勒索病毒(Ransomware),又稱勒索軟件,是一種特殊的惡意軟件,又被人歸類為“阻斷訪問式攻擊”(denial-of-access attack)。
勒索病毒屬于惡意軟件的一種病毒類型,這種病毒的誕生還要追溯到二十世紀(jì)八十年代,早在1989年哈佛大學(xué)博士學(xué)位的生物學(xué)家約瑟夫波普J(rèn)oseph Popp開發(fā)了一款軟件,并向世界衛(wèi)生組織艾滋病會議的參加者分發(fā)了20000張受感染的磁盤,以艾滋病信息-入門軟盤命名,當(dāng)軟盤插入電腦就會感染該勒索病毒,彈出勒索提示信息框,受害者必須在巴拿馬的郵政郵箱向PC Cyborg Corporation發(fā)送189美元,以解鎖電腦的訪問權(quán)限,這就是最早的勒索病毒以及勒索攻擊。
我國國內(nèi)首款勒索病毒Redplus于2006年被首次發(fā)現(xiàn),這個病毒并不會刪除電腦里的文件,而是把它們轉(zhuǎn)移到一個具有隱藏屬性的文件夾,然后彈出窗口要求用戶將贖金匯到指定的銀行賬戶,金額從70元到200元不等。
勒索病毒主要攻擊方式
勒索病毒主要的攻擊方式,主要有三種:
一是通過RDP、VPN以及組織電子郵箱。不管是通過暴力破解,還是通過地下暗網(wǎng)泄露的憑據(jù)信息,通過這些入口進入組織機構(gòu),內(nèi)網(wǎng)橫向滲透之后,安裝各種惡意軟件,進行勒索攻擊活動。
二是通過組織系統(tǒng)應(yīng)用的各種漏洞。進入組織安裝各種惡意軟件,內(nèi)網(wǎng)橫向滲透之后,然后進行勒索攻擊活動。
三是通過釣魚、水坑、社工等APT攻擊手法。對組織機構(gòu)進行APT定向攻擊,入侵之后,安裝各種惡意軟件,內(nèi)網(wǎng)橫向滲透之后,后期進行勒索攻擊活動。
上面的三種方式都可以進行一重勒索攻擊活動,但如果想進行二重勒索、三重勒索等攻擊活動,一般都是先通過上面的一種方法,進入組織機構(gòu)內(nèi)網(wǎng),然后利用各種黑客工具進行橫向滲透或安裝其他惡意軟件,包含遠(yuǎn)控木馬、后門等拿到組織機構(gòu)核心數(shù)據(jù)之后,再進行勒索攻擊活動,橫向滲透一般使用的技巧就是紅隊的一些攻擊技巧。
總體來看,勒索病毒攻擊技術(shù)已經(jīng)從最開始單一的使用RDP暴破等攻擊方式,逐漸向APT定向攻擊進行演變,勒索病毒樣本使用的加密算法、免殺技術(shù)、攻擊模塊也在不斷增加,同時黑客也會通過RAAS平臺來運營自己的勒索病毒,以賺取更多的利益。
如何防御勒索病毒
隨著勒索病毒的日益猖狂,國內(nèi)領(lǐng)先的專注于保密與非密領(lǐng)域的分級保護、等級保護、業(yè)務(wù)連續(xù)性安全和大數(shù)據(jù)安全產(chǎn)品系統(tǒng)與相關(guān)技術(shù)研究開發(fā)的領(lǐng)軍企業(yè)——國聯(lián)易安開發(fā)出下一代勒索病毒防御系統(tǒng)。該系統(tǒng)達(dá)到了對所有勒索病毒及其變種的自動識別、主動檢測、精準(zhǔn)定位和全面防御效果,解決了勒索病毒“發(fā)現(xiàn)難、防御更難”的尷尬困境和問題。
一是通過威脅情報,實現(xiàn)“智能化輔助決策”。在過去的安全防御中,更多的是關(guān)注如何提升系統(tǒng)內(nèi)部的防御能力,缺少對外部攻擊者的研究和了解,永遠(yuǎn)處在被動防御的狀態(tài)。威脅情報的引入解決了這一問題,通過互聯(lián)網(wǎng)上海量數(shù)據(jù)的收集分析,為用戶提供了攻擊發(fā)起者的背景信息,既可以指導(dǎo)安全防御體系建設(shè),也可以直接用來發(fā)現(xiàn)安全威脅。
二是通過行為關(guān)聯(lián)分析,定位“攻擊動作鏈條”。一件攻擊事件在不同的階段具備不同的行為特征,這些行為特征分開來看并不一定直接構(gòu)成威脅,而原有的系統(tǒng)中并不具備將這些行為進行關(guān)聯(lián)分析的能力,導(dǎo)致這些安全威脅無法被檢測和阻止。所以,要實現(xiàn)對未知威脅以及未知勒索病毒的檢測必須依靠機器學(xué)習(xí)和大數(shù)據(jù)分析能力,通過大量的行為日志分析和快速檢索,找出關(guān)鍵目標(biāo)和威脅,對相關(guān)事件進行關(guān)聯(lián)分析,還原安全事件全貌,并進行有效的防御和處置。
三是通過AI自學(xué)習(xí)技術(shù),對抗“病毒變種威脅”。傳統(tǒng)殺毒技術(shù)嚴(yán)重依賴于樣本獲得能力和病毒分析師的能力,基本只能處理已知問題,不能對可能發(fā)生的問題進行防范,具有嚴(yán)重的滯后性和局限性。國聯(lián)易安下一代勒索病毒防御系統(tǒng)依托海量的威脅情報庫和惡意軟件捕獲能力,通過AI自學(xué)習(xí)技術(shù)訓(xùn)練的未知惡意軟件檢測引擎,可以幫助用戶有效抵抗未知惡意軟件威脅。通過對海量樣本進行監(jiān)測分析,能夠找到惡意軟件的內(nèi)在規(guī)律,能對未來相當(dāng)長時期的惡意軟件技術(shù)做出前瞻性預(yù)測,實現(xiàn)針對病毒變種的有效識別。
四是通過AI仿真誘捕技術(shù),投放誘餌。國聯(lián)易安下一代勒索病毒防御系統(tǒng)基于AI技術(shù),構(gòu)建了仿真誘捕環(huán)境,可以實現(xiàn)對可疑文件進行高級威脅檢測。AI仿真誘捕環(huán)境通過接收還原PE和非PE文件,使用仿真環(huán)境、動態(tài)檢測等一系列無簽名檢測方式,發(fā)現(xiàn)傳統(tǒng)安全設(shè)備無法發(fā)現(xiàn)的復(fù)雜威脅,并將仿真誘捕平臺上的相關(guān)告警發(fā)送至分析平臺,實現(xiàn)告警統(tǒng)一管理和后續(xù)進一步分析。
五是通過威脅腦圖,顯示“直觀安全態(tài)勢”。國聯(lián)易安下一代勒索病毒防御系統(tǒng)通過可視化技術(shù)的利用,將原本碎片化的威脅告警、異常行為告警數(shù)據(jù)結(jié)構(gòu)化,以便于用戶理解,從而省去了閱讀繁復(fù)報告的過程??梢暬夹g(shù)的利用使得用戶可以更直觀地感受到網(wǎng)絡(luò)內(nèi)的安全形勢,使得安全由“不可見變?yōu)榭梢姟?,不但帶來了更好的用戶體驗,同時還有效地提高了安全監(jiān)控的效率。
安全的核心是對抗
防勒索攻擊,是一個很大的話題,目前勒索病毒黑客組織已經(jīng)形成一整套生態(tài)鏈,想防御勒索病毒需要的也是一套系統(tǒng)的防御方案,從邊界防御到系統(tǒng)終端防御,從威脅情報到黑客組織攻擊技術(shù)對抗。
安全的核心是對抗,對抗的核心是人。當(dāng)一些黑客組織的技術(shù)水平遠(yuǎn)高于一些組織機構(gòu)或者安全廠商專業(yè)技術(shù)人員的時候,就不存在安全對抗了,組織機構(gòu)被勒索攻擊是遲早的問題。做網(wǎng)絡(luò)安全其實就是人與人的技術(shù)對抗,而且這種對抗是一個不斷持續(xù)升級的過程,黑客組織會不斷尋找新的攻擊目標(biāo),研究新的攻擊武器,免殺繞過技術(shù),網(wǎng)絡(luò)安全防御也需要不斷去研究各種對抗技術(shù),尤其是AI自學(xué)習(xí)、仿真誘捕、態(tài)勢感知技術(shù)。
“攻擊者在盜取重要數(shù)據(jù)后,要挾巨額贖金,甚至通過橫向移動鎖定關(guān)鍵數(shù)據(jù)并在整個網(wǎng)絡(luò)中傳播勒索病毒,刪除系統(tǒng)備份數(shù)據(jù)。尤其值得關(guān)注的是,隨著政企數(shù)字化轉(zhuǎn)型和業(yè)務(wù)上云,勒索病毒越來越多地鎖定云存儲,破壞性也愈來愈嚴(yán)重?!眹?lián)易安總經(jīng)理門嘉平博士表示。
關(guān)于國聯(lián)易安
北京國聯(lián)易安信息技術(shù)有限公司(原北京智恒聯(lián)盟科技有限公司)簡稱“國聯(lián)易安”,成立于2006年,擁有“國聯(lián)易安”和“智恒聯(lián)盟”兩個品牌,是國內(nèi)專注于保密與非密領(lǐng)域的分級保護、等級保護、業(yè)務(wù)連續(xù)性安全和大數(shù)據(jù)安全產(chǎn)品解決方案與相關(guān)技術(shù)研究開發(fā)的領(lǐng)軍企業(yè)。公司多項安全技術(shù)補了國內(nèi)技術(shù)空白,并且在政府、金融、保密、電信運營商、軍隊軍工、大中型企業(yè)、能源、教育、醫(yī)療電商等領(lǐng)域得到廣泛應(yīng)用。
國聯(lián)易安除研發(fā)生產(chǎn)專業(yè)安全產(chǎn)品外,還為客戶提供全面的檢測與防護方案專家咨詢、源代碼安全評估、安全運維值守、智能終端安全評估、安全滲透測試、專業(yè)安全培訓(xùn)等專業(yè)安全服務(wù)。
審核編輯 黃宇
-
網(wǎng)絡(luò)安全
+關(guān)注
關(guān)注
10文章
3085瀏覽量
59469 -
AI
+關(guān)注
關(guān)注
87文章
29383瀏覽量
267678
發(fā)布評論請先 登錄
相關(guān)推薦
評論