阅识风云是华为云信息大咖,擅长将复杂信息多元化呈现,其出品的一张图(云图说)、深入浅出的博文(云小课)或短视频(云视厅)总有一款能让您快速上手华为云。更多精彩内容请单击此处。

摘要:勒索病毒是一种极具破坏性、传播性的恶意软件,勒索手段也逐步发展为加密数据、威胁泄露敏感数据、DDoS攻击威胁和供应链攻击等多阶段勒索。近期某银行的美国子公司发布公告被勒索攻击,数十亿美元的业务受到影响。一旦被勒索,会严重影响公司运作、数据安全以及公司声誉。

本文分享自华为云社区《云小课|HSS教您如何应对LockBit勒索事件》,作者:阅识风云。

近期热点勒索事件

2023年11月10日,某银行的美国全资子公司在官网发布声明称11月8日遭受了勒索软件攻击导致部分系统中断。并且11月9日LockBit勒索组织公开确认对此次攻击负责。LockBit是一种勒索软件家族,最初出现在2019年,目前已经升级至LockBit3.0,已发展成为一种具有高度定制化和复杂特性的勒索软件,并提供勒索软件即服务(RaaS)能力,是2023年最多产的勒索软件组织,其受害者名单不乏世界知名企业和机构,覆盖金融服务、食品和农业、教育、能源、政府、医疗保健、制造业和运输等,如果受害者不支付赎金,则文件可能会永久丢失或被公开泄露。

目前某银行尚未公布调查结果,据安全专家 Kevin Beaumont 称攻击者疑似利用Citrix Netscaler Gateway/ADC产品的CVE-2023-4966漏洞发起攻击(Citrix NetScaler Gateway是一套安全的远程接入解决方案,提供应用级和数据级管控功能,以实现用户从任何地点远程访问应用和数据。Citrix NetScaler ADC是一个应用程序交付和安全平台。)未授权的远程攻击者可通过利用此漏洞,窃取如cookie等敏感信息,从而绕过身份验证。

LockBit 勒索软件操作遵循勒索软件即服务 (RaaS) 模式,使用附属机构来分发勒索软件,这些附属机构使用不同的攻击方法来渗透并部署勒索软件。

初始入侵阶段

勒索入侵可能采用的攻击手法包括:远程桌面协议利用(RDP exploitation)、钓鱼活动(Phishing Campaigns)、有效帐户滥用(Abuse of Valid Accounts)、面向公众的应用程序的漏洞利用(Exploitation of Public-facing Applications),该勒索家族历史上利用的典型漏洞有:

感染与执行阶段

LockBit与常见的勒索软件一样,在感染阶段会执行持久化、提权、横向移动、探测内网敏感数据、禁用安全软件等操作。Lockbit 3.0在受害者环境中实际执行勒索软件时,可以提供各种参数来控制勒索软件的行为,可以接受额外的参数用于横向移动和加密端点上的特定目录的特定操作。并且通过使用加密可执行文件方式保护自身以躲避检测和分析。

LockBit采用双重勒索策略会把受害者的部分文件窃取再加密这些文件。LockBit3.0持续针对windows、linux系统,采用AES+RSA算法加密文件(市面上无相应的解密工具),同时更改桌面壁纸用于提示用户已被勒索,并释放文件名为[Random string].README.txt的勒索信。

数据外泄阶段

LockBit勒索软件会使用其自研的数据外泄工具StealBit,或合法的云同步工具(如RClone、Mega等),以上传窃取的数据。

勒索病毒防护方案

按照勒索病毒攻击的3个阶段,进行有针对性的防护。攻击阶段包括:攻击入侵、横向扩散和勒索加密。

常见勒索病毒攻击路径分析 :

华为云主机安全服务能够在攻击入侵前进行风险预防,在攻击入侵及横向移动时进行告警和攻击阻断,在勒索加密发生后进行数据恢复、安全加固。

风险预防

华为云主机安全HSS对勒索攻击提供全链路的安全防护,攻击入侵前,可使用HSS主机安全提供的风险预防功能,包含基线检查、漏洞管理、容器镜像安全扫描,对企业资产进行梳理,对服务器的各项服务进行基线检查,以及对服务器运行的各类应用进行漏洞扫描,及时修复漏洞,收敛攻击面,降低服务器被入侵风险。

步骤1:进入“基线检查”页面,处理配置风险、弱口令风险等。

步骤2:进入“漏洞管理”页面,扫描并修复漏洞。

入侵检测与阻断

黑客进行勒索首先需要获取边界服务器的权限,在攻击过程运用多种攻击手段进行入侵,所以需要在黑客入侵过程,对各类入侵攻击进行及时告警、阻断,华为云主机安全HSS支持对暴力破解、漏洞利用、Webshell、反弹shell、病毒、木马、Rootkit等的检测。

LockBit勒索攻击的常见战术行为列表及华为云主机安全HSS对应检测能力项如下表,HSS提供对攻击路径全链路的检测:

针对勒索病毒,华为云主机安全HSS提供了多维度的检测能力,包括AV病毒引擎检测、诱饵文件检测、HIPS主机入侵规则检测。AV病毒引擎根据勒索病毒特征进行检测,诱饵文件根据勒索病毒加密行为进行检测,HIPS引擎对勒索病毒常见异常行为进行检测。在发现勒索病毒和勒索加密行为后,对勒索病毒进程进行阻断,防止勒索病毒扩散蔓延。

数据恢复

若服务器被勒索病毒加密,事后需要及时通过备份恢复数据,分析被入侵的原因,然后进行安全加固,避免被再次被入侵勒索。华为云主机安全HSS支持一键恢复数据,开启勒索病毒防护策略后,可以对业务数据进行便捷地备份,服务器被勒索病毒入侵后,可以通过云服务器备份进行数据恢复,降低勒索病毒带来的损失。

赶紧戳这里,体验华为云主机安全服务防勒索能力!

点击关注,第一时间了解华为云新鲜技术~

云小课|HSS教您如何应对LockBit勒索事件的更多相关文章

  1. 云小课|云小课教您如何选择Redis实例类型

    阅识风云是华为云信息大咖,擅长将复杂信息多元化呈现,其出品的一张图(云图说).深入浅出的博文(云小课)或短视频(云视厅)总有一款能让您快速上手华为云.更多精彩内容请单击此处. 摘要:购买Redis实例 ...

  2. 云小课|MRS数据分析-通过Spark Streaming作业消费Kafka数据

    阅识风云是华为云信息大咖,擅长将复杂信息多元化呈现,其出品的一张图(云图说).深入浅出的博文(云小课)或短视频(云视厅)总有一款能让您快速上手华为云.更多精彩内容请单击此处. 摘要:Spark Str ...

  3. 云小课|DGC数据开发之基础入门篇

    阅识风云是华为云信息大咖,擅长将复杂信息多元化呈现,其出品的一张图(云图说).深入浅出的博文(云小课)或短视频(云视厅)总有一款能让您快速上手华为云.更多精彩内容请单击此处. 摘要:欢迎来到DGC数据 ...

  4. 云小课|MRS基础原理之MapReduce介绍

    阅识风云是华为云信息大咖,擅长将复杂信息多元化呈现,其出品的一张图(云图说).深入浅出的博文(云小课)或短视频(云视厅)总有一款能让您快速上手华为云.更多精彩内容请单击此处. 摘要:MapReduce ...

  5. 云小课 | 搬迁本地数据至OBS,多种方式任你选

    摘要:搬迁本地数据至OBS,包括OBS工具方式.CDM方式.DES磁盘方式.DES Teleport方式和云专线方式,每种方式特点不同,本节课我们就一起看看有什么区别. 已有的业务数据可能保存在本地的 ...

  6. 云小课|带你揭开IP地址的神秘身份

    摘要:本文带你了解网络云产品和相关的知识内容. 华为云网络服务大家族提供了丰富的云产品,可以满足用户的各种网络互联需求.相应地,华为云帮助中心也贴心的奉上了你想了解的所有网络云产品知识. 可是小课最近 ...

  7. 云小课 | IPv4枯了,IPv6来了

    摘要:本篇主要分享IPv4与IPv6的区别和IPv6的应用场景,助您快速理解华为云IPv6双栈及IPv6 EIP. IPv6的由来 上节课我们讲了公网IP与私网IP,了解了IP地址的一些知识. 我们一 ...

  8. 云小课 | WAF反爬虫“三板斧”:轻松应对网站恶意爬虫

    描述:反爬虫是一个复杂的过程,针对爬虫常见的行为特征,WAF反爬虫三板斧——Robot检测(识别User-Agent).网站反爬虫(检查浏览器合法性)和CC攻击防护(限制访问频率)可以全方位帮您解决业 ...

  9. 云小课 | 需求任务还未分解,该咋整!项目管理Scrum项目工作分解的心酸谁能知?

    温馨提醒:本文约3000字,需要阅读5分钟,共分为8个部分,建议分段阅读! 软件开发过程中,从产品概念形成到产品规划.往往要做详细的需求分析和项目规划等,因此,选对一款项目管理工具对开发者就显得尤为重 ...

  10. 云小课 | “VPC连接”知多少

    摘要:华为云提供了丰富的网络服务,可满足多种网络互连场景. 同Region的两个VPC怎么连通?” “跨Region的两个VPC又怎么连通?” “VPC内的ECS搭建了一个应用,需要访问Interne ...

随机推荐

  1. LINUX基础知识和命令 二

    LINUX alias (别名) 自定义命令=原始命令 原始命令中有特殊符@#%()请打上 引号,单双无所谓 例:vim /etc/sysconfig/network-scripts/ifcfg-en ...

  2. Android WebAPIOperator

    package com.example.myapplication2.models.CommonClasses; import org.json.JSONObject; import java.io. ...

  3. [C++]P5024 树形DP 保卫王国

    树形DP 保卫王国P5024 前置知识 1.邻接表 + Dfs(深度优先搜索) 2.基础DP(如 01背包 ) 3.最小公共祖先(LCA) LCA我有写过Blog 首先解读一下题意 城市即为节点 每个 ...

  4. 深度解析BERT:从理论到Pytorch实战

    本文从BERT的基本概念和架构开始,详细讲解了其预训练和微调机制,并通过Python和PyTorch代码示例展示了如何在实际应用中使用这一模型.我们探讨了BERT的核心特点,包括其强大的注意力机制和与 ...

  5. 七个很实用的开源项目「GitHub 热点速览」

    本周特推的两个项目都是异常实用的项目,一个接棒上周的视频重制项目 video-retalking 这次则是直接将视频替换成另外一个语种:另外一个则是解决日志阅读问题的 tailspin,让你在成千上万 ...

  6. VS2022修改cs文件模板

    在路径:C:\Program Files\Microsoft Visual Studio\2022\Enterprise\Common7\IDE\ItemTemplates\AspNetCore\Co ...

  7. BABYRE

    一道SMC,第一次做 主函数的伪代码,judge函数是关键函数,不过啥都没有 发现 judge 方法是判断的主要逻辑,在第 15 行时调用判断. 但是静态分析时不能生成 judge 的伪代码. 原因是 ...

  8. mutable关键词

    类中的 mutable mutable 从字面意思上来说,是「可变的」之意. 若是要「顾名思义」,那么这个关键词的含义就有些意思了.显然,「可变的」只能用来形容变量,而不可能是「函数」或者「类」本身. ...

  9. cyclone3内部资源

    CycloneIII内部资源概述 目录 CycloneIII内部资源概述 Logic Elements and Logic Array Blocks(逻辑元件和逻辑阵列块) LE LAB LAB In ...

  10. 在Ubuntu机器上使用war包安装Jenkins

    因为一些需求需要迁移之前使用的Jenkins,原来是按照官方文档使用apt方式安装的,这次搬迁后的机器由于默认不通外网(可以通过代理走外网),因此趁此机会,尝试改用war包方式安装 环境目标 系统Ub ...