一、 背景
2021年上半年,勒索病毒席卷美国,受害企业损失动辄数千万美元。2021年,美国最大燃油管道商(Colonial Pipeline)、全球最大的肉制品生产商JBS、全球500强IT咨询公司埃森哲等巨型企业先后遭遇勒索病毒攻击。《2021年勒索攻击特征与趋势研究白皮书》指出,大型企业和基础设施成为攻击重点,国内部分公共服务机构、企业曾因勒索攻击导致服务全面中断,勒索攻击往往伴随严重的数据泄露事件,被攻击的企业还可能面临与个人信息保护法、数据安全法等相关的法律诉讼。
腾讯高级威胁检测系统(御界NDR)由腾讯天幕PaaS提供底层安全算力驱动,通过镜像网传统IT环境、公有云、私有云、单云、多云以及混合云架构并能更快络边界流量,结合海量安全数据,运用数据模型、安全模型、感知算法模型识别各类网络攻击及高级威胁(APT攻击)。
御界NDR将勒索病毒相关风险通过“勒索病毒专题”进行场景化呈现,通过丰富的检测手段与可视化分析,为政企机构安全运维人员提供丰富直观的一站式勒索病毒检测管理平台。
二、 勒索病毒入侵过程剖析
勒索病毒攻击一般包括四步:入侵->扩散->窃密->勒索,腾讯安全团队近年观察发现,勒索团伙的攻击手法已日趋APT化。即:攻击者会采用任何可能的方式,对目标网络进行长期、持续性的探测入侵活动,通过内网横向扩散逐步从单一节点到控制目标核心系统,先窃取高价值数据上传,最后释放加密组件一举瘫痪目标网络实施勒索攻击。
攻击前期,尝试探测投递
攻击者对目标系统的工作人员信息、系统资产信息、组件信息进行详尽的搜集探测,以便进行下一步的攻击武器投递。攻击者常常利用工作人员信息发送带有恶意链接的钓鱼邮件引诱内部人员点击并借机执行恶意程序完成渗透;或是利用系统资产对外开放的网络服务漏洞(包括使用0day漏洞)进行攻击尝试,从而攻陷暴露的内部资产。
在攻击者进行信息搜集,资产风险探测的过程中,去扫描可能存在漏洞的系统,扫描高危端口(如445、3389),尝试投递勒索病毒;或针对存在漏洞风险系统,尝试远程攻击后提权。在此阶段,攻击者的主要行为包括:对低版本SMB协议扫描,SMB服务漏洞利用,以及可疑钓鱼邮件链接访问及下载操作。
尝试探测入侵阶段的所有操作往往需要与攻击目标服务器建立网络连接,完成扫描->漏洞利用->武器投递的攻击链,从而产生大量异常的SMB、RDP南北向流量。
横向渗透,扩大攻击面
当攻击者通过漏洞利用或是钓鱼邮件等社工方式,攻陷目标系统个别资产后,一般不会立刻投放勒索病毒。因为这样制造的破坏太有限了,勒索病毒团伙的目标是一次致命打击就迫使企业支持巨额赎金。攻击者会在成功控制个别资产后,再尝试一切可能的方式进行横向扩散,尽可能去控制更多资产或核心资产。
攻击者会利用已失陷的资产对其他资产进行扫描渗透,比如扫描开放的SMB服务与RDP服务,以失陷的资产作为跳板对当前网段进行感染,扩大攻击面。一旦通过445端口、3389端口连接成功,则会尝试通过漏洞利用进行感染,以控制尽可能多的网络资产;
其次,勒索病毒感染后会通过互联网与攻击服务器建立C&C连接,传递失陷资产的主机信息,包括操作系统信息、IP 地址、地理位置、访问权限以及加密密钥。若攻击者获得域管理员权限,会迅速通过远程命令发起其他攻击。这个阶段攻击者通常使用SMB服务端口445和RDP服务端口3389进行内网渗透,而使用标准端口 80 和 HTTP协议或端口 443 和 HTTPS 协议连接C&C服务器,下载、执行远程指令。至此攻击者已经完成提权->横向渗透->C&C连接的攻击链,并产生大量异常的东西向SMB、RDP协议流量,以及HTTP(HTTPS),或是协议隧道的南北向流量。
窃取企业机密信息
攻击者通过遍历已控制的企业服务器数据,将企业重要敏感信息上传到黑客控制的服务器,此期间,会产生大量异常网络流量。
加密数据,实施勒索
最后一步,勒索病毒模块执行后,通常遍历本地目录,对本地文件的进行加密操作。勒索病毒也会感染网络共享目录。对网络共享文件的读写操作,会产生异常SMB协议流量。
三、 御界NDR勒索病毒检测方案
御界NDR可对勒索病毒攻击面进行全面检测响应
目前安全厂商针对勒索病毒的检测,主要集中在主机侧产品,比如主机安全产品、终端安全软件等。但基于网络流量的威胁检测和可视化更加有利于安全运维团队全面掌握安全现状,对控制勒索病毒入侵发挥着重大作用。
从流量侧进行勒索病毒攻击检测非常有利于还原事件全貌,有利于政企机构运维人员找到全网短板并采取针对性的加固措施。
通过网络流量检测勒索病毒的优点:
1.检测面广
任何通过网络传播或在网络上造成破坏性行为的勒索病毒都会在流量中产生痕迹,流量侧能够感知到勒索攻击各个阶段的流量信息,检测面更广。
2.数据可信
勒索病毒攻击过程中,存在恶意修改系统核心从而骗过主机侧文件一致性检查的可能,流量特征的元数据特征更可信,在勒索病毒已经感染的环境中,不易受勒索病毒制造的假象以及对抗策略等困扰。
3.更易溯源
随着海量多样化终端接入网络,主机侧对勒索病毒溯源分析的工作量及难度将随着设备的接入规模与技术架构的异质化而增加。流量侧可以宏观感知到攻击过程中系统里受影响的资产,做到有迹可循,有证可查,非常有利于安全运维团队综合主机侧、流量侧威胁告警来追溯事件,根治网络安全短板。
4.更加轻量
流量侧检测更加轻量,只需在网络中镜像流量到产品中即可快速有效定位风险。基于以上优势,腾讯御界NDR安全团队针对勒索病毒的通信行为,加密手段,传播方法等纬度进行深入的研究,聚焦真实场景下的客户痛点,将御界NDR产品能力落地到“勒索病毒”专题场景,帮助客户针对性进行威胁发现与提前预警。通过御界NDR的产品能力尽一切可能加强检测和响应,将勒索病毒攻击扼杀在实施加密攻击之前。
御界NDR产品包含如下检测手段:
勒索病毒指纹检测:对已知勒索病毒的指纹进行检测,御界NDR具备国际领先的专家知识库,获得国际权威机构评测认证,内置数千勒索病毒的指纹特征;
沙箱检测:御界NDR结合腾讯自研反病毒引擎TAV以及云端大数据能力,依靠深度沙箱中的动态分析模块、静态分析模块以及稳定高效的任务调度框架,实现自动化、智能化、可定制化的样本分析,对文件进行准确的分析鉴定,并通过建设大规模分析集群,沉淀了包括深度学习在内的多个高覆盖率的恶意样本检测模型,精准高效地对现网中的挖勒索病毒进行打击。
勒索病毒威胁情报能力:协同腾讯威胁情报系统,提供万级的勒索病毒相关威胁情报数据,涵盖恶意文件Hash、恶意URL及C2地址等,可对已知勒索病毒或变种病毒精准检测。
未知勒索病毒检测:御界NDR基于SMB、RDP、SSH等网络协议进行深度解析,对文件操作、数据传输、远程访问、外联通信等行为进行基线模型分析,具有极强的检测泛化能力。
资产脆弱性以及暴露面梳理:以WannaCry 勒索病毒家族为例,该病毒利用微软MS17-010漏洞与低版本的SMB组件进行传播。NDR拥有深度协议解析能力,通过资产指纹识别技术分析资产暴露的端口信息、服务信息、操作系统信息、SMB组件版本信息等,可以在勒索病毒传播发生前预警内网的高危资产。
基于攻击链追溯算法的关联分析检测:以时间轴为主线,通过ATT&CK攻击框架,将勒索病毒探测尝试、横向移动、实施勒索等不同阶段的单点检测结果进行关联分析,包括进行IP汇聚、事件可信分级、访问关系关联分析等,基于攻击链追溯算法还原勒索病毒入侵的整个活动过程,从而进行攻击追溯和绘制更准确的攻击者画像,最终将可信的勒索病毒相关威胁事件进行关联展示。
四、 御界NDR针对勒索病毒检测的五大优势
攻击路径完整呈现,全面感知勒索攻击
御界NDR将勒索病毒的攻击流程拆分为外部侦查、病毒投递、内网侦查、横向渗透、加密感染、C2外联6个环节。通过勒索专题控制台界面可全面掌握内网勒索病毒告警分布,全面感知勒索病毒对内网资产的威胁程度,方便安全运维人员果断采取措施阻止破坏。
检测手段多样,对未知勒索病毒也可精准检测。
御界NDR既包含已知勒索病毒的样本特征检测,也能覆盖未知勒索病毒检测。对未知勒索病毒的检测主要基于文件共享元数据进行,而不依赖病毒特征库,具备发现未知勒索病毒攻击的能力。
资产勒索风险披露,提前感知勒索威胁
勒索病毒爆发前都会基于资产进行脆弱性扫描,例如暴露的敏感端口,系统或者业务弱密码,低版本或者未打补丁的系统等。御界NDR支持基于资产进行风险排查,对勒索病毒攻击面进行梳理,帮助客户提现资产脆弱性问题。可在勒索攻击发生前提前感知威胁,有助于运维人员主动排查阻止破坏发生。
勒索检测覆盖面广
御界NDR目前已覆盖支持超过1000种勒索病毒检测和500多类勒索病毒赎金文件的检测,覆盖Windows、Linux以及Mac平台的勒索病毒检测,覆盖所有流行勒索病毒家族。
支持一键处置勒索攻击告警
腾讯NDR底层基于腾讯天幕PaaS的安全算力算法能力,提供一键阻断风险资产连接攻击者C&C服务器。在感知到勒索病毒事件时,运维团队可以迅速果断处置风险,阻止勒索病毒在内网扩散。
关于腾讯安全御界NDR团队
腾讯安全御界NDR团队以流量威胁检测为核心,专注于打造对威胁攻击检测溯源阻断一体式方案,全方位为不同行业企业及政府提供安全保障。目前腾讯NDR方案已在政务、金融、物流等多个行业成功应用。通过结合规则引擎、哈勃沙箱、威胁情报、AI算法,由腾讯天幕PaaS安全算力算法支撑,进行实时流量协议解析及威胁检测、文件还原和流量信息存储,能快速发现恶意攻击和潜在未知威胁,并实时响应阻断,为企业网络安全保驾护航。
目前,腾讯NDR进入Gartner NDR 2021增长报告,跻身成为国际先进厂商。未来,腾讯安全将进一步发挥自身在流量检测溯源及阻断上的优势,协同生态伙伴一道共同促进安全产业规模化发展,更好地护航产业互联网发展。