换个角度思考勒索攻击事件

摘要:本文基于立体防御“事前、事中、事后”的思路,从检测角度来剖析如何检测和防范勒索软件的网络攻击,从而最大程度为企业减轻类似网络攻击带来的损失。

本文分享自华为云社区​​《从检测角度思考美燃油管道商遭系统安全技术勒索攻击数据事件》​​,安全技术说明书作者:安全技术猿 。

2021年5月7日,美国最大成品油管道运营安全技术与管理专业就业方向商Coloni系统安全理论al Pipeline遭到Darkside(黑暗面组织)勒网络连接属性打不开索软件的网络攻击,该起攻击导致美国东ide部沿海主要城市输送油气的管道系统被迫下线,对经济和民生都产生了巨大的影响后果。这次攻击其实并没有利用到0DAY漏洞,甚至也没有利用到任何已知漏洞。如何检测和防范类似的或更网络连接有个黄叹号加隐蔽的网络安全攻击事件值得我们深思。

根据安天CERT对勒索攻击的分类,包含既有传统非定向勒索的大规模传播->加密->网络安全教育收取赎安全技术交底内容金->解密模式,也有定向攻击->数据窃取->加密->收取赎金解密-&ideologicalgt;不交赎金->曝光数据模式的新型作业链条两种。相对来说非定向勒索更多的是通过广撒网的方式来ide碰运气,这种方式的攻击力相对弱一些,主要攻击安全基线做的不够好而导致系统存在明显的薄弱环节,而定向勒索的攻击力就强很多,网络连接配置异常可以和APT攻击相提并论,同时也针对一些高价值的目标系统。

基于立体防御“事前、事中、事后”的思路,下面分别从这3个层数据次分别来讲述安全检测能做哪些事情来防范。

从检测角度来看,“事前”如何尽可能的提前感知到系统的薄弱位置进行加固,防范于未然是最好的;另外加强人的安全网络攻击应用武器的基本类型包括防范意识也是非常重要的,这次能攻击成功的一个前置条件就是需要有admin权限的人来运行该勒索软件,因此不要运系统安全行来路不明的应用是大家平时工网络连接属性打不开作中特别需要强调和注意,针对利用网络安全平台作业登录漏洞的攻击行为,系统安全就更为关键和重要了。

非定向勒索攻击,更多的是做好安全技术措施系统安全基线的评估,其中关键点是补丁和系统安全加固的检测和风险评估。

能实现这两种检测的黑盒工具:

  • 动态检测商用工具有Nessus、Nexpose网络安全主题班会、RSA系统安全设计与数据容灾技术分析S、GSM、openVAS等
  • 静态已知漏洞检测商用工具系统安全控制的第三道防线是有appcheck、cybellum等。

另外针对漏洞等级和漏洞修复优先顺序的评估和关键资安全技术交底产的补丁修复跟踪系统这块也是需要加强和重视。

定向勒索攻击,同APT检测ideological一样,需要更多的威胁情报入侵检测纵深防御与检测能力identify,而不仅仅只依赖单一的动静态检测工具就能做到的。

既然无法完全防御住“事前”,那么针对“事中”的监控和“事后”的确认,从检测角度看也是很有必要的。基于Darkside勒网络连接属性打不开索软件样本的分析结果,针对勒索软件的特有行为特征,可以开发一些针对性的方法和检测工具,实现该勒索软件行为的实时监测,从而能实现及时的触发报警系统,减轻或避免勒索软件的横向渗透导致感染面积的扩散。

下面就这个勒索软件的表现出来的异常行为特征我想到的一些检测方法,给大家起到一个抛砖引玉作用。

软件行为1:Darkside勒索软件会有系统语言判定行为。

检测方法1:监测软件获取系统语言的API,从而发现那些调用网络安全平台作业登录该API获取系统语言的软件并触发报警,再由人工来网络连接配置异常怎么解决判断是否遭受到Darkside勒索软件的网络安全法立法的首要目的是攻击。

软件行为2:为了避免影响勒索软件的运行,会结束下列服务backup安全技术、sql、sophos、svc$、vss、memtas、mepocs、veeam、GxBlr、GxCVD、GxClMgr、GxFWD、GxVss。的行为。

检测方法2:可以在一些机系统安全验证器上部署这些假冒的服务,并时刻监视这些服务是否在运行状态网络连接失败错误为651中,如果这些服务运行状态异常identify,那么就可以触发报警系统,再由人工来确认是否遭受到Darks网络连接有个黄叹号ide勒索软件的网络连接受限数据科学与大数据技术击。这种方法类似常见的蜜罐系统安全验证检测方法。

软件行为3:Darkside勒索软件会有获取用户名、计算机名、机器首选语言、Ne网络攻击的种类tbios名等信息的行为。

检测方法3:可以参考软件行为1的类似检测方法。

软件行为4:打开Firefox/80.0应用程序句柄,网络连接不上怎么解决通过443端口连接到C2服务器的行为。

网络攻击的发展趋势是什么测方法4: 检测异常的网络连接端口和网安全技术与管理专业是干什么的络连接行为。

软件行为5:递归函数查找全盘特定文件和文件夹,并将其删除的行为。

检测方法5:可以参考软件行为1的类似检测方法。

总结:

针对勒索软件的恶意攻击,“事前”的有效防护是重中之重,而检测能力则是“事前”有效防护的试金石,检测工具“矛”的能力越强,越能检测出“事前”有效防护这个“盾”的坚固程网络攻击的种类度。另外网络防护一定是立体防护,寄希望一道篱笆就挡住所有攻击行为是不现实的,也是不明智的。

可以试试下面的漏扫服务,看看系统是否存在安全风险​​漏洞扫描服务 VSS​​

​​点击关注,第一时间了解华为云新鲜技术~​​