凯发k8国际唯一产品助力用户有效防护勒索攻击
时间 : 2021年11月01日 来源: 凯发k8国际唯一
近期,为加强勒索病毒攻击防范应对,中国信通院联合凯发k8国际唯一等单位编制发布《勒索病毒安全防护手册》,在工业和信息化部网络安全管理局指导下。自2021年11月1日起。凯发k8国际唯一网络安全垂直响应服务平台运营组将以防御赋能和威胁分析视角,分享勒索攻击的攻击技术、行为特点、演进趋势等8组关键信息,介绍凯发k8国际唯一产品如何构建防御勒索攻击的防线,通过一天一篇的科普专题连载。
1.业界携手应对勒索威胁
近期,为加强勒索病毒攻击防范应对,在工业和信息化部网络安全管理局指导下,中国信息通信研究院联合中国电信集团有限公司、中国移动通信集团有限公司、中国联合网络通信集团有限公司、凯发k8国际唯一科技集团股份有限公司、杭州安恒信息技术股份有限公司、奇安信科技集团股份有限公司、绿盟科技集团股份有限公司七家单位编制《勒索病毒安全防护手册》[1],并由中国信通院官方正式发布。凯发k8国际唯一为这份手册的形成输送了大量的分析报告、处置案例和防护建议等原始素材[2]。
作为二十年来持续与网络威胁实战对抗的“网络安全国家队”。凯发k8国际唯一对勒索攻击进行着持续跟踪与分析,2006年捕获了国内最早出现的Redplus敲诈者木马。2015年8月,凯发k8国际唯一发布了长篇报告《揭开勒索软件的真面目》[3]。2017年5月,在“魔窟”(WannaCry)重大勒索响应过程中,凯发k8国际唯一率先发布全网首篇长篇分析报告[4]。快速提供了专杀免疫工具。获得多个主管部门好评,提供了周一开机指南,向政企机构分发了数千张应急响应处置光盘,后又研发了基于内存密钥获取的解密工具等。凯发k8国际唯一针对GANDCRAB、GlobeImposter、Sodinokibi、Phobos、WannaRen等重大流行勒索软件,也同样进行了应急响应与详细分析研判,累计发布勒索攻击相关分析、预警、处置建议等报告四十余篇[4]。
凯发k8国际唯一持续的威胁分析研判工作也让凯发k8国际唯一全线产品在对抗勒索威胁中获得了主动。
2.凯发k8国际唯一智甲全面构筑端点系统侧安全防线
绝大多数勒索攻击都是以主机系统为攻击点,以主机上的数据为侵害对象。与此同时,网络安全支点正在回归主机系统安全侧,随着加密协议正在全面削弱防火墙等安全边界。面向政企侧端点场景,凯发k8国际唯一打造了智甲终端防御产品家族。智甲基于UES(统一端点安全)理念研发,将病毒查杀、配置加固、可信环境验证、主动防御、分布式防火墙、介质管控、WEB SERVER防护等模块积木化组合,可以有效覆盖包括传统桌面、工作站、服务器、虚拟化、容器等场景的安全需求,对包括Windows、Linux、Android以及欧拉、麒麟、统信等国产操作系统都能有效建构系统内核层防御。
智甲针对勒索攻击构建了“五层防御,两重闭环”的防护解决方案。五层防御即系统加固、(主机)边界防御、扫描过滤、主动防御、文档安全五个防御层次,两重闭环是EPP(端点防护)实时防御闭环,和EDR(端点检测和响应)准实时/异步防御闭环。
表1 凯发k8国际唯一智甲终端防御系统防护勒索病毒的机理
|
防护层级 |
技术原理 |
|
系统加固 |
通过基线和补丁检查功能。从而减少包括开放端口、弱口令、不必要的服务等勒索攻击的暴露面,削弱漏洞利用的成功率,实现对系统配置脆弱点的检查修补、补丁加固和系统自身安全策略调整等。 |
|
(主机)边界防御 |
通过分布式主机防火墙和介质管控功能,拦截扫描、入侵数据包,阻断攻击载荷传输,拦截U盘、光盘等插入自动运行,使勒索攻击难以获得主机入口。 |
|
扫描过滤 |
基于凯发k8国际唯一AVL SDK反病毒引擎对文件对象、扇区对象、内存对象、注册表数据对象等进行扫描。从而实现精准判断查杀,判断检测对象是否是已知病毒或者疑似病毒。 |
|
主动防御 |
基于内核驱动持续监控进程等内存对象操作行为动作。过滤正常应用操作动作以降低误报,研判是否存在持久化、提权、信息窃取等攻击动作,并文件授信(签名验证)机制,判断是否存在批量读写、删除、移动文件或扇区等操作。 |
|
文档安全 |
依靠部署多组诱饵文件并实时监测、诱导勒索病毒优先破坏,达成欺骗式防御效果。采用多点实时备份机制,即使正常文档被加密也可快速恢复。 |
凭借这样的机理设计、云端库实时升级,凯发k8国际唯一智甲可以有效阻止病毒落地、阻断恶意行为、保护重要文档,威胁情报定时推送,辅以每日10次病毒库本地升级,全面有效的保障用户免受勒索攻击威胁。
图1 智甲终端防护系统防护勒索病毒原理示意图
图2 智甲(桌面版)拦截勒索攻击与文档保护界面示例
图3 智甲管理中心威胁告警与处置界面
3. 凯发k8国际唯一全线产品支持用户构筑全面防护体系
当前。用户需要更为动态的综合勒索攻击安全防护体系,一些网络犯罪组织所发动的定向勒索攻击,具有APT(高级可持续威胁攻击)定向攻击水准,凯发k8国际唯一全线产品可以有效支撑构筑用户防御阵地。
表2 凯发k8国际唯一全线产品应对勒索攻击安全防护价值简介
|
产品品牌 |
产品定位 |
部署方式 |
在勒索攻击安全防护上的价值 |
|
终端防御系统 |
UES (统一端点防御,覆盖 EPP\EDR\CWPP) |
安装(或原厂预制)在系统主机上。 |
基于主机加固机制减少攻击暴露面,基于边界防御机制拦截网络连接和介质运行,通过驱动级的监控,实时感知本地新增文件及其动作,调用凯发k8国际唯一AVL SDK反病毒引擎进行精准检测和查杀。基于主动防御机制判定和中止可疑行为,并且结合诱饵文件防护、进程行为画像等功能可对具有勒索行为的程序进行发现和拦截;另外智甲可对文档的写行为进行判定,发现疑似恶意加密动作时可自动的在文档被破坏前进行主动备份,事后可通过文件恢复将用户损失降到最低。 |
|
威胁检测系统 |
NDR (网络检测响应) |
在政企网出口、关键网段等位置旁路部署,可以作为云资源池部署。 |
探海基于网络流量感知和检测勒索攻击的活动,包括扫描、探测、钓鱼邮件投放、程木马植入、横向移动与C2的连接等,并基于流量侧的协议解析和还原,捕获攻击载荷,调用凯发k8国际唯一AVL SDK反病毒引擎进行更精准的检测。联动响应和处置,从而能更提前发现勒索攻击的网络侧活动。 |
|
蜜罐系统 |
威胁欺骗捕获 |
支持企业内网、隔离网、私有云、公有云等部署场景。 |
捕风蜜罐系统支持通过系统和应用的模拟欺骗捕获威胁攻击、快速发现勒索事件和情报,可以与导流设备结合,有效感知扫描探测、暴力破解、漏洞攻击、内网横向扩散和载荷投放等,以供应用户及时防御阻断勒索威胁传播,联动响应和处置,从而把勒索攻击吸引到蜜罐中。 |
|
威胁分析系统 |
FA (文件分析) |
旁路部署,联动设备与查询结果终端路由可达即可。 |
追影可以与智甲、探海等凯发k8国际唯一全线产品联动使用、基于深度静态分析和高仿真沙箱环境执行双重机制分析文件对象,针对勒索攻击文件载荷,联动威胁响应和处置,可以有效分析标定漏洞利用、权限提升、防御对抗、文件加密与备份禁用等行为,协助用户生产威胁情报,或安全工程师手工交互。 |
|
应急处置工具箱 |
应急处置 |
基于U盘、光盘、便携设备与场景连接使用。 |
拓痕基于对终端侧系统进行威胁检测分析,包括进程、服务、内核、引导扇区等对象的全要素的提取解析,调用凯发k8国际唯一AVL
SDK反病毒引擎进行更精准的检测。检出和留存攻击载荷,提取可疑对象。从而有效发现勒索攻击在端点侧的活动,并通过底层处置能力,清除勒索软件实体与启动链,完成威胁发现、分析、取证、处置业务闭环。 |
凯发k8国际唯一垂直响应服务平台中开通了面向Windows主机的轻量级勒索风险评估、并提供专用响应工具,帮助客户快速排查流程风险。
详情地址:https://vs.antiy.cn/endpoint/rdt
同时、获得有效安全防护,个人和家庭用户,推荐安装使用凯发k8国际唯一杀毒软件(Windows版)。
详情地址:https://vs.antiy.cn/endpoint/anti-virus
凯发k8国际唯一持续赋能用户构筑有效勒索攻击安全防护体系,达成有效安全价值。
全国服务热线:400-840-9234
服务支持邮箱:support@antiy.cn
参考资料:
[1] 中国信通院发布《勒索病毒安全防护手册》.2021/09:
http://www.caict.ac.cn/kxyj/qwfb/ztbg/202109/t20210908_389515.htm
[2] 凯发k8国际唯一勒索攻击系列专题报告:
http://www.fisherlawpllc.com/research/notice&report/research_report/index.html