bg大游官方入口

数字经济的安全基石

公司

首页 > 关于我们 > 安恒动态 > 2022 > 正文

勒索病毒来势汹汹,看安恒EDR四招破解

阅读量:


近日,国际货运巨头Expedit or s 遭遇疑似勒索软件攻击,Expedit or s公司官网在当天中午发布公告,称由于遭遇针对性网络攻击,被迫关停全球业务系统。虽然目前没有具体公布此次网络攻击的类型,但从相关描述和国外各家媒体提供的线索来看,这极有可能是一起大规模的恶意勒索事件。

该事件对Expedit or s公司影响巨大,货运、海关与配送等业务面临停摆;Expedit or s公司表示:这是一次“可能对公司业务、收入、运营能力和商业声誉造成严重负面影响”的重大事件。

 


勒索病毒作为目前最具有破坏力的恶意软件之一,2021年达到爆发高峰,据数据统计,全网勒索攻击总次数高达2234万+,平均赎金从2020年的 400,000 美元提高到 800,000 美元,影响面从企业业务到关键基础设施,从业务数据安全到国家安全与社会稳定,勒索病毒已经成为了网络安全领域的一块“顽疾”。同时,随着Apache Log4j2漏洞等全球网络安全事件频发,网络攻击的强度和破坏性都到达顶峰。

近年,大规模勒索病毒事件频发,随着勒索病毒的不断发展、“变种”,如今的勒索产业链已经非常完善,变得更加难以防御。接下来让我们详细剖析勒索病毒的入侵过程,分析怎样才能有效防御勒索病毒。


01

信息收集  寻找攻击点



攻击者为了寻找攻击点,首先会搜集目标资产的系统信息、组件、漏洞等信息,攻击者通过漏洞扫描、网络嗅探等方式,发现攻击目标网络和系统存在的安全隐患,找到或形成攻击的突破口。
如何在事前对攻击者的探测与入侵进行有效防护?

安恒EDR具备防端口扫描功能,实时检查入站连接并阻断对本机端口的恶意探测, 防止攻击者进行扫描和嗅探,导致敏感信息泄露。

安恒EDR能够帮助用户清晰梳理资产,发现资产的薄弱点,进行针对性加固,不给攻击者“可乘之机”。通过利用基线安全检查与勒索风险专项评估能力,对系统的弱口令、威胁文件、风险账号、错误配置等进行专业评估、针对系统的薄弱点进行快速修复,防止被攻击者利用。


02

入侵主机 持久化攻击



找到资产的暴露面以及脆弱性之后,攻击者往往发送带有附件的钓鱼邮件,引诱点击并借机执行恶意程序完成渗透;或针对存在漏洞风险系统,尝试远程攻击后提权;从而攻陷暴露的内部资产,并且留下后门实现持久化的控制,完成探测->扫描->漏洞利用->主机攻陷->远程控制的攻击链。如何防止攻击者入侵主机并阻断远控持久化控制?

主动防御要前置,EDR三大核心能力,将勒索病毒拒之门外:

➽主动防御能力:针对恶意的程序及文件进行检测和发现,并进行自动化响应

➽暴力破解防护能力:能够对系统登录行为进行合理限制,防止账号被爆破,导致攻击者提权,从而绕过主机防护

➽违规外联防护能力:检测主机直接连通互联网或通过其他设备访问互联网,有效发现并阻断恶意外联的行为

防护加固正当时,安恒EDR两大防护功能,让主机安全固若磐石:

➽防单机扩展:针对本机的扩展行为进行监测,防止提权行为

➽防远控持久化:对失陷后主机远控持久化行为进行检测,并可阻断远控


03

横向渗透 扩大攻击面



当攻击者通过漏洞利用或是钓鱼邮件、网页挂马等攻击方式攻陷目标系统个别资产后,一般不会立刻投放勒索病毒。因为这样制造的破坏非常有限,攻击者的目标是进行一次致命打击,加密或窃取企业的核心业务数据,迫使企业支持巨额赎金。所以攻击者会在成功控制个别资产后,再尝试一切可能的方式进行横向扩散,尽可能去控制更多资产或核心资产。
攻击者会利用已失陷的资产对其他资产进行扫描渗透,以失陷的资产作为跳板对当前网段进行感染,扩大攻击面。一旦通过445端口、3389端口连接成功,则会尝试通过漏洞利用进行感染,以控制尽可能多的网络资产。如何有效切断攻击者攻击途径,阻止攻击者进行渗透呢?

安恒EDR通过防内网探测功能对内网的恶意攻击行为进行识别,阻断攻击者对内网的横向渗透。并基于业务隔离的策略划分特定的网络域, 防止威胁在内网扩散;搭载一键关闭高危端口,一键封锁威胁IP等应急策略,防止“威胁串网”维持整个网络环境稳定。


04

植入勒索病毒  迅速扩散



勒索病毒植入后,会遍历本地目录,使用RSA、AES 等多种加密算法对本地文件的进行加密操作,同时根据攻击目标类型,回传发现的敏感、重要的文件和数据,便于对攻击目标进行勒索。攻击者通过加载勒索信息,胁迫攻击目标支付勒索赎金。
如何有效切断勒索病毒加密行为,保护核心业务文件?

交给安恒EDR专利级勒索病毒防护引擎:及时发现并阻断勒索病毒的启动,准确高效地实时保护用户关键业务数据及服务。

➽勒索行为防护引擎:通过分析海量的勒索软件样本及病毒家族特性,总结了样本具有的共性特征形成了引擎行为知识库,通过系统API级别分析,高效抵御未知勒索病毒。

➽勒索防护诱饵引擎:针对勒索病毒遍历文件实施加密的特点,在终端关键目录下放置诱饵文件,当有勒索病毒尝试加密诱饵文件时及时精准中止恶意进程,阻止勒索病毒的进一步加密和扩散。

➽文件保险柜:安恒EDR添加访问控制策略,对重要文件或目录进行访问权限控制,仅允许配置的例外进程操作,根本上杜绝勒索病毒,根本上保护业务数据安全。


在对勒索病毒入侵的这四步中如果系统没有形成针对性防御的话,攻击者在这四个步骤中就会形成完整的勒索攻击链:入侵->渗透->扩散->勒索,将一举瘫痪目标网络并实施勒索。安恒EDR能够帮助用户打造全流程闭环的勒索病毒防护体系,对勒索病毒入侵的各个阶段 实施全面防护,彻底解决用户的后顾之忧,全方位保障用户数据安全。


关闭

客服在线咨询入口,期待与您交流

线上咨询
联系我们

咨询电话:400-6059-110

产品试用

即刻预约免费试用,我们将在24小时内联系您

微信咨询
bg大游官方入口联系方式