Hive,他们是谁?
Hive 勒索软件于 2021 年 6 月首次被发现,主要攻击医疗和 IT 行业,经历了多次变种。最新的变种进行了多项重大升级,其中最主要的改变是编程语言从 GoLang 转变为 Rust,并采用了更复杂的加密方法。
Hive的邪恶之路
Hive勒索病毒的行为分析
图1 Hive攻击流程
1.Hive勒索软件组织利用钓鱼软件进行传播。当用户点击下载压缩包并解压,然后运行压缩包内的文件时,勒索软件便会入侵主机,关闭正在运行的进程,并开始遍历文件。
2.一旦病毒入侵主机,它会对用户的数据文件和可执行文件进行加密,并删除操作系统卷影备份,以防止用户对系统进行恢复。加密后,文件的外观会发生改变,变得无法正常打开或使用。
3.在文件加密完成后,用户将无法打开加密的数据文件,无法执行被加密的可执行文件。同时,桌面上会显示一个名为“readme”的txt文件,其中包含勒索信息,提醒用户注意并阅读该文件。
4.该勒索信警告用户“Hive勒索组织在FBI(联邦调查局)中有线人,如果用户向FBI报警,将被视为敌对行为,用户数据将直接被公开”,为了自证有能力解密文件,Hive在勒索信中提供了免费解密文件和赎金谈判的链接。
威努特主机防勒索实战——Hive
针对全球范围内的勒索病毒威胁,威努特主机防勒索系统设计了一系列技术机制,包括行为监测、勒索诱捕、系统保护、进程保护、数据保护和备份恢复,有效解决勒索病毒的入侵问题。
进程终止行为检测
Hive勒索病毒手段:
-
Hive勒索病毒加密应用数据前,会通过调用操作系统内核指令,优先中止各类应用进程。
威努特主机防勒索系统防御机制:
-
威努特主机防勒索系统通过行为监测,能够精准检测到Hive勒索病毒终止进程的恶意行为,并且立即拦截该恶意行为,以避免应用进程被非法中止导致的业务中断或系统崩溃。
卷影删除防护
Hive勒索病毒手段:
-
删除操作系统卷影备份,防止用户恢复系统。
威努特主机防勒索系统防御机制:
-
通过预置保护规则系统,阻断勒索病毒对系统卷影等关键资源的破坏。
-
精准检测卷影删除行为,并进行拦截。
数据更改防护
Hive勒索病毒手段:
-
勒索病毒潜在的恶意行为,体现在操作系统底层中为高危指令的关联调用,如遍历目录、更改文件名等。
威努特主机防勒索系统防御机制:
-
威努特防勒索系统通过对系统API调用、进程操作、文件操作指令的监控,可发现勒索软件的恶意行为,及时告警或阻断避免数据文件遭到破坏。
勒索诱捕技术
Hive勒索病毒手段:
-
对系统目录进行遍历,无差别全盘加密。
-
采用高级手法投递的勒索病毒隐蔽性较强,难以有效检测发现。
-
采用注入、多进程加密等手法组合攻击,难以有效防范。
威努特主机防勒索系统防御机制:
-
静态诱饵投放:勒索病毒对诱饵文件产生遍历操作时ARS会及时响应并拦截,为确保勒索软件优先碰触诱饵文件,静态诱捕实施了诱饵文件智能投放、诱饵文件智能更新、诱饵文件模拟仿真、诱饵文件集中监测四项策略。
-
动态诱饵投喂:在勒索病毒遍历文件时,优先返回给它诱饵文件,使其最先处理诱饵文件,以最小成本、最快速度识别出勒索病毒。
勒索病毒隔离
威努特主机防勒索系统成功捕获Hive勒索病毒,拦截其恶意行为,并对其执行文件进行隔离,以彻底杜绝其再次执行。
实战总结
一、检测
威努特主机防勒索系统通过实时行为监测,快速发现异常行为,及时预警并采取相应防护措施。行为监测不仅针对已知勒索病毒,还能发现未知恶意行为,有效降低勒索攻击风险。
二、防护
勒索诱捕:威努特主机防勒索系统通过模拟主机的正常运行状态,吸引勒索病毒攻击,从而发现和捕获潜在的威胁。
系统保护:威努特主机防勒索系统采取了一系列措施来保护主机的系统和资源。通过控制访问权限、限制文件操作、阻止恶意进程运行等手段,防止勒索病毒对系统关键资源的破坏。
进程保护:威努特主机防勒索系统实时监控进程状态和行为,保护系统和业务进程不受恶意注入或中断。提供快速切换机制,发现异常时迅速切换到安全模式,避免业务中断。
数据保护:威努特主机防勒索系统建立应用与数据的访问关系,限制未授权人员对数据的访问和修改。提供数据加密和备份功能,确保数据泄露或篡改时能够快速恢复到正常状态。
三、恢复
威努特主机防勒索专防专治勒索病毒
勒索攻击在全球范围内持续蔓延,基于威胁情报和病毒特征的防护软件或安全平台,在面对新型勒索病毒时很容易失效,因此需要基于勒索病毒行为特征构建安全防护能力。此外,勒索病毒攻击手法不断演进变化,依靠单一的功能无法确保有效防御。因此,我们需要综合勒索行为检测、数据安全保护、系统资源保护、数据备份与恢复等完整的、闭环的安全能力,才能实现勒索病毒的有效防范。
威努特主机防勒索系统基于勒索行为的检测能力,可对全球范围内各类已知、新型勒索病毒有效检测,自威努特主机防勒索系统发布以来,各类新型勒索病毒,无论是Darkside、tellyouthepass、Devos、Mallox、Phobos、Money Message,还是本次介绍的Hive,无一例外,均能有效防范。
图12 威努特主机防勒索系统首页
威努特主机防勒索系统(防病毒)是专防专治勒索病毒的终端安全产品,产品深度结合操作系统内核驱动,以勒索行为监测、勒索病毒诱捕、系统资源保护、关键业务保护、核心数据保护、数据智能备份等多项创新技术,精准识别勒索软件、保护系统资源不被破坏、保护业务应用免遭中断、保护业务数据不被篡改、备份业务数据并恢复,实现事前预防、事中检测/阻断、事后恢复的勒索病毒综合防范。
北京威努特技术有限公司(简称:威努特)是国内工控安全行业领军者,是中国国有资本风险投资基金旗下企业。凭借卓越的技术创新能力成为全球六家荣获国际自动化协会ISASecure 认证企业之一和首批国家级专精特新“小巨人”企业。
威努特依托率先独创的工业网络“白环境”核心技术理念,以自主研发的全系列工控安全产品为基础,为电力、轨道交通、石油石化、市政、烟草、智能制造、军工等国家重要行业用户提供全生命周期纵深防御解决方案和专业化的安全服务,迄今已为国内及“一带一路”沿线国家的6000多家行业客户实现了业务安全合规运行。
作为中国工控安全国家队,威努特积极推动产业集群建设构建生态圈发展,牵头和参与工控安全领域国家、行业标准制定和重大活动网络安全保障工作,始终以保护我国关键信息基础设施安全为己任,致力成为建设网络强国的中坚力量!
渠道合作咨询 田先生 15611262709
稿件合作 微信:shushu12121
原文始发于微信公众号(威努特工控安全):肆虐全球的Hive勒索病毒,看威努特如何高效防范
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论