0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

揭秘勒索第7期丨Threat Intelligence对抗勒索攻击的能力大盘点

华为数据通信 来源:未知 2022-12-09 00:10 次阅读

b9507cec-7712-11ed-8abf-dac502259ad0.png

b96c2654-7712-11ed-8abf-dac502259ad0.png

专家个人简介

b97a5d5a-7712-11ed-8abf-dac502259ad0.png

b9880e50-7712-11ed-8abf-dac502259ad0.png

b9aad386-7712-11ed-8abf-dac502259ad0.png      在前两期文章“华为勒索攻击防御的四层防护网之边界入侵防线”、“华为3大利器助你防护勒索病毒文件”中,我们分别从网络边界及勒索病毒文件检测的角度,对勒索攻击各个攻击阶段使用的各种攻击技术的纵深检测方案进行了介绍。可以看到,勒索攻击从初始入侵到加密勒索整个过程中,从网络和主机中可以观测到诸如攻击IP、恶意攻击负载、命令控制服务器C&C地址、恶意样本、异常主机行为等可观测数据,这构成威胁检测的基础。本期重点从威胁信息(Threat Intelligence)在华为勒索攻击纵深防御全流程使能的角度,介绍威胁信息如何增强勒索软件的防御。 以一个中小型企业场景为例,如下图所示,威胁信息技术对华为勒索软件检测使能重点体现在几个方面:1事前预警在资产评估服务中,基于漏扫及威胁信息中的漏洞现网实际利用情况对资产风险进行排序,使企业将漏洞防护工作聚焦于已经产生或者实际可产生重大危害的漏洞上。2事中防御针对勒索软件传播的关键阶段,提供多重的情报使能。其中入侵阶段,在边界防护和响应服务中,基于威胁信息中的IP类威胁信息使能自动化响应,直接将勒索攻击阻断在入侵尝试阶段。在恶意软件或勒索软件传播阶段,在下一代防火墙/天关、以及EDR的文件检测模块中,基于威胁信息中的文件信誉对已知的勒索软件快速检测。恶意软件及勒索软件植入运行后,如果存在C&C外联,则基于DNS过滤、本地恶意域名库等情报能力进行C&C检测,防止僵尸网络等恶意软件部署勒索软件,或阻断勒索软件的外联请求。3事后响应针对勒索攻击事件中涉及的攻击IP、域名、恶意文件等,可以通过威胁信息进一步调查,获得更丰富的上下文信息。b9c13d42-7712-11ed-8abf-dac502259ad0.png  下面重点就勒索攻击事前和事中华为威胁信息提供的能力(即图中的①②③④)进行重点说明。

一、 漏洞可利用信息

基于华为卓越的入侵防御能力、设备遥测能力及防火墙市场占有率,可以持续地感知到现网真实被用于入侵攻击的漏洞、攻击的时间、攻击的次数等信息。根据该信息,企业可以根据其资产暴露位置、漏洞状态、漏洞实际被利用情况,优先处理处于互联网边界、且已经被攻击者利用的漏洞。 漏洞可利用信息的生产原理如下图所示。 b9eb9560-7712-11ed-8abf-dac502259ad0.png  核心的能力包括: 1.日均亿级的入侵攻击感知,覆盖云、边流量,快速感知漏洞攻击情况。 2.安全智能中心全自动化威胁信息生产,准实时生产漏洞利用信息。

二、威胁IP信息

互联网上充斥着各类攻击,据统计39%的流量来自于恶意攻击者。相应的,在安全设备上每天可以检测到数以万计、百万计,甚至亿级的攻击日志,很容易造成安全人员的告警疲劳。另一方面,网络入侵距离勒索或许仅仅一步之遥,其区别仅仅是漏洞利用后投递的载荷链接是否为勒索软件。因此,谨慎地对待每一次攻击十分有必要。如果可以阻断任何一次攻击尝试,那么就可以大幅度地提升攻击的成本,降低勒索软件的攻击概率。 在华为乾坤边界防护与响应服务中,基于规则、智能算法和威胁IP信息,华为实现了99%的告警自动化,对每一个确定为恶意的IP进行封堵,极大地提升攻击成本。 威胁IP信息生产的核心原理如下图所示。 ba63e1aa-7712-11ed-8abf-dac502259ad0.png  核心的能力包括: 1.日均十亿级的攻击事件感知,覆盖蜜罐攻击、入侵攻击、僵木蠕攻击、DDoS攻击、WEB攻击等各类事件。 2.安全智能中心全自动化威胁信息生产,累计千万级威胁IP信息,42亿IP基础信息。 3.威胁事件中攻击IP覆盖90%以上,暴力破解覆盖95%以上,可有效辅助拦截基于RDP爆破的勒索攻击。 4.支持威胁分级、详细的标签分类,支持攻击IP历史行为分析。

三、 文件信誉

一旦入侵成功执行,恶意软件通过网络传输到目标设备,在流量或者主机这两个检测点均可以利用威胁信息的已知检测能力,快速地基于文件HASH进行勒索软件的检测。 华为文件信誉的关键能力包括:

1.累计PB级恶意文件数据积累,支撑对各类恶意文件检测能力研究和开发,如基于人工智能的检测、基于行为的检测等。

2.累计十亿级恶意文件威胁信息数据,支撑设备快速识别勒索软件。

四、 失陷检测指标IoC

部分勒索软件通过钓鱼或者botnet传播,或者从另外角度,即使有些钓鱼或者具备命令与控制能力的恶意软件没有传播勒索软件,企业也必须切断C&C控制通道,否则,攻击者通过具备命令与控制的恶意软件可以在任何时候安装勒索软件,它使得企业始终处于可能被勒索攻击的风险之下。华为提供的IoC类威胁信息中不仅包含了远控类恶意软件的C&C地址,还包括了钓鱼、挖矿、勒索攻击相关的IoC。它们集成到天关或者华为乾坤中的恶意域名检测能力中,帮助企业快速发现失陷主机。

失陷检测指标IoC生产的核心原理如下图所示。

ba81c0da-7712-11ed-8abf-dac502259ad0.png

核心能力包括:

1.千万级IoC,包括DGA、挖矿、恶意下载站地址、钓鱼、C&C等。

2.日均千亿级DNS日志分析及智能计算,发现高可疑域名;累计百亿级PDNS数据积累,可持续研究发现各类恶意地址。

3.基于沙箱的大规模恶意样本分析及人工研判,及时发现新的C&C地址。

结束语

勒索攻击技术在不断的演进,威胁信息技术通过嵌入到纵深防御的各个阶段,发挥“一点发现,全局使能”的重要作用,持续地提升防御的效率,增加攻击的成本。不仅如此,在攻击前,通过宏观的攻击洞察,威胁信息技术还指导防守者如何集中资源,解决重点的安全问题。攻击后,通过其他的观测指标还可以帮助进行攻击响应,攻击溯源等。

ba9d0610-7712-11ed-8abf-dac502259ad0.gif关注“数据通信视频号”获得更多干货~往期精彩推荐

bab2d33c-7712-11ed-8abf-dac502259ad0.jpg

bae70620-7712-11ed-8abf-dac502259ad0.jpg

bb0e4802-7712-11ed-8abf-dac502259ad0.jpg


原文标题:揭秘勒索第7期丨Threat Intelligence对抗勒索攻击的能力大盘点

文章出处:【微信公众号:华为数据通信】欢迎添加关注!文章转载请注明出处。


声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 华为
    +关注

    关注

    216

    文章

    34433

    浏览量

    251687

原文标题:揭秘勒索第7期丨Threat Intelligence对抗勒索攻击的能力大盘点

文章出处:【微信号:Huawei_Fixed,微信公众号:华为数据通信】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    戴尔科技助力企业保护关键数据资产

    前段时间,美国联邦调查局(FBI)、网络安全和基础设施安全局(CISA)以及澳大利亚网络安全中心(ASD)更新了关于臭名昭著的勒索软件团伙BianLian的信息,提醒该组织勒索策略的变化——逐渐抛弃基于加密的攻击
    的头像 发表于 12-05 14:56 303次阅读

    高鸿信安推出可信“AI+”勒索病毒解决方案

    勒索病毒是一种极具破坏性、传播性的恶意软件,主要利用多种密码算法加密用户数据,恐吓、胁迫、勒索用户高额赎金。近期,勒索病毒攻击事件频发,一系列攻击
    的头像 发表于 09-19 15:00 453次阅读

    国产网络安全主板在防御网络攻击中的实际应用

    在现代信息技术迅猛发展的背景下,网络安全问题变得越来越复杂和严峻。从企业到个人用户,各类网络攻击事件频繁发生,威胁着数据的安全和系统的稳定。近年来,我们看到各种形式的网络攻击——从勒索病毒、钓鱼
    的头像 发表于 09-18 10:47 299次阅读

    微软Windows快捷助手被黑客滥用,远程管理软件或成攻击突破口

    该安全公司指出,此次攻击可能出自勒索软件黑客组织Black Basta之手。自四月中旬以来,他们通过网络钓鱼手段诱使受害者开启快速助手并输入安全验证码,因为此功能集成于Windows系统内,故能轻易取得受害者信任。
    的头像 发表于 05-16 16:27 767次阅读

    美国医疗巨头Ascension遭勒索软件攻击,涉及140家医院

    据报道,美国非营利性医疗机构 Ascension 于5月8日遭受黑客组织 Black Basta 的勒索软件攻击,导致其旗下140家医院和40家养老院的系统服务受到影响。
    的头像 发表于 05-14 11:37 605次阅读

    波音遭遇勒索软件攻击,拒付2亿美元赎金

    网络罪犯通过LockBit勒索软件平台于2023年10月展开攻击,并在11月初成功窃取了43GB的波音机密文件,后将其上传至LockBit网站。
    的头像 发表于 05-10 10:41 511次阅读

    EUV光刻机机密文件被盗!

    4月22日消息,据法国媒体LeMagIT报道,日本光学技术领导厂商 Hoya Corporation(豪雅)最近遭遇了勒索软件的攻击,其总部和多个业务部门的IT系统遭受波及。 据称超过 170 万份
    的头像 发表于 04-22 17:20 427次阅读
    EUV光刻机机密文件被盗!

    应对勒索病毒,群晖数据保护黄金架构,多维度保护企业安全

    上海2024年4月22日 /美通社/ -- 恶性的攻击和意外事件总是防不胜防,提前部署灾备方案可以在遭遇意外时尽可能减少企业损失。那么面对无处不在的勒索病毒和潜在风险,为什么依然有很多企业还会遭遇
    的头像 发表于 04-22 13:57 456次阅读
    应对<b class='flag-5'>勒索</b>病毒,群晖数据保护黄金架构,多维度保护企业安全

    勒索病毒防护解决方案---预防、监测、处置、理赔,实现全面网络安全

    在数字化时代,网络安全威胁日益严峻,尤其是勒索病毒的泛滥成为了企业和个人用户的一大痛点。随着攻击手法的不断进化,传统的安全措施已经难以应对这些复杂多变的威胁。因此,打造一个全面的勒索病毒防护体系显得
    的头像 发表于 04-18 14:30 712次阅读
    <b class='flag-5'>勒索</b>病毒防护解决方案---预防、监测、处置、理赔,实现全面网络安全

    沙丘世界,如何抵抗勒索病毒的入侵?

    当《沙丘》遇上“勒索病毒”怎么办?沙丘星球企业打响安全第一枪!
    的头像 发表于 04-10 14:29 466次阅读
    沙丘世界,如何抵抗<b class='flag-5'>勒索</b>病毒的入侵?

    勒索病毒的崛起与企业网络安全的挑战

    在数字化时代,网络安全已成为企业维护信息完整性、保障业务连续性的关键。然而,勒索病毒以其不断进化的攻击手段和商业化模式,成为全球网络安全领域最严峻的威胁之一。本文将概述勒索病毒带来的危害与挑战,并
    的头像 发表于 03-16 09:41 485次阅读

    IBM推出AI增强的数据弹性功能,打造更安全存储解决方案

    在新一代 IBM Storage FlashSystem 产品中发布新的 AI 增强版 IBM FlashCore 模块技术,以及新版 IBM Storage Defender 软件,帮助组织提高其检测和响应勒索软件及其他网络攻击能力
    的头像 发表于 03-05 18:45 1061次阅读

    京鼎遭黑客集团入侵,多国执法组织抓捕黑客集团

    据趋势科技的数据分析,LockBit自2022年以来稳坐全球勒索软件组织榜首,从2020年至2023年第一季度已攻击全球1653家组织,其中对美国企业的勒索金额更是高达9100余万美元。
    的头像 发表于 02-21 16:53 1231次阅读

    施耐德电气遭勒索软件攻击,大量机密数据泄露

    Cactus是一种新颖的勒索软件,首次出现于2023年5月,其独有的加密机制可避免常规检测。此外,Cactus具备多种加密选项,包含快速模式。若攻击者选择连贯执行两种模式,受害方文件将被双重加密,附件会添加两个不同的扩展名。
    的头像 发表于 01-31 10:51 1364次阅读

    台湾半导体公司遭遇勒索软件攻击

    来源:The Record 台湾一家半导体制造商受到网络攻击,据称该攻击是由臭名昭著的LockBit勒索软件团伙发起的。 黑客在京鼎精密科技(Foxsemicon)的网站上发布了一条威胁信息,称他们
    的头像 发表于 01-18 16:15 527次阅读