新品直击 | 勒索攻击事件频发,长扬科技提供应对之道
1.何为勒索软件
勒索软件是一种恶意程序,黑客利用勒索软件加密用户数据、更改配置等方式,使用户资产或资源无法正常使用,并以此为条件要求用户支付费用以获得解密密码或恢复系统正常运行。
勒索软件的攻击主要有文件加密、数据窃取、系统加密和屏幕锁定等四种主要的形式。
图1:勒索软件的攻击方式
从20世纪80年代首个勒索病毒AIDS出现至今,勒索软件已经形成了分工明确的产业链条,攻击者已经从过去个人、单点黑客行为向组织化、系统化、专业化方向蔓延,攻击规模和频率以惊人的速度增长。勒索软件对关键基础设施、基本服务、公共安全、消费者保护和隐私构成重大风险,已经成为当下企业面临的主要安全威胁。
图2:勒索软件的组织形式和攻击对象
2.勒索软件的传播方式和攻击过程
钓鱼邮件、安全漏洞、网站挂马、移动介质是较为常见的勒索软件传播方式, 近年来软件供应链、远程桌面也逐渐成为新的传播渠道。
图3:勒索软件的传播方式
勒索软件的攻击链条一般包含探测侦查、攻击入侵&病毒植入、加密勒索、横向扩散四个阶段。
图4:勒索软件的攻击链条
3.勒索攻击为什么比较难以防范
攻击行为隐蔽
勒索软件攻击善于利用各种伪装达到入侵目的。为了保持高隐蔽性,部分勒索攻击还会采取智能攻击策略:在入口选择上,攻击者以代码仓库为感染位置对源代码发动攻击;在编码上,高度仿照目标公司的编码方式和命名规范以绕过检测和校验等环节。
变异较快且易传播
目前,活跃在市面上的勒索攻击病毒种类繁多,并且勒索病毒也处于不断地更新变异之中,著名的WannaCry病毒就产生十几个变种。此外,蠕虫式传播型勒索病毒可进行自我复制、自主传播,传播速度更快,波及范围更广。
攻击路径和目标多元化
越来越多的攻击事件表明,勒索攻击正在由被动式攻击转为主动式攻击。随着远程监控和远程操作加快普及并生产海量数据,网络攻击者更容易利用系统漏洞发动远程攻击,实现盗取数据、中断生产的目的。
同时,勒索攻击目标呈现多元化发展。一方面,是从电脑端到移动端。勒索病毒大多以电脑设备为攻击目标,其中 Windows 操作系统是重灾区。但是,随着移动互联网的普及,勒索攻击的战场从电脑端蔓延至移动端,并且有愈演愈烈的趋势。
4.长扬防勒索软件
不难发现,未修复的漏洞就像敞开的大门,成为勒索软件渗透企业防御体系的重要突破口,而发现未知漏洞是一项挑战,有效阻断未知漏洞利用,将勒索病毒斩断在襁褓里,则是防范勒索攻击的基础。
结合勒索软件攻击的传播方式和攻击过程,长扬科技有针对性地推出了防勒索软件,针对勒索病毒攻击,从风险评估、系统加固、攻击检测和备份恢复四个维度,对数据,进程,注册表等核心文件进行全面监控,拦截异常访问行为和系统调用,从而阻止包括0day漏洞利用在内的勒索攻击行为发生。此外,长扬防勒索软件对流入本机的网络数据包和行为进行检测,可以根据策略在网络层拦截漏洞攻击,阻断外部攻击。
长扬防勒索软件产品具有检测、防护、备份恢复三大功能,可以对勒索攻击进行精准阻击,提升IT基础设施的安全性。
图5:长扬防勒索软件
勒索行为检测:支持常见勒索软件分析检测阻断,实现对已知、未知勒索软件的检测和查杀。
长扬防勒索软件通过监测和检测磁盘/文件系统遍历、结束进程、清除服务、加密文件、加密磁盘、卷影删除、备份删除、等典型行为,可以有效发现勒索病毒入侵和破坏行为,及时阻断或终止勒索进程,可保护系统安全。
勒索病毒诱捕:利用勒索软件诱饵文档,发现恶意修改文档的行为,并拦截关联进程。
长扬防勒索软件基于勒索软件磁盘/文件系统遍历和恶意加密的特征,动态生成诱饵文件投放给勒索软件,勒索软件对诱饵文件进行加密的行为将被防勒索系统识别,进而精准识别勒索软件。
关键业务保护:针对核心的应用数据,支持驱动级的文件保护、设置合规进程访问策略等,杜绝非合规进程对文件的任意修改。
勒索软件加密应用数据前,会优先终止各类应用进程,长扬防勒索软件会对常见的应用进程进行保护,避免应用进程被非法终止,进而导致业务中断或者系统崩溃,同时也防范了勒索软件对应用数据的加密。
核心数据保护:支持实时文件备份方案,可将文件、磁盘或系统定期备份到本地或专业备份恢复系统,在勒索攻击发生时可以及时恢复数据。
长扬防勒索软件通过建立应用与数据间的访问关系模型,阻断勒索软件对应用数据非法读写删改,保护系统中文档,数据库,工程文件,音频,图像,视频,配置文件免遭勒索软件恶意加密。
5.结语
勒索病毒虽然危害大,但通过正确的安全防护手段,加以有针对性的安全管理制度,中毒的机会就会大大降低,如果有完善的数据备份还可以及时恢复数据,将损失降到最低。攻击是不断变化的,如果发生管理上人为的疏忽,或者针对0day漏洞的攻击被利用,攻击者已经进入系统,那就需要通结合其他安全产品对攻击入侵后的行为及时进行检测、感知和处置。
