安天产品助力用户有效防护勒索攻击
时间 : 2021年11月01日 来源: 安天
近期,为加强勒索病毒攻击防范应对,在工业和信息化部网络安全管理局指导下,中国信通院联合安天等单位编制发布《勒索病毒安全防护手册》。自2021年11月1日起,安天网络安全垂直响应服务平台运营组将以防御赋能和威胁分析视角,通过一天一篇的科普专题连载,分享勒索攻击的攻击技术、行为特点、演进趋势等8组关键信息,介绍安天产品如何构建防御勒索攻击的防线。
1.业界携手应对勒索威胁
近期,为加强勒索病毒攻击防范应对,在工业和信息化部网络安全管理局指导下,中国信息通信研究院联合中国电信集团有限公司、中国移动通信集团有限公司、中国联合网络通信集团有限公司、安天科技集团股份有限公司、杭州安恒信息技术股份有限公司、奇安信科技集团股份有限公司、绿盟科技集团股份有限公司七家单位编制《勒索病毒安全防护手册》[1],并由中国信通院官方正式发布。安天为这份手册的形成输送了大量的分析报告、处置案例和防护建议等原始素材[2]。
作为二十年来持续与网络威胁实战对抗的“网络安全国家队”,安天对勒索攻击进行着持续跟踪与分析,2006年捕获了国内最早出现的Redplus敲诈者木马。2015年8月,安天发布了长篇报告《揭开勒索软件的真面目》[3]。2017年5月,在“魔窟”(WannaCry)重大勒索响应过程中,安天率先发布全网首篇长篇分析报告[4],快速提供了专杀免疫工具,提供了周一开机指南,向政企机构分发了数千张应急响应处置光盘,后又研发了基于内存密钥获取的解密工具等,获得多个主管部门好评。安天针对GANDCRAB、GlobeImposter、Sodinokibi、Phobos、WannaRen等重大流行勒索软件,也同样进行了应急响应与详细分析研判,累计发布勒索攻击相关分析、预警、处置建议等报告四十余篇[4]。
安天持续的威胁分析研判工作也让安天全线产品在对抗勒索威胁中获得了主动。
2.安天智甲全面构筑端点系统侧安全防线
绝大多数勒索攻击都是以主机系统为攻击点,以主机上的数据为侵害对象。与此同时,随着加密协议正在全面削弱防火墙等安全边界,网络安全支点正在回归主机系统安全侧。面向政企侧端点场景,安天打造了智甲终端防御产品家族。智甲基于UES(统一端点安全)理念研发,将病毒查杀、配置加固、可信环境验证、主动防御、分布式防火墙、介质管控、WEB SERVER防护等模块积木化组合,可以有效覆盖包括传统桌面、工作站、服务器、虚拟化、容器等场景的安全需求,对包括Windows、Linux、Android以及欧拉、麒麟、统信等国产操作系统都能有效建构系统内核层防御。
智甲针对勒索攻击构建了“五层防御,两重闭环”的防护解决方案。五层防御即系统加固、(主机)边界防御、扫描过滤、主动防御、文档安全五个防御层次,两重闭环是EPP(端点防护)实时防御闭环,和EDR(端点检测和响应)准实时/异步防御闭环。
表1 安天智甲终端防御系统防护勒索病毒的机理
防护层级 |
技术原理 |
系统加固 |
通过基线和补丁检查功能,实现对系统配置脆弱点的检查修补、补丁加固和系统自身安全策略调整等,从而减少包括开放端口、弱口令、不必要的服务等勒索攻击的暴露面,削弱漏洞利用的成功率。 |
(主机)边界防御 |
通过分布式主机防火墙和介质管控功能,拦截扫描、入侵数据包,阻断攻击载荷传输,拦截U盘、光盘等插入自动运行,使勒索攻击难以获得主机入口。 |
扫描过滤 |
基于安天AVL SDK反病毒引擎对文件对象、扇区对象、内存对象、注册表数据对象等进行扫描,判断检测对象是否是已知病毒或者疑似病毒,从而实现精准判断查杀。 |
主动防御 |
基于内核驱动持续监控进程等内存对象操作行为动作,研判是否存在持久化、提权、信息窃取等攻击动作,判断是否存在批量读写、删除、移动文件或扇区等操作,并文件授信(签名验证)机制,过滤正常应用操作动作以降低误报。 |
文档安全 |
依靠部署多组诱饵文件并实时监测,诱导勒索病毒优先破坏,达成欺骗式防御效果。采用多点实时备份机制,即使正常文档被加密也可快速恢复。 |
凭借这样的机理设计,辅以每日10次病毒库本地升级,云端库实时升级,威胁情报定时推送,安天智甲可以有效阻止病毒落地、阻断恶意行为、保护重要文档,全面有效的保障用户免受勒索攻击威胁。
图1 智甲终端防护系统防护勒索病毒原理示意图
图2 智甲(桌面版)拦截勒索攻击与文档保护界面示例
图3 智甲管理中心威胁告警与处置界面
3. 安天全线产品支持用户构筑全面防护体系
当前,一些网络犯罪组织所发动的定向勒索攻击,具有APT(高级可持续威胁攻击)定向攻击水准,用户需要更为动态的综合勒索攻击安全防护体系,安天全线产品可以有效支撑构筑用户防御阵地。
表2 安天全线产品应对勒索攻击安全防护价值简介
产品品牌 |
产品定位 |
部署方式 |
在勒索攻击安全防护上的价值 |
终端防御系统 |
UES (统一端点防御,覆盖 EPP\EDR\CWPP) |
安装(或原厂预制)在系统主机上。 |
基于主机加固机制减少攻击暴露面,基于边界防御机制拦截网络连接和介质运行,通过驱动级的监控,实时感知本地新增文件及其动作,调用安天AVL SDK反病毒引擎进行精准检测和查杀。基于主动防御机制判定和中止可疑行为,并且结合诱饵文件防护、进程行为画像等功能可对具有勒索行为的程序进行发现和拦截;另外智甲可对文档的写行为进行判定,发现疑似恶意加密动作时可自动的在文档被破坏前进行主动备份,事后可通过文件恢复将用户损失降到最低。 |
威胁检测系统 |
NDR (网络检测响应) |
在政企网出口、关键网段等位置旁路部署,可以作为云资源池部署。 |
探海基于网络流量感知和检测勒索攻击的活动,包括扫描、探测、钓鱼邮件投放、程木马植入、横向移动与C2的连接等,并基于流量侧的协议解析和还原,捕获攻击载荷,调用安天AVL SDK反病毒引擎进行更精准的检测,从而能更提前发现勒索攻击的网络侧活动,联动响应和处置。 |
蜜罐系统 |
威胁欺骗捕获 |
支持企业内网、隔离网、私有云、公有云等部署场景。 |
捕风蜜罐系统支持通过系统和应用的模拟欺骗捕获威胁攻击,可以与导流设备结合,有效感知扫描探测、暴力破解、漏洞攻击、内网横向扩散和载荷投放等,从而把勒索攻击吸引到蜜罐中,快速发现勒索事件和情报,联动响应和处置,以供应用户及时防御阻断勒索威胁传播。 |
威胁分析系统 |
FA (文件分析) |
旁路部署,联动设备与查询结果终端路由可达即可。 |
追影可以与智甲、探海等安天全线产品联动使用,或安全工程师手工交互,基于深度静态分析和高仿真沙箱环境执行双重机制分析文件对象,针对勒索攻击文件载荷,可以有效分析标定漏洞利用、权限提升、防御对抗、文件加密与备份禁用等行为,协助用户生产威胁情报,联动威胁响应和处置。 |
应急处置工具箱 |
应急处置 |
基于U盘、光盘、便携设备与场景连接使用。 |
拓痕基于对终端侧系统进行威胁检测分析,包括进程、服务、内核、引导扇区等对象的全要素的提取解析,调用安天AVL
SDK反病毒引擎进行更精准的检测,检出和留存攻击载荷,提取可疑对象。从而有效发现勒索攻击在端点侧的活动,并通过底层处置能力,清除勒索软件实体与启动链,完成威胁发现、分析、取证、处置业务闭环。 |
安天垂直响应服务平台中开通了面向Windows主机的轻量级勒索风险评估,并提供专用响应工具,帮助客户快速排查流程风险。
详情地址:https://vs.antiy.cn/endpoint/rdt
同时,个人和家庭用户,推荐安装使用安天杀毒软件(Windows版),获得有效安全防护。
详情地址:https://vs.antiy.cn/endpoint/anti-virus
安天持续赋能用户构筑有效勒索攻击安全防护体系,达成有效安全价值。
全国服务热线:400-840-9234
服务支持邮箱:support@antiy.cn
参考资料:
[1] 中国信通院发布《勒索病毒安全防护手册》.2021/09:
http://www.caict.ac.cn/kxyj/qwfb/ztbg/202109/t20210908_389515.htm
[2] 安天勒索攻击系列专题报告:
https://www.antiy.cn/research/notice&report/research_report/index.html