亞信安全發(fā)布時(shí)間: 2022-04-11 18:50 關(guān)注

勒索病毒與挖礦軟件已被視為全球網(wǎng)絡(luò)威脅中的“兩大毒瘤”。

虛擬貨幣暴漲，黑客們?yōu)榱藢?shí)現(xiàn)利益最大化紛紛將目標(biāo)瞄準(zhǔn)虛擬貨幣市場(chǎng)，利用勒索軟件和挖礦腳本來(lái)變現(xiàn)網(wǎng)絡(luò)流量，導(dǎo)致勒索挖礦攻擊居高不下。

去年7月，國(guó)家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布了《勒索軟件防范指南》，提出了九個(gè)防范“要點(diǎn)”和四個(gè)不要做的事情，并提出了應(yīng)急解決建議。此外，國(guó)家發(fā)改委和其他部門在9月份聯(lián)合發(fā)布了《關(guān)于整治虛擬貨幣“挖礦”活動(dòng)的通知》，將挖礦活動(dòng)列為淘汰類產(chǎn)業(yè)。雖然各大企業(yè)加強(qiáng)了防范措施，但處理效果卻不盡如人意。

勒索和挖礦病毒的盛行主要得益于其高度專業(yè)化的運(yùn)營(yíng)和簡(jiǎn)單化的攻擊方式，低投入高回報(bào)。此外，現(xiàn)在的勒索軟件不再是簡(jiǎn)單的無(wú)差別攻擊，而是呈現(xiàn)出明顯的進(jìn)階威脅或軟件即服務(wù)的趨勢(shì)。企業(yè)的數(shù)據(jù)價(jià)值和影響力越大，就越容易遭受勒索攻擊。另外，企業(yè)沒(méi)有充分發(fā)揮安全評(píng)估和解決方案的最大效用，有時(shí)僅僅在新的孤立安全工具上分層或無(wú)法形成聯(lián)動(dòng)機(jī)制。

最近，在亞信安全與FreeBuf聯(lián)合舉辦的云安全主題線上公益課中，亞信安全的技術(shù)專家以《從勒索、挖礦思考云主機(jī)安全》為主題，通過(guò)實(shí)戰(zhàn)介紹了全面的勒索和挖礦攻擊治理方法，以及云主機(jī)安全防御的整體思路。

抑攻方可易防云主機(jī)安全七式

兵法云：“知己知彼百戰(zhàn)不殆”。在應(yīng)對(duì)勒索軟件攻擊時(shí)，除了采取主動(dòng)和事后防御措施外，了解攻擊者的信息也是不可或缺的。

勒索軟件基于非對(duì)稱加密技術(shù)，通過(guò)一對(duì)密鑰加密和解密文件。為了避免被網(wǎng)絡(luò)安全防護(hù)系統(tǒng)檢測(cè)到，勒索軟件不僅會(huì)偽裝成常見(jiàn)辦公文檔或軟件，還具備摧毀防護(hù)系統(tǒng)的特性。此外，勒索軟件不斷變種，傳統(tǒng)的基于特征碼的防護(hù)方式效果大大降低，不法分子可以通過(guò)魚叉式釣魚郵件、漏洞利用和軟件捆綁安裝等方式廣泛傳播。

與勒索軟件類似，挖礦病毒也在不斷進(jìn)化。許多變種的挖礦木馬已具備團(tuán)伙作案、持久性、隱蔽性、對(duì)抗性和跨平臺(tái)等特點(diǎn)，以各種手段規(guī)避流量監(jiān)測(cè)和主機(jī)安全檢測(cè)。

在充分了解勒索和挖礦攻擊過(guò)程之后，用戶可以通過(guò)事前早發(fā)現(xiàn)、事中防御和事后跟蹤的三個(gè)原則構(gòu)建防護(hù)體系，形成抵御攻擊的七個(gè)步驟。

1. 事前，了解資產(chǎn)風(fēng)險(xiǎn)，縮小可能被攻擊的范圍； 2. 事前，防止或發(fā)現(xiàn)黑客掃描和漏洞掃描行為； 3. 事中，使用虛擬補(bǔ)丁技術(shù)(DPI)防止漏洞攻擊； 4. 事中，處理病毒并攔截與礦池的連接，利用無(wú)代理技術(shù)，減少虛擬化平臺(tái)資源開(kāi)銷，防止掃描風(fēng)暴； 5. 事中和事后，發(fā)現(xiàn)惡意修改并記錄高風(fēng)險(xiǎn)日志； 6. 事后，使用EDR能力對(duì)安全事件進(jìn)行追根溯源。

云主機(jī)安全走向平臺(tái)級(jí)防護(hù)

根據(jù)時(shí)間和空間維度，結(jié)合PPDR模型，構(gòu)建勒索軟件事前防護(hù)、識(shí)別、阻斷以及應(yīng)急響應(yīng)能力。為此，需要整合不同的檢測(cè)工具、工作流程和服務(wù)，形成聯(lián)動(dòng)。同時(shí)，依據(jù)縱深防御模型，在不同位置部署勒索軟件和挖礦病毒的防護(hù)能力，實(shí)現(xiàn)能力的疊加。為了實(shí)現(xiàn)這些目標(biāo)，需要采用平臺(tái)化的解決方案，形成立體化的安全框架。

針對(duì)勒索軟件和挖礦病毒，亞信安全的XDR方案通過(guò)精密編排形成聯(lián)動(dòng)安全解決方案。該方案包括準(zhǔn)備、發(fā)現(xiàn)、分析、遏制、消除、恢復(fù)和優(yōu)化這七個(gè)階段，并針對(duì)高級(jí)威脅制定攻擊標(biāo)準(zhǔn)預(yù)案。利用機(jī)器學(xué)習(xí)和專家團(tuán)隊(duì)的分析結(jié)果，聯(lián)動(dòng)所有終端進(jìn)行協(xié)同處理，從而有效遏制勒索軟件并清除各種挖礦變種。

熱點(diǎn)：挖礦