1月30日，奇安信集團舉辦“椒圖服務(wù)器安全管理系統(tǒng)-防勒索專版”產(chǎn)品發(fā)布會，推出針對勒索攻擊防護的服務(wù)器端安全產(chǎn)品。新產(chǎn)品針對勒索病毒的攻擊鏈、行為特征提供多維度的防護方案，對勒索攻擊的防護效果更好、針對性更強；并提供針對不同操作系統(tǒng)、業(yè)務(wù)環(huán)境的場景化配置模版，讓產(chǎn)品能快速上線運行；同時，新版本還深度優(yōu)化了系統(tǒng)資源配置，讓管理中心對CPU/內(nèi)存等資源的配置要求降低50%，支持的服務(wù)器數(shù)量增加50%，讓產(chǎn)品的部署門檻大幅度降低。

隨著企業(yè)數(shù)字化進程的加速，信息安全威脅和風(fēng)險也快速增加，網(wǎng)絡(luò)攻擊手段越來越多，漏洞及攻擊入口無處不在，尤其是近年來勒索攻擊事件頻發(fā)，其破壞力和影響力越來越大。數(shù)據(jù)表明，超過2/3的企業(yè)在過去一年中至少經(jīng)歷過一次勒索攻擊，僅2022上半年，全球共發(fā)生2.361億次勒索軟件攻擊。國外安全機構(gòu)更是預(yù)測，到2031年，全球勒索軟件勒索活動造成的潛在總損失或達10.5萬億美元。勒索軟件成為全球頭號威脅，對抗勒索攻擊已經(jīng)迫在眉睫。

據(jù)奇安信資深服務(wù)器安全專家李棟介紹，傳統(tǒng)對抗勒索病毒采用的方式是采用殺毒軟件或者數(shù)據(jù)備份的方式，但是這兩種都具有一定的局限性：

殺毒軟件依賴特征和病毒庫，對于已知病毒的防護效果較好，但是對于變形以及新型病毒的防護具有滯后性，根據(jù)奇安信反病毒研發(fā)運營中心的統(tǒng)計，2022年，在中國活躍的勒索病毒家族前50位，出現(xiàn)頻率高達1500多萬次，并且每個家族都會不斷推出變種、以及新型勒索病毒，一旦有新的變種出現(xiàn)就很容易導(dǎo)致服務(wù)器的二次感染，就像人類感染了奧密克戎新冠病毒株后，還有可能會繼續(xù)感染新的XBB病毒株。

同樣，用數(shù)據(jù)備份的方式去防御勒索攻擊，屬于被動防御的思路，對備份數(shù)據(jù)的有效性、實時性有著極高的要求，尤其是一些高交互的業(yè)務(wù)，實時備份的難度極大，另外備份系統(tǒng)也部署在內(nèi)網(wǎng)，很容易被攻擊者一鍋端。

因此，針對現(xiàn)行防護方案的瓶頸，奇安信提出“觀其行、斷其路、挖其根”的勒索病毒防護理念，打造的全新一代防護方案。

“觀其行”— 洞察勒索病毒的攻擊鏈和攻擊行為

根據(jù)奇安信服務(wù)器安全團隊的統(tǒng)計，勒索病毒入侵服務(wù)器的方式有多種，包括：終端突破、暴力破解、系統(tǒng)及通用組件漏洞利用、webshell上傳以及供應(yīng)鏈攻擊等，此外，對集權(quán)設(shè)備的攻擊以及對安全設(shè)備的攻擊，也呈現(xiàn)逐年遞增的態(tài)勢。

勒索病毒攻擊鏈包含了“偵查踩點、制定策略、打點入侵、內(nèi)網(wǎng)滲透、目標(biāo)定位、實現(xiàn)目的、穩(wěn)固權(quán)限”7個階段，在每個攻擊階段都有不同的攻擊方式組合。比如獲取網(wǎng)絡(luò)訪問權(quán)限階段，可以采用RDP、SSH等遠(yuǎn)程桌面暴力破解，或者去攻擊高危端口的方式；在獲取一定的權(quán)限后，再通過webshell、代理隧道的方式將勒索病毒落地，然后再通過內(nèi)網(wǎng)滲透的方式，去進一步污染更多的服務(wù)器，從而達到目標(biāo)系統(tǒng)并實施勒攻擊。

在深度了解勒索病毒的攻擊鏈和攻擊行為后，結(jié)合勒索病毒到達服務(wù)器引起的一些異常變化，如：業(yè)務(wù)&文件訪問突然出現(xiàn)異常；CPU、內(nèi)存使用率快速增減；出現(xiàn)大量文件讀取，文件加密、文件名及后綴修改；以及內(nèi)部端口被大量探測、掃描等等，根據(jù)這些“病灶”并結(jié)合攻擊特點，椒圖可以快速對勒索病毒感染作出“診斷”和告警。

“斷其路”— 要徹底切斷勒索病毒的攻擊和傳播途徑

在確認(rèn)正遭受勒索攻擊后，需要“斷其路”去干擾勒索病毒的攻擊及傳播，包括防入侵、防破壞、防傳播三個關(guān)鍵點。

防入侵的關(guān)鍵是要做好攻擊面管理，伴隨著業(yè)務(wù)快速擴展的不僅是服務(wù)器的數(shù)量，還有不斷放大的攻擊面。做好攻擊面管理的第一步是要摸清資產(chǎn)家底，椒圖通過本地識別和網(wǎng)絡(luò)掃描的方式，可以準(zhǔn)備識別多項核心資產(chǎn)包括配置信息、賬戶、應(yīng)用、進程、端口等。目前識別的資產(chǎn)數(shù)量達到18類 、400多項，一方面在于能全局把握資產(chǎn)狀況，避免shadows it的發(fā)生，另一方面也能對資產(chǎn)做快速排查和處理，比如centos8停服后，通過椒圖可以快速篩選出業(yè)務(wù)環(huán)境中還在運行的centos8系統(tǒng)，并做下線或者加固處理。

在全面掌控資產(chǎn)信息的基礎(chǔ)上，椒圖可以根據(jù)資產(chǎn)的版本及運行狀況，對安全風(fēng)險作出及時判斷，包括弱口令&口令復(fù)用、危險端口暴露、漏洞&補丁等，但只做到風(fēng)險識別還是不夠的，比如，因為很多情況下修復(fù)漏洞需要重啟應(yīng)用甚至服務(wù)器，對于高連續(xù)性的業(yè)務(wù)顯示是不適合，針對這些行業(yè)難題，椒圖推出了虛擬補丁功能，在內(nèi)核態(tài)基于WFP框架/Netfilter框架實現(xiàn)引流功能，將入站、出站流量通知給應(yīng)用態(tài)的IPS引擎，并用IPS引擎對流量實施檢測防護，可以實現(xiàn)在不打?qū)嶓w補丁、不重啟的情況下，防止黑客利用漏洞攻擊服務(wù)器，可以真正實現(xiàn)“資產(chǎn)-風(fēng)險發(fā)現(xiàn)-實體補丁-虛擬補丁”的閉環(huán)管理。

李棟指出，通過webshell去上傳勒索病毒文件是黑客比較常用的入侵方式，也可以說是上傳勒索病毒的前置攻擊，因此，防御webshell是防御勒索攻擊落地的重點，椒圖在服務(wù)器端采用了動、靜的結(jié)合的方式，先會對webshell的靜態(tài)特征進行檢測，包括快速的哈希匹配、基于詞法分析的模糊哈希匹配、以及靜態(tài)污點追蹤，可以快速的發(fā)現(xiàn)已知的webshell，同時還會基于本地及管理中心沙盒、以及RASP這種基于流量上下問檢測的動態(tài)技術(shù)，去識別變形、加密的webshell。同時，椒圖在內(nèi)核層，還采用了系統(tǒng)加固技術(shù)，可以自定義去限制web目錄、根目錄等關(guān)鍵位置的多余權(quán)限，進一步去限制webshell以及勒索病毒的執(zhí)行。

近幾年也新出現(xiàn)冰蝎這類加載在內(nèi)存中的無文件webshell，這類惡意代碼隱藏在系統(tǒng)的正常應(yīng)用中，在服務(wù)器本地沒有獨立的文件形式，因此也很難被傳統(tǒng)的檢測手段發(fā)現(xiàn)。所以，針對這類攻擊，椒圖采用了內(nèi)存馬動態(tài)檢測技術(shù)，可以快速的掃描并清除隱藏在在中間件、powershell、vbs等本地應(yīng)用中的惡意代碼，從而有效的阻止webshell和勒索病毒的隱藏和執(zhí)行。

防破壞是假設(shè)勒索病毒已經(jīng)成功落地，要去阻止其在服務(wù)器內(nèi)執(zhí)行惡意操作和自我復(fù)制，椒圖采用了內(nèi)核加固技術(shù)實現(xiàn)“應(yīng)用白名單”，可以機器學(xué)習(xí)業(yè)務(wù)環(huán)境中的正常業(yè)務(wù)運行并形成白名單，不在白名單范圍內(nèi)的其他應(yīng)用（如勒索、挖礦病毒）執(zhí)行時會被實時阻斷；同時內(nèi)核加固技術(shù)還可以對重點目錄、文件的讀取、寫入、編輯、重命名等權(quán)限進行有效限制，實現(xiàn)文件的有效監(jiān)控和防護；在高階攻防對抗中，椒圖可以細(xì)粒度學(xué)習(xí)進程服務(wù)的業(yè)務(wù)行為，如文件操作、命令執(zhí)行和網(wǎng)絡(luò)IO等，可以快速捕捉偏離了正常業(yè)務(wù)的細(xì)微指數(shù)變化，從而發(fā)現(xiàn)隱蔽性更強的潛伏攻擊。

防傳播是要及時隔離受感染服務(wù)器、阻止“疫情”大范圍傳播，據(jù)李棟介紹，勒索攻擊首先突破的往往是邊界服務(wù)器，并不是要執(zhí)行勒索操作的核心內(nèi)網(wǎng)，因此，還需要通過進一步的內(nèi)網(wǎng)滲透才能達到目標(biāo)，這也是我們切斷勒索攻擊鏈的關(guān)鍵點，就像在對抗新冠病毒的過程中，一旦發(fā)現(xiàn)病毒陽性個體，要及時做居家隔離或者集中隔離處理，防止疫情的大范圍傳播。

椒圖首先會對 Cobalt Strike、PsExec這類橫向攻擊的常用工具進行識別和阻斷，同時采用了微隔離技術(shù)去限制訪問源，微隔離的兩個核心功能：端口白名單，可以限制服務(wù)器的指定端口只能被特定的ip或者ip段訪問；進程白名單可以限制服務(wù)器的對外服務(wù)進程，只能訪問特定的ip或域名，從而實現(xiàn)進出網(wǎng)雙向控制，有效阻止勒索病毒在服務(wù)器與服務(wù)器之間、以及服務(wù)器與容器等工作負(fù)載之間的非法移動。

結(jié)合誘餌文件、誘餌進程等多維度的勒索病毒防護技術(shù)，椒圖防勒索專版形成“防入侵、防破壞、防傳播”的立體防護體系，有效實現(xiàn)“斷其路”。

“挖其根”— 徹底清除病毒，讓服務(wù)器“陽康”

通過“觀其行”和“斷其路”，一方面有效阻止勒索病毒落地，第二方面即使勒索病毒落地了，椒圖也可以阻止其執(zhí)行以及橫向傳播，最后還需要將勒索病毒徹底的清除，讓服務(wù)器真正的“陽康”。

在殺毒引擎的啟用上，椒圖考慮了業(yè)務(wù)優(yōu)先的原則，讓業(yè)務(wù)以最小的損耗去獲得安全防護，因此采用本地查殺+控制臺查殺雙模式查殺模式，可自由的切換。本地查殺模式實時性高、殺毒引擎在服務(wù)器本地、對系統(tǒng)資源消耗相對較高，適合于資源相對充沛的場景?？刂婆_查殺模式采用異步查殺、殺毒引擎在管理中心上、對系統(tǒng)資源消耗低，適合于服務(wù)器剩余系統(tǒng)資源，相對緊張的場景。保證不會因為系統(tǒng)資源緊張，而導(dǎo)致安全功能的缺位。

就像人類在過去、現(xiàn)在和未來都將和病毒做抗?fàn)幰粯?，在服?wù)器端與勒索病毒的對抗，也將是一個持續(xù)的過程，會不斷的有新型的攻擊手段、新型的變種病毒出現(xiàn)，但是只要把握好“觀其行、斷其路、挖其根”的九字方針，就一定能在攻防實戰(zhàn)中占據(jù)先手、百戰(zhàn)不殆。

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。