?本期講解嘉賓

01

勒索軟件攻擊，一種經(jīng)久不衰的威脅，依然讓全球企業(yè)倍感恐慌

萬物相生相成，數(shù)字化轉(zhuǎn)型提高了生產(chǎn)效率，但也給攻擊者提供了更多的機會和手段，增加了網(wǎng)絡安全風險。在勒索軟件即服務（RaaS）、匿名化加密貨幣支付、大模型加持下的高級勒索樣本生成和敲詐勒索帶來的暴利的助力下，勒索軟件攻擊已經(jīng)成為最成功的網(wǎng)絡犯罪商業(yè)模式之一。

2022年至今，根據(jù)華為安全智能中心監(jiān)測，全網(wǎng)每周收集捕獲的勒索軟件攻擊樣本可達百萬量級，勒索軟件網(wǎng)絡傳播次數(shù)可達上千次，且有持續(xù)穩(wěn)定增加趨勢，影響面從企業(yè)到關(guān)鍵基礎設施，從業(yè)務數(shù)據(jù)安全到國家安全與社會穩(wěn)定。

從華為乾坤安全服務現(xiàn)網(wǎng)運營和安全報告公開披露的數(shù)據(jù)看，相比較于2022年以前的勒索軟件攻擊，勒索軟件攻擊技術(shù)呈現(xiàn)出新趨勢：

• 為有效規(guī)避勒索軟件檢測機制，更快地加密文件，越來越多的勒索軟件家族采用“間歇性加密”技術(shù)，如BlackCat、Agenda、BabLock、Qyick等家族。

• 編程語言開始轉(zhuǎn)向更安全、高效的Rust、Go、.Net，且跨平臺勒索成為一個主流趨勢，據(jù)華為乾坤安全服務團隊統(tǒng)計，有20+流行的勒索軟件家族支持跨平臺勒索。

• 高級勒索軟件攻擊越來越傾向于結(jié)合高危應用程序漏洞攻擊，并使用無文件攻擊技術(shù)，例如近期頻發(fā)的Tellyouthepass、ESXiArg和Magniber家族等。

很多企業(yè)總是抱著僥幸的心態(tài)，覺得勒索防御與我無關(guān)。華為勒索攻擊態(tài)勢分析報告表明，勒索病毒就像潛伏在我們身邊的病毒一樣，隨時可能襲擊企業(yè)的關(guān)鍵資產(chǎn)和核心數(shù)據(jù)。很多企業(yè)都曾經(jīng)遭受過這種攻擊，但不是所有的案例都被曝光出來，對于沒有中招的企業(yè)，往往會忽視警示。所以針對勒索防御，無論甲方還是乙方都應該修正一條經(jīng)驗法則：不再只考慮勒索軟件攻擊是否發(fā)生，而是要考慮它何時會發(fā)生以及發(fā)生多少次，才能以正確的姿態(tài)在這場攻防無限游戲中與勒索軟件攻擊長期共舞。

02勒索軟件攻擊防御為何困難重重

勒索軟件的本質(zhì)是破壞數(shù)據(jù)完整性，它可以獲取文件或系統(tǒng)的控制權(quán)限，并阻止用戶控制這些文件或系統(tǒng)，導致企業(yè)核心業(yè)務停擺，直到受害者支付贖金以換取解密密鑰，該密鑰允許用戶恢復被程序加密的文件或系統(tǒng)。

一般來說，勒索軟件攻擊鏈條分成如圖1-1所示的四個關(guān)鍵步驟：攻擊入侵、病毒投放&執(zhí)行、加密勒索、橫向移動影響更多更重要的主機。將整個攻擊鏈條映射到Mitre ATT&CK框架中發(fā)現(xiàn)，70%以上的攻擊行為點發(fā)生在終端側(cè)，故終端是勒索防御的主戰(zhàn)場。

圖1-1勒索軟件攻擊鏈條

傳統(tǒng)的防御手段面對如此復雜的勒索攻擊鏈條往往束手無策，原因在于企業(yè)單位和攻擊者之間的攻防對抗是不對等的，對攻擊方來說1%的攻擊成功等于攻擊100%成功，對防守方來說即使做到了 99% 的防守成功，有 1% 被突破也等于防守 100% 失敗，因此防御難度遠遠大于攻擊，針對高級勒索軟件攻擊有如下挑戰(zhàn)：

• 在攻擊入侵階段，伴隨著數(shù)字化和信息化的繁榮，黑客可利用的漏洞量也呈現(xiàn)正相關(guān)趨勢，不同于傳統(tǒng)的已知漏洞防御手段，日益增加的0-Day漏洞、定向釣魚攻擊應該如何有效應對？

• 絕大多數(shù)終端安全防護方案主要針對投放階段的文件建立有效防御，對于一些漏洞攻擊、進程注入、腳本執(zhí)行等無文件攻擊手段該如何有效處理？攻擊者為了控制目標系統(tǒng)往往采用更加隱蔽的加密通信技術(shù)，檢測難度指數(shù)級上升，如何有效應對？

• 勒索病毒問世34年，很多終端安全防護方案基本可以做到已知勒索病毒的防護，真正的難點是如何防御勒索變種和未知勒索軟件。TOP100流行勒索軟件家族沙盒運行發(fā)現(xiàn)80%的樣本從開始運行到開始加密的時間窗在5分鐘內(nèi)，且平均加密速度在30MB/秒以上，面對如此閃電速度的勒索軟件攻擊，防御方案如何做到數(shù)據(jù)完整性保護？

• 勒索軟件攻擊鏈條如此復雜，如何全面還原勒索攻擊入侵鏈路，證明已經(jīng)控制、根除、恢復勒索攻擊帶來的影響，并有效加固避免再次遭受勒索軟件攻擊呢？

03華為端邊云協(xié)同多層次高級勒索防御方案

針對高級勒索軟件攻擊的上述挑戰(zhàn)，華為勒索防御團隊認為需要站在攻擊者的角度分析戰(zhàn)術(shù)、拆解攻擊招式，首先我們來看攻擊者的兩個主要特點：

01

攻擊者也會考慮投入產(chǎn)出比，為了快速拿到贖金或形成威懾，攻擊和加密速度極快。

02

攻擊者通過恢復用戶核心業(yè)務數(shù)據(jù)來獲取贖金，攻擊者一定會加密用戶業(yè)務數(shù)據(jù)。

針對第一個特點，我們主要的應對理念是防御前移，建立分層防御網(wǎng)且實時防御，盡早斷開攻擊者的入侵鏈路，降低攻擊者ROI（Return-on-investment，投資凈利率），不斷增加攻擊者的成本和難度。從基于NDR（Network Detection and Response，網(wǎng)絡威脅檢測與響應）的高級入侵線索發(fā)現(xiàn)（如0-Day漏洞利用），到XDR（Extended Detection and Response，可擴展威脅檢測與響應） IOA（Indicator of Attack，攻擊指標）高級威脅檢測引擎實現(xiàn)勒索加密前阻斷，再到文件加密攻擊攔截，每一環(huán)節(jié)的防御機制均為上一環(huán)節(jié)防御機制的防御兜底，緩解勒索軟件攻擊帶來的影響。

針對第二個特點，我們需要抓住勒索軟件攻擊的不變量“文件加密攻擊”，通過主動誘捕技術(shù)加快攻擊意圖顯現(xiàn)并在加密用戶核心數(shù)據(jù)前處置威脅實體，在“用戶數(shù)據(jù)早晚會被加密”的假設下為用戶提供加密文件恢復兜底方案，穩(wěn)定恢復到加密前的狀態(tài)，確保用戶數(shù)據(jù)零損失。

為了徹底控制、根除、恢復勒索軟件攻擊帶來的影響，我們需要通過攻擊可視化技術(shù)和深度溯源技術(shù)直接還原攻擊入口，助力定位根因，構(gòu)建完整攻擊故事線，發(fā)現(xiàn)真實攻擊意圖，復盤企業(yè)信息系統(tǒng)弱點，多層次修復攻擊面，構(gòu)建更完善的勒索防御體系。圖1-2為華為高級勒索防御方案的核心技術(shù)。

圖1-2高級勒索防御方案核心技術(shù)

以下對勒索防御方案的核心技術(shù)展開闡述：

NDR高級入侵線索發(fā)現(xiàn)：察微以知著，尋蹤于“無形”

邊界突破是未知勒索軟件進入目標系統(tǒng)的關(guān)鍵環(huán)節(jié)，外聯(lián)C&C通信是控制目標系統(tǒng)的重要手段，傳統(tǒng)的IPS/IDS僅能解決已知攻擊檢測，例如：N-day漏洞、常規(guī)暴力破解、已知家族C&C信息等，面對0-Day漏洞和占比日益增加的加密流量攻擊卻束手無策，華為NDR團隊創(chuàng)新采用三層防御方案有效應對：

• 無監(jiān)督學習+細粒度動態(tài)特征基線+統(tǒng)計分析發(fā)現(xiàn)0-Day漏洞線索、未知加密流量攻擊線索，不依賴任何標簽，由安全資深專家和數(shù)學家、AI科學家領(lǐng)域知識深度融合，基于場景化建模的思路，利用30+統(tǒng)計工具、孤立森林、極值理論等方法，將已知攻擊場景（20+）的數(shù)據(jù)泛化到未知行為發(fā)現(xiàn)，從而全面發(fā)現(xiàn)攻擊線索。目前，已經(jīng)累計開發(fā)了50+異常檢測模型。

• 因果關(guān)聯(lián)分析 + 監(jiān)督樹算法 + 統(tǒng)計分析進行事件建模，從海量的告警中識別隱蔽攻擊，例如：代碼執(zhí)行漏洞、慢速暴破等，精度可達99.9%。

• 風險傳播算法 +行為相似度模型進行關(guān)系建模，持續(xù)發(fā)現(xiàn)類似的攻擊模式和受害基礎設施。

IOA高級威脅檢測引擎：料敵于機先，覓敵于“無痕”

對于繞過邊界防御的勒索軟件攻擊，華為XDR IOA行為檢測引擎毫秒級實時檢測終端上的異常行為模式，通過華為獨創(chuàng)的內(nèi)存威脅溯源圖與網(wǎng)絡側(cè)的攻擊線索實時深度聯(lián)動，通過泛化能力極強的圖因果關(guān)聯(lián)模型、時序關(guān)聯(lián)模型、時間關(guān)聯(lián)模型、統(tǒng)計關(guān)聯(lián)模型等精準研判0-Day漏洞利用成功、powershell攻擊投遞、釣魚入侵成功等高級無文件攻擊場景，并精準識別威脅子圖、威脅實體，通過XDR與網(wǎng)關(guān)、終端聯(lián)動毫秒級切斷攻擊執(zhí)行鏈路，當前已累計模型15+，精度95%+。

對于已經(jīng)執(zhí)行起來的勒索軟件載體，同樣通過獨創(chuàng)的內(nèi)存溯源圖，通過啟發(fā)式的方式鎖定威脅根節(jié)點，組合400+流行勒索軟件家族專家深度分析，高維度泛化抽象+大數(shù)據(jù)挖掘的關(guān)鍵因果鏈條，疊加信任傳播算法和華為第三代靜態(tài)文件檢測引擎，可有效實現(xiàn)對勒索軟件變種和未知勒索軟件加密前的實時精準研判，并基于威脅根節(jié)點毫秒級自動處置攻擊鏈條，緩解勒索軟件攻擊帶來的影響。

在華為乾坤未知勒索軟件攻擊測評中，近百萬勒索軟件樣本，在400+主流的勒索軟件家族上通過勒索軟件加密前的行為特征可有效支撐近90%的勒索軟件攻擊研判，現(xiàn)網(wǎng)運行半年無誤報，半年后采用1000個流行勒索軟件樣本評測，檢出率下降不到5%。

內(nèi)核主動誘捕技術(shù)：虛實逆攻守，引劍斬邪魔

正如前文所述，文件攻擊（加密、破壞等）是勒索攻擊的不變量，也是整個勒索攻擊檢測鏈條上的兜底環(huán)節(jié)，是在勒索動態(tài)攻防對抗上保持優(yōu)勢的關(guān)鍵“一招”。

為了從戰(zhàn)術(shù)上扭轉(zhuǎn)攻防對抗的不對等性，變被動為主動，華為終端檢測與響應EDR產(chǎn)品基于內(nèi)核級主動誘捕技術(shù)，在用戶正常辦公和業(yè)務無感知狀態(tài)下全天候自動守護，保護客戶關(guān)鍵數(shù)據(jù)資產(chǎn)免受損失。那么，華為終端檢測與響應EDR產(chǎn)品如何做到這一點呢？

• 誘捕部署攔截攻擊必經(jīng)之路，捕獲勒索加密第一跳：基于400+流行勒索軟件家族攻擊模式深度研究和用戶辦公行為模式學習，勒索專用靜態(tài)+基線動態(tài)誘餌，勒索軟件文件攻擊發(fā)動即感知。

• 誘捕全面數(shù)據(jù)采集，打破攻擊透視能力天花板：感知誘餌多維度細微變化，勒索攻擊透視無死角。

• 內(nèi)核級快速精準研判，鎖定威脅實體：基于AI的海量勒索文件攻擊模式挖掘算法，實時精準研判，有效區(qū)分勒索攻擊和用戶正常操作。

• 內(nèi)核級毫秒級處置，用戶數(shù)據(jù)接近零損失：基于終端內(nèi)存圖鎖定惡意進程鏈，第一時間發(fā)起勒索攻擊阻斷動作，將用戶數(shù)據(jù)風險降至最低。

在華為乾坤未知勒索攻擊測評中，基于主動誘捕技術(shù)，華為終端檢測與響應EDR產(chǎn)品對未知勒索文件攻擊覆蓋率可達99.99%，毫秒級處置響應，現(xiàn)場平均被加密文件數(shù)3.07，結(jié)合輕量級備份恢復機制，保障用戶關(guān)鍵數(shù)據(jù)資產(chǎn)零損失。

跨域攻擊鏈還原：問君來時路，一鍵寰宇清

前面所述主要目標是如何及時切斷整個勒索軟件攻擊的入侵鏈路，緩解勒索軟件攻擊帶來的影響，為了全面控制、根除、恢復攻擊帶來的負面影響，還需要還原整個攻擊鏈路，這是防御閉環(huán)的最后一步。當前隨著操作系統(tǒng)組件日趨復雜，攻擊者的對抗和逃逸手段也日趨多樣化、隱秘化，攻擊鏈路的關(guān)鍵要素往往散落在多個數(shù)據(jù)域（進程、文件、系統(tǒng)服務、計劃任務、網(wǎng)絡連接、數(shù)據(jù)包等），呈現(xiàn)出碎片化的分布，給完整攻擊鏈路還原帶來巨大挑戰(zhàn)。

為應對上述挑戰(zhàn)，自動揭示完整攻擊鏈路，幫助客戶一鍵完成深度清理并看清攻擊入口，降低安全運營繁重的人力投入，華為XDR做出如下創(chuàng)新：

• 跨終端、異構(gòu)數(shù)據(jù)時空關(guān)聯(lián)還原事件全貌：勒索軟件攻擊不是一次性完成的，它們會在各個路徑上都留下痕跡，通常以網(wǎng)絡、終端為主，要全面遙測這些數(shù)據(jù)并在一個工作界面進行攻擊故事線關(guān)聯(lián)，構(gòu)建完整可視化進程鏈。

• 構(gòu)建攻擊逃逸知識庫以有效應對攻擊路徑碎片化：覆蓋計劃任務濫用、系統(tǒng)服務濫用、惡意代碼注入、漏洞利用等多種復雜攻擊場景，并通過攻擊語義關(guān)聯(lián)技術(shù)進行攻擊溯源增強，提供完整的可視化進程鏈。

• 從終端失陷溯源可視化、攻擊影響面可視化、完整攻擊故事可視化等多視角提供每個威脅攻擊過程的高度可視化，成為安全運營效率提升的利器。

• 結(jié)合威脅信息、漏洞信息、沙箱等，組合IOA+IOC（Indicator of Compromise，失陷指標）+AI+UEBA（User and Entity Behavior Analytics，用戶和實體行為分析）等全面精準研判攻擊，實現(xiàn)70%以上的威脅一鍵自動處置，并以可視化的方式定位根因，包括：攻擊者從哪里來？攻擊者整個入侵鏈路地圖是什么？攻擊者都干了哪些壞事？攻擊者是否還有潛伏？攻擊者是否取得更多權(quán)限？我們還需做什么才能徹底根除、修復勒索軟件攻擊帶來的影響？

加密文件恢復：運行輕如燕，守護穩(wěn)如山

正如2014年上映的德國驚悚電影《我是誰：沒有絕對安全的系統(tǒng)》中的名言“沒有絕對安全的系統(tǒng)”所表達的含義一樣，我們應當假設企業(yè)遲早會遭遇勒索軟件攻擊，更何況勒索軟件加密速度如此之快（LockBit家族可在4分鐘加密10萬個文件）。為了確保數(shù)據(jù)零損失，華為終端檢測與響應EDR產(chǎn)品內(nèi)置終端輕量級備份恢復機制作為兜底方案，可在檢測到勒索攻擊后，將被加密文件恰好恢復至加密前的狀態(tài)并清理勒索信等垃圾文件，實現(xiàn)無損回滾，核心技術(shù)如下：

• 文件破壞全場景覆蓋：克服高難度的內(nèi)核態(tài)開發(fā)挑戰(zhàn)，在內(nèi)核層監(jiān)控勒索病毒對文件的所有細粒度動作，并抽象到備份邏輯，融入驅(qū)動程序。

• 勒索病毒全進程鏈回滾：全面覆蓋勒索病毒的多進程加密行為，支持全進程鏈回滾，內(nèi)置復雜的精細化文件回滾順序機制，支持勒索病毒全進程鏈自動化逆修改。

• 輕量靈活：備份單文件時長<10ms，單終端內(nèi)存<5M，CPU無感知。此外，不僅內(nèi)置對100多種重要文件的保護，用戶還可以自行添加需要備份的文件類型，設定備份區(qū)位置，備份區(qū)占用比等，易用性優(yōu)秀。

相比業(yè)界其他勒索備份方案，華為終端檢測與響應EDR產(chǎn)品將檢測和備份解耦，克服了漏檢/誤寫、斷電場景下內(nèi)容丟失問題，且具備如下優(yōu)勢：

• 事件驅(qū)動機制，存儲資源占用少。

• 實時備份，無文件版本差異。

• 聯(lián)動檢測，自動恢復，無需用戶手工操作。

04結(jié)束語：全面賦能，共促創(chuàng)新

未來的勒索軟件攻擊還將持續(xù)演進，并且增長速度也會更快，攻擊的目標和形勢不斷變化，防御對抗將是長期性的。針對高級勒索軟件攻擊防御，仍需借助端邊云協(xié)同，分層構(gòu)建防御網(wǎng)，將核心的防御邏輯、攻防知識、能力，流程化、智能化、自動化，同時動態(tài)更新特征和算法保持威脅主動感知的靈敏度。

同時為了共同抵抗這項威脅，還需要全行業(yè)攜手合作，共同推動創(chuàng)新，賦能企業(yè)安全防御能力。我們需要加強對勒索攻擊的認知和理解，不斷提升安全意識和技能，采用最先進的安全技術(shù)和工具，建立完善的安全體系。同時，我們也需要加強信息共享和合作，共同應對勒索攻擊的挑戰(zhàn)。只有通過全行業(yè)的共同努力，才能夠有效地抵御勒索攻擊，保障企業(yè)的安全和穩(wěn)定發(fā)展，打贏這場持久戰(zhàn)。