǎng)泄露的憑據(jù)信息����,通過(guò)這些入口進(jìn)入組織機(jī)構(gòu),內(nèi)網(wǎng)橫向滲透之后�����,安裝各種惡意軟件�����,進(jìn)行勒索攻擊活動(dòng)����。
二是 通過(guò) 組織 系統(tǒng)應(yīng)用的各種漏洞。 進(jìn)入組織安裝各種惡意軟件����,內(nèi)網(wǎng)橫向滲透之后����,然后進(jìn)行勒索攻擊活動(dòng)�����。
三是 通過(guò)釣魚(yú)����、水坑、社工等APT攻擊手法�。 對(duì)組織機(jī)構(gòu)進(jìn)行APT定向攻擊,入侵之后����,安裝各種惡意軟件,內(nèi)網(wǎng)橫向滲透之后����,后期進(jìn)行勒索攻擊活動(dòng)。
上面的三種方式都可以進(jìn)行一重勒索攻擊活動(dòng)�����,但如果想進(jìn)行二重勒索�、三重勒索等攻擊活動(dòng),一般都是先通過(guò)上面的一種方法��,進(jìn)入組織機(jī)構(gòu)內(nèi)網(wǎng)���,然后利用各種黑客工具進(jìn)行橫向滲透或安裝其他惡意軟件���,包含遠(yuǎn)控木馬、后門等拿到組織機(jī)構(gòu)核心數(shù)據(jù)之后�����,再進(jìn)行勒索攻擊活動(dòng)����,橫向滲透一般使用的技巧就是紅隊(duì)的一些攻擊技巧。
總體來(lái)看���,勒索病毒攻擊技術(shù)已經(jīng)從最開(kāi)始單一的使用RDP暴破等攻擊方式���,逐漸向APT定向攻擊進(jìn)行演變,勒索病毒樣本使用的加密算法�����、免殺技術(shù)、攻擊模塊也在不斷增加���,同時(shí)黑客也會(huì)通過(guò)RAAS平臺(tái)來(lái)運(yùn)營(yíng)自己的勒索病毒����,以賺取更多的利益��。
如何防御勒索病毒
隨著勒索病毒的日益猖狂�,國(guó)內(nèi)領(lǐng)先的專注于保密與非密領(lǐng)域的分級(jí)保護(hù)、等級(jí)保護(hù)�、業(yè)務(wù)連續(xù)性安全和大數(shù)據(jù)安全產(chǎn)品系統(tǒng)與相關(guān)技術(shù)研究開(kāi)發(fā)的領(lǐng)軍企業(yè)——國(guó)聯(lián)易安開(kāi)發(fā)出下一代勒索病毒防御系統(tǒng) 。該系統(tǒng)達(dá)到了對(duì)所有勒索病毒及其變種的自動(dòng)識(shí)別����、主動(dòng)檢測(cè)、精準(zhǔn)定位和全面防御效果�����,解決了勒索病毒“發(fā)現(xiàn)難��、防御更難”的尷尬困境和問(wèn)題���。
一是通過(guò)威脅情報(bào)����,實(shí)現(xiàn)“智能化輔助決策”。 在過(guò)去的安全防御中��,更多的是關(guān)注如何提升系統(tǒng)內(nèi)部的防御能力�����,缺少對(duì)外部攻擊者的研究和了解����,永遠(yuǎn)處在被動(dòng)防御的狀態(tài)����。威脅情報(bào)的引入解決了這一問(wèn)題,通過(guò)互聯(lián)網(wǎng)上海量數(shù)據(jù)的收集分析��,為用戶提供了攻擊發(fā)起者的背景信息����,既可以指導(dǎo)安全防御體系建設(shè),也可以直接用來(lái)發(fā)現(xiàn)安全威脅��。
二是通過(guò)行為關(guān)聯(lián)分析���,定位“攻擊動(dòng)作鏈條”�。 一件攻擊事件在不同的階段具備不同的行為特征,這些行為特征分開(kāi)來(lái)看并不一定直接構(gòu)成威脅��,而原有的系統(tǒng)中并不具備將這些行為進(jìn)行關(guān)聯(lián)分析的能力��,導(dǎo)致這些安全威脅無(wú)法被檢測(cè)和阻止�����。所以����,要實(shí)現(xiàn)對(duì)未知威脅以及未知勒索病毒的檢測(cè)必須依靠機(jī)器學(xué)習(xí)和大數(shù)據(jù)分析能力,通過(guò)大量的行為日志分析和快速檢索�,找出關(guān)鍵目標(biāo)和威脅,對(duì)相關(guān)事件進(jìn)行關(guān)聯(lián)分析���,還原安全事件全貌���,并進(jìn)行有效的防御和處置。
三是通過(guò)AI自學(xué)習(xí)技術(shù)���,對(duì)抗“病毒變種威脅”���。 傳統(tǒng)殺毒技術(shù)嚴(yán)重依賴于樣本獲得能力和病毒分析師的能力����,基本只能處理已知問(wèn)題��,不能對(duì)可能發(fā)生的問(wèn)題進(jìn)行防范�����,具有嚴(yán)重的滯后性和局限性��。國(guó)聯(lián)易安下一代勒索病毒防御系統(tǒng)依托海量的威脅情報(bào)庫(kù)和惡意軟件捕獲能力�����,通過(guò)AI自學(xué)習(xí)技術(shù)訓(xùn)練的未知惡意軟件檢測(cè)引擎��,可以幫助用戶有效抵抗未知惡意軟件威脅�。通過(guò)對(duì)海量樣本進(jìn)行監(jiān)測(cè)分析���,能夠找到惡意軟件的內(nèi)在規(guī)律�����,能對(duì)未來(lái)相當(dāng)長(zhǎng)時(shí)期的惡意軟件技術(shù)做出前瞻性預(yù)測(cè)���,實(shí)現(xiàn)針對(duì)病毒變種的有效識(shí)別��。
四是通過(guò)AI仿真誘捕技術(shù)�,投放誘餌����。 國(guó)聯(lián)易安下一代勒索病毒防御系統(tǒng)基于AI技術(shù),構(gòu)建了仿真誘捕環(huán)境��,可以實(shí)現(xiàn)對(duì)可疑文件進(jìn)行高級(jí)威脅檢測(cè)���。AI仿真誘捕環(huán)境通過(guò)接收還原PE和非PE文件����,使用仿真環(huán)境����、動(dòng)態(tài)檢測(cè)等一系列無(wú)簽名檢測(cè)方式,發(fā)現(xiàn)傳統(tǒng)安全設(shè)備無(wú)法發(fā)現(xiàn)的復(fù)雜威脅���,并將仿真誘捕平臺(tái)上的相關(guān)告警發(fā)送至分析平臺(tái)����,實(shí)現(xiàn)告警統(tǒng)一管理和后續(xù)進(jìn)一步分析。
五是通過(guò)威脅腦圖��,顯示“直觀安全態(tài)勢(shì)”����。 國(guó)聯(lián)易安下一代勒索病毒防御系統(tǒng)通過(guò)可視化技術(shù)的利用,將原本碎片化的威脅告警�����、異常行為告警數(shù)據(jù)結(jié)構(gòu)化�,以便于用戶理解����,從而省去了閱讀繁復(fù)報(bào)告的過(guò)程���?梢暬夹g(shù)的利用使得用戶可以更直觀地感受到網(wǎng)絡(luò)內(nèi)的安全形勢(shì)���,使得安全由“不可見(jiàn)變?yōu)榭梢?jiàn)”����,不但帶來(lái)了更好的用戶體驗(yàn)��,同時(shí)還有效地提高了安全監(jiān)控的效率���。
安全的核心是對(duì)抗
防勒索攻擊��,是一個(gè)很大的話題����,目前勒索病毒黑客組織已經(jīng)形成一整套生態(tài)鏈��,想防御勒索病毒需要的也是一套系統(tǒng)的防御方案����,從邊界防御到系統(tǒng)終端防御,從威脅情報(bào)到黑客組織攻擊技術(shù)對(duì)抗���。
安全的核心是對(duì)抗��,對(duì)抗的核心是人�����。當(dāng)一些黑客組織的技術(shù)水平遠(yuǎn)高于一些組織機(jī)構(gòu)或者安全廠商專業(yè)技術(shù)人員的時(shí)候���,就不存在安全對(duì)抗了��,組織機(jī)構(gòu)被勒索攻擊是遲早的問(wèn)題�����。做網(wǎng)絡(luò)安全其實(shí)就是人與人的技術(shù)對(duì)抗��,而且這種對(duì)抗是一個(gè)不斷持續(xù)升級(jí)的過(guò)程�,黑客組織會(huì)不斷尋找新的攻擊目標(biāo)��,研究新的攻擊武器�,免殺繞過(guò)技術(shù),網(wǎng)絡(luò)安全防御也需要不斷去研究各種對(duì)抗技術(shù)����,尤其是AI自學(xué)習(xí)����、仿真誘捕、態(tài)勢(shì)感知技術(shù)����。
“ 攻擊者在盜取重要數(shù)據(jù)后�,要挾巨額贖金����,甚至通過(guò)橫向移動(dòng)鎖定關(guān)鍵數(shù)據(jù)并在整個(gè)網(wǎng)絡(luò)中傳播勒索病毒,刪除系統(tǒng)備份數(shù)據(jù)��。尤其值得關(guān)注的是����,隨著政企數(shù)字化轉(zhuǎn)型和業(yè)務(wù)上云,勒索病毒越來(lái)越多地鎖定云存儲(chǔ)�����,破壞性也愈來(lái)愈嚴(yán)重����。 ” 國(guó)聯(lián)易安總經(jīng)理門嘉平博士表示。
關(guān)于國(guó)聯(lián)易安
北京國(guó)聯(lián)易安信息技術(shù)有限公司(原北京智恒聯(lián)盟科技有限公司)簡(jiǎn)稱“國(guó)聯(lián)易安”�,成立于2006年,擁有“國(guó)聯(lián)易安”和“智恒聯(lián)盟”兩個(gè)品牌�����,是國(guó)內(nèi)專注于保密與非密領(lǐng)域的分級(jí)保護(hù)、等級(jí)保護(hù)�、業(yè)務(wù)連續(xù)性安全和大數(shù)據(jù)安全產(chǎn)品解決方案與相關(guān)技術(shù)研究開(kāi)發(fā)的領(lǐng)軍企業(yè)。公司多項(xiàng)安全技術(shù)補(bǔ)了國(guó)內(nèi)技術(shù)空白���,并且在政府�����、金融��、保密���、電信運(yùn)營(yíng)商、軍隊(duì)軍工���、大中型企業(yè)����、能源�����、教育���、醫(yī)療電商等領(lǐng)域得到廣泛應(yīng)用����。
國(guó)聯(lián)易安除研發(fā)生產(chǎn)專業(yè)安全產(chǎn)品外��,還為客戶提供全面的檢測(cè)與防護(hù)方案專家咨詢�、源代碼安全評(píng)估、安全運(yùn)維值守����、智能終端安全評(píng)估、安全滲透測(cè)試�����、專業(yè)安全培訓(xùn)等專業(yè)安全服務(wù)��。
(新媒體責(zé)編:wa12)
京公網(wǎng)安備 11010602130064號(hào)
