换个角度思考勒索攻击事件
摘要:本文基于立体防御“事前、事中、事后”的思路,从检测角度来剖析如何检测和防范勒索软件的网络攻击,从而最大程度为企业减轻类似网络攻击带来的损失。
本文分享自华为云社区《从检测角度思考美燃油管道商遭勒索攻击事件》,作者:安全技术猿 。
2021年5月7日,美国最大成品油管道运营商Colonial Pipeline遭到Darkside(黑暗面组织)勒索软件的网络攻击,该起攻击导致美国东部沿海主要城市输送油气的管道系统被迫下线,对经济和民生都产生了巨大的影响后果。这次攻击其实并没有利用到0DAY漏洞,甚至也没有利用到任何已知漏洞。如何检测和防范类似的或更加隐蔽的网络安全攻击事件值得我们深思。
根据安天CERT对勒索攻击的分类,包含既有传统非定向勒索的大规模传播->加密->收取赎金->解密模式,也有定向攻击->数据窃取->加密->收取赎金解密->不交赎金->曝光数据模式的新型作业链条两种。相对来说非定向勒索更多的是通过广撒网的方式来碰运气,这种方式的攻击力相对弱一些,主要攻击安全基线做的不够好而导致系统存在明显的薄弱环节,而定向勒索的攻击力就强很多,可以和APT攻击相提并论,同时也针对一些高价值的目标系统。
基于立体防御“事前、事中、事后”的思路,下面分别从这3个层次分别来讲述安全检测能做哪些事情来防范;
从检测角度来看,“事前”如何尽可能的提前感知到系统的薄弱位置进行加固,防范于未然是最好的;另外加强人的安全防范意识也是非常重要的,这次能攻击成功的一个前置条件就是需要有admin权限的人来运行该勒索软件,因此不要运行来路不明的应用是大家平时工作中特别需要强调和注意,针对利用漏洞的攻击行为,系统安全就更为关键和重要了。
对非定向勒索攻击,更多的是做好系统安全基线的评估,其中关键点是补丁和系统安全加固的检测和风险评估。
能实现这两种检测的黑盒工具:
- 动态检测商用工具有Nessus、Nexpose、RSAS、GSM、openVAS等
- 静态已知漏洞检测商用工具有appcheck、cybellum等。
另外针对漏洞等级和漏洞修复优先顺序的评估和关键资产的补丁修复跟踪系统这块也是需要加强和重视。
对定向勒索攻击,同APT检测一样,需要更多的威胁情报和入侵检测和纵深防御与检测能力,而不仅仅只依赖单一的动静态检测工具就能做到的。
既然无法完全防御住“事前”,那么针对“事中”的监控和“事后”的确认,从检测角度看也是很有必要的。基于Darkside勒索软件样本的分析结果,针对勒索软件的特有行为特征,可以开发一些针对性的方法和检测工具,实现该勒索软件行为的实时监测,从而能实现及时的触发报警系统,减轻或避免勒索软件的横向渗透导致感染面积的扩散。
下面就这个勒索软件的表现出来的异常行为特征我想到的一些检测方法,给大家起到一个抛砖引玉作用。
软件行为1:Darkside勒索软件会有系统语言判定行为。
检测方法1:监测软件获取系统语言的API,从而发现那些调用该API获取系统语言的软件并触发报警,再由人工来判断是否遭受到Darkside勒索软件的攻击。
软件行为2:为了避免影响勒索软件的运行,会结束下列服务backup、sql、sophos、svc$、vss、memtas、mepocs、veeam、GxBlr、GxCVD、GxClMgr、GxFWD、GxVss。的行为。
检测方法2:可以在一些机器上部署这些假冒的服务,并时刻监视这些服务是否在运行状态中,如果这些服务运行状态异常,那么就可以触发报警系统,再由人工来确认是否遭受到Darkside勒索软件的攻击。这种方法类似常见的蜜罐检测方法。
软件行为3:Darkside勒索软件会有获取用户名、计算机名、机器首选语言、Netbios名等信息的行为。
检测方法3:可以参考软件行为1的类似检测方法。
软件行为4:打开Firefox/80.0应用程序句柄,通过443端口连接到C2服务器的行为。
检测方法4: 检测异常的网络连接端口和网络连接行为。
软件行为5:递归函数查找全盘特定文件和文件夹,并将其删除的行为。
检测方法5:可以参考软件行为1的类似检测方法。
总结:针对勒索软件的恶意攻击,“事前”的有效防护是重中之重,而检测能力则是“事前”有效防护的试金石,检测工具“矛”的能力越强,越能检测出“事前”有效防护这个“盾”的坚固程度。另外网络防护一定是立体防护,寄希望一道篱笆就挡住所有攻击行为是不现实的,也是不明智的。
可以试试下面的漏扫服务,看看系统是否存在安全风险
漏洞扫描服务 VSS
点击关注,第一时间了解华为云新鲜技术~
换个角度思考勒索攻击事件相关推荐
- 从2020年十大勒索攻击事件聊聊企业安全“防盗”新思路
自2017年WannaCry.NotPetya席卷全球以来,勒索病毒一直以不可忽视的危害性和破坏力,被全球企业和机构视为最大网络威胁之一.回顾整个2020年,受新冠疫情大流行和全球数字化进程加快的驱动 ...
- 腾讯安全联手知道创宇应对全球勒索攻击事件
事件 从5月12日晚间起,中国各大高校的师生陆续发现自己电脑中的文件和程序无法打开,而是弹出对话框要求支付比特币赎金后才能恢复,大家上网互相交流后才发现这不是个案.无独有偶,在同一时间,英国医院也受到 ...
- Kaseya 修复供应链勒索攻击事件中被利用的缺陷
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士 周日,位于美国佛罗里达州的软件厂商 Kaseya 发布紧急更新,修复了虚拟系统管理员 (VSA) 解决方案中的多个严重漏洞.该 VSA 软 ...
- IT咨询巨头埃森哲遭遇勒索攻击事件,给了我们哪些启示?
近日,全球IT咨询巨头财富500强公司埃森哲遭遇了LockBit勒索软件组织的勒索软件网络攻击.一个名为LockBit 2.0的勒索软件组织声称从埃森哲窃取了6TB的数据,并要求支付5000万美元的赎 ...
- 六年间全球十大勒索攻击事件盘点:没有底线全是算计
自2017年WannaCry席卷全球以来,勒索软件攻击不断演变,并逐渐形成产业化,其攻击规模.影响及破坏效果进一步扩大,已经对全球制造.金融.能源.医疗.政府组织等关键领域造成严重影响,在某些事件中, ...
- 勒索攻击猖獗,在云上如何应对这位“破坏分子”?
2019独角兽企业重金招聘Python工程师标准>>> 借助比特币等数字货币的匿名性,勒索攻击在近年来快速兴起,给企业和个人带来了严重的威胁.阿里云安全中心发现,近期云上勒索攻击事件 ...
- IT巨头埃森哲遭 LockBit 勒索攻击,黑客威胁泄露数据
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 LockBit 勒索团伙在其暗网门户称他们攻击了全球IT咨询巨头埃森哲公司. LockBit 团伙在暗网指出,"这些人毫无隐私和安全. ...
- 供应链勒索攻击登场,REvil 利用0day 迫使安全事件响应工具 VSA部署勒索软件
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件 ...
- 360携手贵阳开启数据安全战略合作 周鸿祎警示勒索攻击危害
"发展数字经济.建设数字中国是新时代高质量发展的新共识,也是百年未有之大变局下中国弯道超车的新赛道."5月26日,在2021中国国际大数据产业博览会(简称"2021数博会 ...
最新文章
- Python-EEG处理和事件相关电位(ERP)
- python堆堆乐教程_python堆排序,详细过程图和讲解,这样做小白都会
- mysql5.0锁定用户_MySQL系列(五)---总结MySQL中的锁
- 关于“VCL已死、RAD已死”答读者问
- winsok编程历程
- Oracle RAC 修改 IP 地址
- LwIP应用开发笔记之七:LwIP无操作系统HTTP服务器
- html自动播放auto,为移动而生的 HTML 属性autocapitalize和autocorrect
- ubuntu 14.04 linux下wifi驱动安装使用的一些笔记
- Helm 架构 - 每天5分钟玩转 Docker 容器技术(161)
- 《Linux4.0设备驱动开发详解》笔记--第五章:Linux文件系统与设备文件
- ajax请求,返回值为304 Not Modified 错误原因与解决办法
- mysql存储过程的优缺点,数据库篇(二)——什么是存储过程?有哪些优缺点?...
- 电脑wifi密码查看
- vector subscript out of range
- Activiti学习——生成历史流程跟踪图
- 手机回收ATM面世,无人回收会成为下一个风口吗?
- 2D草图实时3D建模,可跑可跳无需手动绑定骨骼丨开源
- 【学习】蓝桥杯嵌入式--按键输入
- 禁用和启用google翻译