揭秘勒索第3期丨应对勒索软件三连击，我有我招

从第1期“勒索软件是什么？勒索攻击是如何发生的？”中我们已了解到，勒索软件是一种极具传播性、破坏性的恶意软件，主要利用多种密码算法对用户重要数据加密/窃取、更改系统配置等方式，导致计算机或特定文件不可用或不可读；只有受害人支付了赎金，才有可能获取用于恢复电脑或解密被加密文件的密钥，重新获得数据，恢复系统正常运行。近年来，勒索软件攻击形式更加严峻，在世界经济论坛发布的《2022年全球网络安全展望》报告中，勒索软件攻击在全球网络领导者在网络威胁关心问题中排名第一，成为全球广泛关注的网络安全难题。

《2022年全球网络安全展望》中勒索软件攻击排名第一

2021年全球制造业、服务业、建筑、金融、能源、医疗、工控和政府组织机构等频遭勒索软件攻击。

2021年活跃勒索软件家族及攻击案例

据Sophos统计，勒索软件攻击中恢复的平均总成本从2020年的76.1万美元增加到2021年的185万美元。勒索软件给全球产业产值造成严重损失。在第1期“勒索软件是什么？勒索攻击是如何发生的？”中我们曾经提到，勒索软件常常采用勒索软件即服务“RaaS”的运作方式。勒索软件即服务（RaaS）是犯罪企业的一种商业模式，允许任何人注册并使用工具进行勒索软件攻击。接下来我们以“RaaS”中著名的LockBit2.0家族为例，分析勒索软件的攻击模式。

LockBit2.0是2021年以来最具影响力和最活跃的勒索软件家族之一，于2021年6月首次出现。根据对勒索组织暗网泄密泄露的数据分析，截至今年5月份，LockBit2.0在2022年所有与勒索软件违规事件占比46%。

LockBit 2.0：“您所有的重要文件都被窃取和加密！”

LockBit2.0利用了AES和椭圆曲线加密（ECC）算法来加密受害者数据，LockBit小组声称LockBit2.0是“世界上最快的加密软件”，同时支持Windows和Linux操作系统。

针对LockBit2.0，我们列举了其常用的TTP攻击技术。

LockBit2.0使用有效的远程桌面协议（RDP）账户访问受害者系统，进入系统后通过网络扫描找到域控服务器、获取域控服务器权限，在域控制器上创建组策略并将组策略更新到网络上的其他设备。组策略的目的是禁用Microsoft Defender 的实时保护，释放LockBit 2.0勒索软件样本，同时设置计划任务绕过UAC 启动勒索软件。LockBit2.0 运行后追加以“.lockbit”命名的文件后缀，最终在每个加密目录中创建勒索信。

LockBit2.0给我们很好地展示了勒索软件最核心的三连击模式，主要分为攻击植入、文件加密、扩大勒索面。

勒索软件三连击模式

针对上述攻击模式，华为提出的“云管端”防勒索解决方案。

华为防勒索“云管端”解决方案

“云”：即华为乾坤云，主要用于事前防御，缩小勒索攻击面，同时在勒索发生时进行态势感知预警，并和网络、终端设备联动处置。其关键能力包括：

（1） 部署网络安全威胁管理平台、漏洞扫描系统等产品，对安全漏洞威胁、弱口令风险等实现及时发现和闭环管理。

（2） 部署网络安全态势感知平台，通过对原始流量、网络告警等信息的收集和分析，监测勒索软件攻击情况、发现病毒传播线索。

（3） 在发现勒索软件后，和网络、终端设备联动处置，包括隔离勒索软件，阻断勒索通信中的C2外联IP地址等。

“管”：即下一代天关防火墙，通过在网络边界部署防火墙等产品，仅允许授权用户对关键业务系统进行访问、实现访问权限限制和管理，有效防止勒索软件的攻击植入，其关联能力包括：

（1） 支持与检测系统联动、通过流量解析实施勒索软件攻击告警、防火墙根据告警封禁攻击IP地址。

（2） 部署IPS流量监测阻断产品，检测常见漏洞利用攻击，防止通过漏洞进行勒索软件的植入。

（3） 通过还原流量中传播的勒索软件样本、联动威胁情报、沙箱分析等、识别和阻断投递过程中勒索软件。

（4） 部署邮件安全网关、邮件威胁分析系统等产品、检测和拦截邮件投递的勒索软件。

“端”：即乾坤EDR，在终端侧部署杀毒软件、终端安全管理系统等EDR产品，对勒索软件进行检测和查杀。其关键能力包括：

（1）支持防暴力破解、端口扫描以及系统登录防护、弱口令检测。

（2）支持钓鱼邮件检测，大部分勒索软件通过钓鱼邮件传播。

（3）支持云端威胁情报联动、本地实时监测等多种模式，具备勒索软件专杀功能。

（4）具备勒索软件免疫、应用进程防护等能力，如利用文件防护产品，检测文件的执行、生成、修改、重命名等，发现遍历大量文件、文件修改操作、调用加密算法库等时，及时提示和拦截。

（5）利用勒索软件诱饵文档，发现恶意修改文档的行为，并拦截关联进程。