0x1 勒索事件成功关键
某种意义上,没有比勒索软件更能体现安全价值的形式。
勒索事件成功的关键:漏洞利用+防护失效。
1)漏洞利用:
攻击者利用软件、系统或网络中的漏洞或弱点,通过某种方式来执行恶意代码或获取未授权的访问权限。
漏洞是软件或系统中存在的错误、缺陷或不安全的设计,可以被攻击者利用来获得未经授权的权限或执行恶意操作。
2)防护失效:
从纵深防御的角度出发,针对边界安全,流量安全,主机安全等部署了众多的安全设备,在实际的安全运营过程中,还是有很多的攻击,威胁并没有被拦截,或者及时的产生告警。所有安全事件的发生,安全防护都存在失效。
通俗的说:勒索事件的发生,是因为存在漏洞被利用,以及安全防护措施失效(没防住),两个因素共同作用导致。
降低或消除两个因素中的任何一个,都可以起到降低勒索事件发生的效果。
除了漏洞及时修复,提高勒索软件防护措施有效性也是非常必要的。况且漏洞是无法完全杜绝,如果漏洞能被完全杜绝,那安全也没有存在的必要了。
所以除了重视及时修复漏洞外,验证并提升防勒索能力,也很有必要。
进一步扩展思考:
一切没有经过验证的安全措施,都是不可靠的,靠概率和运气活着。 聂君
0x2 如何验证防勒索能力
正向安全措施+反向安全验证,构成了防勒索能力闭环。
-
情报域名解析类
勒索软件在执行之前,将自身下载到受害者的系统中,然后开始执行恶意行为。通过威胁情报获取恶意样本,利用样本对比进行静态特征检测,识别和拦截勒索软件。
-
情报样本类
勒索软件运行中与特定的控制端、信息回传端或数据外泄端进行通信,并发送受害者信息,过程通常涉及与恶意域名的交互。通过威胁情报获取这些恶意域名,并利用流量检测设备侦测网络中的通信流量。通过“DNS 劫持”将恶意域名解析到“⿊洞IP”,中断与控制端的连接,遏制勒索软件的传播和扩散。
-
诱饵文件有效性
勒索软件在执行过程中,会进行磁盘目录扫描遍历查找关键文件、利用加密算法进行加密,也会遍历EDR、杀软提前布控的诱饵⽬录进行加密,当勒索软件对诱饵目录进行加密时,EDR、杀软会进⾏拦截并告警,可以直接通过加密诱饵目录下的文件来判定诱饵文件是否有效。
-
勒索软件行为分析类
勒索软件在执行过程中,会进行磁盘目录扫描遍历查找关键文件、利用加密算法进行加密、加密后对原始⽂件进行修改或删除等操作,同时还具备检测对抗。部署杀毒软件/EDR类产品进行查杀与之对抗。
0x3 验证结果
正向安全措施+反向安全验证,构成了防勒索能力闭环。
自动化验证结果如下:
常见失效点举例:
事件排查:用户侧使用某品牌的防病毒设备,因为设备服务端部署在linux的虚拟机上,所以导致设备只有投递拦截的能力,没有沙箱检测能力,导致检测拦截能力降低,且用户侧无感知。
失效影响:导致用户侧的防病毒、防勒索软件,除一些常见恶意样本投递外,对文件落盘、执行等常见攻击均无法进行有效拦截或检测,从而造成防护失效。
2、防病毒告警日志未写入SOC平台
事件排查:验证执行的过程中,安全验证平台能够接收到防病毒告警并验证成功,但在SOC平台中没有防病毒相关告警信息,经排查发现,防病毒服务端升级过程中,Syslog外发地址配置错误,导致防病毒告警日志无法外发到SOC平台。
失效影响:导致用户后续安全运营过程中,碰到终端侧相关攻击事件后,在SOC平台无法正常获取防病毒告警日志,对威胁处置产生影响,从而造成防护失效。
3、终端侧发现终端防护几乎对恶意样本和勒索软件无拦截阻断能力
事件排查:用户侧由于进行的终端安全设备版本升级,升级后部分服务未升级成功,引擎和服务版本不一致导致部分数据对接不匹配的情况,策略上未开启实时防护,造成检测能力大幅度降低。并且对已发布勒索软件最新版本(Lockbit3.0版本),不具备检测告警能力,但用户侧服务均正常运行,所以此安全隐患一直未发现。
失效影响:导致用户日常防护的能力下降,且用户侧仅在每日的晚上十点开启全盘扫描,会造成日常防护仅在EDR上告警,同时对应最新升级的相关恶意软件和勒索软件没有防护能力,从而造成防护失效。
更多安全失效点,敬请期待《安全有效性失效案例集》
知其安一直都有防勒索能力验证场景:通过模拟勒索软件关键行为,自动化对比防护能力是否健全,之前制造业用的比较多。最近协助很多金融机构紧急做防勒索能力验证,看看防勒索能力有哪些缺失,并根据验证结果针对性完善防护能力和策略。目前已经具备的安全验证场景包括:
边界安全、主机安全、终端安全、流量安全、容器安全、云安全、邮件安全、防勒索能力、访问控制隔离、开发安全、供应链安全、身份安全、数据安全、信创安全。
欢迎扫码联系技术交流,公众号留言:防勒索
传送门:
原文始发于微信公众号(君哥的体历):一切没有经过验证的安全措施,都是不可靠的-兼谈防勒索能力安全验证思路
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论