万物相生相成,数字化转型提高了生产效率,但也给攻击者提供了更多的机会和手段,增加了安全风险。在勒索软件即服务(RaaS)、匿名化密码货币支付、大模型加持下的高级勒索样本生成和敲诈勒索带来的暴利的助力下,
2022年至今,根据华为安全监测,全网每周收集捕获的勒索软件攻击样本可达百万量级,勒索软件网络传播次数可达上千次,且有持续稳定增加趋势,影响面从企业到关键基础设施,从业务数据安全到国家安全与社会稳定。
从华为乾坤安全服务现网运营和安全报告公开披露的数据看,相比较于2022年以前的勒索软件攻击,勒索软件攻击技术呈现出新趋势:
为有效规避勒索软件检测机制,更快地加密文件,慢慢的变多的勒索软件家族采用“间歇性加密”技术,如BlackCat、Agenda、BabLock、Qyick等家族。
编程语言开始转向更安全、高效的Rust、Go、且跨平台勒索成为一个主要流行趋势,据华为乾坤安全服务团队统计,有20+流行的勒索软件家族支持跨平台勒索。
高级勒索软件攻击越来越倾向于结合高危应用程序漏洞攻击,并使用无文件攻击技术,例如近期频发的Tellyouthepass、ESXiArg和Magniber家族等。
很多企业总是抱着侥幸的心态,觉得勒索防御与我无关。华为勒索攻击态势分析报告表明,勒索病毒就像潜伏在我们身边的病毒一样,随时有可能袭击企业的关键资产和核心数据。很多企业都曾经遭受过这种攻击,但不是所有的案例都被曝光出来,对于没有中招的企业,往往会忽视警示。所以针对勒索防御,无论甲方还是乙方都应该修正一条经验法则:不再只考虑勒索软件攻击是否发生,而是要考虑它何时会发生以及发生多少次,才能以正确的姿态在这场攻防无限游戏中与勒索软件攻击长期共舞。
勒索软件的本质是破坏数据完整性,它能获取文件或系统的控制权限,并阻止用户控制这些文件或系统,导致企业核心业务停摆,直到受害者支付赎金以换取解密密钥,该密钥允许用户恢复被程序加密的文件或系统。
一般来说,勒索软件攻击链条分成如图1-1所示的四个关键步骤:攻击入侵、病毒投放&执行、加密勒索、横向移动影响更多更重要的主机。将整个攻击链条映射到Mitre ATT&CK框架中发现,70%以上的攻击行为点发生在终端侧,故终端是勒索防御的主战场。
传统的防御手段面对如此复杂的勒索攻击链条往往束手无策,原因主要在于企业单位和攻击者之间的攻防对抗是不对等的,对攻击方来说1%的攻击成功等于攻击100%成功,对防守方来说即使做到了 99% 的防守成功,有 1% 被突破也等于防守 100% 失败,因此防御难度远大于攻击,针对高级勒索软件攻击有如下挑战:
在攻击入侵阶段,伴随着数字化与信息化的繁荣,黑客可利用的漏洞量也呈现正相关趋势,不同于传统的已知漏洞防御手段,日益增加的0-Day漏洞、定向钓鱼攻击该怎么样有效应对?
绝大多数终端安全防护方案主要是针对投放阶段的文件建立有效防御,对于一些漏洞攻击、进程注入、脚本执行等无文件攻击手段该如何有效处理?攻击者为了控制目标系统往往采用更加隐蔽的加密通信技术,检测难度指数级上升,如何有效应对?
勒索病毒问世34年,很多终端安全防护方案基本能做到已知勒索病毒的防护,真正的难点是如何防御勒索变种和未知勒索软件。TOP100流行勒索软件家族沙盒运行发现80%的样本从开始运行到开始加密的时间窗在5分钟内,且平均加密速度在30MB/秒以上,面对如此闪电速度的勒索软件攻击,防御方案怎么样才能做到数据完整性保护?
勒索软件攻击链条如此复杂,如何全面还原勒索攻击入侵链路,证明已经控制、根除、恢复勒索攻击带来的影响,并有效加固避免再次遭受勒索软件攻击呢?
针对高级勒索软件攻击的上述挑战,华为勒索防御团队认为需要站在攻击者的角度分析战术、拆解攻击招式,首先我们的角度来看攻击者的两个主要特点:
攻击者也会考虑投入产出比,为了快速拿到赎金或形成威慑,攻击和加密速度极快。
攻击者通过恢复用户核心业务数据来获取赎金,攻击者一定会加密用户业务数据。
针对第一个特点,我们主要的应对理念是防御前移,建立分层防御网且实时防御,尽早断开攻击者的入侵链路,降低攻击者ROI(Return-on-investment,投资净利率),持续不断的增加攻击者的成本和难度。从基于NDR(Network Detection and Response,网络威胁检测与响应)的高级入侵线-Day漏洞利用),到XDR(Extended Detection and Response,可扩展威胁检测与响应)IOA(Indicator of Attack,攻击指标)高级威胁检测引擎实现勒索加密前阻断,再到文件加密攻击拦截,每一环节的防御机制均为上一环节防御机制的防御兜底,缓解勒索软件攻击带来的影响。
主动诱捕技术加快攻击意图显现并在加密用户核心数据前处置威胁实体,在“用户数据早晚会被加密”的假设下为用户更好的提供加密文件恢复兜底方案,稳定恢复到加密前的状态,确保用户数据零损失。
攻击可视化技术和深度溯源技术直接还原攻击入口,助力定位根因,构建完整攻击故事线,发现真实攻击意图,复盘企业信息系统弱点,多层次修复攻击面,构建更完善的勒索防御体系。图1-2为华为高级勒索防御方案的核心技术。
通信是控制目标系统的重要手段,传统的IPS/IDS仅能解决已知攻击检测,例如:N-day漏洞、常规暴力破解、已知家族C&C信息等,面对0-Day漏洞和占比日益增加的加密流量攻击却束手无策,华为NDR团队创新采用三层防御方案有效应对:
标签,由安全资深专家和数学家、AI科学家领域知识深层次地融合,基于场景化建模的思路,利用30+统计工具、孤立森林、极值理论等方法,将已知攻击场景(20+)的数据泛化到未知行为发现,从而全面发现攻击线索。目前,已经累计开发了50+异常检测模型。
算法+ 统计分析进行事件建模,从海量的告警中识别隐蔽攻击,例如:代码执行漏洞、慢速暴破等,精度可达99.9%。
rshell攻击投递、钓鱼入侵成功等高级无文件攻击场景,并精准识别威胁子图、威胁实体,通过XDR与网关、终端联动毫秒级切断攻击执行链路,当前已累计模型15+,精度95%+。
锁定威胁根节点,组合400+流行勒索软件家族专家深度分析,高维度泛化抽象+大数据挖掘的关键因果链条,叠加信任传播算法和华为第三代静态文件检测引擎,可有效实现对勒索软件变种和未知勒索软件加密前的实时精准研判,并基于威胁根节点毫秒级自动处置攻击链条,缓解勒索软件攻击带来的影响。
华为终端检测与响应EDR产品基于内核级主动诱捕技术,在用户正常办公和业务无感知状态下全天候自动守护,保护客户关键数据资产免受损失。那么,华为终端检测与响应EDR产品怎么样才能做到这一点呢?
诱捕部署拦截攻击必经之路,捕获勒索加密第一跳:基于400+流行勒索软件家族攻击模式深度研究和用户办公行为模式学习,勒索专用静态+基线动态诱饵,勒索软件文件攻击发动即感知。
诱捕全面数据采集,打破攻击透视能力天花板:感知诱饵多维度细微变化,勒索攻击透视无死角。
内核级快速精准研判,锁定威胁实体:基于AI的海量勒索文件攻击模式挖掘算法,实时精准研判,有效区分勒索攻击和用户正常操作。
内核级毫秒级处置,用户数据接近零损失:基于终端内存图锁定恶意进程链,第一时间发起勒索攻击阻断动作,将用户数据风险降至最低。
还需要还原整个攻击链路,这是防御闭环的最后一步。当前随着操作系统组件日趋复杂,攻击者的对抗和逃逸手段也日趋多样化、隐秘化,攻击链路的关键要素往往散落在多个数据域(进程、文件、系统服务、计划任务、网络连接、数据包等),呈现出碎片化的分布,给完整攻击链路还原带来非常大挑战。
构建攻击逃逸知识库以有效应对攻击路径碎片化:覆盖计划任务滥用、系统服务滥用、恶意代码注入、漏洞利用等多种复杂攻击场景,并通过攻击语义关联技术进行攻击溯源增强,提供完整的可视化进程链。
结合威胁信息、漏洞信息、沙箱等,组合IOA+IOC(Indicator of Compromise,失陷指标)+AI+UEBA(User and Entity Behavior Analytics,用户和实体行为分析)等全面精准研判攻击,实现70%以上的威胁一键自动处置,并以可视化的方式定位根因,包括:攻击者从哪里来?攻击者整个入侵链路地图是什么?攻击者都干了哪些坏事?攻击者是否还有潜伏?攻击者是否取得更多权限?我们还需做什么才能彻底根除、修复勒索软件攻击带来的影响?
华为终端检测与响应EDR产品内置终端轻量级备份恢复机制作为兜底方案,可在检测到勒索攻击后,将被加密文件恰好恢复至加密前的状态并清理勒索信等垃圾文件,实现无损回滚,核心技术如下:
文件破坏全场景覆盖:克服高难度的内核态开发挑战,在内核层监控勒索病毒对文件的所有细粒度动作,并抽象到备份逻辑,融入驱动程序。
勒索病毒全进程链回滚:全方面覆盖勒索病毒的多进程加密行为,支持全进程链回滚,内置复杂的精细化文件回滚顺序机制,支持勒索病毒全进程链自动化逆修改。
轻量灵活:备份单文件时长10ms,单终端内存5m,cpu无感知。此外,不仅内置对100多种重要文件的保护,用户还能自行添加需要备份的文件类型,设定备份区位置,备份区占用比等,易用性优秀。
同时为了共同抵抗这项威胁,还需要全行业携手合作,一同推动创新,赋能企业安全防御能力。我们应该加强对勒索攻击的认知和理解,不断的提高安全意识和技能,采用最先进的安全技术和工具,建立完善的安全体系。同时,我们也需要加强信息共享和合作,共同应对勒索攻击的挑战。只有通过全行业的共同努力,才可以有明显效果地地抵御勒索攻击,保障企业的安全和稳定发展,打赢这场持久战。
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。举报投诉华为华为+关注关注
文章出处:【微信号:Huawei_Fixed,微信公众号:华为数据通信】欢迎添加关注!文章转载请注明出处。
设备上的恶意活动,包括恶意软件的启动、数据泄露和异常行为等。通过全面分析
量倍增,且隐蔽性极强、变种频繁,给诸多行业尤其是金融、建筑、能源、关基等导致非常严重损失。新型
到深度处置 /
携手中国移动通信集团贵州有限公司、中国移动通信有限公司研究院在贵州移动天巡实验室顺利通过多层联动
全进程回滚等黑科技引爆全场 /
第03期:全栈数据采集如何使威胁“被看到” /
大乾坤 /
参考AN11690-Android Porting Guidelines。 附件“HuaWeiReader_pn1750cardemu0531.log”抓取PN7150
防护解决方案 /
软件虹科分享 /
【Vision Board创客营连载体验】RT-Thread 之wifi连网