專家個人簡介
前面三期介紹了勒索攻擊的趨勢�、攻擊鏈、感染分布現(xiàn)狀,以及華為的勒索攻擊防御整體思路,本期重點展開討論下防勒索的道與術(shù),和華為的針對性精準(zhǔn)阻擊方案��。
在匿名化加密貨幣支付�����、暗網(wǎng)倒賣的助力下,勒索攻擊無疑成為網(wǎng)絡(luò)威脅中最“成功”的一種商業(yè)模式��。大多數(shù)攻擊組織的初始目的是獲利,以破壞和公開商業(yè)機(jī)密為要挾,部分攻擊者的真實意圖是獵取威脅信息,謀取政治訴求����。比起傳統(tǒng)攻擊,多重勒索是最好的獲利和實現(xiàn)各種復(fù)雜意圖的手段�。
勒索攻擊的利潤有多高?對比一個可能“不恰當(dāng)”的例子——海洛因。緬甸高山小山村里種植罌粟的農(nóng)戶,以每公斤113美元的價格售出鴉片汁,途徑采購�、加工和運輸,最后到不同膚色人的血管里,售價上漲10000倍。再看下勒索攻擊,贖金逐年攀升,從Wannacry300美金,到3500萬美金,勒索團(tuán)伙最高每年獲利20億美金��。收入10億可以定義成一個小產(chǎn)業(yè),將勒索攻擊作為一種全球性商品上市流通后,攻擊團(tuán)伙利用黑產(chǎn)配合,快速實現(xiàn)了多向變現(xiàn)���。
巧妙的是,勒索攻擊的生態(tài)圈和海洛因產(chǎn)業(yè)的上下游配合異曲同工������!爸贫尽钡氖且粋團(tuán)隊,分發(fā)部署、執(zhí)行由更專業(yè)的網(wǎng)絡(luò)滲透和攻擊團(tuán)隊承接,RaaS(Ransomware-as-a-Service,勒索軟件即服務(wù))化分工協(xié)作,開箱即用�����。比如,2021年勒索攻擊收入最高的家族Nefilim,將70%的利潤分配給負(fù)責(zé)入侵和部署勒索核心載荷的黑客合作對象,30%留給勒索軟件開發(fā)人員����。對能例行提供受害對象的,利潤配比可提升到90/10。和海洛因一樣,勒索攻擊真正的利潤全在下游����。多團(tuán)隊精準(zhǔn)配合,讓各類新老網(wǎng)絡(luò)攻擊手段和工具箱“大放異彩”,按需發(fā)揮。防勒索變成一個“X+勒索”的命題��。這就像攻破不同組織運送一個帶毒的潘多拉盒子,網(wǎng)絡(luò)滲透團(tuán)隊通過流行的釣魚��、漏洞利用����、RDP爆破等手段入侵企業(yè);攻擊團(tuán)隊負(fù)責(zé)內(nèi)部執(zhí)行�����、橫向移動,打開盒子部署勒索載荷,進(jìn)一步橫移擴(kuò)大戰(zhàn)果��。盒子送進(jìn)去了,打開后攜帶的“毒”可以是勒索加密軟件�、竊密或是DDoS攻擊工具��。多重殺傷力迫使企業(yè)承受高昂贖金�、數(shù)據(jù)損失、業(yè)務(wù)中斷�����、行政處罰等壓力,關(guān)鍵基礎(chǔ)設(shè)施被攻擊,還承受民生���、政治安全風(fēng)險�。隨著勒索攻擊從1.0的無差別廣撒網(wǎng),進(jìn)化到半自動定向攻擊,黑客團(tuán)伙更多選擇關(guān)機(jī)機(jī)構(gòu)實施精準(zhǔn)攻擊,達(dá)到最高投資回報��。中招后難恢復(fù),直接解密基本不可能,勒索多采用非對稱加密,即使加密算法公開,以當(dāng)前算力解密也要上百年���。APT化、供應(yīng)鏈攻擊、虛擬貨幣����、暗網(wǎng)交易等新手段的結(jié)合,造成勒索攻擊更難檢測、難追蹤�����。
結(jié)合勒索攻擊的四個階段,華為防勒索解決方案構(gòu)筑了端網(wǎng)云結(jié)合的四重防鎖鏈,將碎片化防御連接起來,提升IT基礎(chǔ)設(shè)施的數(shù)字韌性,對勒索攻擊進(jìn)行精準(zhǔn)阻擊���。整體上,勒索攻擊還會持續(xù)演進(jìn),0day漏洞�、新的攻擊手段�����、惡意軟件和變種層出不窮,做到絕對檢測和消滅不現(xiàn)實���。這就像人體和病毒的關(guān)系,強(qiáng)身健體自固為本,構(gòu)筑系統(tǒng)免疫力是核心��。事前,縮小攻擊面�����、提前加固,建立多層邊界防線是前提;事中對攻擊范式進(jìn)行分類分解,層層部署動靜態(tài)檢測和誘捕,做到攻擊進(jìn)來及時響鈴,逐層分析��、快速研判;事后,及時響應(yīng)止損,并結(jié)合實時文件備份將數(shù)據(jù)損失減少到最小����。
邊界入侵防線
勒索攻擊防御的核心要素在時間,防御時間越前移,實效最好,損失最低。針對亞太區(qū)TOP的網(wǎng)絡(luò)滲透手段RDP利用�、漏洞利用和釣魚,華為精密構(gòu)造了多重微型過濾網(wǎng)。
首先,收縮對外暴露攻擊面是第一步,這是獲取攻防主動權(quán)的關(guān)鍵�。鴉片戰(zhàn)爭清軍和英國遠(yuǎn)征軍交戰(zhàn),清軍兵力是占絕對優(yōu)勢的,但沒有可正面對抗的“船堅炮利”,放棄海上交鋒,全國幾千里的海岸線都成為防御范圍,什么時候打、打哪里是敵軍說了算����。今天企業(yè)安全防御專業(yè)水平不斷提升,但減少攻擊面,縮短戰(zhàn)線,反客為主還是要放在第一步。事前建立各類安全基線,漏洞補(bǔ)丁提前加固,減少和修復(fù)面向互聯(lián)網(wǎng)的脆弱點�。特別要加強(qiáng)供應(yīng)鏈的代碼審計和安全檢查,可引入自動化工具和軟件成分分析等技術(shù),持續(xù)對熱門開源軟件和應(yīng)用進(jìn)行監(jiān)控,降低勒索攻擊從第三方系統(tǒng)進(jìn)入的風(fēng)險。
第二,通過華為零信任方案,貫徹外網(wǎng)訪問應(yīng)用級最小授權(quán)�。對每一次訪問端到端的基于設(shè)備、角色����、應(yīng)用進(jìn)行安全檢查和動態(tài)威脅評估,層層認(rèn)證授權(quán),包括供應(yīng)鏈設(shè)備和應(yīng)用可信控制,降低黑客和惡意代碼滲透風(fēng)險,結(jié)合微隔離將威脅阻塞在最小控制范圍。
第三,從邊界檢測上,集成威脅信息的華為AI防火墻是第一道前置過濾網(wǎng),形成預(yù)測性“先知”的能力�。針對勒索攻擊慣用的RDP暴力破解、釣魚郵件附件���、攜碼URL和釣魚網(wǎng)頁,AI防火墻可以在勒索核心載荷釋放前的黃金期,基于RDP爆破攻擊IP威脅信息�、勒索C2遠(yuǎn)控IP或域名��、惡意URL分類庫進(jìn)行精準(zhǔn)阻斷�。同時,借助AI防火墻集成的下一代防病毒引擎,聯(lián)動沙箱和郵件安全網(wǎng)關(guān),借助內(nèi)置的動靜態(tài)多引擎和智能檢測算法,精確檢測郵件惡意附件、惡意鏈接的下載程序�����。華為乾坤云安全智能中心,可覆蓋千萬級入站勒索攻擊IP,RDP爆破攻擊IP覆蓋率97%,漏洞攻擊IP覆蓋率90%以上,以及億級AI惡意網(wǎng)頁檢測分類庫���。同時,引入了獨特的NLP自動分析技術(shù),可自動化提取勒索公開安全事件報告威脅信息,加上沙箱勒索樣本培植分析,整體可批量生產(chǎn)勒索C2遠(yuǎn)控IP��、域名��、Hash等各類熱點IOC�����。
第四,是漏洞利用檢測���,F(xiàn)有勒索攻擊已利用的漏洞數(shù)量有220個以上,流行家族平均利用7個以上的組合漏洞。其中三分之一是7年前的,而且一半以上是CVSS分?jǐn)?shù)不高的非高危漏洞�����。這些漏洞絕大部分仍然流行,比如永恒之藍(lán)MS17-010依然“永恒”,因為企業(yè)里還有大量沒修復(fù)漏洞的存量主機(jī),勒索攻擊團(tuán)伙也追求高ROI,該漏洞被最新的勒索家族頻繁使用,達(dá)到內(nèi)網(wǎng)快速橫向傳播的效果。企業(yè)打最新的漏洞補(bǔ)丁,會忽略老漏洞的修復(fù),而這些木桶的短板實際會給企業(yè)帶來更大風(fēng)險��。華為乾坤云可為企業(yè)提供事前主動漏洞檢測和分析服務(wù),幫助企業(yè)提前發(fā)現(xiàn)各類系統(tǒng)��、中間件和應(yīng)用服務(wù)漏洞,給出詳細(xì)漏洞體檢報告和修復(fù)建議�。針對勒索相關(guān)的RCE遠(yuǎn)程代碼執(zhí)行、提權(quán)和暴力破解漏洞利用,華為AI防火墻已基本覆蓋,通過虛擬補(bǔ)丁和規(guī)則對勒索漏洞利用行為進(jìn)行實時阻斷���。華為AI防火墻內(nèi)置硬件模式匹配加速引擎,和獨特的精細(xì)化語法分析技術(shù),在現(xiàn)網(wǎng)入侵檢測簽名全開啟下性能不下降,并具備分段����、跨包等400+反躲避檢測能力,有效阻斷漏洞入侵���。面對未來更多的勒索新變種�、新的漏洞利用,華為未然實驗室長期專注各類漏洞挖掘和利用研究,第一時間生成漏洞利用規(guī)則,不斷提升0day�����、Nday漏洞事前分析和覆蓋能力��。
守的反面是攻,華為未然實驗室同時積累了專業(yè)的滲透測試和BAS攻擊模擬能力,基于ATT&CK攻擊矩陣,分析勒索主流的攻擊技術(shù)和熱點漏洞的利用方式,經(jīng)過統(tǒng)計分析,形成關(guān)鍵攻擊模擬插件case,包括釣魚���、提權(quán)���、駐留��、橫移和勒索加密行為。通過插件的組合,模擬全鏈路的攻擊行為,持續(xù)對企業(yè)安全防御體系進(jìn)行模擬攻擊,主動評估客戶安全防御的有效性和風(fēng)險,確����;A(chǔ)設(shè)施反勒索攻擊彈性。
未知惡意流量監(jiān)測防線
對于新的未知勒索攻擊,入侵手段和使用的惡意載荷在不斷變化,加密通信����、C2托管正常服務(wù)器、雙面工具等躲避手段加劇迷惑性,如何在萬變中找到一條檢測出路?華為AI防火墻和HiSec Insight NDR集成了多維流量智能檢測算法,含加密流量檢測,可覆蓋勒索攻擊鏈路檢測的多個階段,包括RDP暴力破解�����、Web滲透����、可疑Webshell行為等入口突破,以及早期惡意載荷投遞、可疑C2回連����、內(nèi)部橫移、數(shù)據(jù)回傳等8個攻擊階段共30多類檢測能力,其中基于機(jī)器學(xué)習(xí)的檢測算法20種以上�����。在實際攻防場景中,AI防火墻和NDR檢測發(fā)現(xiàn)了大量惡意C2、隱蔽通道�����、慢速暴破等攻擊,在提升檢出率����、發(fā)現(xiàn)未知威脅方面效果顯著,貢獻(xiàn)了32%常規(guī)簽名無法檢出的攻擊事件。對編碼�����、繞過簽名檢測場景的準(zhǔn)確率可達(dá)95%以上�。
此外,從UEBA發(fā)現(xiàn)異常的維度上,HiSec Insight內(nèi)置的對等組算法可以學(xué)習(xí)企業(yè)內(nèi)部實體“白行為”基線,對偏離網(wǎng)絡(luò)基線的異常行為進(jìn)行冒泡��;谌A為HiSec Insight安全態(tài)勢感知,聯(lián)動網(wǎng)絡(luò)探針抓包�、EDR采集進(jìn)一步取證溯源,在萬變中撥清迷霧,一步一步逼近威脅真相,及時聯(lián)動安全設(shè)備和EDR阻斷C2回連通信、清除惡意程序等���。
內(nèi)網(wǎng)終端多維防線
終端是勒索攻擊防御的最重要一道防線,短兵交接,風(fēng)馳云走,這里的“一字訣”是“快”�����。在這個與攻擊者終極PK的修羅場,高效的靜態(tài)和動態(tài)行為檢測需要嚴(yán)密配合,在勒索核心載荷落盤或運行前阻斷,確保時效是關(guān)鍵�����。首先是防病毒AV引擎,華為HiSec EDR集成了下一代AV引擎,可實時掃描發(fā)現(xiàn)勒索攻擊早期木馬�����、提權(quán)等惡意程序投遞,阻止進(jìn)一步釋放勒索軟件;同時,基于內(nèi)核級文件寫入����、運行阻斷查殺技術(shù),在勒索加密載荷落盤或運行前高速掃描,確保勒索軟件不運行下的高檢出和高查殺率���。華為HiSec EDR AV引擎采用MDL專有病毒語言,以少量資源精準(zhǔn)覆蓋海量變種;集成專有在線神經(jīng)網(wǎng)絡(luò)等高精度智能算法�����、反躲避技術(shù)等,可檢測深度隱藏��、嵌套�����、壓縮的病毒,并具備一定未知病毒檢測能力;借助乾坤云端強(qiáng)大的文件安全生產(chǎn)系統(tǒng),利用多AV和沙箱集群,集成10多種以上的自動化簽名算法,對海量樣本進(jìn)行高效����、高質(zhì)覆蓋,持續(xù)對抗分析每日百萬新增惡意樣本,準(zhǔn)確檢測流行勒索軟件家族,以及挖礦、木馬����、僵尸、后門����、蠕蟲等各類惡意軟件。在對抗檢測�����、智能檢測算法�、簽名泛化能力和掃描性能上具備領(lǐng)先。
對于變種和未知勒索軟件,基于威脅知識,從攻擊者的角度分析戰(zhàn)術(shù),拆解攻擊招式是關(guān)鍵����。攻擊的形式可以千變?nèi)f化,但從行為上都可以進(jìn)行總結(jié)和計算,形成威脅范式。整體思路是“誘敵入網(wǎng),反客為主”���。華為HiSec EDR動態(tài)行為檢測采用內(nèi)核級監(jiān)控,結(jié)合內(nèi)核動態(tài)誘餌文件部署,對進(jìn)程創(chuàng)建�、進(jìn)程注入、鏡像加載����、文件寫入、注冊表修改����、誘餌文件修改、網(wǎng)絡(luò)連接和指令調(diào)用等進(jìn)行全面監(jiān)控��。借鑒曾國藩湘軍的“結(jié)硬寨”的戰(zhàn)術(shù),基于威脅范式精心密織一張行為捕獲網(wǎng),網(wǎng)分三層:
第一層,廣泛打點,在EDR端側(cè)密布各類異常行為探測器,可有效捕獲已知未知勒索在早期的可疑行為�����。
第二層,通過獨有的內(nèi)存威脅圖,對單終端進(jìn)程樹���、文件、憑據(jù)等對象訪問行為鏈,進(jìn)行毫秒級上下文關(guān)聯(lián),支持流式異常狀態(tài)機(jī)匹配,輸出高置信度惡意行為,基于高性能主機(jī)IPS,結(jié)合靜態(tài)AV引擎將95%以上的勒索攻擊實時阻斷閉環(huán)在終端側(cè)�。
第三層,構(gòu)筑在云端,通過乾坤云對跨終端、異構(gòu)數(shù)據(jù)源進(jìn)行時空層面的綜合關(guān)聯(lián)和溯源,結(jié)合AI算法和全局威脅溯源圖深度歸因,還原攻擊鏈,實現(xiàn)70%以上威脅一鍵自動化處置率�。即使勒索攻擊采用隱蔽性極高的內(nèi)存型無文件攻擊,或利用OS自帶二進(jìn)制、合法工具�、powershell命令等進(jìn)行躲避,也能在關(guān)鍵點觸碰網(wǎng)中的鈴鐺,基于運行時行為上下文關(guān)聯(lián),找出破綻。
最后通過端網(wǎng)����、端云��、網(wǎng)云三個層面的XDR綜合聯(lián)動,和勒索攻擊賽跑,達(dá)到秒級甚至毫秒級的加密實施前檢測和阻斷,將損失降到最低����。
文件實時備份防線
最后兜底的是創(chuàng)建數(shù)據(jù)備份,要求在平時主動識別關(guān)鍵資產(chǎn),做好重要數(shù)據(jù)端云多備份,才能做到攻擊常態(tài)化的日子里“有糧不慌”��。華為乾坤云提供數(shù)據(jù)資產(chǎn)主動識別服務(wù),同時對部署了HiSecEDR的終端,即將推出實時文件備份方案,通過勒索行為檢測,動態(tài)發(fā)現(xiàn)高可疑的文件訪問模式,如誘餌文件訪問����、批量文件遍歷、修改后綴名等,觸發(fā)實時文件備份,將文件損失數(shù)量盡量減少到個位數(shù)���。針對存儲陣列服務(wù)器的勒索感染,華為推出存儲防勒索聯(lián)合方案,提供AirGap����、安全快照�、復(fù)制鏈路加密和存儲加密等多重保護(hù)。并通過在陣列容器內(nèi)置偵測分析引擎,支持機(jī)器學(xué)習(xí)判斷文件異常變化,及時發(fā)現(xiàn)并阻斷勒索攻擊,觸發(fā)安全快照恢復(fù)��。
未來的勒索攻擊發(fā)展可能會蔓延到車輛�、智能家居等IoT新興領(lǐng)域,攻擊的目標(biāo)和形式不斷變化,防御對抗將是長期性的。對企業(yè)和安全廠商來說,防御的道與術(shù)方向上不變,需借助云網(wǎng)端協(xié)同將核心的防御邏輯��、知識和能力流程化、自動化,同時動態(tài)更新特征和算法保持威脅主動感知的靈敏度�����。核心依然是事前正向提升免疫力,自固為本,包括建立零信任機(jī)制,筑牢多維邊界防線,加強(qiáng)攻防演練和日常培訓(xùn)等;事中反向?qū)訉泳幙椌邆溲葸M(jìn)能力的防御檢測和誘捕體系,一招一式拆解各種攻擊伎倆;事后回溯恢復(fù)��。提升數(shù)字韌性和反攻擊雙向能力,獲取攻防主動權(quán),對勒索和各類新型攻擊進(jìn)行常態(tài)化治理,打贏這場持久戰(zhàn)��。
