近期,为加强勒索病毒攻击防范应对,在工业和信息化部网络安全管理局指导下,中国信通院联合安天等单位编制发布《勒索病毒安全防护手册》。自2021年11月1日起,安天网络安全垂直响应服务平台运营组将以防御赋能和威胁分析视角,通过一天一篇的科普专题连载,分享勒索攻击的攻击技术、行为特点、演进趋势等8组关键信息,介绍安天产品如何构建防御勒索攻击的防线。
近期,为加强勒索病毒攻击防范应对,在工业和信息化部网络安全管理局指导下,中国信息通信研究院联合中国电信集团有限公司、中国移动通信集团有限公司、中国联合网络通信集团有限公司、安天科技集团股份有限公司、杭州安恒信息技术股份有限公司、奇安信科技集团股份有限公司、绿盟科技集团股份有限公司七家单位编制《勒索病毒安全防护手册》[1],并由中国信通院官方正式发布。安天为这份手册的形成输送了大量的分析报告、处置案例和防护建议等原始素材[2]。
作为二十年来持续与网络威胁实战对抗的“网络安全国家队”,安天对勒索攻击进行着持续跟踪与分析,2006年捕获了国内最早出现的Redplus敲诈者木马。2015年8月,安天发布了长篇报告《揭开勒索软件的真面目》[3]。2017年5月,在“魔窟”(WannaCry)重大勒索响应过程中,安天率先发布全网首篇长篇分析报告[4],快速提供了专杀免疫工具,提供了周一开机指南,向政企机构分发了数千张应急响应处置光盘,后又研发了基于内存密钥获取的解密工具等,获得多个主管部门好评。安天针对GANDCRAB、GlobeImposter、Sodinokibi、Phobos、WannaRen等重大流行勒索软件,也同样进行了应急响应与详细分析研判,累计发布勒索攻击相关分析、预警、处置建议等报告四十余篇[4]。
安天持续的威胁分析研判工作也让安天全线产品在对抗勒索威胁中获得了主动。
绝大多数勒索攻击都是以主机系统为攻击点,以主机上的数据为侵害对象。与此同时,随着加密协议正在全面削弱防火墙等安全边界,网络安全支点正在回归主机系统安全侧。面向政企侧端点场景,安天打造了智甲终端防御产品家族。智甲基于UES(统一端点安全)理念研发,将病毒查杀、配置加固、可信环境验证、主动防御、分布式防火墙、介质管控、WEB SERVER防护等模块积木化组合,可以有效覆盖包括传统桌面、工作站、服务器、虚拟化、容器等场景的安全需求,对包括Windows、Linux、Android以及欧拉、麒麟、统信等国产操作系统都能有效建构系统内核层防御。
智甲针对勒索攻击构建了“五层防御,两重闭环”的防护解决方案。五层防御即系统加固、(主机)边界防御、扫描过滤、主动防御、文档安全五个防御层次,两重闭环是EPP(端点防护)实时防御闭环,和EDR(端点检测和响应)准实时/异步防御闭环。
表1 安天智甲终端防御系统防护勒索病毒的机理
凭借这样的机理设计,辅以每日10次病毒库本地升级,云端库实时升级,威胁情报定时推送,安天智甲可以有效阻止病毒落地、阻断恶意行为、保护重要文档,全面有效的保障用户免受勒索攻击威胁。
图1 智甲终端防护系统防护勒索病毒原理示意图
图2 智甲(桌面版)拦截勒索攻击与文档保护界面示例
图3 智甲管理中心威胁告警与处置界面
当前,一些网络犯罪组织所发动的定向勒索攻击,具有APT(高级可持续威胁攻击)定向攻击水准,用户需要更为动态的综合勒索攻击安全防护体系,安天全线产品可以有效支撑构筑用户防御阵地。
表2 安天全线产品应对勒索攻击安全防护价值简介
安天垂直响应服务平台中开通了面向Windows主机的轻量级勒索风险评估,并提供专用响应工具,帮助客户快速排查流程风险。
详情地址:https://vs.antiy.cn/endpoint/rdt
同时,个人和家庭用户,推荐安装使用安天杀毒软件(Windows版),获得有效安全防护。
详情地址:https://vs.antiy.cn/endpoint/anti-virus
安天持续赋能用户构筑有效勒索攻击安全防护体系,达成有效安全价值。
[1] 中国信通院发布《勒索病毒安全防护手册》.2021/09:
http://www.caict.ac.cn/kxyj/qwfb/ztbg/202109/t20210908_389515.htm
[2] 安天勒索攻击系列专题报告:
https://www.antiy.cn/research/notice&report/research_report/index.html
[3] 安天CERT《揭开勒索软件的真面目》.2015/08/05
[4] 《对“魔窟”(WannaCry)勒索蠕虫变种情况的分析》.2017/05/16
