Sign up to save your podcasts
Or
Share 勒索病毒防护的新思路,勒索防护能力验证
Share to email
Share to Facebook
Share to X
Share to email
Share to Facebook
Share to X
Or
勒索病毒防护的新思路,勒索防护能力验证
本文部分内容选自公众号:君哥的体历
原文链接:https://mp.weixin.qq.com/s/aL5W3HmJM09J0GD3TUYeXA
一、老思路是什么
勒索病毒防护:依靠防入侵+数据恢复。
防入侵,即是利用杀毒软件、EDR终端检测响应、IPS、防病毒等鸡技术设备,在终端侧、网络侧进行检测及防护。
数据恢复,即是针对数据进行备份备份,配合数据恢复演练,帮企业的备份系统做一个异常的兜底。这个系统做好之后,还能缓释另外一个风险:删库跑路。
关于防入侵和数据恢复是两个大话题,后续有机会再探讨。本文分享一种勒索防护新思路:通过安全验证提升勒索防护能力。
二、新思路
做勒索防护能力验证,发现安全失效点,进而实现优化安全策略,提升防护能力
以银行作为案例,一次典型的勒索攻击,主要分成三个阶段:
1、第一阶段是通过三种主要的攻击方式进行感染植入:边界漏洞攻击、邮件攻击、主机和终端恶意软件投递。包括使用404个高危漏洞去感染和植入勒索软件(404个高危漏洞是人民银行下发的勒索软件自查清单里面定义的)
2、一旦勒索软件获得了内网的权限,就会转成半人工或纯人工,勒索软件会去进行横向移动和爆破,来获取和感染更多的机器和权限,直到获得最重要的资产和目标数据库的权限。比如他会去横向移动,RDP3389端口的爆破,会去请求勒索组织的域名、下载勒索组织的样本,然后还会建立持久化与C2的通讯。同时他还会去批处理的移除防病毒的软件、关闭备份、拷贝数据等。
3、当攻击者移动到最核心目标的数据库和重要资产时,它会开始最终的第三阶段:进行加密和勒索。
勒索防护能力验证,是通过模拟勒索软件三个阶段的各种各样的行为,然后去收集防御体系的拦截和告警结果,从而进行自动化比对,看看勒索组织的这些动作和行为,我们能够做到多少有效拦截和告警。从而来评估勒索防护能力的真实情况,以发现我们勒索防护措施的短板和失效点。以反向的方式去验证和评估企业的勒索软件防护能力。
三、方案详述
1)感染植入阶段验证:
模拟勒索软件感染植入的三种方式:
2)传播扩散阶段验证:
在传播扩散阶段,重点模拟勒索软件在企业内部网络中的横向扩散和蔓延能力。勒索病毒一旦进入到企业内网,会千方百计进行横向移动,感染到核心数据库服务器和核心目标服务器。勒索软件行为包括:各种横向移动、RDP3389 端口爆破、MS17-010 扫描、与 C2 服务器建立持久化通讯,有的还会移除防病毒软件、关闭数据备份服务、拷贝敏感数据等。
3)加密勒索阶段验证:
在加密勒索阶段,模拟勒索软件的核心破坏行为,以评估防御体系在最后一道防线上的表现。这包括模拟勒索软件对目标文件系统的加密操作、模拟锁定与破坏、模拟数据销毁或篡改,以验证终端/主机的防护能力。
四、《网络安全AI说》补充
上文说的一种方式很不错,是一个叫知其安的公司出的。
本播客在这个基础上,补充另外几种可能用到的技术作为参考:
1、勒索软件很可能做了免杀,有的可能用了白利用手段(用好的系统进程干坏的事情),你的杀毒软件是查不出来的,需要用真EDR技术的终端安全软件,对终端上的各种行为做检测(文件、进程、注册表、计划任务、WMI等),从而判断是否可能为勒索。一般奇安信、深信服、亚信等均有(排名不分先后)。
2、尝试实用化具备AI泛化检测能力的终端安全软件,即便杀毒软件是从来没出现过的,规则库里面没有,那也有一定的可能靠AI的学习能力检测得出来。
3、轻量的备份,如果是PC电脑,可以尝试选有终端备份能力的安全软件。比如安全软件识别了下这个程序,他也不知道这个软件是好还是坏,他就针对你这个软件要对文件做操作时先去备份(一般只能备份几个G),如果3秒之后,发现你这个软件真的在对那些文件做加密,他就阻断你这个软件的进程,并且把他之前备份过的文件回滚。
View all episodes
By mztkn123456本文部分内容选自公众号:君哥的体历
原文链接:https://mp.weixin.qq.com/s/aL5W3HmJM09J0GD3TUYeXA
一、老思路是什么
勒索病毒防护:依靠防入侵+数据恢复。
防入侵,即是利用杀毒软件、EDR终端检测响应、IPS、防病毒等鸡技术设备,在终端侧、网络侧进行检测及防护。
数据恢复,即是针对数据进行备份备份,配合数据恢复演练,帮企业的备份系统做一个异常的兜底。这个系统做好之后,还能缓释另外一个风险:删库跑路。
关于防入侵和数据恢复是两个大话题,后续有机会再探讨。本文分享一种勒索防护新思路:通过安全验证提升勒索防护能力。
二、新思路
做勒索防护能力验证,发现安全失效点,进而实现优化安全策略,提升防护能力
以银行作为案例,一次典型的勒索攻击,主要分成三个阶段:
1、第一阶段是通过三种主要的攻击方式进行感染植入:边界漏洞攻击、邮件攻击、主机和终端恶意软件投递。包括使用404个高危漏洞去感染和植入勒索软件(404个高危漏洞是人民银行下发的勒索软件自查清单里面定义的)
2、一旦勒索软件获得了内网的权限,就会转成半人工或纯人工,勒索软件会去进行横向移动和爆破,来获取和感染更多的机器和权限,直到获得最重要的资产和目标数据库的权限。比如他会去横向移动,RDP3389端口的爆破,会去请求勒索组织的域名、下载勒索组织的样本,然后还会建立持久化与C2的通讯。同时他还会去批处理的移除防病毒的软件、关闭备份、拷贝数据等。
3、当攻击者移动到最核心目标的数据库和重要资产时,它会开始最终的第三阶段:进行加密和勒索。
勒索防护能力验证,是通过模拟勒索软件三个阶段的各种各样的行为,然后去收集防御体系的拦截和告警结果,从而进行自动化比对,看看勒索组织的这些动作和行为,我们能够做到多少有效拦截和告警。从而来评估勒索防护能力的真实情况,以发现我们勒索防护措施的短板和失效点。以反向的方式去验证和评估企业的勒索软件防护能力。
三、方案详述
1)感染植入阶段验证:
模拟勒索软件感染植入的三种方式:
2)传播扩散阶段验证:
在传播扩散阶段,重点模拟勒索软件在企业内部网络中的横向扩散和蔓延能力。勒索病毒一旦进入到企业内网,会千方百计进行横向移动,感染到核心数据库服务器和核心目标服务器。勒索软件行为包括:各种横向移动、RDP3389 端口爆破、MS17-010 扫描、与 C2 服务器建立持久化通讯,有的还会移除防病毒软件、关闭数据备份服务、拷贝敏感数据等。
3)加密勒索阶段验证:
在加密勒索阶段,模拟勒索软件的核心破坏行为,以评估防御体系在最后一道防线上的表现。这包括模拟勒索软件对目标文件系统的加密操作、模拟锁定与破坏、模拟数据销毁或篡改,以验证终端/主机的防护能力。
四、《网络安全AI说》补充
上文说的一种方式很不错,是一个叫知其安的公司出的。
本播客在这个基础上,补充另外几种可能用到的技术作为参考:
1、勒索软件很可能做了免杀,有的可能用了白利用手段(用好的系统进程干坏的事情),你的杀毒软件是查不出来的,需要用真EDR技术的终端安全软件,对终端上的各种行为做检测(文件、进程、注册表、计划任务、WMI等),从而判断是否可能为勒索。一般奇安信、深信服、亚信等均有(排名不分先后)。
2、尝试实用化具备AI泛化检测能力的终端安全软件,即便杀毒软件是从来没出现过的,规则库里面没有,那也有一定的可能靠AI的学习能力检测得出来。
3、轻量的备份,如果是PC电脑,可以尝试选有终端备份能力的安全软件。比如安全软件识别了下这个程序,他也不知道这个软件是好还是坏,他就针对你这个软件要对文件做操作时先去备份(一般只能备份几个G),如果3秒之后,发现你这个软件真的在对那些文件做加密,他就阻断你这个软件的进程,并且把他之前备份过的文件回滚。