2017年,勒索病毒扩散事件让大家人心惶惶,对WannaCry勒索病毒、Petya勒索病毒、Locky勒索病毒、BadRabbit勒索病毒的传播记忆犹新,而2018年初,GlobeImposter勒索病毒也没闲着,仅18年1月至今,明御APT攻击(网络战)预警平台就检测到华北区域、华南区域、西南区域、华东地区等地数家用户单位感染勒索病毒,主要涉及医疗、房地产、金融等行业。
2018年1月1日~至今明御APT攻击(网络战)预警平台勒索病毒检测分布
安恒信息安全团队多次发布紧急预警、解决方案和应对措施,为用户挽回了不必要的损失。对于勒索病毒大家已经并不陌生,但对于其传播途径,想必大家没有太多了解。
安恒信息明御APT攻击(网络战)预警平台能够应对“勒索病毒”的哪些传播途径?
水坑攻击
利用目标网站的防护弱点,植入恶意代码,当用户访问目标网站时执行恶意代码,此种传播方式也称为网站挂马,一旦中招,将造成严重损失。
邮件恶意附件
勒索病毒利用用户防范意识薄弱的情况,将恶意程序伪装成看似正常的文件,通过邮件附件方式发送给用户,诱骗用户下载执行。
系统漏洞利用
此种方式的传播通常具有横向扩散的特点,病毒、蠕虫通过利用0DAY、NDAY漏洞感染无防护的站点、主机等。
锁定目标入侵
弱点探测、渗透入侵、获取权限、命令控制、数据盗取的五大攻击阶段都经过精心策划,传统的防护设备对黑客势在必行的攻击有招架之心,无还手之力,必须加强应对APT高级威胁的安全防护手段。
软件下载、文件共享式攻击
勒索病毒以插件等形式被植入软件安装程序里,通过文件共享等形式传播,具有极强的隐蔽性,一旦执行,可能造成严重的数据、财产的损失。
通过移动介质传播
通过U盘、移动硬盘等移动介质携带的感染源不可忽视,对系统间勒索病毒的传播应引起足够重视。
安恒信息明御APT攻击(网络战)预警平台如何检测“勒索病毒”?
协议文件分离检测
结合先进的沙箱检测技术,通过AV检测、静态分析、动态分析等维度对协议文件进行分离,发现文件恶意行为。
漏洞利用行为检测
对0DAY/NDAY漏洞利用行为检测,结合动态沙箱分析技术,发现网站漏洞、文件漏洞、系统漏洞等可能被勒索软件利用以及传播的行为。
DNS异常流量检测
采用DGA域名检测算法,及时发现受控端和远控端之间的异常通讯,精确定位被勒索病毒感染主机。
社工攻击检测
对社工类攻击准确预测,比如通过邮箱域名信誉分析、收件人账号检测发现基于邮件钓鱼的勒索行为攻击;结合文件检测技术对邮件恶意附件隐藏的恶意代码深度分析,及时检出勒索病毒的传播行为。
云端高级威胁分析
通过云端提供的深层次威胁分析服务、安全预警服务和情报共享服务,对勒索病毒行为准确预判,防患未然。