近日，國際貨運(yùn)巨頭Expedit or s 遭遇疑似勒索軟件攻擊，Expedit or s公司官網(wǎng)在當(dāng)天中午發(fā)布公告，稱由于遭遇針對性網(wǎng)絡(luò)攻擊，被迫關(guān)停全球業(yè)務(wù)系統(tǒng)。雖然目前沒有具體公布此次網(wǎng)絡(luò)攻擊的類型，但從相關(guān)描述和國外各家媒體提供的線索來看，這極有可能是一起大規(guī)模的惡意勒索事件。

該事件對Expedit or s公司影響巨大，貨運(yùn)、海關(guān)與配送等業(yè)務(wù)面臨停擺；Expedit or s公司表示：這是一次“可能對公司業(yè)務(wù)、收入、運(yùn)營能力和商業(yè)聲譽(yù)造成嚴(yán)重負(fù)面影響”的重大事件。

?

勒索病毒作為目前最具有破壞力的惡意軟件之一，2021年達(dá)到爆發(fā)高峰，據(jù)數(shù)據(jù)統(tǒng)計(jì)，全網(wǎng)勒索攻擊總次數(shù)高達(dá)2234萬+，平均贖金從2020年的 400,000 美元提高到 800,000 美元，影響面從企業(yè)業(yè)務(wù)到關(guān)鍵基礎(chǔ)設(shè)施，從業(yè)務(wù)數(shù)據(jù)安全到國家安全與社會穩(wěn)定，勒索病毒已經(jīng)成為了網(wǎng)絡(luò)安全領(lǐng)域的一塊“頑疾”。同時(shí)，隨著Apache Log4j2漏洞等全球網(wǎng)絡(luò)安全事件頻發(fā)，網(wǎng)絡(luò)攻擊的強(qiáng)度和破壞性都到達(dá)頂峰。

近年，大規(guī)模勒索病毒事件頻發(fā)，隨著勒索病毒的不斷發(fā)展、“變種”，如今的勒索產(chǎn)業(yè)鏈已經(jīng)非常完善，變得更加難以防御。接下來讓我們詳細(xì)剖析勒索病毒的入侵過程，分析怎樣才能有效防御勒索病毒。

01

信息收集? 尋找攻擊點(diǎn)

攻擊者為了尋找攻擊點(diǎn)，首先會搜集目標(biāo)資產(chǎn)的系統(tǒng)信息、組件、漏洞等信息，攻擊者通過漏洞掃描、網(wǎng)絡(luò)嗅探等方式，發(fā)現(xiàn)攻擊目標(biāo)網(wǎng)絡(luò)和系統(tǒng)存在的安全隱患，找到或形成攻擊的突破口。
如何在事前對攻擊者的探測與入侵進(jìn)行有效防護(hù)？

安恒EDR具備防端口掃描功能，實(shí)時(shí)檢查入站連接并阻斷對本機(jī)端口的惡意探測, 防止攻擊者進(jìn)行掃描和嗅探，導(dǎo)致敏感信息泄露。

安恒EDR能夠幫助用戶清晰梳理資產(chǎn)，發(fā)現(xiàn)資產(chǎn)的薄弱點(diǎn)，進(jìn)行針對性加固，不給攻擊者“可乘之機(jī)”。通過利用基線安全檢查與勒索風(fēng)險(xiǎn)專項(xiàng)評估能力，對系統(tǒng)的弱口令、威脅文件、風(fēng)險(xiǎn)賬號、錯(cuò)誤配置等進(jìn)行專業(yè)評估、針對系統(tǒng)的薄弱點(diǎn)進(jìn)行快速修復(fù)，防止被攻擊者利用。

02

入侵主機(jī) 持久化攻擊

找到資產(chǎn)的暴露面以及脆弱性之后，攻擊者往往發(fā)送帶有附件的釣魚郵件，引誘點(diǎn)擊并借機(jī)執(zhí)行惡意程序完成滲透；或針對存在漏洞風(fēng)險(xiǎn)系統(tǒng)，嘗試遠(yuǎn)程攻擊后提權(quán)；從而攻陷暴露的內(nèi)部資產(chǎn)，并且留下后門實(shí)現(xiàn)持久化的控制，完成探測->掃描->漏洞利用->主機(jī)攻陷->遠(yuǎn)程控制的攻擊鏈。如何防止攻擊者入侵主機(jī)并阻斷遠(yuǎn)控持久化控制？

主動防御要前置，EDR三大核心能力，將勒索病毒拒之門外：

?主動防御能力：針對惡意的程序及文件進(jìn)行檢測和發(fā)現(xiàn)，并進(jìn)行自動化響應(yīng)

?暴力破解防護(hù)能力：能夠?qū)ο到y(tǒng)登錄行為進(jìn)行合理限制，防止賬號被爆破，導(dǎo)致攻擊者提權(quán)，從而繞過主機(jī)防護(hù)

?違規(guī)外聯(lián)防護(hù)能力：檢測主機(jī)直接連通互聯(lián)網(wǎng)或通過其他設(shè)備訪問互聯(lián)網(wǎng)，有效發(fā)現(xiàn)并阻斷惡意外聯(lián)的行為

防護(hù)加固正當(dāng)時(shí)，安恒EDR兩大防護(hù)功能，讓主機(jī)安全固若磐石：

?防單機(jī)擴(kuò)展：針對本機(jī)的擴(kuò)展行為進(jìn)行監(jiān)測，防止提權(quán)行為

?防遠(yuǎn)控持久化：對失陷后主機(jī)遠(yuǎn)控持久化行為進(jìn)行檢測，并可阻斷遠(yuǎn)控

03

橫向滲透 擴(kuò)大攻擊面

當(dāng)攻擊者通過漏洞利用或是釣魚郵件、網(wǎng)頁掛馬等攻擊方式攻陷目標(biāo)系統(tǒng)個(gè)別資產(chǎn)后，一般不會立刻投放勒索病毒。因?yàn)檫@樣制造的破壞非常有限，攻擊者的目標(biāo)是進(jìn)行一次致命打擊，加密或竊取企業(yè)的核心業(yè)務(wù)數(shù)據(jù)，迫使企業(yè)支持巨額贖金。所以攻擊者會在成功控制個(gè)別資產(chǎn)后，再嘗試一切可能的方式進(jìn)行橫向擴(kuò)散，盡可能去控制更多資產(chǎn)或核心資產(chǎn)。
攻擊者會利用已失陷的資產(chǎn)對其他資產(chǎn)進(jìn)行掃描滲透，以失陷的資產(chǎn)作為跳板對當(dāng)前網(wǎng)段進(jìn)行感染，擴(kuò)大攻擊面。一旦通過445端口、3389端口連接成功，則會嘗試通過漏洞利用進(jìn)行感染，以控制盡可能多的網(wǎng)絡(luò)資產(chǎn)。如何有效切斷攻擊者攻擊途徑，阻止攻擊者進(jìn)行滲透呢？

安恒EDR通過防內(nèi)網(wǎng)探測功能對內(nèi)網(wǎng)的惡意攻擊行為進(jìn)行識別，阻斷攻擊者對內(nèi)網(wǎng)的橫向滲透。并基于業(yè)務(wù)隔離的策略劃分特定的網(wǎng)絡(luò)域， 防止威脅在內(nèi)網(wǎng)擴(kuò)散；搭載一鍵關(guān)閉高危端口，一鍵封鎖威脅IP等應(yīng)急策略，防止“威脅串網(wǎng)”維持整個(gè)網(wǎng)絡(luò)環(huán)境穩(wěn)定。

04

植入勒索病毒 ?迅速擴(kuò)散

勒索病毒植入后，會遍歷本地目錄，使用RSA、AES 等多種加密算法對本地文件的進(jìn)行加密操作，同時(shí)根據(jù)攻擊目標(biāo)類型，回傳發(fā)現(xiàn)的敏感、重要的文件和數(shù)據(jù)，便于對攻擊目標(biāo)進(jìn)行勒索。攻擊者通過加載勒索信息，脅迫攻擊目標(biāo)支付勒索贖金。
如何有效切斷勒索病毒加密行為，保護(hù)核心業(yè)務(wù)文件？

交給安恒EDR專利級勒索病毒防護(hù)引擎：及時(shí)發(fā)現(xiàn)并阻斷勒索病毒的啟動，準(zhǔn)確高效地實(shí)時(shí)保護(hù)用戶關(guān)鍵業(yè)務(wù)數(shù)據(jù)及服務(wù)。

?勒索行為防護(hù)引擎：通過分析海量的勒索軟件樣本及病毒家族特性，總結(jié)了樣本具有的共性特征形成了引擎行為知識庫，通過系統(tǒng)API級別分析，高效抵御未知勒索病毒。

?勒索防護(hù)誘餌引擎：針對勒索病毒遍歷文件實(shí)施加密的特點(diǎn)，在終端關(guān)鍵目錄下放置誘餌文件，當(dāng)有勒索病毒嘗試加密誘餌文件時(shí)及時(shí)精準(zhǔn)中止惡意進(jìn)程，阻止勒索病毒的進(jìn)一步加密和擴(kuò)散。

?文件保險(xiǎn)柜：安恒EDR添加訪問控制策略，對重要文件或目錄進(jìn)行訪問權(quán)限控制，僅允許配置的例外進(jìn)程操作，根本上杜絕勒索病毒，根本上保護(hù)業(yè)務(wù)數(shù)據(jù)安全。

在對勒索病毒入侵的這四步中如果系統(tǒng)沒有形成針對性防御的話，攻擊者在這四個(gè)步驟中就會形成完整的勒索攻擊鏈：入侵->滲透->擴(kuò)散->勒索，將一舉癱瘓目標(biāo)網(wǎng)絡(luò)并實(shí)施勒索。安恒EDR能夠幫助用戶打造全流程閉環(huán)的勒索病毒防護(hù)體系，對勒索病毒入侵的各個(gè)階段 實(shí)施全面防護(hù)，徹底解決用戶的后顧之憂，全方位保障用戶數(shù)據(jù)安全。