正文

安全行动,只为中国(二)—— 勒索攻击等黑产活动分析响应处置篇

admin
admin V管理员 /0 评论 /42 阅读
1006
此篇文章发布距今已超过47天,您需要注意文章的内容或图片是否可用!
点击上方"蓝字"
关注我们吧!

国庆75周年之际,安天CERT将安全事件处置、重大事件研判、高级威胁分析等方面的历史工作进行汇聚梳理。以总结经验、提炼规律、改善不足,让我们后续的分析和响应工作,能更有效的支撑国家安全斗争。

威胁分析响应,是安天重要的能力频谱。安天面向攻击活动、攻击装备和威胁行为体,展开威胁感知、捕获、分析、处置、溯源、报送、曝光等系列工作,持续推动核心引擎和产品与服务能力迭代改进,有效支撑公共安全治理和国家安全斗争。

2004年,安天以病毒分析组为基础,组建了安天应急处理小组,后更名为安天安全研究与应急处理中心,即安天CERT。按照“第一时间启动,同时应对多线威胁,三体系联动,四作业面协同”的工作原则,构建了工作机制。面向重大安全事件和高级威胁响应处置,形成了整体战备动员机制。安天已经连续八届(十六年)蝉联国家互联网应急中心国家级(甲级)支撑单位。

今天带来,安天应急处置与威胁分析工作轨迹的第二部分——勒索攻击等黑产活动分析响应处置篇。

经济获利一直是网络攻击活动的主要动力来源之一,围绕侵害信息系统、信息资产和用户形成了网络黑灰产的犯罪体系。由此产生了勒索攻击、商业窃密、构造僵尸网络进行DDoS攻击、挖矿等多种威胁形势。

其中勒索攻击是网络犯罪中当前危害最大的一种形势,勒索攻击的早期模式,是通过勒索病毒或内置勒索代码的软件,感染扩散或分发,发作后用户数据被加密或系统瘫痪,交付赎金后完成的。但今天勒索攻击的主要形式已经以RaaS(勒索即服务)+定向攻击为主,攻击者对受害者实施定向入侵、数据窃取、数据加密和破坏系统等活动,之后以用户系统数据无法使用、数据贩卖、数据公开、关联举报等为要挟,要求用户支付大量赎金。

提升用户应对勒索攻击等黑灰产活动的感知和防御能力,一直是安天引擎和政企产品和服务能力的重要频谱,而跟进分析相关重大安全事件、提供公共安全知识、提升用户意识和防护水平则也是安天在应急响应处置中重要的支撑能力频谱,通过开展攻击活动感知、样本捕获分析、漏洞机理和缓解研究、威胁情报生产、发布专杀处置工具、公布分析报告等工作,为客户和公众提供安全赋能。

勒索攻击等黑产活动分析响应处置篇
2006年
事件:Redplus勒索
贡献:率先捕获国内首个勒索攻击样本
2013年
事件:CryptoLocker勒索
贡献:分析报告
2015年8月
事件:CTB-Locker敲诈者
贡献:分析报告
CTB-Locker勒索形象
更多内容参见:
2015年8月
工作:分析梳理勒索攻击的历史。
贡献:勒索攻击分类、演进史、威胁趋势、家族分析
更多内容参见:
2016年2月
事件:首例具有中文提示的勒索攻击
贡献:率先捕获、首例中文提示勒索
2017年5月
事件:魔窟“WannaCry”
贡献:首发完整分析、专杀、免疫工具、内存密钥提取(恢复)工具、溯源支撑
WannaCry病毒形象
更多内容参见:
安天应对勒索软件“WannaCry”防护手册
安天蠕虫式勒索软件WannaCry免疫工具FAQ 4
2018年2月
事件:GandCrab勒索
贡献:深度分析报告、加密原理分析
更多内容参见:
2018年2月
事件:GlobeImposter勒索    
贡献:动态解密原理分析
GlobeImposter勒索病毒形象
更多内容参见:
2019年3月
事件:国际黑产组织针对部分东亚国家金融从业者攻击
贡献:事件分析、样本分析、组织关联与画像
TA505组织形象
更多内容参见:   
2019年6月
事件:勒索攻击Sodinokibi运营组织的关联
贡献:组织归因、关联分析
Sodinokibi勒索形象
更多内容参见:
2019年10月
事件:Phobos勒索变种
贡献:样本归因、家族演进史
Phobos勒索变种形象    
更多内容参见:
2020年4月
事件:WannaRen勒索攻击
贡献:捕获预警、分析报告、追踪溯源
WannaRen勒索攻击弹窗显示
更多内容参见:
2021年2月
事件:“云铲”挖矿木马
贡献:联合发布、样本分析、处置方案
更多内容参见:
2021年5月-7月
事件:美燃油管道商遭勒索攻击关停事件
贡献:防护建议、样本分析、事件梳理和总结    
DarkSide勒索攻击勒索信
更多内容参见:
2021年7月
事件:“幻鼠”组织窃密攻击
贡献:全球监测、流程分析、样本分析
“幻鼠”组织形象
更多内容参见:
2021年8月
事件:Agent Tesla新型变种
贡献:捕获预警、分析报告
更多内容参见:
2021年9月
公共支撑:中国信通院《勒索病毒安全防护手册》
贡献:电信、移动、联通、安天、安恒、奇安信、绿盟等
勒索病毒安全防护手册
2021年10月
事件:FormBook窃密木马攻击
贡献:捕获预警、分析报告
更多内容参见:
2021年11月
事件:RedLine窃密
贡献:传播途径、分析报告
更多内容参见:
2021年11月
工作:勒索攻击和危害专题
贡献:勒索攻击专题
智甲终端防护系统防御勒索病毒原理示意图
更多内容参见:
2021年11月
事件:H2Miner组织挖矿    
贡献:样本分析、排查建议
更多内容参见:
2021年12月
事件:Conti勒索
贡献:组织介绍、梳理受害者信息、样本分析
Conti勒索攻击勒索信
更多内容参见:
2022年2月
事件:Coffee勒索攻击
贡献:样本分析、全球感染情况、解密工具    
Coffee勒索攻击勒索信
更多内容参见:
2022年3月
工作:商业窃密木马专题
贡献:专题研究
更多内容参见:
2022年9月
事件:“魔盗”窃密木马大规模传播
贡献:联合发布、风险提示、感染规模、样本分析
更多内容参见:
2022年11月
工作:挖矿家族研究
贡献:挖矿专题
更多内容参见:   
2023年3月-至今
事件:“游蛇”黑产团伙
贡献:率先捕获、分析报告、专杀工具、普查工具
“游蛇”黑产团伙形象
更多内容参见:
2023年5月
事件:Akira勒索攻击    
贡献:勒索攻击概览、技术梳理
Akira勒索攻击勒索信
更多内容参见:
2023年6月
事件:Diicot挖矿组织近期攻击
贡献:监测预警、联合发布
更多内容参见:
2023年11月
事件:LockBit勒索攻击
贡献:样本分析、定向勒索防御思考
LockBit勒索攻击修改桌面背景
更多内容参见:
2023年12月
事件:波音遭遇勒索攻击
贡献:威胁趋势分析、分析复盘、防御思考、样本分析
波音遭遇勒索攻击事件分析复盘
更多内容参见:
2024年1月
事件:“暗蚊”黑产团伙
贡献:全球监测、活动时间线、攻击流程、样本分析
更多内容参见:
2024年5月
安全服务:安天勒索防治演练
贡献:勒索防护专题、勒索防治演练服务    
安天勒索防治演练服务概述
更多内容参见:
2024年5月
事件:“匿铲”挖矿木马
贡献:样本分析、排查与清除方案
更多内容参见:
2024年9月
事件:RansomHub勒索攻击
贡献:组织背景、组织归因    
RansomHub组织RaaS计划
更多内容参见:
往期回顾


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
ZhouSa.com-宙飒天下网