首页 > 传媒 > 关键词  > 正文

4年追踪经验分享,Lockbit勒索家族该怎么防?(附排查加固策略)

2023-11-30 17:04 · 稿源: 站长之家用户

大家好,我是深信服千里目安全技术中心负责病毒分析研究的工程师。

相信各位最近都听说了Lockbit勒索病毒的“大事记”,市面上关于Lockbit事件的分析铺天盖地,全球各大单位、机构、企业安全部门人心惶惶。

我司的业务同事也找到我们问,到底如何为用户的勒索防护体系建设提供有效建议,求支招。

Lockbit勒索病毒第 一次出现在 2019 年 9 月,我们很快就关注到了它。当时因为被它加密后文件的扩展名都是.abcd,所以大家管它叫ABCD勒索软件,谁也没想到,它竟会发展成勒索“大魔王”。

截图来源:Lockbit专门用于存储泄露数据站点。不交赎金的企业,数据会被上传至此,任何人都可以下载。

今天,我就用千里目 4 年来对Lockbit勒索家族的跟踪,跟大家讲清楚这件事。

4 年演变 5 个版本,勒索界的“野心王”

从ABCD勒索软件,到今天再次轰动业界的Lockbit勒索病毒,短短 4 年间,这个勒索病毒家族已经演变了 5 个版本。

演变的技术细节在此就不赘述,而除了快速演变,这个勒索病毒家族背后的组织也可谓是“雄心勃勃”、猖狂至极。

“Making the ransomware great again.”(“让勒索再次闻名于世。”)就是他们喊出的口号。与其他自动化、广撒网的勒索组织不同,Lockbit勒索的攻击人为参与更多,这就意味着,他们的攻击更具备针对性和灵活性,得手的概率更高。

不仅如此,Lockbit倡导“勒索软件即服务(RaaS)”,即他们靠勒索攻击来进行持续盈利。与普通的软件公司无异,从开发到销售再到运营,他们将勒索做成了一条产业链,各个环节均已成熟。在这套RaaS模式中,高额的分成吸引了大量勒索攻击团队,Lockbit的规模也迅速扩大。据悉,目前Lockbit至少有100+附属组织。

英国某公司疑似遭Lockbit攻击。Lockbit还“贴心”地给予延长泄露数据最后期限的方法——每支付一万美元就可以将最后期限延后 24 个小时,可见Lockbit勒索套路之成熟。

Lockbit3. 0 时期,该组织甚至引入了“赏金计划”,即邀请黑客来挖掘它们软件的漏洞,发现不足之处。此举将部分钻研漏洞的黑客也拉拢到一起,可见Lockbit组织庞大的野心。经过“赏金计划”后,该组织勒索攻击的防御之难也可想而知。

攻击套路深,人为参与度高

了解了Lockbit组织的野心,我们再来说说Lockbit的攻击套路。

简而言之,其攻击可以提炼为 4 个阶段,每个阶段都有明确目的。在初始访问阶段和横向移动阶段,弱口令和漏洞是企业单位最容易被利用的弱点,也是Lockbit能够得逞的主要原因。

但Lockbit之所以难防,之所以大型企业单位都会中招,更重要的原因还是在攻击的不同阶段,Lockbit组织都有不同的攻击者参与其中。

除了常规套路之外,他们会不断根据用户设备、内网中的薄弱环节进行突破,变换不同的攻击手法,绕过防御,针对性进行攻击。尽管企业单位的安全意识在逐年提高,但内部脆弱性风险不可能完全消失,一旦碰上人为攻击,可以说是防不胜防。

通过 4 年来的追踪,我们也意识到,除了常规的防护,如防暴力破解、内网渗透,勒索攻击最关键的防御阶段是执行勒索阶段,只要能在勒索病毒进行文件加密的过程中阻断攻击,用户的损失就能够降至最 低。

以 0 损失为目标,国内创新的防御大招

以Lockbit为例,在勒索病毒加密阶段,防御难度较大的点在于识别勒索病毒通过白注入的方式(即把勒索加密模块注入到可信进程中利用该程序执行加密行为)进行攻击,且一旦攻击成功,病毒加密速度之快,让企业即使发现了,也无法第 一时间阻断。

就在今年 5 月份,某生物医药企业遭到了Lockbit团伙的攻击。前期攻击者针对性地根据该企业的弱点,成功突破并控制多台服务器,最终用白注入执行了勒索加密。

所幸的是,在加密动作发生的瞬间,深信服aES就检测到攻击行为并进行了阻断,当时,病毒只加密了十几份文件,且通过aES这部分文件也被快速还原,避免了企业业务中断和数据丢失,极大地挽回了损失。

能够做到秒级发现勒索攻击行为,主要得益于深信服统一端点aES以下三个重点能力:

勒索静态AI检测,准确识别变种

今年,SAVE3. 0 强泛化文件检测引擎再度升级,增强了AI泛化能力,对可疑文件进行多重AI检测,提升对未知威胁的检测能力,可以准确识别Lockbit勒索病毒及其各变体。

通过对抗性AI训练,深信服aES对勒索的报准率已提升到99.47%(数据来源:千里目安全技术中心内部测评)。

勒索AI动态行为检测,防绕过

面对包括Lockbit在内的,善于利用白进程注入进行勒索攻击的病毒家族,深信服在国内率先实现了用「勒索AI动态行为检测引擎」进行检测。

无论是系统的白进程、亦或是系统业务相关的默认可信进程,行为AI引擎都会监测其运行起来后的实际行为,研判是否为可疑的勒索行为。通过采集其一系列可疑操作行为(如修改注册表、执行命令、释放文件、创建进程等),针对不同勒索家族类型的攻击步骤进行关联分析,构建定制化攻击事件链条。

若在端侧匹配到相应攻击模式,则能够实现勒索加密发生前对勒索病毒的阻断。即使是“白进程”,也能依靠AI行为引擎通过行为监测,第 一时间自动阻断勒索加密行为,遏制勒索蔓延。

防勒索动态备份机制,做兜底

aES数据智能备份机制不仅仅拥有全盘备份能力,更是能配合勒索行为AI引擎,按需触发,在最小的系统资源消耗情况下,准确备份勒索检测窗口期被加密的文件。

正因以上这三个能力,我们累计帮助用户真实防住勒索事件破百起,其中勒索行为AI模型成功防护住90%白注入类型勒索案例。在今年赛可达测试中,aES以Windows、Linux双平台勒索病毒检出率100%的斐然战绩*,达到同类型产品的新巅 峰。

*数据来源:赛可达实验室测试报告

虽然勒索攻击是在端上执行,但安全防护是一个体系化的工作,仅仅靠端还无法最 大程度降低风险。从安全 效果出发,我们也梳理了一整套云+网+端的防治勒索方案:

并敢承诺做到:

1、7* 24 小时服务,平均 5 分钟响应(包括节假日、周末)

2、分析研判准确率99%

3、验证后高危可利用漏洞防护率99%

4、所有威胁与事件闭环率100%

5、安全事件损失理赔(20w~600w)

以上均可写入服务级别协议SLA中,国内率先敢承诺效果!

担心中招?按这 4 个排查加固策略来!

Lockbit近期较为猖狂,如果您担心自己也存在中招风险,可按以下 4 个策略进行排查加固。

1、弱口令检查

检查服务器远程桌面及数据库口令强度,避免局域网内多台设备使用相同口令,不直接对公网开放远程桌面或数据库端口,防止被暴力破解,如果业务需要,则尽量设置为强口令。

2、文件检查

检查服务器上磁盘的共享或映射情况,重要文件数据设置合理的访问权限,关闭不必要的文件共享功能或对共享目录做正确的访问控制,并定期对业务数据文件进行异地备份。

3、组件版本检查

使用Citrix NetScaler ADC及NetScaler Gateway组件的用户尽快检查所用组件的版本号,并将其更新到安全版本:

NetScalerADCandNetScalerGateway14.1-8.50andlaterreleases

NetScalerADCandNetScalerGateway13.1-49.15andlaterreleasesof13.1

NetScalerADCandNetScalerGateway13.0-92.19andlaterreleasesof13.0

NetScalerADC13.1-FIPS13.1-37.164andlaterreleasesof13.1-FIPS

NetScalerADC12.1-FIPS12.1-55.300andlaterreleasesof12.1-FIPS

NetScalerADC12.1-NDcPP12.1-55.300andlaterreleasesof12.1-NDcPP

4、高危端口检查

检查高危端口开放的必要性,必须开放的情况下建议配置源IP访问限制或其他有效的控制措施。

如不放心,也可联系我们进行免费的勒索风险排查。为了让国内用户更加安全,近期我们也推出了SaaS-aES免费试用体验,无需本地服务器安装,即可试用具备AI双检测模型的端点能力,也可了解整体云网端防勒索方案。

最后,作为和网络病毒打交道多年的“老技术人”,也想掏心窝子告诉大家,世界上没有绝 对安全的系统,网络安全是一个不断优化的过程,只能够不断趋近于安全,让不法分子的可乘之机尽可能减少减少再减少。

而深信服也会在网络安全的道路上一直与大家相伴,不断沉淀与网络黑恶势力对抗的经验,赋能到产品中,致力于让所有用户的安全能够领先一步,我们不仅是国内率先将AI技术应用在安全能力中的厂商,今年,我们也在业界率先落地了GPT技术在安全产品中的应用,致力于做到让用户的体验领先一步,效果领跑一路!

推广

特别声明:以上内容(如有图片或视频亦包括在内)均为站长传媒平台用户上传并发布,本平台仅提供信息存储服务,对本页面内容所引致的错误、不确或遗漏,概不负任何法律责任,相关信息仅供参考。站长之家将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。任何单位或个人认为本页面内容可能涉嫌侵犯其知识产权或存在不实内容时,可及时向站长之家提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明(点击查看反馈联系地址)。本网站在收到上述法律文件后,将会依法依规核实信息,沟通删除相关内容或断开相关链接。

  • 相关推荐
  • 大家在看
  • ComfyUI-Hallo:一个定制的ComfyUI节点,用于Hallo模型。

    ComfyUI-Hallo是一个为Hallo模型定制的ComfyUI插件,它允许用户在命令行中使用ffmpeg,并从Hugging Face下载模型权重,或者手动下载并放置在指定目录。它为开发者提供了一个易于使用的界面来集成Hallo模型,从而增强了开发效率和用户体验。

  • AI Word Summarizer:AI驱动的文档摘要工具,快速生成文档摘要。

    AI Word Summarizer是一款利用高级人工智能技术快速生成Microsoft Word文档摘要的在线工具。它通过用户友好的在线界面,帮助用户节省时间,提高工作效率。该工具支持将DOCX/DOC格式的文档转换为文本,并在几秒钟内生成摘要。它还提供了与文档对话的功能,允许用户提出问题并获得即时的洞察和澄清。

  • AI Math GPT Solver Powered by GPT-4o:AI驱动的数学问题解决器

    AI Math GPT Solver是一个由GPT-4o提供动力的在线数学问题解决平台,它覆盖了代数、微积分和几何等数学领域,集成了微软数学求解器等领先技术,提供快速、准确的解决方案。该平台通过网页和移动应用程序提供免费、用户友好的服务,允许用户随时随地解决问题。

  • GPT4o.so:革命性AI技术,多模态智能互动

    GPT-4o是OpenAI的最新创新,代表了人工智能技术的前沿。它通过真正的多模态方法扩展了GPT-4的功能,包括文本、视觉和音频。GPT-4o以其快速、成本效益和普遍可访问性,革命性地改变了我们与AI技术的互动。它在文本理解、图像分析和语音识别方面表现出色,提供流畅直观的AI互动,适合从学术研究到特定行业需求的多种应用。

  • 知闻AI:基于AI技术的新闻聚合平台

    知闻AI是一个利用人工智能技术为用户提供高质量新闻内容的新闻聚合平台。它通过分析大量新闻源,筛选出准确、及时的新闻,帮助用户获取有价值的信息。平台特点包括智能评估、多元视角、AI摘要等,以提高用户的阅读效率和信息获取质量。

  • MidJourney Sref Codes Library:探索和标记您喜爱的MidJourney Sref代码。

    MidJourney Sref Codes Library是一个在线资源网站,提供MidJourney平台上的高质量Sref代码集合。这些代码用于生成具有独特和一致风格的图像,为艺术家和创作者提供了实现特定视觉效果的强大工具。

  • Humanize.im:将AI文本转化为自然人类语言。

    Humanize.im是一个先进的AI文本人性化工具,旨在将AI生成的文本转化为更自然、更具吸引力的人类语言。它利用高级算法进行上下文分析和情感分析,确保文本在上下文和情感上适当且一致,同时增强可读性和相关性。该工具支持多语言,具有跨设备功能,并且注重数据安全。Humanize.im通过持续的反馈循环不断改进,以确保生成的文本与人工撰写的文本无异,有效绕过AI检测系统如GPTZero。

  • 免费在线转换文字为语音:将文本转换为逼真语音的在线工具

    该产品是一个先进的在线文字转语音工具,使用人工智能技术将文本转换为自然逼真的语音。它支持多种语言和语音风格,适用于广告、视频旁白、有声书制作等场景,增强了内容的可访问性和吸引力。产品背景信息显示,它为数字营销人员、内容创作者、有声书作者和教育工作者提供了极大的便利。

  • Kling AI:文本到视频的革命性生成模型

    Kling AI是由快手科技开发的文本到视频生成模型,能够根据文本提示生成高度逼真的视频。它具有高效的视频生成能力,长达2分钟的30帧每秒视频,以及3D时空联合注意机制和物理世界模拟等先进技术,使其在AI视频生成领域具有显著的竞争优势。

  • LocalhostAI:与Chrome和Gemini Nano无缝协作的AI助手。

    LocalhostAI是一款旨在提高用户生产力的AI助手应用。它与Chrome浏览器和Gemini Nano设备紧密集成,使用户能够利用先进的AI模型来提升工作效率。该产品的主要优势在于其内置的Chrome AI模型、支持离线使用、注重隐私保护、运行速度快且完全免费。

  • TravelTrail:智能旅行规划助手,轻松管理你的旅程。

    TravelTrail是一款旅行规划应用,通过人工智能技术帮助用户创建和组织旅行计划。它允许用户保存梦想目的地的列表,探索每个城市的详细信息,并根据个人喜好定制旅行体验。应用支持多语言,包括中文、英文等,为用户提供了便捷的旅行规划工具,无需担心语言障碍。

  • i18nlocale:AI驱动的多语言翻译工具,本地化且易于使用。

    Local + Effortless i18n Translation是一个AI驱动的翻译工具,支持200多种语言的本地化翻译,不接触服务器,与JSON格式无缝集成。它提供了一次性购买的可负担价格,并且提供免费试用,以帮助企业轻松实现多语言内容的本地化。

  • AI Content Mate:AI驱动的Figma插件,实现文本的智能替换。

    AI Content Mate是一个Figma插件,它通过AI技术帮助用户在设计中自动选择和替换文本。它能够理解文本的上下文,提供智能且相关的替代选项,同时允许用户添加自定义的注释和指南以确保生成的文本符合特定需求。这个插件提供了免费访问,通过Grok-cloud API密钥,用户可以享受AI驱动的文本转换功能,无需任何成本。

  • ReelGen:AI驱动的内容生成平台,轻松创造高质量播客和博客。

    ReelGen是一个利用先进人工智能技术的内容生成平台,旨在帮助用户轻松创建高质量的播客和博客文章。用户无需具备技术技能,通过ReelGen的用户友好界面,几分钟内即可开始创作。平台提供定制化服务,允许用户根据品牌的声音和风格调整内容,从音频质量到文本转语音的细节,确保内容与用户愿景相匹配。ReelGen专注于内容生产,让用户专注于创作,而将生产过程中的重活交给平台,从而在不牺牲质量的前提下,用更少的时间生产更多的内容。

  • AI Reveals:使用AI技术创造惊人的标志动画。

    AI Reveals是一个利用人工智能技术,帮助用户创建动态标志动画的在线工具。它通过用户上传的透明背景标志图片,自动生成具有吸引力的动画效果,增强品牌形象和市场竞争力。该技术的主要优点包括操作简便、效果多样、实时预览等,适合需要快速制作高质量动画的设计师和企业。

  • ChatGPT Folder Master:组织和保存重要ChatGPT对话的终极工具。

    ChatGPT Folder Master 是一款专为Chrome浏览器设计的插件,旨在帮助用户高效地组织和保存与ChatGPT的对话。它通过文件夹和子文件夹系统,让用户能够轻松地对对话进行分类和存档,确保重要信息不会丢失。产品界面友好,易于导航和使用,同时提供安全的本地存储,确保用户对话的隐私和安全。此外,该插件提供月度和终身订阅计划,满足不同用户的需求。

  • Thousand Brains Project:探索大脑智能的AI项目

    Thousand Brains Project是由Jeff Hawkins和Numenta公司发起,旨在通过理解大脑新皮层的工作原理来开发新型的人工智能系统。该项目基于Thousand Brains Theory of Intelligence,提出了与传统AI系统根本不同的大脑工作原理。项目的目标是构建一种高效且强大的智能系统,能够实现人类所具备的智能能力。Numenta公司开放了其研究资源,包括会议记录、代码开源,并建立了一个围绕其算法的大型社区。该项目得到了盖茨基金会等的资金支持,并鼓励全球研究人员参与或加入这一激动人心的项目。

  • Plansom:AI驱动的项目管理工作助手,提升效率。

    Plansom是一款AI驱动的项目管理应用程序,旨在通过简化复杂任务来实现运营卓越。它利用AI技术帮助用户快速创建详细的商业计划,智能分析并优先排序任务,提供AI辅助以解决复杂任务,并支持团队协作和实时跟踪团队进展。用户可以自定义策略模板,以确保组织内的一致性和效率。

  • Xterminal:更高效的开发工具,SSH/控制台/更多功能集成。

    Xterminal是一款集成了SSH、本地控制台、AI赋能命令提示等功能的高效开发工具,旨在为开发者提供更便捷的开发环境。它支持多种操作系统,包括Windows、macOS和Linux,拥有免安装版本和兼容旧版系统的版本,满足不同用户的需求。

  • NIPRGPT:美国空军推出的AI聊天机器人

    NIPRGPT是美国空军为现代化努力的一部分,由空军首席信息官与空军研究实验室合作,加速提供给守护者、空军人员、文职员工和承包商一个负责任地实验生成性人工智能(Generative AI)的平台,同时确保有适当的安全措施。这个平台允许用户进行类似人类的对话以完成各种任务,是一个在安全计算环境中可以回答问题和协助处理通信、背景文件和代码的CAI工具。

今日大家都在搜的词: