《深信服:2022勒索软件态势分析报告(18页).pdf》由会员分享,可在线阅读,更多相关《深信服:2022勒索软件态势分析报告(18页).pdf(18页珍藏版)》请在三个皮匠报告上搜索。
1、2022勒索软件态势分析报告2022 RASONMWARE TRENDS ANALYSISREPORT深盾终端实验室目录概述年度勒索攻击态势2022年勒索攻击的行业分布TOP102022年勒索攻击受害客户行业咨询TOP10勒索攻击的中国省份区域分布TOP10勒索利用的漏洞规模进一步扩大勒索病毒活跃感染数据TOP10年度流行勒索家族TOP榜Phobos:四年如一日的RDP爆破老手Mallox:暴力破解入侵后伴随AnyDesk远程控制Tellyouthepass:热点高危漏洞“爱好者”,导致国内多企业大面积业务停摆Lockbit:全球勒索活跃度最高的勒索团伙之一Magniber:少年老成,隐蔽性极
2、强的“新生代”家族Sodinokibi:“著名”勒索团伙GandCrab接班人Coffee:真正的钓鱼高手都是标题党Robaj:初出茅庐,即被解密年度勒索攻击大事件年度重要政策和举措勒索软件发展趋势勒索技术现状加密方式更多的转向“间歇性加密”,加密速度更快编程语言更多的转向Rust,实现跨平台勒索0040505070809718181818勒索行业现状勒索攻击目标向中端产业市场的转变勒索软件推动了网络保险的发展勒索活动方式现状DDOS活动增加针对物联网及关键基础设施的勒索软件攻击会增加勒索软件攻击更具组织性勒索软件攻击潜伏期长勒索攻击未来趋势数据完整
3、性受到威胁通过立法阻止勒索付款勒索攻击防御技术勒索防护难在哪?勒索防护重点技术突破多智能体模型推荐架构,末知病毒高检出可拔插式AI架构,活跃勒索精准查动态行为AI检测,勒索加密防绕过勒索诱饵防护精准识别白+黑勒索病毒黑客工具防护服务器可信进程加固防护无文件攻击的高级防护基于Web后门入侵攻击的主动检测云网端安全托管打造全生命周期勒索防护体系总结附:深信服千里目安全技术中心 深盾终端实验室232324252526262727282828293132勒索攻击的行业范围广且带有明显的趋向性,其中,实体产业不仅由于具有繁多的攻击面、分布于世界各地的办事处及远
4、程工作人员、多层次和广度的的服务范围等特点,更因这些行业的数据多为客户的敏感数据,其业务本身具有重要意义,成为是勒索攻击的重灾区。2022年勒索攻击的行业分布TOP102022 年,除科技、制造业、医卫、政府、教育等行业仍然是主要受害者外,能源、地产、物流等行业由于处于业务数字化转型时期,安全建设落后于数字化转型的进程,更多的脆弱性问题逐渐暴漏出来,也逐渐成为勒索病毒攻击的目标。2022年勒索攻击受害客户行业咨询TOP10年度勒索攻击态势概述2022 年以来,随着全球数字化转型程度加深,越来越多重要的数据被存入计算机系统,很多攻击者对这些数据虎视眈眈。IBM 的2022年数据泄露成本报告调查结
5、果显示,勒索软件攻击占关键基础设施泄露事件的 12%,这一数据表明勒索攻击事件发生频率正呈上升。RaaS(勒索软件即服务)成为了提升勒索攻击成功率的重要推手,该模式降低了部署攻击所需的技能水平,并大幅度扩展了勒索攻击的范围。勒索攻击的成功率也在逐渐升高,数据能够通过分析解密还原的情况越来越少。而且,攻击者不再单纯加密数据,更多的勒索攻击开始窃取受害者敏感数据,挂到自己的“官网”上进行双重勒索。可怕的是,由于缺乏安全意识,很少有企业单位能够提前做好对于勒索攻击的防御。预计明年,全球勒索攻击总量将创造新高,勒索金额也会越来越高。但随着安全意识的提升,支付赎金的受害者数量可能会逐渐减少,勒索对于具有
6、安全意识的受害者的业务影响也会越来越小。2022 年勒索攻击的行业分布 TOP0000800006000040000200000科技制造业医卫政府教育能源服务批发和零售金融建筑数据来源:深信服云端监测2022 年攻击咨询行业数据302520101550科技制造业医卫政府教育能源其他贸易/物流建筑/地产食品服饰金融数据来源:深信服云端监测01022022年度勒索软件专题报告2022年度勒索软件专题报告沿海、贸易港口较多的勒索软件攻击较多。从感染地域分布来看,广东、浙江、山东、江苏等沿海和贸易港口较多的地区受勒索攻击最为严重。值得关注的是,河北、湖北等中
7、部地区感染量在今年也呈现增长趋势,可见勒索攻击的目标区域正在扩大范围。勒索攻击的中国省份区域分布TOP10今年统计的勒索事件中共涉及 45 个勒索家族,较过去相比,针对国内的勒索事件逐渐增多。随着勒索软件即服务(RaaS)模式的日渐成熟,勒索攻击的门槛越来越低,越来越多的无技术者均可以加入到勒索攻击行业中,并且攻击成功的概率越来越高。数据是大多数企事业单位的命脉,因而这种由金钱驱使并最终可获取极大利益的攻击方式越发流行。勒索病毒活跃感染数据TOP10根据 Ivanti 与认证编号机构(CNA)Cyber Security Works 共同编写的 2022 年 Q2-Q3 勒索软件指数报告显示,
8、该报告显示了截止至第 3 季度,勒索软件已利用的漏洞总数增至 323 个 CVE,较去年相比增加了 13 个新的 CVE,其中有 10 个是具有严重级别。目前仍然有 159 个 CVE 正在勒索软件中流行,使用的漏洞利用包如 Magnitude 增加至 31 个。报告通过分析 323 个当前的勒索软件漏洞并将其映射至 MITRE ATT&CK 框架,发现了勒索软件的战术、技术和程序可组成杀伤链来危害组织安全,并发现其中 57 个漏洞能导致从初始访问到数据外泄的完整系统劫持。勒索软件犯罪分子不断利用软件漏洞发动致命攻击。其中有 101 个 CVE 可用于网络钓鱼攻击,目前越来越多的勒索软件攻击者
9、依靠鱼叉式网络钓鱼技术实现勒索软件的初始访问功能。报告还发现了两个新的勒索软件漏洞 CVE-2021-40539 和 CVE-2022-26134,这两个漏洞在被添加到国家漏洞数据库(NVD)之前或当天就已被勒索软件团伙(AvosLocker 和 Cerber)利用。这些统计数据强调,如果组织仅根据国家漏洞数据库(NVD)所披露的数据来修补漏洞,那么很容易受到攻击。用户需要建立漏洞管理机制,关注业务系统使用的各类组件,及时替换过时产品;同时第一时间跟进安全机构、厂商发布的安全通告,及时打补丁或采取规避措施。下图为 2019 年到2022 年勒索病毒涉及的 CVE 数量。勒索利用的漏洞规模进一步
10、扩大2022 勒索攻击区域分布500005000000025000300003500040000450000广东浙江山东江苏北京河北上海湖北福建四川数据来源:深信服云端监测勒索软件涉及 CVE 数据统计35050030002022202120202019数据来源:深信服云端监测2022 年勒索家族分布4000005000002000002500003000003500000PhobosMalloxTellyouthepassMakopBeijingcryptBuranLockbitBlackcatStopMagniber数据来源
11、:深信服云端监测03042022年度勒索软件专题报告2022年度勒索软件专题报告年度流行勒索家族TOP榜Phobos 自从 2019 年出现以来,一直保持着很高的活跃度。该家族不断推出新变种,并频繁通过 RDP 暴破、钓鱼邮件等方式对企业单位及个人用户进行攻击,使受害者遭受数据财产的严重损失,影响十分恶劣。下图是该家族在国内常用的典型攻击流程:黑客通过攻击暴漏在外网的 RDP 服务拿下内网终端 A,随后将终端 A 被作为跳板机进一步爆破内网其它终端的 RDP 服务,最终获取内网多台终端的登录权限并统一下放运行勒索病毒,使得内网机器上的文件遭到加密。该家族目前没有公开的免费解密方法,Phobos
12、 本身也是一个活跃了很多年的勒索家族,有着成熟的加密流程,其变种较多,加密使用 RSA+AES 加密算法。Phobos:四年如一日的RDP爆破老手攻击手法RDP 爆破,手动投毒典型特征进入内网后使用多密码提取工具,多扫描器,多 ARK 对抗工具活跃时长2019 年开始活跃名称:其他终端弱点:弱口令+相同口令名称:终端A弱点:弱口令+映射端口互联网黑客05062022年度勒索软件专题报告2022年度勒索软件专题报告Mallox 家族勒索病毒在国外又称为 TargetCompany 勒索,常见的加密扩展名有:.artiis,.brg,.mallox,.architek,.tohnichi,.her
13、rco,.consultransom,.avast 等。从去年开始直到现在,该家族的攻击方式基本都是使用 MS-SQL 的暴力破解,然后利用 MSSQL 的执行权限后可能会通过两种不同的方式在服务器上进行非法操作,一种是直接运行会导致服务器上数据被加密的 powershell 命令:另一种是安装 anydesk 服务端,用于远程控制后手动在内网进行横向扩散,试图让更多的机器遭到加密:对服务器加密过后会留下此类勒索信,RECOVERY INFOMATION.txt:Mallox:暴力破解入侵后伴随AnyDesk远程控制攻击手法MSSQL 暴力破解典型特征入侵成功后常安装 AnyDesk 持续控制
14、主机活跃时长2021 年开始活跃Tellyouthepass 勒索病毒从 20 年开始活跃,早期利用永恒之蓝漏洞攻击套件扩散传播。21 年 12 月 Tellyouthpeass 勒索病毒开始利用 Apache Log4j2 漏洞进行攻击,同时该勒索病毒开始针对 Windows 和Linux 双平台进行加密。22 年 3 月,Tellyouthepass 勒索病毒开始利用某 OA 的远程命令执行漏洞进行大面积攻击,在受害者主机上执行恶意指令下载病毒执行。同年 5 月,Tellyouthepass 勒索病毒继续利用某 OA 的漏洞进行攻击,不同的是此次利用了该 OA 的反序列化执行漏洞,在受害者
15、主机上同样会执行恶意指令下载病毒执行。同年 7 月,Tellyouthepass 勒索病毒再次爆发。让人震惊的是,虽然此次仍然利用的是某 OA 的漏洞进行攻击,但利用的却是未经发布的 0day,导致大量搭建有该业务系统的服务器沦陷。Tellyouthepass:热点高危漏洞“爱好者”,导致国内多企业大面积业务停摆攻击手法永恒之蓝漏洞,Log4j2 漏洞,OA 漏洞(包含 0day 攻击)典型特征频繁利用多漏洞进行大面积扫描扩散传播,该家族多次活跃直接导致国内多企业大面积业务停摆活跃时长2020 年开始活跃07082022年度勒索软件专题报告2022年度勒索软件专题报告LockBit 勒索病毒首
16、次攻击于 2019 年 9 月被发现,最开始被称作为 ABCD 勒索病毒,因为它加密后的文件后缀名为abcd,随后它加密后的文件后缀修改为 lockbit,并被更名为 LockBit 勒索病毒,与大多数主流勒索病毒黑客组织一样,以勒索软件即服务(RaaS)平台模式运营,并于 2021 年 6 月该勒索病毒推出了它的更新版本 LockBit2.0,并加入了磁盘卷影和日志文件删除等新功能,同时还推出了它的专用窃密木马 StealBit,对受害者进行双重勒索攻击。2022 年 6 月,LockBit 勒索病毒黑客组织再次完成升级,并于 2022 年 7 月推出 LockBit3.0 正式版本,Loc
17、kBit3.0 版本的勒索病毒又称为 LockBit Black 勒索病毒,最新版的勒索病毒主要在免杀方式又做了更进一步的加强,持续优化了安全软件的对抗能力,可以发现该勒索病毒开发人员不断在尝试和研究新的免杀攻击技术以逃避安全软件的检测,同时他们在LockBit3.0 版本的暗网网站上还发布了漏洞赏金计划,邀请全球的安全研究人员、道德和不道德的黑客参与漏洞赏金计划,提交漏洞,报酬金额从 1000 美元到 100 万美元不等,最近该勒索病毒黑客组织在其暗网网站上不断公布新的受害者,勒索赎金从几万美元到几百万美元不等,短短半个多月的时间,在其暗网网站上已经公布了几十个受害者,成为全球最活跃的勒索病
18、毒之一。Lockbit:全球勒索活跃度最高的勒索团伙之一攻击手法高危漏洞,暴力破解,花重金购买 0day 漏洞典型特征常针对单一目标展开持久化的针对性攻击,擅长展开大型狩猎活动,全球勒索活跃度最高的勒索团伙之一活跃时长2019 年开始活跃Magniber 勒索病毒自 2021 年 3 月以来十分活跃,频繁利用多高危漏洞扩散传播,包括利用 IE 漏洞 CVE-2021-26411 漏洞进行分发,2021 年 9 月 16 日,安全人员发现其改为利用 CVE-2021-40444 漏洞。Magniber 家族同时使用供应链劫持的方式进行扩散,自 2022 年 5 月份以来,该家族通过伪装 Wind
19、ows MSI 升级程序的方式,在第三方站点投递恶意升级包诱导受害者点击,从而导致多用户感染被加密。Magniber:少年老成,隐蔽性极强的“新生代”家族攻击手法IE 漏洞利用,伪装 windows 更新程序供应链劫持典型特征病毒会使用代码注入白进程,同时自身代码做混淆进行防御规避活跃时长2021 年 3 月开始活跃09102022年度勒索软件专题报告2022年度勒索软件专题报告2022 年 9 月,我们开始看到在 JavaScript 文件中分发勒索软件的活动。JavaScript 文件使用 DotNetToJScript 技术的变体,使攻击者能够在内存中加载.NET 可执行文件,这意味着勒
20、索软件不需要保存到磁盘。此技术绕过监控写入磁盘的文件的检测和预防工具,并减少了受感染系统上留下的伪影。.NET 代码解码 shellcode 并将其注入另一个进程。勒索软件代码从这个过程中运行首先删除卷影副本文件并禁用 Windows 的备份和恢复功能,然后再加密受害者的文件。Sodinokibi 勒索病毒称得上是 GandCrab 的“接班人”。GandCrab 是曾经最大的勒索软件即服务(RaaS)运营商之一,在赚得盆满钵满后于 2019 年 6 月宣布停止更新。随后,另一个勒索运营商买下了 GandCrab 的代码,早期被人们称作 Sodinokibi 勒索病毒。由于在早期的解密器中使用
21、了“REvil Decryptor”作为程序名称,又被称为 REvil 勒索病毒。Sodinokibi 勒索团伙的攻击手法也在不断地发展。比起大多数只靠 RDP 暴力破解进行攻击的团伙,Sodinokibi 更愿意使用不同的攻击技术,从暴力破解到钓鱼邮件,从利用僵尸网络分发到利用高危漏洞进行攻击,从单纯的文件加密到通过窃取数据增加勒索的筹码,攻击目标也覆盖了Windows以及 Linux 多平台。Sodinokibi:“著名”勒索团伙GandCrab接班人攻击手法暴力破解,web 漏洞,鱼叉攻击,僵尸网络典型特征攻击手法多样,最大的勒索团伙 GandCrab 停止运营后的接班人活跃时长2019
22、 年开始活跃11122022年度勒索软件专题报告2022年度勒索软件专题报告Coffee 勒索是国内出现一种带有蠕虫性质的新型勒索病毒,由于被加密的文件后缀中带有“Coffee”字样,所以该病毒被命名为“Coffee”。该病毒可通过钓鱼邮件、qq 群附件等多种方式进行传播。它伪装成平常的压缩包,并且带上诸如“生活照片 1-5.rar”、“爆料,请大家吃个瓜.rar”等具有诱惑性的名字诱导他人打开。该病毒使用 RC4 算法对文件进行加密,由于没有删除生成的密钥文件导致可以对文件进行解密。Coffee:真正的钓鱼高手都是标题党攻击手法钓鱼攻击典型特征擅长使用白+黑方式的载荷进行攻击,同时利用热点时
23、事,具有诱惑标题的邮件进行钓鱼攻击活跃时长2022 年开始活跃2022 年 8 月,深信服安全人员发现 RoBaj 勒索病毒正在悄悄传播。该勒索病毒主要针对使用中文简体的国家和地区进行攻击,在分析的过程中发现该勒索病毒直接或间接被 Neshta 蠕虫感染。该病毒使用 AES 算法对文件进行加密,同时由于直接将密钥经过 AES 加密存放到本地,导致可以对文件进行解密。Robaj:初出茅庐,即被解密攻击手法RDP 爆破典型特征C#编写,主要通过 RDP 爆破攻击投毒活跃时长 2022 年开始活跃13142022年度勒索软件专题报告2022年度勒索软件专题报告我们收集了全球公开披露的勒索攻击事件,发
24、现勒索攻击在各行各业均有所涉及。我们很难去区分一个勒索攻击事件是否影响过大,因而我们列举了每个月相对较大的事件,这些事件尽可能分布在不同的行业。由于俄乌冲突,今年全球的勒索攻击事件相对较少,大多数的勒索组织位于俄罗斯境内,可能无暇顾及其他城市乃至国家的攻击,但值得注意的是,今年国内的勒索攻击事件明显增多,原因可能来自于全球混乱/动荡、勒索攻击体系的日益完善、有更多的人参与到勒索攻击中,成为勒索攻击的一份子等等。随着目前全球局势的动荡,未来几年勒索攻击可能会不断增多。随着数字化越来越普及,很多业务转移到线上办理,带来便利的同时,也带来了挑战。勒索攻击是针对数据的威胁,无论公民个人,还是收集个人信
25、息的单位,都有义务保护好这些个人信息。没有人希望有一天自己的信息会在暗网被出售,这不仅会涉及财产安全,甚至会威胁生命安全。因而企业应该重视勒索攻击,研究最新的勒索防御技术,不给黑客组织勒索的可乘之机。2022全球勒索攻击大事件在勒索软件攻击后,新墨西哥州阿尔伯克基的伯纳利洛县被迫关闭了大部分政府大楼。该事件攻击导致监狱无法访问其摄像头以及自动门机制无法使用,导致囚犯被封锁。三星、微软和普利司通遭遇勒索攻击。汽车巨头丰田也因一家主要供应商遭到勒索软件攻击而被迫停止日本所有工厂的生产,受影响的还有丰田子公司日野汽车和大发汽车。欧洲最大的汽车经销商 Emil Frey 在出现在 Hive 勒索软件受
26、害者名单后透露,他们已成为勒索软件的受害者。这家瑞士公司的发言人拒绝就客户数据是否已被访问发表评论。Lorenz 勒 索 团 伙 攻 击 了 百 强 律 师 事 务 所 Ward Hadaway,并从其 IT 系统下载了大量机密数据。比利时私立医院集团 Vivalia 遭受了 LockBit 勒索软件攻击,严重削弱了他们的运营能力。由于攻击,患者记录不可用,许多流程恢复为手动。如果不满足赎金要求,网络犯罪团伙威胁要公布 400 GB 的医院和患者数据。政府实体医疗贸易密歇根州大峡谷州立大学受到 Vice Society 勒索软件团伙的袭击,导致部分学生个人数据在网上泄露。该大学拒绝回答有关该事
27、件的任何媒体问题。Black Basta 勒索软件组织攻击了建材巨头可耐福集团,造成中断并迫使其关闭所有 IT 系统以隔离事件。Cuba 勒索软件组织攻击了黑山议会,导致政府的数字基础设施出现问题。该攻击感染了 10 个国家机构的150 个工作站。该组织声称已获得财务文件、与银行员工的往来信件、账户变动、资产负债表和税务文件,并要求支付 1 千万美元的赎金。印度住房金融公司 Can Fin Homes 的网站因勒索软件攻击而瘫痪,其首席执行官接连辞职,导致股价下跌15%。BlackCat 犯罪团伙攻击了厄瓜多尔武装部队联合司令部,该犯罪团伙声称窃取了包括士兵信息在内的机密数据。由于合作的数字供
28、应商日前遭受网络攻击,比利时的安特卫普市的数字服务被迫中断,服务中断影响到当地市民、学校、日托中心和警署所使用的服务。AL PHV/BlackCat 勒索软件攻击了冈比亚中央银行。据称,勒索软件集团窃取了 2TB 的高度敏感数据,涉及与银行员工、客户和管理层相关的个人和机密信息。教育建筑业非营利性机构金融军事银行IT 行业服务业1月6月7月8月10月12月9月11月3月2月4月5月年度勒索攻击大事件15162022年度勒索软件专题报告2022年度勒索软件专题报告2021 年,数据勒索成为全球网络攻击的重大威胁,给多国带来敏感数据泄露、社会系统瘫痪等重大危害,严重威胁了国家安全和人民的生命、财产
29、安全。在此背景下,美国首次因网络攻击宣布进入国家紧急状态,并将数据勒索攻击提升至与“911”恐怖袭击同等级别的威胁,英国、澳大利亚、日本、加拿大等国也纷纷将勒索攻击视为当前最大的网络威胁。勒索软件发展趋势勒索技术现状2021 年中旬,LockFile 勒索软件是首批使用间歇性加密来逃避检测机制的主要勒索软件系列之一,该勒索软件每隔 16 个字节对文件进行加密。此后,越来越多的勒索软件操作加入了这一趋势。如 BlackCat(ALPHV)、PLAY、Qyick、Agenda、Black Basta 等。间歇性加密指对受害者文件进行部分加密,这种加密方法不仅可以大大提高加密速度也可以帮助勒索软件运
30、营商逃避基于统计分析的勒索软件检测技术。加密方式更多的转向“间歇性加密”,加密速度更快近年,越来越多的勒索软件编程语言转向 Rust 语言。该语言不仅具有与 C/C+类似的性能开发优势,而且具有更好的内存管理实现并发编程以避免内存错误,此外在静态分析工具低检出率方面也存在优势。BlackCat 是第一个使用 Rust 的专业/商业化分布式恶意软件家族,也是迄今为止最繁荣的。Rust 是一种跨平台语言,使威胁行为者能够轻松地为 Windows 和 Linux 等不同操作系统创建定制的恶意软件。现在有不少于 10 个勒索软件家族推出了针对 Linux 系统的版本,其中包括 REvil 的 Linu
31、x 版本、DarkSide、Dark Angels、BlackMatter 以及 Defray777 等家族。勒索团伙倾向于以企业为目标,随着越来越多的组织将业务迁移到 VM 以简化设备管理和提高资源利用效率,将攻击目标转向 Linux 平台具有良好的商业意义,因为这样做可以让他们以最小的努力加密多个服务器。编程语言更多的转向Rust,实现跨平台勒索2022 年 2 月 17 日2022 年 3 月 15 日2022 年 9 月2022 年 2 月 23 日澳大利亚在2022 犯罪立法修正案(勒索软件行动计划)法案中展示出对勒索攻击采取“零容忍”的立场,明确提出政府不允许向勒索攻击犯罪分子支付
32、赎金,对勒索攻击者最高判处 10 年监禁,对实施勒索攻击的犯罪分子最高判处 25 年监禁。美国总统拜登签署了2022 年关键基础设施网络事件报告法,其中指出任何遭遇重大网络事件的覆盖实体必须在 72 小时内向 CISA 报告该事件,与勒索软件攻击有关的赎金支付也必须在支付后 24 小时内向 CISA 报告。海外重要政策和措施美国 NIST 发布勒索软件风险管理:网络安全框架欧盟提出勒索软件草案,如果获得通过,对三项犯罪立法的修正案将包括对使用勒索软件的犯罪分子实行最高 10 年的监禁,对针对关键基础设施的罪犯实行最高 25 年的监禁。它还将赋予执法部门扣押勒索软件事件中涉及的加密货币和其他数字
33、资产的权力。2022 年 7 月美国众议院通过勒索软件法案,该法案重点关注俄罗斯、中国、朝鲜和伊朗等国家的勒索软件攻击者,强制报告与勒索软件和其他攻击有关的跨境投诉。2022 年 12 月 14 号美国总统拜登成立的联合勒索软件特别工作组举办第二次会议,要求关键基础设施所有者报告他们的组织是否遭到黑客攻击或支付勒索软件费用。2022 年 9 月 14 号美国国会根据 2022 年关键基础设施网络事件报告法成立联合勒索软件特别工作组,并举办第一次会议,试图通过联邦政府独特权限和能力阻止勒索软件攻击,会议讨论通过收集、共享和分析勒索软件趋势以及识别威胁最高的勒索软件实体并确定破坏它们的行动的优先顺
34、序来改善协调。2022 年 8 月 11 日美国国务院宣布悬赏 1000 万美元,悬赏 5 名高级 Conti 勒索软件成员的信息并首次展示其中一名成员的面孔。正义奖赏计划是美国国务院的一项计划,该计划最初是为了收集针对美国利益的恐怖分子的信息而推出的,现已扩展为提供有关网络罪犯信息的奖励,例如 俄罗斯 Sandworm 黑客、REvil 勒索软件和 Evil Corp 黑客组织。2022 年 10 月美国政府于 10 月召开了一次全球会议,以遏制网络犯罪活动并打击勒索软件。然而俄罗斯没有被邀请参加会议。年度重要政策和举措17182022年度勒索软件专题报告2022年度勒索软件专题报告勒索行业
35、现状赎金金额的趋势是全面上升的,但是支付赎金的中位数明显处于下降趋势。不同的行业之间缴纳的赎金金额差异很大,攻击者从他们认为最有能力支付的人那里索取最高金额。下图为国外知名勒索软件恢复公司 Coveware 公布的勒索软件支付赎金的均值和中间值的折线图,这一趋势反映了 勒索软件即服务(RaaS)附属公司和开发人员向中端市场的转变,在中端市场,攻击的回报风险是比“引人注目”的攻击更一致且风险更低。同时,我们还看到大型组织在勒索软件团体索要高得离谱的赎金数额时拒绝考虑谈判的趋势。勒索攻击目标向中端产业市场的转变勒索活动方式现状根据 Cloudflare 最新的季度报告显示,在 2022 年第二季度
36、中,报称受到威胁或勒索信的受访者数量较上一季度和去年同期分别增加 11%。这些攻击活动的主要目标是金融机构和加密货币公司。勒索活动不仅仅是加密文件,伴随更多的是含有DDOS 攻击威胁受害者及早支付赎金。DDOS活动增加勒索软件推动网络保险的发展,网络保险正在推动网络防御的改进。目前来看,能够提供网络保险的公司较少,并且随着勒索赎金金额越来越高,网络保险价格也再上涨,企业越来越难获得保险,这促使几乎所有的企业都对他们的网络防御系统做出改变,以改善他们的网络保险状况。网络保险服务提供商会去评估购买该项服务的企业的网络环境,根据不同的防御方式或安全人员的配置决定保险金额。很多企业为了提高他们的网络保
37、险地位,已经对他们的网络防御进行了改变,包含新的技术/服务、员工安全培训/教育活动等。此外可能存在存在骗保的风险,更难取证。网络保险指导受害者迅速有效地完成事件响应过程,减少补救成本。但是攻击者可能将他们的攻击目标放在他们知道有保险的组织上,以增加他们获得赎金的机会。勒索软件推动了网络保险的发展19202022年度勒索软件专题报告2022年度勒索软件专题报告勒索攻击未来趋势勒索软件攻击是针对数据的一种攻击方式,如果勒索软件攻击威胁到数据的完整性,则数据可能不再可信。针对诸如财务记录和医院收集的数据等重要的敏感数据可能会受到极大的影响,当有关财务记录的数据被破坏或更改,那么金融机构可能会受到其所
38、有客户的质疑;而当医疗记录被更改可能会影响医生对患者的评估能力。如果勒索软件攻击能够更改记录,那么这可能会危及人民的财产甚至生命安全。数据完整性受到威胁一系列高调的网络攻击,刺激了全球各地的政府提出与重大网络事件有关的新法律或法规。后期,不排除国家可能会通过立法手段来阻止勒索付款。但是研究表明,立法并不能有效阻止受害企业支付赎金在意大利,勒索付款是非法的,意味着法律不允许组织支付赎金,但是仍然有很多受害组织支付了赎金。因而仅靠立法可能并不能有效阻止赎金的支付。通过立法阻止勒索付款近年,物联网飞速发展,但是物联网设备暴露的不安全性此起彼伏,与此同时定期备份和软件更新等勒索软件保护的最佳做法不适用
39、于大多数物联网设备。而且许多物联网供应商在发布软件补丁时不够及时。因而导致物联网设备存在极大的安全隐患。现在,随着个人和企业越来越依赖物联网设备,因此物联网企业需更加重视勒索软件及相关技术。针对物联网及关键基础设施的勒索软件攻击会增加在部署勒索软件之前,勒索攻击行为者在受害者网络中潜伏期长,可能半年之多。一旦攻击者获得对网络的初始访问后,便会部署一系列暴力破解、扫描、商业 VPN、以及允许文件管理和命令执行的工具,例如 PsExec、FileZilla、Process Explorer 和 GMER 等,此外还会部署远程桌面和远程管理软件,如 ScreenConnect、AnyDesk 等,攻
40、击者可能会删除事件日志来隐藏他们的踪迹。随后攻击者会尽可能的低调,为了扩大对网络的危害会试图窃取有价值的帐户凭据,如本地服务器管理员的凭据、域管理员权限凭据,甚至在其他系统上创建具有管理员权限的新帐户。之后开始横向移动到其它服务器,然后继续重复上述步骤。当网络中有价值的数据都外泄之后,可能才会部署勒索软件,执行勒索操作。因而针对安全人员需要定期检查网络环境,及时发现网络的异常。勒索软件攻击潜伏期长出于黑客主义和政治动机的攻击将持续增加,攻击者不断提升他们在社交媒体上的影响力,借此攻击敌对阵营的公共和私营部门组织。此外根据 Cybereason 最新的节假日期间勒索软件攻击研究报告来看,勒索软件
41、在周末和节假日期间发生的数量攀升,同时节假日期间会给受害组织造成更高的恢复成本和更大的收入损失。勒索软件攻击更具组织性21222022年度勒索软件专题报告2022年度勒索软件专题报告勒索攻击防御技术勒索防护难在哪?根据深信服云端监测,2022年全网遭受勒索攻击高达 3583 万次。教育、企业、制造业、医疗、政府等行业由于数据重要性和较好的经济能力,已经成为勒索团队的重点攻击目标。勒索病毒变种多样:对程序/脚本的加壳、混淆操作,已经有一套相当成熟的自动化流程,能够快速对病毒进行变种,从而绕过传统静态防护。边界突破手段多样:包括但不限于 RDP 爆破、SMB 爆破、漏洞利用、钓鱼邮件等等,其中爆破
42、手段是最常使用的入侵手法。防御规避手段多样:如无文件攻击、白进程利用、卸载安全服务等,从运营数据看,采用黑客工具直接卸载终端安全服务、利用白进程进行加密的绕过手段是最为常见。勒索病毒识别精准度不足:终端防护可以识别出“病毒”,但不能进一步识别出“勒索病毒”,未引起足够重视,导致后续攻击成功。勒索防护存在以下几个主要难点:勒索防护重点技术突破感染病毒加密勒索横向传播第一步外网到内网的传播无文件攻击感染病毒RDP 爆破远程登录投毒第二步病毒文件运行加密执行提权程序执行加密程序第三步横向持续扩散,扩大影响面RDP 爆破横向传播再次加密勒索病毒行为4层勒索入侵防御勒索反加密防护勒索检测与响应机制6级5
43、项4-6-5三层立体防护,勒索无所遁形23242022年度勒索软件专题报告2022年度勒索软件专题报告病毒变种千变万化,仅实现已知病毒检测能力,在实际应用中不足以满足客户对终端安全的保障需求。基于这一目的,深信服 EDR 在新版本引入多智能体模型推荐架构增强未知病毒的检测能力,通过对 AI 模型(随机森林和神经网络)深度和层级的加深,增强了 AI 模型泛化性和检出精度。同时,多智能体模型推荐架构不仅依赖于原有提取的通用性特征,同时新增 AI 技术对罕见性特征进行深度提取,获得更为稳定、可靠的高层次特征。能够更好的识别未曾见过的病毒样本,抵御新型抗病毒变种和新病毒家族等未知病毒。多智能体模型推荐
44、架构,未知病毒高检出勒索病毒由于攻击门槛逐渐降低、攻击入口增加导致勒索病毒变种发展迅猛,这非常考验终端防护产品对未知勒索威胁的检测能力。深信服 EDR 在新版本对 SAVE 引擎进行全新升级,引入多智能体模型推荐架构增加 AI 泛化能力,对可疑文件进行多重 AI 检测,提升对未知威胁的检测能力,同时对判黑的威胁文件通过可拔插式 AI 判别是否为勒索病毒。可以清楚的告知客户帮其防住了勒索病毒,提升客户感知。通过对抗性 AI 训练,深信服 EDR 对勒索的精准率已提升到 99.47%,暂居国内 top1。用户可直观地掌握内网终端是否中了勒索病毒,影响范围有多大,快速采取响应措施。可拔插式AI架构,
45、活跃勒索精准查勒索病毒在入侵主机后会进行横向传播扩散,影响范围十分广泛,一台终端中毒,全网业务瘫痪。深信服 EDR 通过在系统关键目录,放置诱饵文件,并且通过某种算法保证这些诱饵文件会被优先枚举到。当有勒索程序对诱饵文件进行修改或删除时,将触发驱动拦截该进程行为,并将该进程信息上报给应用层进行病毒文件查杀。针对性的勒索诱捕方案,主动进行勒索病毒的防御,及时阻止勒索病毒的大范围传播,全面阻止业务不可逆终端,保护主机安全。勒索诱饵防护病毒加壳、混淆、注入白进程等绕过手段层出不穷,静态防护存在能力边界,总有部分勒索病毒通过某种方式执行起来,造成用户数据损失。若在病毒执行初始阶段,发现并阻止加密进程,
46、能够有效保护数据进一步受损,为此提出基于行为的勒索病毒检测方案。通过采集用户操作系统进程调用的 API 序列、进程动作序列、文件操作行为序列,并基于专家知识完成可疑行为模式筛选,最终采用模型融合的方式,实现勒索行为的高精度识别。动态行为AI检测,勒索加密防绕过勒索行为模型构建流程已加密已加密已加密已加密已加密已加密已加密已加密已加密已加密已加密已加密已加密正在加密.无法加密已加密无法加密对上万种勒索软件加密顺序进行研判后筛选出大概率优先加密的关键目录1.EDR 客户端在系统关键目录及随机目录放置诱饵文件2.诱饵文件将加密进程反馈至 EDR 客户端3.杀掉加密进程阻止加密4.查杀病毒源文件EDR
47、终端客户端行为图构建原始数据Embedding多模型训练神经网络特征提取CreateFileDeleteFileDownloadFilemyfile.tmp:1myfile.tmp:2RenameFileCreateFileReadme.txt:3Myfile3.pdy:1HKEY_LOCAL.ModifyRegistryRenameFileModifyRegistryDownloadFileDeleteFileMyfile3.pdfReadme.txtmyflile2.exeHKEY_LOCAL.myfile.tmp.CreateFile readme.txtModifyRegistry H
48、KEY_ LOCAL-DownloadFile myfile.tmpRenameFile myfile.tmp myfile2.exeDeleteFile myfile.tmpDeleteFile myfile2.tmpCreateFile readme.txtCreateFile readme.txtCreateFile myfile3.pdf0.2,0.5,-1,.0.2,0.3,-4,.-0.1,0.5,-0.9,.Merge(label1label2label3)Final label11111130.20.5-1.111主成分分析word2vecML 模型DL 模型随机森林神经网络多
49、分类结果EXE文件EXE文件EXE文件VersionXXXXCompany资源证书文件节文件头通用性特征提取罕见性特征提取特征向量集成学习多智能体模型推荐架构25262022年度勒索软件专题报告2022年度勒索软件专题报告直接执行勒索病毒,基本都会被 EDR 中的静态 AI 引擎、动态行为引擎、规则引擎等多种勒索防护手段,精准报毒。而为了绕过以上勒索防御手段,攻击方经常采用 ARK 工具破坏 EDR 终端程序(卸载、停止服务、文件删除等),若成功,则导致终端防护手段全部生效。为提升与黑客工具的对抗能力,完成自保护能力(防卸载、服务防杀、防删除)的基础上,完善 EDR 事前防御能力。在黑客工具执
50、行危险动作之前,就能够检测出黑客工具,并执行隔离或阻断操作。黑客工具防护由于病毒更新快速,变种多,并使用无需落地到磁盘的无文件攻击方式;传统基于特征检测的杀毒软件无法及时察觉,难以发现。无文件攻击方式利用 powershell 的命令加载恶意代码,利用无文件落地方式绕过传统杀软的检测与防护,该方式快速且具有隐秘性,不易被察觉,被广泛利用于挖矿,窃密等非法行为上。深信服 EDR 能够准确拦截 powershell 的对恶意代码的执行,实现实时准确阻断,防止用户主机被利用破坏。无文件攻击的高级防护传统的 WebShell 文件检测是基于特征码的检测技术,严重依赖于特征库,很难及时检测新的变种,检测
51、效率也随着特征库的变大而迅速降低。采用机器学习的检测方法,通过先利用语法分析器生成语法树,基于语法树提取出危险特征以及正常特征,特征包含数量统计特征、字符串熵、运算符号统计等,再学习已标记样本特征数据来构建检测模型,然后利用此模型对样本进行检测判定。基于Web后门入侵攻击的主动检测企业服务器常承载关键业务运行,系统极少运行与业务无关的进程,因此为防止非法进程运行占用系统资源干扰业务。EDR 推出的基于可信进程的加固防护技术,实现从进程学习、可信进程确认到可信进程生效的防护策略,既支持服务器全系统可信进程防护,也支持指定服务器目录防护,从而阻止非可信进程的运行。服务器可信进程加固防护勒索病毒为提
52、升自身执行权限,绕过防护引擎检测手段,一种常用的方式就是利用系统本身的白进程,将自身恶意代码注入到系统进程中。而大部分终端防护引擎,在对系统进程判定上具有很高的容忍度,会对白名单中的进程直接放行,因此对白利用勒索病毒没有防护能力。为缓解上述问题,精准识别白进程利用类型勒索病毒,通过分析不同家族勒索病毒样本,跟踪其执行过程,挖掘内存中的泛化特征(勒索信、特定代码段、特定数据段),形成特征库。在识别阶段,通过监控进程内存,通过内存 dump 形式实现多种勒索家族的精准识别。精准识别白+黑勒索病毒启动前启动时启动中黑客工具静态规则防护特征码文件 hash黑客工具进程启动防护内存规则启动进程动作进程签
53、名黑客工具驱动加载防护驱动签名驱动类型黑白名单检测方案可信进程可信目录可信进程池可信目录新增可疑进程应用进程特定进程系统进程其他进程病毒扫描白名单目录普通目录保护目录自动学习手动导入手动导入进程沙漏目录沙漏禁止运行禁止访问检测过程可疑进程发现内存 Dump内存规则匹配进程处置Process-1Process-2Process-3Process-3Process-4Process-5内存数据勒索信特定代码段终端特定数据段27282022年度勒索软件专题报告2022年度勒索软件专题报告云网端安全托管打造全生命周期勒索防护体系依托于安全托管中心,深信服云网端安全托管方案“见招拆招”,针对勒索病毒复杂
54、的入侵步骤打造了全生命周期防护,构建勒索风险有效预防、持续监测、高效处置的勒索病毒防御体系。勒索发现的点更多集中在终端,但要想实现更加可靠的拦截,必须在云网端做到全方位保障。基于多年来对勒索病毒家族的深度研究和勒索行为的大数据分析,深信服总结出百余项勒索病毒CheckList,并构建了勒索检测库和预防库。深信服云端服务专家将会定期按照 CheckList 开展深度排查,确保勒索风险及时清除。针对勒索风险,通过 EDR 违规外联拦截、移动设备管控、漏洞检测修复、资产风险面清点等功能可以从源头堵住勒索威胁入侵,通过边界 AF 的防护规则配置可以加强高危利用漏洞防护,最大程度降低勒索风险。提早预防自
55、研勒索风险排查,有效预防勒索风险云网端安全托管方案为组织单位提供云端先进的检测能力以及本地勒索病毒攻击、感染、加密等全攻击链检测机制,安全托管中心将会结合用户业务特征配置个性化 UseCase,针对勒索行为进行 7*24 小时实时监测。经由“设备+平台+专家”的多重核验,快速、精准地发现 99%的勒索病毒威胁和事件。在边界侧,深信服下一代防火墙 AF 提供勒索病毒对抗专项配置及专属的勒索病毒处置中心,针对勒索病毒传播途径,安全策略有效阻挡,并对勒索病毒进行全生命周期的跟踪处置。在终端侧,深信服 EDR 基于勒索病毒攻击链为终端构建涵盖“预防-防护-检测响应”的 4-6-5 多层次立体防御。包括
56、勒索诱捕、微隔离、轻补丁漏洞免疫、RDP 爆破防护,二次登陆防护等等。精准监测与持续防护7*24H 持续监测,准确率高达 99%一旦发生勒索事件,持续在线的深信服云端专家将在 5 分钟内快速响应,1 小时内遏制事件。由于勒索病毒极易横向扩散,深信服云端专家通过和 EDR、AF 等网、端设备的快速联动,一键隔离组织感染终端,快速遏制勒索病毒。并通过线上线下专家配合协助用户精准溯源排查,彻底根除勒索病毒,全面降低用户损失。分钟级响应,小时级处置云端专家极速响应,高效闭环勒索事件为降低用户经济损失,云网端安全托管方案包含勒索理赔服务,理赔范围包含服务器、终端,为用户承担等价的勒索赎金损失,帮助用户尽
57、快恢复数据和业务。在服务期间,遭受勒索攻击成功的用户最高可理赔 100 万。为意外买单专属勒索理赔服务为效果承诺勒索攻击勒索病毒入侵技术方案构成勒索防护服务流程勒索感染加密勒索横向传播勒索风险排查隐患全面加固行为持续监测事件高效闭环风险端口排查系统漏洞修复暴力破解监测勒索隔离查杀高危漏洞识别弱密码整改感染行为监测勒索溯源根除勒索残留项检测高危端口管理微信告警推送全面整改加固AF:网络边界防护+勒索攻击快速拦截EDR:终端勒索病毒专业防护+一键微隔离MDR:托管检测与响应服务+勒索风险排查勒索理赔服务:为意外买单,为损失兜底29302022年度勒索软件专题报告2022年度勒索软件专题报告总结勒索
58、攻击一般会伴有数据窃密,这种情况下受害组织一般会牵扯到法律问题,因而大多数勒索受害组织会对攻击事件采取保密举措,但是在这种情况下依然有不少勒索攻击事件暴露在公众面前。这说明勒索攻击攻击远比我们看到的数量更多。这也是我们一直以来鼓励的“拒绝支付赎金”让勒索组织他们无利可图的原因,虽然短期内受害者会很痛苦,但从长远来看,这也是应对勒索攻击的一个捷径。如果勒索组织在大多数情况下都能收到赎金的话,只会让勒索攻击愈演愈烈。覆巢之下,复有完卵乎?而且勒索组织既然拿到了数据,为什么不能一份数据贩卖两次三次甚至多次呢?我们能做的,就是做好备份工作和安全防御措施。虽然攻击与防御从来都不是对等的,防御方时常会有一
59、种无力感,但是我们坚决不能“摆烂”。从以往发生的攻击事件来看,大部分的攻击事件一般采用“广撒网,重点捕捞”的模式。因此,新出的漏洞及时响应、打补丁,人员做好安全培训,已经能够防御大多数的勒索乃至黑客攻击事件。一旦勒索攻击的代价过高,正常的一个勒索组织可能都会退而求其它攻击对象。我国一直以来高度重视网络安全建设,将网络安全提升到国家安全的战略层面。“没有网络安全,就没有国家安全”,网络安全是建设现代中国、平安中国的重要一环。然而随着国际局面的复杂化,网络安全形势日益严峻,网络安全问题日益凸显。各种类型的网络恶意行为频发,大规模、系统性、长时间的网络攻击行为成为常态,破坏力和危害性与日俱增。攻击成
60、功并不一定是攻防技术水平存在差距问题。防御是“面”的问题,而攻击是“点”的问题,资产越多防御越困难,修补漏洞、修复错误配置以及在关键的面向互联网的系统上实施多因素认证等基本步骤可以减少组织的攻击面,并确保其不容易成为目标,增加攻击的难度,从而减少攻击者的利润。简单地把人和钱扔在问题上并不是解决办法。企业应该寻求足够多的能够提高它们的网络安全投资回报的专家,提升他们的防御能力。目前没有一个放之四海而皆准的解决方案来保护组织免受网络攻击,网络安全需要每个人都保持警惕并不懈努力,以保护我们的互联数字生态系统。所以我们要“结硬寨,打呆仗”,承认自己的局限性,靠提升总体水位的笨办法,慢办法,走人世间最长的那条捷径。深信服千里目安全技术中心深盾终端实验室 微信公众号:Further_eye/深信服千里目安全技术中心31322022年度勒索软件专题报告2022年度勒索软件专题报告