搜索歷史

清空
搜索熱詞
      0
      • 聊天消息
      • 系統(tǒng)消息
      • 評論與回復
      VIP于 到期 續(xù)費
      登錄后你可以
      • 下載海量資料
      • 學習在線課程
      • 觀看技術(shù)視頻
      • 寫文章/發(fā)帖/加入社區(qū)
      會員中心
      創(chuàng)作中心
      發(fā)布
      創(chuàng)作活動

      完善資料讓更多小伙伴認識你,還能領(lǐng)取20積分哦,立即完善>

      3天內(nèi)不再提示

      從檢測角度思考美燃油管道商遭勒索攻擊事件

      清歡科技 ? 來源: 清歡科技 ? 作者: 清歡科技 ? 2022-10-12 19:39 ? 次閱讀

      2021年5月7日,美國最大成品油管道運營商Colonial Pipeline遭到Darkside(黑暗面組織)勒索軟件的網(wǎng)絡(luò)攻擊,該起攻擊導致美國東部沿海主要城市輸送油氣的管道系統(tǒng)被迫下線,對經(jīng)濟和民生都產(chǎn)生了巨大的影響后果。這次攻擊其實并沒有利用到0DAY漏洞,甚至也沒有利用到任何已知漏洞。如何檢測和防范類似的或更加隱蔽的網(wǎng)絡(luò)安全攻擊事件值得我們深思。

      根據(jù)安天CERT對勒索攻擊的分類,包含既有 傳統(tǒng)非定向勒索的大規(guī)模傳播->加密->收取贖金->解密模式 ,也有定向攻擊->數(shù)據(jù)竊取->加密->收取贖金解密->不交贖金->曝光數(shù)據(jù)模式的新型作業(yè)鏈條兩種。相對來說非定向勒索更多的是通過廣撒網(wǎng)的方式來碰運氣,這種方式的攻擊力相對弱一些,主要攻擊安全基線做的不夠好而導致系統(tǒng)存在明顯的薄弱環(huán)節(jié),而定向勒索的攻擊力就強很多,可以和APT攻擊相提并論,同時也針對一些高價值的目標系統(tǒng)。

      基于立體防御“ 事前、事中、事后 ”的思路,下面分別從這3個層次分別來講述安全檢測能做哪些事情來防范;

      從檢測角度來看,“事前”如何盡可能的提前感知到系統(tǒng)的薄弱位置進行加固,防范于未然是最好的;另外加強人的安全防范意識也是非常重要的,這次能攻擊成功的一個前置條件就是需要有admin權(quán)限的人來運行該勒索軟件,因此不要運行來路不明的應(yīng)用是大家平時工作中特別需要強調(diào)和注意,針對利用漏洞的攻擊行為,系統(tǒng)安全就更為關(guān)鍵和重要了。

      非定向勒索攻擊 ,更多的是做好 系統(tǒng)安全基線的評估 ,其中關(guān)鍵點是補丁和系統(tǒng)安全加固的檢測和風險評估。

      能實現(xiàn)這兩種檢測的黑盒工具:

      · 動態(tài)檢測商用工具有Nessus、Nexpose、RSAS、GSM、openVAS等

      · 靜態(tài)已知漏洞檢測商用工具有appcheck、cybellum等。

      另外針對漏洞等級和漏洞修復優(yōu)先順序的評估和關(guān)鍵資產(chǎn)的補丁修復跟蹤系統(tǒng)這塊也是需要加強和重視。

      定向勒索攻擊 ,同APT檢測一樣,需要更多的威脅情報入侵檢測縱深防御與檢測能力,而不僅僅只依賴單一的動靜態(tài)檢測工具就能做到的。

      既然無法完全防御住“事前”,那么針對“事中”的監(jiān)控和“事后”的確認,從檢測角度看也是很有必要的。基于Darkside勒索軟件樣本的分析結(jié)果,針對勒索軟件的 特有行為特征 ,可以開發(fā)一些針對性的方法和檢測工具,實現(xiàn)該勒索軟件 行為的實時監(jiān)測 ,從而能實現(xiàn)及時的觸發(fā)報警系統(tǒng),減輕或避免勒索軟件的橫向滲透導致感染面積的擴散。

      下面就這個勒索軟件的表現(xiàn)出來的異常行為特征我想到的一些檢測方法,給大家起到一個拋磚引玉作用。

      軟件行為1 :Darkside勒索軟件會有系統(tǒng)語言判定行為。

      檢測方法1 :監(jiān)測軟件獲取系統(tǒng)語言的API,從而發(fā)現(xiàn)那些調(diào)用該API獲取系統(tǒng)語言的軟件并觸發(fā)報警,再由人工來判斷是否遭受到Darkside勒索軟件的攻擊。

      軟件行為2 :為了避免影響勒索軟件的運行,會結(jié)束下列服務(wù)backup、sql、sophos、svc$、vss、memtas、mepocs、veeam、GxBlr、GxCVD、GxClMgr、GxFWD、GxVss。的行為。

      檢測方法2 :可以在一些機器上部署這些假冒的服務(wù),并時刻監(jiān)視這些服務(wù)是否在運行狀態(tài)中,如果這些服務(wù)運行狀態(tài)異常,那么就可以觸發(fā)報警系統(tǒng),再由人工來確認是否遭受到Darkside勒索軟件的攻擊。這種方法類似常見的蜜罐檢測方法。

      軟件行為3 :Darkside勒索軟件會有獲取用戶名、計算機名、機器首選語言、Netbios名等信息的行為。

      檢測方法3 :可以參考軟件行為1的類似檢測方法。

      軟件行為4 :打開Firefox/80.0應(yīng)用程序句柄,通過443端口連接到C2服務(wù)器的行為。

      檢測方法4 :檢測異常的網(wǎng)絡(luò)連接端口和網(wǎng)絡(luò)連接行為。

      軟件行為5 :遞歸函數(shù)查找全盤特定文件和文件夾,并將其刪除的行為。

      檢測方法5 :可以參考軟件行為1的類似檢測方法。

      審核編輯 黃昊宇

      聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學習之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問題,請聯(lián)系本站處理。 舉報投訴
      • 檢測
        +關(guān)注

        關(guān)注

        5

        文章

        4398

        瀏覽量

        91250
      • 網(wǎng)絡(luò)攻擊
        +關(guān)注

        關(guān)注

        0

        文章

        330

        瀏覽量

        23401
      收藏 人收藏

        評論

        相關(guān)推薦

        國內(nèi)常見的石油管道外徑測量方法?

        實時分析和處理。 自動化測量系統(tǒng) ?集成式自動化測量系統(tǒng):在石油管道生產(chǎn)線或檢測線上,通常會配備集成式的自動化測量系統(tǒng)。這些系統(tǒng)集成了多種測量技術(shù)和設(shè)備,可以同時對管道的多項參數(shù)進行測量和分析。其中
        發(fā)表于 09-29 16:58

        Steam一夜28萬次攻擊,該如何做好防護措施?

        Steam一夜28萬次攻擊是發(fā)生在《黑神話:悟空》上線后,該游戲作為中國首款3A大作,吸引了大量玩家,銷量突破1000萬套。然而,由于DDoS攻擊導致Steam平臺崩潰,游戲的實時在線人數(shù)一度
        的頭像 發(fā)表于 08-27 10:47 ?374次閱讀

        渦街流量計在石油管道運輸中的流量監(jiān)測與泄漏檢測技術(shù)研究

        渦街流量計在石油管道運輸中廣泛應(yīng)用于流量監(jiān)測和泄漏檢測,其原理和技術(shù)特點使其成為一種可靠的選擇。以下是渦街流量計在這些應(yīng)用中的主要技術(shù)和研究方向: 流量監(jiān)測技術(shù) 原理與工作機制: 渦街流量計基于卡門
        的頭像 發(fā)表于 08-05 17:22 ?232次閱讀

        美國醫(yī)療巨頭Ascension勒索軟件攻擊,涉及140家醫(yī)院

        據(jù)報道,美國非營利性醫(yī)療機構(gòu) Ascension 于5月8日遭受黑客組織 Black Basta 的勒索軟件攻擊,導致其旗下140家醫(yī)院和40家養(yǎng)老院的系統(tǒng)服務(wù)受到影響。
        的頭像 發(fā)表于 05-14 11:37 ?436次閱讀

        波音遭遇勒索軟件攻擊,拒付2億美元贖金

        網(wǎng)絡(luò)罪犯通過LockBit勒索軟件平臺于2023年10月展開攻擊,并在11月初成功竊取了43GB的波音機密文件,后將其上傳至LockBit網(wǎng)站。
        的頭像 發(fā)表于 05-10 10:41 ?444次閱讀

        運營的本分,就是專業(yè)做好管道

        3G時代開始,就一直有運營淪為流量管道,增量不增收的說法。國內(nèi)外的運營多年來似乎都在上線各種創(chuàng)新業(yè)務(wù),和管道的地位斗爭。然而,
        的頭像 發(fā)表于 04-24 08:04 ?442次閱讀
        運營<b class='flag-5'>商</b>的本分,就是專業(yè)做好<b class='flag-5'>管道</b>

        應(yīng)對勒索病毒,群暉數(shù)據(jù)保護黃金架構(gòu),多維度保護企業(yè)安全

        上海2024年4月22日?/通社/ -- 惡性的攻擊和意外事件總是防不勝防,提前部署災備方案可以在遭遇意外時盡可能減少企業(yè)損失。那么面對無處不在的勒索病毒和潛在風險,為什么依然有很多企業(yè)還會遭遇
        的頭像 發(fā)表于 04-22 13:57 ?379次閱讀
        應(yīng)對<b class='flag-5'>勒索</b>病毒,群暉數(shù)據(jù)保護黃金架構(gòu),多維度保護企業(yè)安全

        勒索病毒的崛起與企業(yè)網(wǎng)絡(luò)安全的挑戰(zhàn)

        在數(shù)字化時代,網(wǎng)絡(luò)安全已成為企業(yè)維護信息完整性、保障業(yè)務(wù)連續(xù)性的關(guān)鍵。然而,勒索病毒以其不斷進化的攻擊手段和商業(yè)化模式,成為全球網(wǎng)絡(luò)安全領(lǐng)域最嚴峻的威脅之一。本文將概述勒索病毒帶來的危害與挑戰(zhàn),并
        的頭像 發(fā)表于 03-16 09:41 ?387次閱讀

        導熱油管道漏油應(yīng)該如何處理

        電子發(fā)燒友網(wǎng)站提供《導熱油管道漏油應(yīng)該如何處理.docx》資料免費下載
        發(fā)表于 03-06 15:41 ?0次下載

        ATA-M4功率放大器在充粘液管道損傷檢測中的應(yīng)用

        。對這三種缺陷分別進行超聲導波檢測。然后再將管中機油放出。   6、進行有缺陷的空心管道實驗。   7、進行有缺陷的充水管道實驗   實驗結(jié)果:通過對4米長無損傷充機油管道的超聲導波
        發(fā)表于 02-27 17:06

        施耐德電氣勒索軟件攻擊,大量機密數(shù)據(jù)泄露

        Cactus是一種新穎的勒索軟件,首次出現(xiàn)于2023年5月,其獨有的加密機制可避免常規(guī)檢測。此外,Cactus具備多種加密選項,包含快速模式。若攻擊者選擇連貫執(zhí)行兩種模式,受害方文件將被雙重加密,附件會添加兩個不同的擴展名。
        的頭像 發(fā)表于 01-31 10:51 ?1202次閱讀

        臺灣半導體公司遭遇勒索軟件攻擊

        來源:The Record 臺灣一家半導體制造受到網(wǎng)絡(luò)攻擊,據(jù)稱該攻擊是由臭名昭著的LockBit勒索軟件團伙發(fā)起的。 黑客在京鼎精密科技(Foxsemicon)的網(wǎng)站上發(fā)布了一條威
        的頭像 發(fā)表于 01-18 16:15 ?489次閱讀

        全球勒索攻擊創(chuàng)歷史新高,如何建立網(wǎng)絡(luò)安全的防線?

        勒索軟件攻擊猖獗黑灰產(chǎn)商業(yè)模式日漸成熟
        的頭像 發(fā)表于 11-20 14:32 ?351次閱讀

        華為HiSec智能安全解決方案,幫您對勒索說“No”

        頻度也大幅增長,近期接連報道和披露知名公司遭受勒索軟件攻擊。如工商銀行在全資子公司——工銀金融服務(wù)有限責任公司(ICBCFS)在官網(wǎng)發(fā)布聲明稱,遭受了勒索軟件
        的頭像 發(fā)表于 11-16 20:20 ?495次閱讀

        小波變換法在輸油管道泄漏檢測中的應(yīng)用研究

        電子發(fā)燒友網(wǎng)站提供《小波變換法在輸油管道泄漏檢測中的應(yīng)用研究.pdf》資料免費下載
        發(fā)表于 11-08 10:42 ?1次下載
        小波變換法在輸<b class='flag-5'>油管道</b>泄漏<b class='flag-5'>檢測</b>中的應(yīng)用研究