关键词:
摘要:本文基于立体防御“事前、事中、事后”的思路,从检测角度来剖析如何检测和防范勒索软件的网络攻击,从而最大程度为企业减轻类似网络攻击带来的损失。
本文分享自华为云社区《从检测角度思考美燃油管道商遭勒索攻击事件》,作者:安全技术猿 。
2021年5月7日,美国最大成品油管道运营商Colonial Pipeline遭到Darkside(黑暗面组织)勒索软件的网络攻击,该起攻击导致美国东部沿海主要城市输送油气的管道系统被迫下线,对经济和民生都产生了巨大的影响后果。这次攻击其实并没有利用到0DAY漏洞,甚至也没有利用到任何已知漏洞。如何检测和防范类似的或更加隐蔽的网络安全攻击事件值得我们深思。
根据安天CERT对勒索攻击的分类,包含既有传统非定向勒索的大规模传播->加密->收取赎金->解密模式,也有定向攻击->数据窃取->加密->收取赎金解密->不交赎金->曝光数据模式的新型作业链条两种。相对来说非定向勒索更多的是通过广撒网的方式来碰运气,这种方式的攻击力相对弱一些,主要攻击安全基线做的不够好而导致系统存在明显的薄弱环节,而定向勒索的攻击力就强很多,可以和APT攻击相提并论,同时也针对一些高价值的目标系统。
基于立体防御“事前、事中、事后”的思路,下面分别从这3个层次分别来讲述安全检测能做哪些事情来防范;
从检测角度来看,“事前”如何尽可能的提前感知到系统的薄弱位置进行加固,防范于未然是最好的;另外加强人的安全防范意识也是非常重要的,这次能攻击成功的一个前置条件就是需要有admin权限的人来运行该勒索软件,因此不要运行来路不明的应用是大家平时工作中特别需要强调和注意,针对利用漏洞的攻击行为,系统安全就更为关键和重要了。
对非定向勒索攻击,更多的是做好系统安全基线的评估,其中关键点是补丁和系统安全加固的检测和风险评估。
能实现这两种检测的黑盒工具:
- 动态检测商用工具有Nessus、Nexpose、RSAS、GSM、openVAS等
- 静态已知漏洞检测商用工具有appcheck、cybellum等。
另外针对漏洞等级和漏洞修复优先顺序的评估和关键资产的补丁修复跟踪系统这块也是需要加强和重视。
对定向勒索攻击,同APT检测一样,需要更多的威胁情报和入侵检测和纵深防御与检测能力,而不仅仅只依赖单一的动静态检测工具就能做到的。
既然无法完全防御住“事前”,那么针对“事中”的监控和“事后”的确认,从检测角度看也是很有必要的。基于Darkside勒索软件样本的分析结果,针对勒索软件的特有行为特征,可以开发一些针对性的方法和检测工具,实现该勒索软件行为的实时监测,从而能实现及时的触发报警系统,减轻或避免勒索软件的横向渗透导致感染面积的扩散。
下面就这个勒索软件的表现出来的异常行为特征我想到的一些检测方法,给大家起到一个抛砖引玉作用。
软件行为1:Darkside勒索软件会有系统语言判定行为。
检测方法1:监测软件获取系统语言的API,从而发现那些调用该API获取系统语言的软件并触发报警,再由人工来判断是否遭受到Darkside勒索软件的攻击。
软件行为2:为了避免影响勒索软件的运行,会结束下列服务backup、sql、sophos、svc$、vss、memtas、mepocs、veeam、GxBlr、GxCVD、GxClMgr、GxFWD、GxVss。的行为。
检测方法2:可以在一些机器上部署这些假冒的服务,并时刻监视这些服务是否在运行状态中,如果这些服务运行状态异常,那么就可以触发报警系统,再由人工来确认是否遭受到Darkside勒索软件的攻击。这种方法类似常见的蜜罐检测方法。
软件行为3:Darkside勒索软件会有获取用户名、计算机名、机器首选语言、Netbios名等信息的行为。
检测方法3:可以参考软件行为1的类似检测方法。
软件行为4:打开Firefox/80.0应用程序句柄,通过443端口连接到C2服务器的行为。
检测方法4: 检测异常的网络连接端口和网络连接行为。
软件行为5:递归函数查找全盘特定文件和文件夹,并将其删除的行为。
检测方法5:可以参考软件行为1的类似检测方法。
总结:针对勒索软件的恶意攻击,“事前”的有效防护是重中之重,而检测能力则是“事前”有效防护的试金石,检测工具“矛”的能力越强,越能检测出“事前”有效防护这个“盾”的坚固程度。另外网络防护一定是立体防护,寄希望一道篱笆就挡住所有攻击行为是不现实的,也是不明智的。
可以试试下面的漏扫服务,看看系统是否存在安全风险
漏洞扫描服务 VSS
换个角度思考(代码片段)
换个角度思考https://ac.nowcoder.com/acm/contest/275/E题目描述给定一个序列,有多次询问,每次查询区间里小于等于某个数的元素的个数即对于询问(l,r,x),你需要输出的值其中[exp]是一个函数,它返回1当且仅当exp成立,其中exp表示某个... 查看详情
换个角度理解python元编程
元编程这个概念本身不新,只是没有发现原来很早就在用这个东西,所以python等下再聊,先理一理怎么理解编程这个事情。我仔细思考,其实是在做一件设计想法,纪录想法,实现想法的过程。怎么样设计想法?应该需要一些图... 查看详情
美油管运营商被勒索事件
美油管运营商被勒索事件5月8号(上周五),美国最大的燃油料管道-殖民地管道公司(ColonialPipeline)受到网络攻击,该公司主动采取一定的系统隔离措施,同时暂停了所有流水线作业,公司被迫关闭运营,ColonialPipe... 查看详情
github源码攻击事件
黑客擦除了微软多达392个代码存储库,并提出勒索要求。此前,黑客攻击了包含微软在内的大批受害者的Git存储库,删除了所有源代码和最近提交的内容,并留下了支持比特币支付的赎金票据。勒索信息如下:“要恢复丢失... 查看详情
中国台湾内存制造商威刚遭勒索攻击
...存储制造商威刚表示,在5月下旬攻击其网络后,勒索软件攻击迫使其使系统脱机。 威刚ADATA生产高性能DRAM内存模块、NAND闪存卡和其他产品,包括移动配件、游戏产品、电力系统和工业解决方案。该公司在2018年被评... 查看详情
如何利用备份恢复被勒索数据
全球最大的肉类供应商JBS遭遇勒索软件攻击,多家工厂不得不停止运营数日,最后迫不得已支付了价值1100万美元的比特币作为赎金。据《新西兰先驱报》报道,新西兰政府机构称,包括勒索软件在内的恶意软件攻击较去年增加... 查看详情
美油管运营商被勒索事件
美油管运营商被勒索事件5月8号(上周五),美国最大的燃油料管道-殖民地管道公司(ColonialPipeline)受到网络攻击,该公司主动采取一定的系统隔离措施,同时暂停了所有流水线作业,公司被迫关闭运营,ColonialPipe... 查看详情
换个角度聊效率
首发于微信公众号《前端成长记》,写于2020.01.22换个角度聊效率PPT地址内容源自作者上个月部门内部的分享,本文将围绕着以下四个角色来聊:交互设计视觉设计前端开发后端开发为什么要聊这个京东数科CEO陈生强在杭州乌镇... 查看详情
腾讯安全反病毒实验室解读“wannacry”勒索软件
...景针对昨日英国医院被攻击,随后肆虐中国高校的WannaCry勒索事件,腾讯安全反病毒实验室第一时间给出了深度权威的分析。此次勒索事件与以往相比最大的亮点在于,勒索病毒结合了蠕虫的方式进行传播,传播方式采用了前不... 查看详情
全球电力行业十大网络安全攻击事件
...断电,后果将不堪设想。对电力行业的攻击类型分为勒索病毒、DDoS攻击、APT攻击、漏洞、恶意软件等。除普通的电力公司之外,核电厂也是网络攻击的重点目标,核电厂一旦被攻击,可能会产生员工或商业秘密 查看详情
换个角度深入理解glusterfs
GlusterFS(GNUClusterFileSystem)是一个开源的分布式文件系统,它的历史可以追溯到2006年,最初的目标是代替Lustre和GPFS分布式文件系统。经过八年左右的蓬勃发展,GlusterFS目前在开源社区活跃度非常之高,这个后起之秀已经俨然与Lu... 查看详情
勒索病毒攻击应急防范
北京时间5月12日,互联网上出现针对Windows操作系统的勒索软件(Wannacry)攻击案例。勒索软件利用此前披露的WindowsSMB服务漏洞(对应微软漏洞公告:MS17-010)攻击手段,向终端用户进行渗透传播,并向用户勒索比特币或其他价值... 查看详情
换个角度学习asp.netcore中间件(代码片段)
原文:换个角度学习ASP.NETCore中间件中间件真面目关于ASP.NETCore中间件是啥,简单一句话描述就是:用来处理HTTP请求和响应的一段逻辑,并且可以决定是否把请求传递到管道中的下一个中间件!上面只是概念上的一种文字描述,那... 查看详情
wannacry勒索病毒用户处置指南
一、前言北京时间2017年5月12日晚,勒索软件"WannaCry"感染事件爆发,全球范围内99个国家遭到大规模网络攻击,被攻击者电脑中的文件被加密,被要求支付比特币以解密文件;众多行业受到影响,比如英国的NHS服务,导致至少40家... 查看详情
由"永恒之蓝"病毒而来的电脑科普知识
...在刚刚过去的5月12日晚上20点左右肆虐中国高校的WannaCry勒索事件,全国各地的高校学生纷纷反映,自己的电脑遭到病毒的攻击,文档被加密,壁纸遭到篡改,并且在桌面上出现窗口,强制学生支付等价300美元的比特币到攻击者... 查看详情
9月安全事件回顾
前言从Defi安全角度来看9月安全事件相较于较8月份已有所下降,但是从整体安全角度来看依然不容乐观,黑客攻击涉及到的损失金额巨大。知道创宇区块链安全实验室总结了9月发生的各类安全事件,并就攻击手法和... 查看详情
几种攻击手段
1、勒索病毒勒索病毒就是利用恶意代码加密用户文件、收费解密的形式,向受害者索取金额的勒索软件,如果7天内不支付,病毒声称电脑中的数据信息将会永远无法恢复。目前常见的勒索病毒及变种有很多,简单介绍如下:Satu... 查看详情
加强防护,近期勒索病毒有点疯狂!
愈演愈烈的勒索病毒攻击2021年5月7日,美国最大的成品油管道运营商在本月受到重大网络攻击。公司被迫一度关闭整个能源供应网络,极大影响美国东海岸燃油等能源供应。公司在当日缴纳了500万美元赎金。紧接着,... 查看详情