安恒信息APT攻击（网络战）预警平台2018年勒索病毒检测分布

2017年，勒索病毒扩散事件让大家人心惶惶，对WannaCry勒索病毒、Petya勒索病毒、Locky勒索病毒、BadRabbit勒索病毒的传播记忆犹新，而2018年初，GlobeImposter勒索病毒也没闲着，仅18年1月至今，明御APT攻击（网络战）预警平台就检测到华北区域、华南区域、西南区域、华东地区等地数家用户单位感染勒索病毒，主要涉及医疗、房地产、金融等行业。

2018年1月1日~至今明御APT攻击（网络战）预警平台勒索病毒检测分布

安恒信息安全团队多次发布紧急预警、解决方案和应对措施，为用户挽回了不必要的损失。对于勒索病毒大家已经并不陌生，但对于其传播途径，想必大家没有太多了解。

安恒信息明御APT攻击（网络战）预警平台能够应对“勒索病毒”的哪些传播途径？

水坑攻击

利用目标网站的防护弱点，植入恶意代码，当用户访问目标网站时执行恶意代码，此种传播方式也称为网站挂马，一旦中招，将造成严重损失。

邮件恶意附件

勒索病毒利用用户防范意识薄弱的情况，将恶意程序伪装成看似正常的文件，通过邮件附件方式发送给用户，诱骗用户下载执行。

系统漏洞利用

此种方式的传播通常具有横向扩散的特点，病毒、蠕虫通过利用0DAY、NDAY漏洞感染无防护的站点、主机等。

锁定目标入侵

弱点探测、渗透入侵、获取权限、命令控制、数据盗取的五大攻击阶段都经过精心策划，传统的防护设备对黑客势在必行的攻击有招架之心，无还手之力，必须加强应对APT高级威胁的安全防护手段。

软件下载、文件共享式攻击

勒索病毒以插件等形式被植入软件安装程序里，通过文件共享等形式传播，具有极强的隐蔽性，一旦执行，可能造成严重的数据、财产的损失。

通过移动介质传播

通过U盘、移动硬盘等移动介质携带的感染源不可忽视，对系统间勒索病毒的传播应引起足够重视。

安恒信息明御APT攻击（网络战）预警平台如何检测“勒索病毒”？

协议文件分离检测

结合先进的沙箱检测技术，通过AV检测、静态分析、动态分析等维度对协议文件进行分离，发现文件恶意行为。

漏洞利用行为检测

对0DAY/NDAY漏洞利用行为检测，结合动态沙箱分析技术，发现网站漏洞、文件漏洞、系统漏洞等可能被勒索软件利用以及传播的行为。

DNS异常流量检测

采用DGA域名检测算法，及时发现受控端和远控端之间的异常通讯，精确定位被勒索病毒感染主机。

社工攻击检测

对社工类攻击准确预测，比如通过邮箱域名信誉分析、收件人账号检测发现基于邮件钓鱼的勒索行为攻击；结合文件检测技术对邮件恶意附件隐藏的恶意代码深度分析，及时检出勒索病毒的传播行为。

云端高级威胁分析

通过云端提供的深层次威胁分析服务、安全预警服务和情报共享服务，对勒索病毒行为准确预判，防患未然。