• <nav id="5jebs"></nav>
    <button id="5jebs"></button>

      2.  
        2. 
    
           
          
        • 智安全
        • 信服云
        • 信創適配
        • 行業
        • 試用中心
        • 技術與服務
        • 合作伙伴
        • 產業教育
        • 更多
         
         
         
         
         
         
        中文
            
         
         
         
           
              
           
           
           
          搜索
           
          搜索
           
           
           
           
           
           
           
           
           
          中文
                      
           
           
           
           
          技術博客
           
           技術博客??>??我用4年追蹤經驗分享,Lockbit勒索家族該怎么防?(附排查加固策略)
           
          我用4年追蹤經驗分享,Lockbit勒索家族該怎么防?(附排查加固策略)
           
          背景圖 2023-11-29 17:30:00
           
           
           
          

          大家好,我是深信服千里目安全技術中心負責病毒分析研究的工程師。
          

          相信各位最近都聽說了Lockbit勒索病毒的“大事記”,市面上關于Lockbit事件的分析鋪天蓋地,全球各大單位、機構、企業安全部門人心惶惶。
          

          我司的業務同事也找到我們問,到底如何為用戶的勒索防護體系建設提供有效建議,求支招。
          

          Lockbit勒索病毒第一次出現在2019年9月,我們很快就關注到了它。當時因為被它加密后文件的擴展名都是.abcd,所以大家管它叫ABCD勒索軟件,誰也沒想到,它竟會發展成勒索“大魔王”。
          

          截圖來源:Lockbit專門用于存儲泄露數據站點。
          

          

          

          

          

          截圖來源:Lockbit專門用于存儲泄露數據站點。不交贖金的企業,數據會被上傳至此,任何人都可以下載。
          

          

          今天,我就用千里目4年來對Lockbit勒索家族的跟蹤,跟大家講清楚這件事。
          

          

          

          

          

          4年演變5個版本,勒索界的“野心之王”
          

          

          

          從ABCD勒索軟件,到今天再次轟動業界的Lockbit勒索病毒,短短4年間,這個勒索病毒家族已經演變了5個版本。
          

          勒索病毒家族
          

          

          

          

          演變的技術細節在此就不贅述,而除了快速演變,這個勒索病毒家族背后的組織也可謂是“雄心勃勃”、猖狂至極。
          

          “Making the ransomware great again.”(“讓勒索再次聞名于世。”)就是他們喊出的口號。與其他自動化、廣撒網的勒索組織不同,Lockbit勒索的攻擊人為參與更多,這就意味著,他們的攻擊更具備針對性和靈活性,得手的概率更高。
          

          更過分的是,Lockbit倡導“勒索軟件即服務(RaaS)”,即他們靠勒索攻擊來進行持續盈利。與普通的軟件公司無異,從開發到銷售再到運營,他們將勒索做成了一條產業鏈,各個環節均已成熟。在這套RaaS模式中,高額的分成吸引了大量勒索攻擊團隊,Lockbit的規模也迅速擴大。據悉,目前Lockbit至少有100+附屬組織。
          

          目前Lockbit至少有100+附屬組織
          

          

          

          

          英國某公司疑似遭Lockbit攻擊。Lockbit還“貼心”地給予延長泄露數據最后期限的方法——每支付一萬美元就可以將最后期限延后24個小時,可見Lockbit勒索套路之成熟。
          

          Lockbit3.0時期,該組織甚至引入了“賞金計劃”,即邀請黑客來挖掘它們軟件的漏洞,發現不足之處。此舉將部分鉆研漏洞的黑客也拉攏到一起,充分展現了Lockbit組織龐大的野心。經過“賞金計劃”后,該組織勒索攻擊的防御之難也可想而知。
          

          

          

          

          

          

          攻擊套路深,人為參與度高
          

          

          

          了解了Lockbit組織的野心,我們再來說說Lockbit的攻擊套路。
          

          

          簡而言之,其攻擊可以提煉為4個階段,每個階段都有明確目的。在初始訪問階段和橫向移動階段,弱口令和漏洞是企業單位最容易被利用的弱點,也是Lockbit能夠得逞的主要原因。
          

          Lockbit的攻擊套路
          

          但Lockbit之所以難防,之所以大型企業單位都會中招,更重要的原因還是在攻擊的不同階段,Lockbit組織都有不同的攻擊者參與其中。

          

          除了常規套路之外,他們會不斷根據用戶設備、內網中的薄弱環節進行突破,變換不同的攻擊手法,繞過防御,針對性進行攻擊。盡管企業單位的安全意識在逐年提高,但內部脆弱性風險不可能完全消失,一旦碰上人為攻擊,可以說是防不勝防。
          

          通過4年來的追蹤,我們也意識到,除了常規的防護,如防暴力破解、內網滲透,勒索攻擊最關鍵的防御階段是執行勒索階段,只要能在勒索病毒進行文件加密的過程中阻斷攻擊,用戶的損失就能夠降至最低。
          

          

          

          

          

          

          以0損失為目標,國內創新的防御大招
          

          

          

          

          以Lockbit為例,在勒索病毒加密階段,防御難度較大的點在于識別勒索病毒通過白注入的方式(即把勒索加密模塊注入到可信進程中利用該程序執行加密行為)進行攻擊,且一旦攻擊成功,病毒加密速度之快,讓企業即使發現了,也無法第一時間阻斷。
          

          就在今年5月份,某生物醫藥企業遭到了Lockbit團伙的攻擊。前期攻擊者針對性地根據該企業的弱點,成功突破并控制多臺服務器,最終用白注入執行了勒索加密。
          

          

          

          所幸的是,在加密動作發生的瞬間,深信服aES就檢測到攻擊行為并進行了阻斷,當時,病毒只加密了十幾份文件,且通過aES這部分文件也被快速還原,避免了企業業務中斷和數據丟失,極大地挽回了損失。
          

          能夠做到秒級發現勒索攻擊行為,主要得益于深信服統一端點aES以下三個重點能力:
          

          

          

          

          勒索靜態AI檢測,精準識別變種
          

          

          今年,SAVE 3.0強泛化文件檢測引擎再度升級,增強了AI泛化能力,對可疑文件進行多重AI檢測,提升對未知威脅的檢測能力,可以精準識別Lockbit勒索病毒及其各變體。
          

          勒索靜態AI檢測,精準識別變種
          

          

          

          通過對抗性AI訓練,深信服aES對勒索的報準率已提升到99.47%(數據來源:千里目安全技術中心內部測評)。
          

          

          

          

          

          勒索AI動態行為檢測,防繞過
          

          面對包括Lockbit在內的,善于利用白進程注入進行勒索攻擊的病毒家族,深信服在國內率先實現了用「勒索AI動態行為檢測引擎」進行檢測。
          

          

          無論是系統的白進程、亦或是系統業務相關的默認可信進程,行為AI引擎都會監測其運行起來后的實際行為,研判是否為可疑的勒索行為。通過采集其一系列可疑操作行為(如修改注冊表、執行命令、釋放文件、創建進程等),針對不同勒索家族類型的攻擊步驟進行關聯分析,構建定制化攻擊事件鏈條。
          

          若在端側匹配到相應攻擊模式,則能夠實現勒索加密發生前對勒索病毒的阻斷。即使是“白進程”,也能依靠AI行為引擎通過行為監測,第一時間自動阻斷勒索加密行為,遏制勒索蔓延。
          

          勒索AI動態行為檢測,防繞過
          

          

          

          

          防勒索動態備份機制,做兜底
          

          aES數據智能備份機制不僅僅擁有全盤備份能力,更是能配合勒索行為AI引擎,按需觸發,在最小的系統資源消耗情況下,準確備份勒索檢測窗口期被加密的文件。
          

          防勒索動態備份機制,做兜底
          

          

          

          

          

          

          正因以上這三個能力,我們累計幫助用戶真實防住勒索事件破百起,其中勒索行為AI模型成功防護住90%白注入類型勒索案例。在今年賽可達測試中,aES以Windows、Linux 雙平臺勒索病毒檢出率100%的斐然戰績*,達到同類型產品的新巔峰。
          

          *數據來源:賽可達實驗室測試報告
          

          雖然勒索攻擊是在端上執行,但安全防護是一個體系化的工作,僅僅靠端還無法最大程度降低風險。從安全效果出發,我們也梳理了一整套云+網+端的防治勒索方案
          

          云+網+端的防治勒索方案
          

          并敢承諾做到:
          

          

          

          

          

          1. 7*24小時服務,平均5分鐘響應(包括節假日、周末)
          

          

          

          2. 分析研判準確率99%
          

          

          

          

          3. 驗證后高??衫寐┒捶雷o率99%
          

          

          

          

          4. 所有威脅與事件閉環率100%
          

          

          

          

          5. 安全事件損失理賠(20w~600w)
          

          

          以上均可寫入服務級別協議SLA中,國內率先敢承諾效果!
          

          

          

          

          

          擔心中招?按這4個排查加固策略來!
          

          

          

          

          Lockbit近期較為猖狂,如果您擔心自己也存在中招風險,可按以下4個策略進行排查加固。
          

          

          

          

          弱口令檢查
          

          檢查服務器遠程桌面及數據庫口令強度,避免局域網內多臺設備使用相同口令,不直接對公網開放遠程桌面或數據庫端口,防止被暴力破解,如果業務需要,則盡量設置為強口令。
          

          

          

          

          

          文件檢查
          

          

          檢查服務器上磁盤的共享或映射情況,重要文件數據設置合理的訪問權限,關閉不必要的文件共享功能或對共享目錄做正確的訪問控制,并定期對業務數據文件進行異地備份。
          

          

          

          

          組件版本檢查
          

          

          使用Citrix NetScaler ADC及NetScaler Gateway組件的用戶盡快檢查所用組件的版本號,并將其更新到安全版本:
          

          NetScaler ADC and NetScaler Gateway 14.1-8.50  and later releases
          

          NetScaler ADC and NetScaler Gateway  13.1-49.15  and later releases of 13.1
          

          NetScaler ADC and NetScaler Gateway 13.0-92.19 and later releases of 13.0
          

          NetScaler ADC 13.1-FIPS 13.1-37.164 and later releases of 13.1-FIPS
          

          NetScaler ADC 12.1-FIPS 12.1-55.300 and later releases of 12.1-FIPS
          

          NetScaler ADC 12.1-NDcPP 12.1-55.300 and later releases of 12.1-NDcPP
          

          

          

          

          高危端口檢查
          

          

          檢查高危端口開放的必要性,必須開放的情況下建議配置源IP訪問限制或其他有效的控制措施。
          

          

          

          如不放心,也可聯系我們進行免費的勒索風險排查。為了讓國內用戶更加安全,近期我們也推出了SaaS-aES免費試用體驗,無需本地服務器安裝,即可試用具備AI雙檢測模型的端點能力,掃描下方二維碼即可體驗,也可了解整體云網端防勒索方案。
          

          

          

          

          

          

          

          

          最后,作為和網絡病毒打交道多年的“老技術人”,也想掏心窩子告訴大家,世界上沒有絕對安全的系統,網絡安全是一個不斷優化的過程,只能夠不斷趨近于安全,讓不法分子的可乘之機盡可能減少減少再減少。
          

          而深信服也會在網絡安全的道路上一直與大家相伴,不斷沉淀與網絡黑惡勢力對抗的經驗,賦能到產品中,致力于讓所有用戶的安全能夠領先一步,我們不僅是國內率先將AI技術應用在安全能力中的廠商,今年,我們也在業界率先落地了GPT技術在安全產品中的應用,致力于做到讓用戶的體驗領先一步,效果領跑一路!
          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

          

           
           
          
              上一篇:
              
                這套組合,治好了CIO的“精神內耗”
              
           
           
          相關博客
            查看更多博客
          相關資料
            
          相關新聞
            
           
           
           
           
            關于我們
             
          • 掃碼獲取一對一服務
             企業微信二維碼-官網
            •  
          • 關注我們
             
           
          智安全
          信服云
          資源中心
          如何購買
          售后支持
          公司
           
             
           
          熱門解決方案:
           
          DeepSeek承載創新方案
          云網端安全方案
          VMware替代方案
          一體化辦公安全方案
          友情鏈接:
           
          信銳技術
          口袋助理
          托管云官網
           
          ? 2025 深信服科技股份有限公司版權所有 
          粵ICP備08126214號 
          粵公網安備44030502002384號 
          合字B1.B2-20220041 
           
           
           
            
           
           
          
  
久久在精品线影院,久久视频这里只精品亚洲,99欧美精品含羞草,欧洲精品性爽视频