论道攻防系列第4期丨华为勒索攻击防护的道与术
前面三期介绍了勒索攻击的趋势、攻击链、感染分布现状,以及华为的勒索攻击防御整体思路,本期重点展开讨论下防勒索的道与术,和华为的针对性精准阻击方案。
在匿名化加密货币支付、暗网倒卖的助力下,勒索攻击无疑成为网络威胁中最“成功”的一种商业模式。大多数攻击组织的初始目的是获利,以破坏和公开商业机密为要挟,部分攻击者的真实意图是猎取威胁信息,谋取政治诉求。比起传统攻击,多重勒索是最好的获利和实现各种复杂意图的手段。
勒索攻击的利润有多高?对比一个可能“不恰当”的例子——海洛因。缅甸高山小山村里种植罂粟的农户,以每公斤113美元的价格售出鸦片汁,途径采购、加工和运输,最后到不同肤色人的血管里,售价上涨10000倍。再看下勒索攻击,赎金逐年攀升,从Wannacry300美金,到3500万美金,勒索团伙最高每年获利20亿美金。收入10亿可以定义成一个小产业,将勒索攻击作为一种全球性商品上市流通后,攻击团伙利用黑产配合,快速实现了多向变现。
巧妙的是,勒索攻击的生态圈和海洛因产业的上下游配合异曲同工。“制毒”的是一个团队,分发部署、执行由更专业的网络渗透和攻击团队承接,RaaS(Ransomware-as-a-Service,勒索软件即服务)化分工协作,开箱即用。比如,2021年勒索攻击收入最高的家族Nefilim,将70%的利润分配给负责入侵和部署勒索核心载荷的黑客合作对象,30%留给勒索软件开发人员。对能例行提供受害对象的,利润配比可提升到90/10。和海洛因一样,勒索攻击真正的利润全在下游。多团队精准配合,让各类新老网络攻击手段和工具箱“大放异彩”,按需发挥。防勒索变成一个“X+勒索”的命题。这就像攻破不同组织运送一个带毒的潘多拉盒子,网络渗透团队通过流行的钓鱼、漏洞利用、RDP爆破等手段入侵企业;攻击团队负责内部执行、横向移动,打开盒子部署勒索载荷,进一步横移扩大战果。盒子送进去了,打开后携带的“毒”可以是勒索加密软件、窃密或是DDoS攻击工具。多重杀伤力迫使企业承受高昂赎金、数据损失、业务中断、行政处罚等压力,关键基础设施被攻击,还承受民生、政治安全风险。随着勒索攻击从1.0的无差别广撒网,进化到半自动定向攻击,黑客团伙更多选择关机机构实施精准攻击,达到最高投资回报。中招后难恢复,直接解密基本不可能,勒索多采用非对称加密,即使加密算法公开,以当前算力解密也要上百年。APT化、供应链攻击、虚拟货币、暗网交易等新手段的结合,造成勒索攻击更难检测、难追踪。
结合勒索攻击的四个阶段,华为防勒索解决方案构筑了端网云结合的四重防锁链,将碎片化防御连接起来,提升IT基础设施的数字韧性,对勒索攻击进行精准阻击。整体上,勒索攻击还会持续演进,0day漏洞、新的攻击手段、恶意软件和变种层出不穷,做到绝对检测和消灭不现实。这就像人体和病毒的关系,强身健体自固为本,构筑系统免疫力是核心。事前,缩小攻击面、提前加固,建立多层边界防线是前提;事中对攻击范式进行分类分解,层层部署动静态检测和诱捕,做到攻击进来及时响铃,逐层分析、快速研判;事后,及时响应止损,并结合实时文件备份将数据损失减少到最小。
边界入侵防线
勒索攻击防御的核心要素在时间,防御时间越前移,实效最好,损失最低。针对亚太区TOP的网络渗透手段RDP利用、漏洞利用和钓鱼,华为精密构造了多重微型过滤网。
首先,收缩对外暴露攻击面是第一步,这是获取攻防主动权的关键。鸦片战争清军和英国远征军交战,清军兵力是占绝对优势的,但没有可正面对抗的“船坚炮利”,放弃海上交锋,全国几千里的海岸线都成为防御范围,什么时候打、打哪里是敌军说了算。今天企业安全防御专业水平不断提升,但减少攻击面,缩短战线,反客为主还是要放在第一步。事前建立各类安全基线,漏洞补丁提前加固,减少和修复面向互联网的脆弱点。特别要加强供应链的代码审计和安全检查,可引入自动化工具和软件成分分析等技术,持续对热门开源软件和应用进行监控,降低勒索攻击从第三方系统进入的风险。
第二,通过华为零信任方案,贯彻外网访问应用级最小授权。对每一次访问端到端的基于设备、角色、应用进行安全检查和动态威胁评估,层层认证授权,包括供应链设备和应用可信控制,降低黑客和恶意代码渗透风险,结合微隔离将威胁阻塞在最小控制范围。
第三,从边界检测上,集成威胁信息的华为AI防火墙是第一道前置过滤网,形成预测性“先知”的能力。针对勒索攻击惯用的RDP暴力破解、钓鱼邮件附件、携码URL和钓鱼网页,AI防火墙可以在勒索核心载荷释放前的黄金期,基于RDP爆破攻击IP威胁信息、勒索C2远控IP或域名、恶意URL分类库进行精准阻断。同时,借助AI防火墙集成的下一代防病毒引擎,联动沙箱和邮件安全网关,借助内置的动静态多引擎和智能检测算法,精确检测邮件恶意附件、恶意链接的下载程序。华为乾坤云安全智能中心,可覆盖千万级入站勒索攻击IP,RDP爆破攻击IP覆盖率97%,漏洞攻击IP覆盖率90%以上,以及亿级AI恶意网页检测分类库。同时,引入了独特的NLP自动分析技术,可自动化提取勒索公开安全事件报告威胁信息,加上沙箱勒索样本培植分析,整体可批量生产勒索C2远控IP、域名、Hash等各类热点IOC。
第四,是漏洞利用检测。现有勒索攻击已利用的漏洞数量有220个以上,流行家族平均利用7个以上的组合漏洞。其中三分之一是7年前的,而且一半以上是CVSS分数不高的非高危漏洞。这些漏洞绝大部分仍然流行,比如永恒之蓝MS17-010依然“永恒”,因为企业里还有大量没修复漏洞的存量主机,勒索攻击团伙也追求高ROI,该漏洞被最新的勒索家族频繁使用,达到内网快速横向传播的效果。企业打最新的漏洞补丁,会忽略老漏洞的修复,而这些木桶的短板实际会给企业带来更大风险。华为乾坤云可为企业提供事前主动漏洞检测和分析服务,帮助企业提前发现各类系统、中间件和应用服务漏洞,给出详细漏洞体检报告和修复建议。针对勒索相关的RCE远程代码执行、提权和暴力破解漏洞利用,华为AI防火墙已基本覆盖,通过虚拟补丁和规则对勒索漏洞利用行为进行实时阻断。华为AI防火墙内置硬件模式匹配加速引擎,和独特的精细化语法分析技术,在现网入侵检测签名全开启下性能不下降,并具备分段、跨包等400+反躲避检测能力,有效阻断漏洞入侵。面对未来更多的勒索新变种、新的漏洞利用,华为未然实验室长期专注各类漏洞挖掘和利用研究,第一时间生成漏洞利用规则,不断提升0day、Nday漏洞事前分析和覆盖能力。
守的反面是攻,华为未然实验室同时积累了专业的渗透测试和BAS攻击模拟能力,基于ATT&CK攻击矩阵,分析勒索主流的攻击技术和热点漏洞的利用方式,经过统计分析,形成关键攻击模拟插件case,包括钓鱼、提权、驻留、横移和勒索加密行为。通过插件的组合,模拟全链路的攻击行为,持续对企业安全防御体系进行模拟攻击,主动评估客户安全防御的有效性和风险,确保基础设施反勒索攻击弹性。
未知恶意流量监测防线
对于新的未知勒索攻击,入侵手段和使用的恶意载荷在不断变化,加密通信、C2托管正常服务器、双面工具等躲避手段加剧迷惑性,如何在万变中找到一条检测出路?华为AI防火墙和HiSec Insight NDR集成了多维流量智能检测算法,含加密流量检测,可覆盖勒索攻击链路检测的多个阶段,包括RDP暴力破解、Web渗透、可疑Webshell行为等入口突破,以及早期恶意载荷投递、可疑C2回连、内部横移、数据回传等8个攻击阶段共30多类检测能力,其中基于机器学习的检测算法20种以上。在实际攻防场景中,AI防火墙和NDR检测发现了大量恶意C2、隐蔽通道、慢速暴破等攻击,在提升检出率、发现未知威胁方面效果显著,贡献了32%常规签名无法检出的攻击事件。对编码、绕过签名检测场景的准确率可达95%以上。
此外,从UEBA发现异常的维度上,HiSec Insight内置的对等组算法可以学习企业内部实体“白行为”基线,对偏离网络基线的异常行为进行冒泡。基于华为HiSec Insight安全态势感知,联动网络探针抓包、EDR采集进一步取证溯源,在万变中拨清迷雾,一步一步逼近威胁真相,及时联动安全设备和EDR阻断C2回连通信、清除恶意程序等。
内网终端多维防线
终端是勒索攻击防御的最重要一道防线,短兵交接,风驰云走,这里的“一字诀”是“快”。在这个与攻击者终极PK的修罗场,高效的静态和动态行为检测需要严密配合,在勒索核心载荷落盘或运行前阻断,确保时效是关键。首先是防病毒AV引擎,华为HiSec EDR集成了下一代AV引擎,可实时扫描发现勒索攻击早期木马、提权等恶意程序投递,阻止进一步释放勒索软件;同时,基于内核级文件写入、运行阻断查杀技术,在勒索加密载荷落盘或运行前高速扫描,确保勒索软件不运行下的高检出和高查杀率。华为HiSec EDR AV引擎采用MDL专有病毒语言,以少量资源精准覆盖海量变种;集成专有在线神经网络等高精度智能算法、反躲避技术等,可检测深度隐藏、嵌套、压缩的病毒,并具备一定未知病毒检测能力;借助乾坤云端强大的文件安全生产系统,利用多AV和沙箱集群,集成10多种以上的自动化签名算法,对海量样本进行高效、高质覆盖,持续对抗分析每日百万新增恶意样本,准确检测流行勒索软件家族,以及挖矿、木马、僵尸、后门、蠕虫等各类恶意软件。在对抗检测、智能检测算法、签名泛化能力和扫描性能上具备领先。
对于变种和未知勒索软件,基于威胁知识,从攻击者的角度分析战术,拆解攻击招式是关键。攻击的形式可以千变万化,但从行为上都可以进行总结和计算,形成威胁范式。整体思路是“诱敌入网,反客为主”。华为HiSec EDR动态行为检测采用内核级监控,结合内核动态诱饵文件部署,对进程创建、进程注入、镜像加载、文件写入、注册表修改、诱饵文件修改、网络连接和指令调用等进行全面监控。借鉴曾国藩湘军的“结硬寨”的战术,基于威胁范式精心密织一张行为捕获网,网分三层:
第一层,广泛打点,在EDR端侧密布各类异常行为探测器,可有效捕获已知未知勒索在早期的可疑行为。
第二层,通过独有的内存威胁图,对单终端进程树、文件、凭据等对象访问行为链,进行毫秒级上下文关联,支持流式异常状态机匹配,输出高置信度恶意行为,基于高性能主机IPS,结合静态AV引擎将95%以上的勒索攻击实时阻断闭环在终端侧。
第三层,构筑在云端,通过乾坤云对跨终端、异构数据源进行时空层面的综合关联和溯源,结合AI算法和全局威胁溯源图深度归因,还原攻击链,实现70%以上威胁一键自动化处置率。即使勒索攻击采用隐蔽性极高的内存型无文件攻击,或利用OS自带二进制、合法工具、powershell命令等进行躲避,也能在关键点触碰网中的铃铛,基于运行时行为上下文关联,找出破绽。
最后通过端网、端云、网云三个层面的XDR综合联动,和勒索攻击赛跑,达到秒级甚至毫秒级的加密实施前检测和阻断,将损失降到最低。
文件实时备份防线
最后兜底的是创建数据备份,要求在平时主动识别关键资产,做好重要数据端云多备份,才能做到攻击常态化的日子里“有粮不慌”。华为乾坤云提供数据资产主动识别服务,同时对部署了HiSecEDR的终端,即将推出实时文件备份方案,通过勒索行为检测,动态发现高可疑的文件访问模式,如诱饵文件访问、批量文件遍历、修改后缀名等,触发实时文件备份,将文件损失数量尽量减少到个位数。针对存储阵列服务器的勒索感染,华为推出存储防勒索联合方案,提供AirGap、安全快照、复制链路加密和存储加密等多重保护。并通过在阵列容器内置侦测分析引擎,支持机器学习判断文件异常变化,及时发现并阻断勒索攻击,触发安全快照恢复。
未来的勒索攻击发展可能会蔓延到车辆、智能家居等IoT新兴领域,攻击的目标和形式不断变化,防御对抗将是长期性的。对企业和安全厂商来说,防御的道与术方向上不变,需借助云网端协同将核心的防御逻辑、知识和能力流程化、自动化,同时动态更新特征和算法保持威胁主动感知的灵敏度。核心依然是事前正向提升免疫力,自固为本,包括建立零信任机制,筑牢多维边界防线,加强攻防演练和日常培训等;事中反向层层编织具备演进能力的防御检测和诱捕体系,一招一式拆解各种攻击伎俩;事后回溯恢复。提升数字韧性和反攻击双向能力,获取攻防主动权,对勒索和各类新型攻击进行常态化治理,打赢这场持久战。
相关文章: