換個角度思考勒索攻擊事件
摘要:本文基於立體防禦“事前、事中、事後”的思路,從檢測角度來剖析如何檢測和防範勒索軟體的網路攻擊,從而最大程度為企業減輕類似網路攻擊帶來的損失。
本文分享自華為雲社群《從檢測角度思考美燃油管道商遭勒索攻擊事件》,作者:安全技術猿 。
2021年5月7日,美國最大成品油管道運營商Colonial Pipeline遭到Darkside(黑暗面組織)勒索軟體的網路攻擊,該起攻擊導致美國東部沿海主要城市輸送油氣的管道系統被迫下線,對經濟和民生都產生了巨大的影響後果。這次攻擊其實並沒有利用到0DAY漏洞,甚至也沒有利用到任何已知漏洞。如何檢測和防範類似的或更加隱蔽的網路安全攻擊事件值得我們深思。
根據安天CERT對勒索攻擊的分類,包含既有傳統非定向勒索的大規模傳播->加密->收取贖金->解密模式,也有定向攻擊->資料竊取->加密->收取贖金解密->不交贖金->曝光資料模式的新型作業鏈條兩種
基於立體防禦“事前、事中、事後”的思路,下面分別從這3個層次分別來講述安全檢測能做哪些事情來防範;
從檢測角度來看,“事前”如何儘可能的提前感知到系統的薄弱位置進行加固,防範於未然是最好的;另外加強人的安全防範意識也是非常重要的,這次能攻擊成功的一個前置條件就是需要有admin許可權的人來執行該勒索軟體,因此不要執行來路不明的應用是大家平時工作中特別需要強調和注意,針對利用漏洞的攻擊行為,系統安全就更為關鍵和重要了。
對非定向勒索攻擊,更多的是做好系統安全基線的評估,其中關鍵點是補丁和系統安全加固的檢測和風險評估。
能實現這兩種檢測的黑盒工具:
- 動態檢測商用工具有Nessus、Nexpose、RSAS、GSM、openVAS等
- 靜態已知漏洞檢測商用工具有appcheck、cybellum等。
另外針對漏洞等級和漏洞修復優先順序的評估和關鍵資產的補丁修復跟蹤系統這塊也是需要加強和重視。
對定向勒索攻擊,同APT檢測一樣,需要更多的威脅情報和入侵檢測和縱深防禦與檢測能力,而不僅僅只依賴單一的動靜態檢測工具就能做到的。
既然無法完全防禦住“事前”,那麼針對“事中”的監控和“事後”的確認,從檢測角度看也是很有必要的。基於Darkside勒索軟體樣本的分析結果,針對勒索軟體的特有行為特徵
下面就這個勒索軟體的表現出來的異常行為特徵我想到的一些檢測方法,給大家起到一個拋磚引玉作用。
軟體行為1:Darkside勒索軟體會有系統語言判定行為。
檢測方法1:監測軟體獲取系統語言的API,從而發現那些呼叫該API獲取系統語言的軟體並觸發報警,再由人工來判斷是否遭受到Darkside勒索軟體的攻擊。
軟體行為2:為了避免影響勒索軟體的執行,會結束下列服務backup、sql、sophos、svc$、vss、memtas、mepocs、veeam、GxBlr、GxCVD、GxClMgr、GxFWD、GxVss。的行為。
檢測方法2:可以在一些機器上部署這些假冒的服務,並時刻監視這些服務是否在執行狀態中,如果這些服務執行狀態異常,那麼就可以觸發報警系統,再由人工來確認是否遭受到Darkside勒索軟體的攻擊。這種方法類似常見的蜜罐檢測方法。
軟體行為3:Darkside勒索軟體會有獲取使用者名稱、計算機名、機器首選語言、Netbios名等資訊的行為。
檢測方法3:可以參考軟體行為1的類似檢測方法。
軟體行為4:開啟Firefox/80.0應用程式控制代碼,通過443埠連線到C2伺服器的行為。
檢測方法4: 檢測異常的網路連線埠和網路連線行為。
軟體行為5:遞迴函式查詢全盤特定檔案和資料夾,並將其刪除的行為。
檢測方法5:可以參考軟體行為1的類似檢測方法。
總結:針對勒索軟體的惡意攻擊,“事前”的有效防護是重中之重,而檢測能力則是“事前”有效防護的試金石,檢測工具“矛”的能力越強,越能檢測出“事前”有效防護這個“盾”的堅固程度。另外網路防護一定是立體防護,寄希望一道籬笆就擋住所有攻擊行為是不現實的,也是不明智的。
可以試試下面的漏掃服務,看看系統是否存在安全風險
漏洞掃描服務 VSS