1月30日，奇安信集團(tuán)舉辦“椒圖服務(wù)器安全管理系統(tǒng)-防勒索專版”產(chǎn)品發(fā)布會(huì)，推出針對(duì)勒索攻擊防護(hù)的服務(wù)器端安全產(chǎn)品。新產(chǎn)品針對(duì)勒索病毒的攻擊鏈、行為特征提供多維度的防護(hù)方案，對(duì)勒索攻擊的防護(hù)效果更好、針對(duì)性更強(qiáng)；并提供針對(duì)不同操作系統(tǒng)、業(yè)務(wù)環(huán)境的場(chǎng)景化配置模版，讓產(chǎn)品能快速上線運(yùn)行；同時(shí)，新版本還深度優(yōu)化了系統(tǒng)資源配置，讓管理中心對(duì)CPU/內(nèi)存等資源的配置要求降低50%，支持的服務(wù)器數(shù)量增加50%，讓產(chǎn)品的部署門檻大幅度降低。

隨著企業(yè)數(shù)字化進(jìn)程的加速，信息安全威脅和風(fēng)險(xiǎn)也快速增加，網(wǎng)絡(luò)攻擊手段越來(lái)越多，漏洞及攻擊入口無(wú)處不在，尤其是近年來(lái)勒索攻擊事件頻發(fā)，其破壞力和影響力越來(lái)越大。數(shù)據(jù)表明，超過(guò)2/3的企業(yè)在過(guò)去一年中至少經(jīng)歷過(guò)一次勒索攻擊，僅2022上半年，全球共發(fā)生2.361億次勒索軟件攻擊。國(guó)外安全機(jī)構(gòu)更是預(yù)測(cè)，到2031年，全球勒索軟件勒索活動(dòng)造成的潛在總損失或達(dá)10.5萬(wàn)億美元。勒索軟件成為全球頭號(hào)威脅，對(duì)抗勒索攻擊已經(jīng)迫在眉睫。

據(jù)奇安信資深服務(wù)器安全專家李棟介紹，傳統(tǒng)對(duì)抗勒索病毒采用的方式是采用殺毒軟件或者數(shù)據(jù)備份的方式，但是這兩種都具有一定的局限性：

殺毒軟件依賴特征和病毒庫(kù)，對(duì)于已知病毒的防護(hù)效果較好，但是對(duì)于變形以及新型病毒的防護(hù)具有滯后性，根據(jù)奇安信反病毒研發(fā)運(yùn)營(yíng)中心的統(tǒng)計(jì)，2022年，在中國(guó)活躍的勒索病毒家族前50位，出現(xiàn)頻率高達(dá)1500多萬(wàn)次，并且每個(gè)家族都會(huì)不斷推出變種、以及新型勒索病毒，一旦有新的變種出現(xiàn)就很容易導(dǎo)致服務(wù)器的二次感染，就像人類感染了奧密克戎新冠病毒株后，還有可能會(huì)繼續(xù)感染新的XBB病毒株。

同樣，用數(shù)據(jù)備份的方式去防御勒索攻擊，屬于被動(dòng)防御的思路，對(duì)備份數(shù)據(jù)的有效性、實(shí)時(shí)性有著極高的要求，尤其是一些高交互的業(yè)務(wù)，實(shí)時(shí)備份的難度極大，另外備份系統(tǒng)也部署在內(nèi)網(wǎng)，很容易被攻擊者一鍋端。

因此，針對(duì)現(xiàn)行防護(hù)方案的瓶頸，奇安信提出“觀其行、斷其路、挖其根”的勒索病毒防護(hù)理念，打造的全新一代防護(hù)方案。

“觀其行”— 洞察勒索病毒的攻擊鏈和攻擊行為

根據(jù)奇安信服務(wù)器安全團(tuán)隊(duì)的統(tǒng)計(jì)，勒索病毒入侵服務(wù)器的方式有多種，包括：終端突破、暴力破解、系統(tǒng)及通用組件漏洞利用、webshell上傳以及供應(yīng)鏈攻擊等，此外，對(duì)集權(quán)設(shè)備的攻擊以及對(duì)安全設(shè)備的攻擊，也呈現(xiàn)逐年遞增的態(tài)勢(shì)。

勒索病毒攻擊鏈包含了“偵查踩點(diǎn)、制定策略、打點(diǎn)入侵、內(nèi)網(wǎng)滲透、目標(biāo)定位、實(shí)現(xiàn)目的、穩(wěn)固權(quán)限”7個(gè)階段，在每個(gè)攻擊階段都有不同的攻擊方式組合。比如獲取網(wǎng)絡(luò)訪問(wèn)權(quán)限階段，可以采用RDP、SSH等遠(yuǎn)程桌面暴力破解，或者去攻擊高危端口的方式；在獲取一定的權(quán)限后，再通過(guò)webshell、代理隧道的方式將勒索病毒落地，然后再通過(guò)內(nèi)網(wǎng)滲透的方式，去進(jìn)一步污染更多的服務(wù)器，從而達(dá)到目標(biāo)系統(tǒng)并實(shí)施勒攻擊。

在深度了解勒索病毒的攻擊鏈和攻擊行為后，結(jié)合勒索病毒到達(dá)服務(wù)器引起的一些異常變化，如：業(yè)務(wù)&文件訪問(wèn)突然出現(xiàn)異常；CPU、內(nèi)存使用率快速增減；出現(xiàn)大量文件讀取，文件加密、文件名及后綴修改；以及內(nèi)部端口被大量探測(cè)、掃描等等，根據(jù)這些“病灶”并結(jié)合攻擊特點(diǎn)，椒圖可以快速對(duì)勒索病毒感染作出“診斷”和告警。

“斷其路”— 要徹底切斷勒索病毒的攻擊和傳播途徑

在確認(rèn)正遭受勒索攻擊后，需要“斷其路”去干擾勒索病毒的攻擊及傳播，包括防入侵、防破壞、防傳播三個(gè)關(guān)鍵點(diǎn)。

防入侵的關(guān)鍵是要做好攻擊面管理，伴隨著業(yè)務(wù)快速擴(kuò)展的不僅是服務(wù)器的數(shù)量，還有不斷放大的攻擊面。做好攻擊面管理的第一步是要摸清資產(chǎn)家底，椒圖通過(guò)本地識(shí)別和網(wǎng)絡(luò)掃描的方式，可以準(zhǔn)備識(shí)別多項(xiàng)核心資產(chǎn)包括配置信息、賬戶、應(yīng)用、進(jìn)程、端口等。目前識(shí)別的資產(chǎn)數(shù)量達(dá)到18類 、400多項(xiàng)，一方面在于能全局把握資產(chǎn)狀況，避免shadows it的發(fā)生，另一方面也能對(duì)資產(chǎn)做快速排查和處理，比如centos8停服后，通過(guò)椒圖可以快速篩選出業(yè)務(wù)環(huán)境中還在運(yùn)行的centos8系統(tǒng)，并做下線或者加固處理。

在全面掌控資產(chǎn)信息的基礎(chǔ)上，椒圖可以根據(jù)資產(chǎn)的版本及運(yùn)行狀況，對(duì)安全風(fēng)險(xiǎn)作出及時(shí)判斷，包括弱口令&口令復(fù)用、危險(xiǎn)端口暴露、漏洞&補(bǔ)丁等，但只做到風(fēng)險(xiǎn)識(shí)別還是不夠的，比如，因?yàn)楹芏嗲闆r下修復(fù)漏洞需要重啟應(yīng)用甚至服務(wù)器，對(duì)于高連續(xù)性的業(yè)務(wù)顯示是不適合，針對(duì)這些行業(yè)難題，椒圖推出了虛擬補(bǔ)丁功能，在內(nèi)核態(tài)基于WFP框架/Netfilter框架實(shí)現(xiàn)引流功能，將入站、出站流量通知給應(yīng)用態(tài)的IPS引擎，并用IPS引擎對(duì)流量實(shí)施檢測(cè)防護(hù)，可以實(shí)現(xiàn)在不打?qū)嶓w補(bǔ)丁、不重啟的情況下，防止黑客利用漏洞攻擊服務(wù)器，可以真正實(shí)現(xiàn)“資產(chǎn)-風(fēng)險(xiǎn)發(fā)現(xiàn)-實(shí)體補(bǔ)丁-虛擬補(bǔ)丁”的閉環(huán)管理。

李棟指出，通過(guò)webshell去上傳勒索病毒文件是黑客比較常用的入侵方式，也可以說(shuō)是上傳勒索病毒的前置攻擊，因此，防御webshell是防御勒索攻擊落地的重點(diǎn)，椒圖在服務(wù)器端采用了動(dòng)、靜的結(jié)合的方式，先會(huì)對(duì)webshell的靜態(tài)特征進(jìn)行檢測(cè)，包括快速的哈希匹配、基于詞法分析的模糊哈希匹配、以及靜態(tài)污點(diǎn)追蹤，可以快速的發(fā)現(xiàn)已知的webshell，同時(shí)還會(huì)基于本地及管理中心沙盒、以及RASP這種基于流量上下問(wèn)檢測(cè)的動(dòng)態(tài)技術(shù)，去識(shí)別變形、加密的webshell。同時(shí)，椒圖在內(nèi)核層，還采用了系統(tǒng)加固技術(shù)，可以自定義去限制web目錄、根目錄等關(guān)鍵位置的多余權(quán)限，進(jìn)一步去限制webshell以及勒索病毒的執(zhí)行。

近幾年也新出現(xiàn)冰蝎這類加載在內(nèi)存中的無(wú)文件webshell，這類惡意代碼隱藏在系統(tǒng)的正常應(yīng)用中，在服務(wù)器本地沒(méi)有獨(dú)立的文件形式，因此也很難被傳統(tǒng)的檢測(cè)手段發(fā)現(xiàn)。所以，針對(duì)這類攻擊，椒圖采用了內(nèi)存馬動(dòng)態(tài)檢測(cè)技術(shù)，可以快速的掃描并清除隱藏在在中間件、powershell、vbs等本地應(yīng)用中的惡意代碼，從而有效的阻止webshell和勒索病毒的隱藏和執(zhí)行。

防破壞是假設(shè)勒索病毒已經(jīng)成功落地，要去阻止其在服務(wù)器內(nèi)執(zhí)行惡意操作和自我復(fù)制，椒圖采用了內(nèi)核加固技術(shù)實(shí)現(xiàn)“應(yīng)用白名單”，可以機(jī)器學(xué)習(xí)業(yè)務(wù)環(huán)境中的正常業(yè)務(wù)運(yùn)行并形成白名單，不在白名單范圍內(nèi)的其他應(yīng)用（如勒索、挖礦病毒）執(zhí)行時(shí)會(huì)被實(shí)時(shí)阻斷；同時(shí)內(nèi)核加固技術(shù)還可以對(duì)重點(diǎn)目錄、文件的讀取、寫入、編輯、重命名等權(quán)限進(jìn)行有效限制，實(shí)現(xiàn)文件的有效監(jiān)控和防護(hù)；在高階攻防對(duì)抗中，椒圖可以細(xì)粒度學(xué)習(xí)進(jìn)程服務(wù)的業(yè)務(wù)行為，如文件操作、命令執(zhí)行和網(wǎng)絡(luò)IO等，可以快速捕捉偏離了正常業(yè)務(wù)的細(xì)微指數(shù)變化，從而發(fā)現(xiàn)隱蔽性更強(qiáng)的潛伏攻擊。

防傳播是要及時(shí)隔離受感染服務(wù)器、阻止“疫情”大范圍傳播，據(jù)李棟介紹，勒索攻擊首先突破的往往是邊界服務(wù)器，并不是要執(zhí)行勒索操作的核心內(nèi)網(wǎng)，因此，還需要通過(guò)進(jìn)一步的內(nèi)網(wǎng)滲透才能達(dá)到目標(biāo)，這也是我們切斷勒索攻擊鏈的關(guān)鍵點(diǎn)，就像在對(duì)抗新冠病毒的過(guò)程中，一旦發(fā)現(xiàn)病毒陽(yáng)性個(gè)體，要及時(shí)做居家隔離或者集中隔離處理，防止疫情的大范圍傳播。

椒圖首先會(huì)對(duì) Cobalt Strike、PsExec這類橫向攻擊的常用工具進(jìn)行識(shí)別和阻斷，同時(shí)采用了微隔離技術(shù)去限制訪問(wèn)源，微隔離的兩個(gè)核心功能：端口白名單，可以限制服務(wù)器的指定端口只能被特定的ip或者ip段訪問(wèn)；進(jìn)程白名單可以限制服務(wù)器的對(duì)外服務(wù)進(jìn)程，只能訪問(wèn)特定的ip或域名，從而實(shí)現(xiàn)進(jìn)出網(wǎng)雙向控制，有效阻止勒索病毒在服務(wù)器與服務(wù)器之間、以及服務(wù)器與容器等工作負(fù)載之間的非法移動(dòng)。

結(jié)合誘餌文件、誘餌進(jìn)程等多維度的勒索病毒防護(hù)技術(shù)，椒圖防勒索專版形成“防入侵、防破壞、防傳播”的立體防護(hù)體系，有效實(shí)現(xiàn)“斷其路”。

“挖其根”— 徹底清除病毒，讓服務(wù)器“陽(yáng)康”

通過(guò)“觀其行”和“斷其路”，一方面有效阻止勒索病毒落地，第二方面即使勒索病毒落地了，椒圖也可以阻止其執(zhí)行以及橫向傳播，最后還需要將勒索病毒徹底的清除，讓服務(wù)器真正的“陽(yáng)康”。

在殺毒引擎的啟用上，椒圖考慮了業(yè)務(wù)優(yōu)先的原則，讓業(yè)務(wù)以最小的損耗去獲得安全防護(hù)，因此采用本地查殺+控制臺(tái)查殺雙模式查殺模式，可自由的切換。本地查殺模式實(shí)時(shí)性高、殺毒引擎在服務(wù)器本地、對(duì)系統(tǒng)資源消耗相對(duì)較高，適合于資源相對(duì)充沛的場(chǎng)景?？刂婆_(tái)查殺模式采用異步查殺、殺毒引擎在管理中心上、對(duì)系統(tǒng)資源消耗低，適合于服務(wù)器剩余系統(tǒng)資源，相對(duì)緊張的場(chǎng)景。保證不會(huì)因?yàn)橄到y(tǒng)資源緊張，而導(dǎo)致安全功能的缺位。

就像人類在過(guò)去、現(xiàn)在和未來(lái)都將和病毒做抗?fàn)幰粯樱诜?wù)器端與勒索病毒的對(duì)抗，也將是一個(gè)持續(xù)的過(guò)程，會(huì)不斷的有新型的攻擊手段、新型的變種病毒出現(xiàn)，但是只要把握好“觀其行、斷其路、挖其根”的九字方針，就一定能在攻防實(shí)戰(zhàn)中占據(jù)先手、百戰(zhàn)不殆。

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。