在现实生活中,如果你的家门被别人额外上了一把锁,即便自己的门锁再安全,你也没法打开家门。在数字世界中,勒索病毒的攻击手法大致如此,大多中招政企机构因此打不开“保险库”。
但试想,如果能够清楚的了解到勒索团伙作案目标、习惯、手法等情报,那我们不仅可以做到“看见”勒索攻击的行径,及时阻断勒索威胁的入侵,甚至可以通过追踪溯源进行反制,让黑客的如意算盘彻底落空。
在过去的十七年当中,360一直处在实战攻防对抗的一线,至今已接受合作政企机构的上万次勒索软件感染求助,拥有足够反勒索服务经验和精准勒索威胁情报生产能力,能够有效助力看见、拦截和狩猎勒索攻击。
一、应对常见勒索攻击
勒索团伙常见攻击手法为应用漏洞攻击、vpn权限获取攻击、供应链攻击、钓鱼邮件攻击等,当获取入口点后,其会迅速权限维持和横向移动到业务域和办公区域,以实现数据窃取证明入侵成功和获取集权系统权限,继而分发安装勒索软件,最后实现对敏感核心文件加密,留下勒索组织索要赎金文本和特殊标识文件后缀。
这种情况下,如果在网关侧引入360威胁情报中的判黑勒索情报,可以帮助政企机构针对攻击进行及时拦截,能够有效阻止员工将外部威胁引入公司内部,从而防止漏洞问题被利用,并将入侵事件升级至勒索达成事件。
初始入侵阶段
勒索团伙初始入侵阶段会通过应用漏洞攻击和网络钓鱼攻击进行打点,此时通过引入IP情报,有效提前检出入站IP中涵盖的扫描探测、肉鸡、漏洞利用等风险,即可遏制勒索攻击。
情报检出扫描探测攻击图
权限维持阶段
一旦勒索团伙获取初始入口点,便会进入到权限维持阶段。依托于强大的黑客工具情报,受害的目标系统能够在勒索团伙使用特定权限维持黑客工具后及时感知并告警,且允许主机入侵检测设备拦截和删除此类黑客工具,及时发现被入侵行为并有效阻止。
横向移动阶段
如果勒索团伙绕过层层防护,会通过横向移动发现核心资产以获取其控制权,为数据窃取和勒索进行铺垫。在勒索团伙希望通过横向移动欲将整个事件升级为勒索达成事件的过程中,依托于黑客工具情报赋能,横向移动类黑客工具将会被发现或拦截。
情报检出AdFind黑客工具图
命令控制阶段
360失陷监测情报赋能可在命令控制阶段对出站C&C进行拦截,能够有效减少勒索攻击成功可能性,降低被勒索风险。
情报检出远控服务器图
数据窃取阶段
当勒索团伙获取到重要权限和大量核心敏感数据后,会进行数据窃取。在该阶段通过360失陷检测威胁情报赋能安全控制措施,可实现恶意下载链接的发现及拦截,助力阻止勒索团伙远程下载数据窃取工具等黑客工具到受害资产,从而阻断核心数据被窃取。
勒索实施阶段
如果勒索团伙成功远程下载勒索软件到受害主机,威胁情报赋能的主机入侵检测设备可立即对勒索软件进行隔离,阻断勒索攻击并形成隔离记录,以供安全专家分析处置和溯源。
情报检出勒索软件图
二、应对新型勒索变种
事实上,勒索软件经过多年的演化,已经逐渐形成了成熟的地下经济系统,该服务系统需要全链条协作:开发者负责开发和更新病毒;分销者拓展传播渠道,以制造社交网络、垃圾邮件等将勒索软件卖出,从中瓜分利润。这种黑色产业分销模式不仅大大降低了勒索攻击的传播门槛,也为勒索病毒的演变速度按下“加速键”。
面对这种情况,引入高质量威胁情报的360沙箱云覆盖了2000+恶意家族与威胁组织,可有效提升沙箱判定的精准度,可进行告警和联动处置,保护组织网络免受在其环境中运行的勒索病毒影响。
静态判定勒索病毒
360沙箱云依托五大反病毒查杀引擎,可以为样本分析提供精准静态鉴定结果,助力安全专家准确识别勒索病毒家族,实现迅速响应。
沙箱静态判定勒索软件图
动态判定勒索行为
360沙箱云基于仿真沙箱环境,能够根据勒索软件被执行后形成的文件加密格式、修改的文件后缀、释放的勒索信等特征多维度识别勒索病毒,从而有效帮助政企机构检测勒索攻击,并助力其能够及时进行阻断。
沙箱动态判定勒索软件图
此外,在威胁情报的赋能下,360沙箱云已积累2种基于静态的机器学习检测模型、7种基于动态行为的机器学习检测模型、异常流量识别模型和关联模型,能帮助客户识别新的勒索软件变种,并为用户提供样本的完整行为的判定依据,理解攻击手段和动机,即时采取安全响应措施。
往期推荐
| |||
| |||
| |||
|
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...