共计 4028 个字符,预计需要花费 11 分钟才能阅读完成。
一、背景
2021 年上半年,勒索病毒席卷美国,受益企业损失动辄数千万美元。2021 年,美国最大燃油管道商(Colonial Pipeline)、寰球最大的肉制品生产商 JBS、寰球 500 强 IT 征询公司埃森哲等巨型企业先后遭逢勒索病毒攻打。《2021 年勒索攻打特色与趋势钻研白皮书》指出,大型企业和基础设施成为攻打重点,国内局部公共服务机构、企业曾因勒索攻打导致服务全面中断,勒索攻打往往随同重大的数据泄露事件,被攻打的企业还可能面临与个人信息保护法、数据安全法等相干的法律诉讼。
腾讯高级威逼检测零碎(御界 NDR)由腾讯天幕 PaaS 提供底层平安算力驱动,通过镜像网传统 IT 环境、私有云、公有云、单云、多云以及混合云架构并能更快络边界流量,联合海量平安数据,使用数据模型、平安模型、感知算法模型辨认各类网络攻击及高级威逼(APT 攻打)。
御界 NDR 将勒索病毒相干危险通过“勒索病毒专题”进行场景化出现,通过丰盛的检测伎俩与可视化剖析,为政企机构平安运维人员提供丰盛直观的一站式勒索病毒检测治理平台。
二、勒索病毒入侵过程分析
勒索病毒攻打个别包含四步:入侵 -> 扩散 -> 窃密 -> 勒索,腾讯平安团队近年察看发现,勒索团伙的攻打手法已日趋 APT 化。即:攻击者会采纳任何可能的形式,对指标网络进行长期、持续性的探测入侵流动,通过内网横向扩散逐渐从繁多节点到控制目标外围零碎,先窃取高价值数据上传,最初开释加密组件一举瘫痪指标网络施行勒索攻打。
攻打后期,尝试探测投递
攻击者对指标零碎的工作人员信息、零碎资产信息、组件信息进行详尽的收集探测,以便进行下一步的攻打武器投递。攻击者经常利用工作人员信息发送带有歹意链接的钓鱼邮件诱惑内部人员点击并借机执行恶意程序实现浸透;或是利用零碎资产对外开放的网络服务破绽(包含应用 0day 破绽)进行攻打尝试,从而攻陷裸露的外部资产。
在攻击者进行信息收集,资产危险探测的过程中,去扫描可能存在破绽的零碎,扫描高危端口(如 445、3389),尝试投递勒索病毒;或针对存在破绽危险零碎,尝试近程攻打后提权。在此阶段,攻击者的次要行为包含:对低版本 SMB 协定扫描,SMB 服务破绽利用,以及可疑钓鱼邮件链接拜访及下载操作。
尝试探测入侵阶段的所有操作往往须要与攻打指标服务器建设网络连接,实现扫描 -> 破绽利用 -> 武器投递的攻打链,从而产生大量异样的 SMB、RDP 南北向流量。
横向浸透,扩充攻击面
当攻击者通过破绽利用或是钓鱼邮件等社工形式,攻陷指标零碎个别资产后,个别不会立即投放勒索病毒。因为这样制作的毁坏太无限了,勒索病毒团伙的指标是一次致命打击就迫使企业反对巨额赎金。攻击者会在胜利管制个别资产后,再尝试所有可能的形式进行横向扩散,尽可能去管制更多资产或外围资产。
攻击者会利用已失陷的资产对其余资产进行扫描浸透,比方扫描凋谢的 SMB 服务与 RDP 服务,以失陷的资产作为跳板对以后网段进行感化,扩充攻击面。一旦通过 445 端口、3389 端口连贯胜利,则会尝试通过破绽利用进行感化,以管制尽可能多的网络资产;
其次,勒索病毒感染后会通过互联网与攻打服务器建设 C &C 连贯,传递失陷资产的主机信息,包含操作系统信息、IP 地址、地理位置、拜访权限以及加密密钥。若攻击者取得域管理员权限,会迅速通过近程命令发动其余攻打。这个阶段攻击者通常应用 SMB 服务端口 445 和 RDP 服务端口 3389 进行内网浸透,而应用规范端口 80 和 HTTP 协定或端口 443 和 HTTPS 协定连贯 C &C 服务器,下载、执行近程指令。至此攻击者曾经实现提权 -> 横向浸透 ->C&C 连贯的攻打链,并产生大量异样的东西向 SMB、RDP 协定流量,以及 HTTP(HTTPS),或是协定隧道的南北向流量。
窃取企业机密信息
攻击者通过遍历已管制的企业服务器数据,将企业重要敏感信息上传到黑客管制的服务器,此期间,会产生大量异样网络流量。
加密数据,施行勒索
最初一步,勒索病毒模块执行后,通常遍历本地目录,对本地文件的进行加密操作。勒索病毒也会感化网络共享目录。对网络共享文件的读写操作,会产生异样 SMB 协定流量。
三、御界 NDR 勒索病毒检测计划
御界 NDR 可对勒索病毒攻击面进行全面检测响应
目前平安厂商针对勒索病毒的检测,次要集中在主机侧产品,比方主机平安产品、终端安全软件等。但基于网络流量的威逼检测和可视化更加有利于平安运维团队全面把握平安现状,对管制勒索病毒入侵施展着重大作用。
从流量侧进行勒索病毒攻打检测十分有利于还原事件全貌,有利于政企机构运维人员找到全网短板并采取针对性的加固措施。
通过网络流量检测勒索病毒的长处:
1. 检测面广
任何通过网络流传或在网络上造成破坏性行为的勒索病毒都会在流量中产生痕迹,流量侧可能感知到勒索攻打各个阶段的流量信息,检测面更广。
2. 数据可信
勒索病毒攻打过程中,存在歹意批改系统核心从而骗过主机侧文件一致性查看的可能,流量特色的元数据特色更可信,在勒索病毒曾经感化的环境中,不易受勒索病毒制作的假象以及反抗策略等困扰。
3. 更易溯源
随着海量多样化终端接入网络,主机侧对勒索病毒溯源剖析的工作量及难度将随着设施的接入规模与技术架构的异质化而减少。流量侧能够宏观感知到攻打过程中零碎里受影响的资产,做到有迹可循,有证可查,十分有利于平安运维团队综合主机侧、流量侧威逼告警来追溯事件,根治网络安全短板。
4. 更加轻量
流量侧检测更加轻量,只需在网络中镜像流量到产品中即可疾速无效定位危险。基于以上劣势,腾讯御界 NDR 平安团队针对勒索病毒的通信行为,加密伎俩,流传办法等纬度进行深刻的钻研,聚焦实在场景下的客户痛点,将御界 NDR 产品能力落地到“勒索病毒”专题场景,帮忙客户针对性进行威逼发现与提前预警。通过御界 NDR 的产品能力尽所有可能增强检测和响应,将勒索病毒攻打扼杀在施行加密攻打之前。
御界 NDR 产品蕴含如下检测伎俩:
- 勒索病毒指纹检测:对已知勒索病毒的指纹进行检测,御界 NDR 具备国内当先的专家知识库,取得国内权威机构评测认证,内置数千勒索病毒的指纹特色;
- 沙箱检测:御界 NDR 联合腾讯自研反病毒引擎 TAV 以及云端大数据能力,依附深度沙箱中的动态分析模块、动态剖析模块以及稳固高效的任务调度框架,实现自动化、智能化、可定制化的样本剖析,对文件进行精确的剖析鉴定,并通过建设大规模剖析集群,积淀了包含深度学习在内的多个高覆盖率的歹意样本检测模型,精准高效地对现网中的挖勒索病毒进行打击。
- 勒索病毒威逼情报能力:协同腾讯威逼情报系统,提供万级的勒索病毒相干威逼情报数据,涵盖歹意文件 Hash、歹意 URL 及 C2 地址等,可对已知勒索病毒或变种病毒精准检测。
- 未知勒索病毒检测:御界 NDR 基于 SMB、RDP、SSH 等网络协议进行深度解析,对文件操作、数据传输、近程拜访、外联通信等行为进行基线模型剖析,具备极强的检测泛化能力。
- 资产脆弱性以及裸露面梳理:以 WannaCry 勒索病毒家族为例,该病毒利用 微软 MS17-010 破绽与低版本的 SMB 组件进行流传。NDR 领有深度协定解析能力,通过资产指纹识别技术剖析资产裸露的端口信息、服务信息、操作系统信息、SMB 组件版本信息等,能够在勒索病毒传播产生前预警内网的高危资产。
- 基于攻打链追溯算法的关联剖析检测:以时间轴为主线,通过 ATT&CK 攻打框架,将勒索病毒探测尝试、横向挪动、施行勒索等不同阶段的单点检测后果进行关联剖析,包含进行 IP 汇聚、事件可信分级、拜访关系关联剖析等,基于攻打链追溯算法还原勒索病毒入侵的整个流动过程,从而进行攻打追溯和绘制更精确的攻击者画像,最终将可信的勒索病毒相干威逼事件进行关联展现。
四、御界 NDR 针对勒索病毒检测的五大劣势
- 攻打门路残缺出现,全面感知勒索攻打
御界 NDR 将勒索病毒的攻打流程拆分为内部侦察、病毒投递、内网侦察、横向浸透、加密感化、C2 外联 6 个环节。通过勒索专题控制台界面可全面把握内网勒索病毒告警散布,全面感知勒索病毒对内网资产的威逼水平,不便平安运维人员果决采取措施阻止毁坏。
2. 检测伎俩多样,对未知勒索病毒也可精准检测。
御界 NDR 既蕴含已知勒索病毒的样本特色检测,也能笼罩未知勒索病毒检测。对未知勒索病毒的检测次要基于文件共享元数据进行,而不依赖病毒特色库,具备发现未知勒索病毒攻打的能力。
3. 资产勒索危险披露,提前感知勒索威逼
勒索病毒暴发前都会基于资产进行脆弱性扫描,例如裸露的敏感端口,零碎或者业务弱明码,低版本或者未打补丁的零碎等。御界 NDR 反对基于资产进行危险排查,对勒索病毒攻击面进行梳理,帮忙客户提现资产脆弱性问题。可在勒索攻打产生前提前感知威逼,有助于运维人员被动排查阻止毁坏产生。
4. 勒索检测覆盖面广
御界 NDR 目前已笼罩反对超过 1000 种勒索病毒检测和 500 多类勒索病毒赎金文件的检测,笼罩 Windows、Linux 以及 Mac 平台的勒索病毒检测,笼罩所有风行勒索病毒家族。
5. 反对一键处理勒索攻打告警
腾讯 NDR 底层基于腾讯天幕 PaaS 的平安算力算法能力,提供一键阻断危险资产连贯攻击者 C &C 服务器。在感知到勒索病毒事件时,运维团队能够迅速果决处理危险,阻止勒索病毒在内网扩散。
对于腾讯平安御界 NDR 团队
腾讯平安御界 NDR 团队以流量威逼检测为外围,专一于打造对威逼攻打检测溯源阻断一体式计划,全方位为不同行业企业及政府提供平安保障。目前腾讯 NDR 计划已在政务、金融、物流等多个行业胜利利用。通过联合规定引擎、哈勃沙箱、威逼情报、AI 算法,由腾讯天幕 PaaS 平安算力算法撑持,进行实时流量协定解析及威逼检测、文件还原和流量信息存储,能疾速发现歹意攻打和潜在未知威逼,并实时响应阻断,为企业网络安全保驾护航。目前,腾讯 NDR 进入 Gartner NDR 2021 增长报告,跻身成为国内先进厂商。将来,腾讯平安将进一步施展本身在流量检测溯源及阻断上的劣势,协同生态搭档一道独特促成平安产业规模化倒退,更好地护航产业互联网倒退。