从检测角度思考美燃油管道商遭勒索攻击事件
【摘要】 本文基于立体防御“事前、事中、事后”的思路,从检测角度来剖析如何检测和防范勒索软件的网络攻击,从而最大程度为企业减轻类似网络攻击带来的损失。
2021 年 5 月 7 日,美国最大成品油管道运营商 Colonial Pipeline 遭到 Darkside(黑暗面组织)勒索软件的网络攻击,该起攻击导致美国东部沿海主要城市输送油气的管道系统被迫下线,对经济和民生都产生了巨大的影响后果。这次攻击其实并没有利用到 0DAY 漏洞,甚至也没有利用到任何已知漏洞。如何检测和防范类似的或更加隐蔽的网络安全攻击事件值得我们深思。
根据安天 CERT 对勒索攻击的分类,包含既有传统非定向勒索的大规模传播->加密->收取赎金->解密模式,也有定向攻击->数据窃取->加密->收取赎金解密->不交赎金->曝光数据模式的新型作业链条两种。相对来说非定向勒索更多的是通过广撒网的方式来碰运气,这种方式的攻击力相对弱一些,主要攻击安全基线做的不够好而导致系统存在明显的薄弱环节,而定向勒索的攻击力就强很多,可以和 APT 攻击相提并论,同时也针对一些高价值的目标系统。
基于立体防御“事前、事中、事后”的思路,下面分别从这 3 个层次分别来讲述安全检测能做哪些事情来防范;
从检测角度来看,“事前”如何尽可能的提前感知到系统的薄弱位置进行加固,防范于未然是最好的;另外加强人的安全防范意识也是非常重要的,这次能攻击成功的一个前置条件就是需要有 admin 权限的人来运行该勒索软件,因此不要运行来路不明的应用是大家平时工作中特别需要强调和注意,针对利用漏洞的攻击行为,系统安全就更为关键和重要了。
对非定向勒索攻击,更多的是做好系统安全基线的评估,其中关键点是补丁和系统安全加固的检测和风险评估。能实现这两种检测的黑盒工具:
动态检测商用工具有 Nessus、Nexpose、RSAS、GSM、openVAS 等
静态已知漏洞检测商用工具有 appcheck、cybellum 等。
另外针对漏洞等级和漏洞修复优先顺序的评估和关键资产的补丁修复跟踪系统这块也是需要加强和重视。
对定向勒索攻击,同 APT 检测一样,需要更多的威胁情报和入侵检测和纵深防御与检测能力,而不仅仅只依赖单一的动静态检测工具就能做到的。
既然无法完全防御住“事前”,那么针对“事中”的监控和“事后”的确认,从检测角度看也是很有必要的。基于 Darkside 勒索软件样本的分析结果,针对勒索软件的特有行为特征,可以开发一些针对性的方法和检测工具,实现该勒索软件行为的实时监测,从而能实现及时的触发报警系统,减轻或避免勒索软件的横向渗透导致感染面积的扩散。
下面就这个勒索软件的表现出来的异常行为特征我想到的一些检测方法,给大家起到一个抛砖引玉作用。
软件行为 1:Darkside 勒索软件会有系统语言判定行为。检测方法 1:监测软件获取系统语言的 API,从而发现那些调用该 API 获取系统语言的软件并触发报警,再由人工来判断是否遭受到 Darkside 勒索软件的攻击。
软件行为 2:为了避免影响勒索软件的运行,会结束下列服务 backup、sql、sophos、svc$、vss、memtas、mepocs、veeam、GxBlr、GxCVD、GxClMgr、GxFWD、GxVss。的行为。检测方法 2:可以在一些机器上部署这些假冒的服务,并时刻监视这些服务是否在运行状态中,如果这些服务运行状态异常,那么就可以触发报警系统,再由人工来确认是否遭受到 Darkside 勒索软件的攻击。这种方法类似常见的蜜罐检测方法。
软件行为 3:Darkside 勒索软件会有获取用户名、计算机名、机器首选语言、Netbios 名等信息的行为。检测方法 3:可以参考软件行为 1 的类似检测方法。
软件行为 4:打开 Firefox/80.0 应用程序句柄,通过 443 端口连接到 C2 服务器的行为。检测方法 4: 检测异常的网络连接端口和网络连接行为。
软件行为 5:递归函数查找全盘特定文件和文件夹,并将其删除的行为。检测方法 5:可以参考软件行为 1 的类似检测方法。
总结:针对勒索软件的恶意攻击,“事前”的有效防护是重中之重,而检测能力则是“事前”有效防护的试金石,检测工具“矛”的能力越强,越能检测出“事前”有效防护这个“盾”的坚固程度。另外网络防护一定是立体防护,寄希望一道篱笆就挡住所有攻击行为是不现实的,也是不明智的。
评论