揭秘勒索丨应对勒索软件三连击，我有我招

2021年活跃勒索软件家族及攻击案例

据Sophos统计，勒索软件攻击中恢复的平均总成本从2020年的76.1万美元增加到2021年的185万美元。勒索软件给全球产业产值造成严重损失。在第1期“勒索软件是什么？勒索攻击是如何发生的？ ”中我们曾经提到，勒索软件常常采用勒索软件即服务“RaaS”的运作方式。勒索软件即服务（RaaS）是犯罪企业的一种商业模式，允许任何人注册并使用工具进行勒索软件攻击。接下来我们以“RaaS”中著名的LockBit2.0家族为例，分析勒索软件的攻击模式。

从LockBit 2.0看勒索软件的三连击攻击

LockBit2.0是2021年以来最具影响力和最活跃的勒索软件家族之一，于2021年6月首次出现。根据对勒索组织暗网泄密泄露的数据分析，截至今年5月份，LockBit2.0在2022年所有与勒索软件违规事件占比46%。

LockBit 2.0：“您所有的重要文件都被窃取和加密！”

LockBit2.0利用了AES和椭圆曲线加密（ECC）算法来加密受害者数据，LockBit小组声称LockBit2.0是“世界上最快的加密软件”，同时支持Windows和Linux操作系统。

针对LockBit2.0，我们列举了其常用的TTP攻击技术。

LockBit2.0使用有效的远程桌面协议（RDP）账户访问受害者系统，进入系统后通过网络扫描找到域控服务器、获取域控服务器权限，在域控制器上创建组策略并将组策略更新到网络上的其他设备。组策略的目的是禁用Microsoft Defender 的实时保护，释放LockBit 2.0勒索软件样本，同时设置计划任务绕过UAC 启动勒索软件。LockBit2.0 运行后追加以“.lockbit”命名的文件后缀，最终在每个加密目录中创建勒索信。

勒索防护，构建云管端纵深防御

LockBit2.0给我们很好地展示了勒索软件最核心的三连击模式，主要分为攻击植入、文件加密、扩大勒索面。

勒索软件三连击模式

针对上述攻击模式，华为提出的“云管端”防勒索解决方案。

华为防勒索“云管端”解决方案

云：华为乾坤云，网络威胁评估

“云”：即华为乾坤云，主要用于事前防御，缩小勒索攻击面，同时在勒索发生时进行态势感知预警，并和网络、终端设备联动处置。其关键能力包括：

（1） 部署网络安全威胁管理平台、漏洞扫描系统等产品，对安全漏洞威胁、弱口令风险等实现及时发现和闭环管理。

（2） 部署网络安全态势感知平台，通过对原始流量、网络告警等信息的收集和分析，监测勒索软件攻击情况、发现病毒传播线索。

（3） 在发现勒索软件后，和网络、终端设备联动处置，包括隔离勒索软件，阻断勒索通信中的C2外联IP地址等。

管：下一代天关防火墙，边界防护与响应

“管”：即下一代天关防火墙，通过在网络边界部署防火墙等产品，仅允许授权用户对关键业务系统进行访问、实现访问权限限制和管理，有效防止勒索软件的攻击植入，其关联能力包括：

（1） 支持与检测系统联动、通过流量解析实施勒索软件攻击告警、防火墙根据告警封禁攻击IP地址。

（2） 部署IPS流量监测阻断产品，检测常见漏洞利用攻击，防止通过漏洞进行勒索软件的植入。

（4） 部署邮件安全网关、邮件威胁分析系统等产品、检测和拦截邮件投递的勒索软件。

端：乾坤EDR，终端防护与响应

“端”：即乾坤EDR，在终端侧部署杀毒软件、终端安全管理系统等EDR产品，对勒索软件进行检测和查杀。其关键能力包括：

（1）支持防暴力破解、端口扫描以及系统登录防护、弱口令检测。

（2）支持钓鱼邮件检测，大部分勒索软件通过钓鱼邮件传播。

（3）支持云端威胁情报联动、本地实时监测等多种模式，具备勒索软件专杀功能。

（4）具备勒索软件免疫、应用进程防护等能力，如利用文件防护产品，检测文件的执行、生成、修改、重命名等，发现遍历大量文件、文件修改操作、调用加密算法库等时，及时提示和拦截。

（5）利用勒索软件诱饵文档，发现恶意修改文档的行为，并拦截关联进程。

（6）针对核心的应用数据，支持驱动级的文件保护、设置合规进程访问策略等，杜绝非合规进程对文件的任意修改。

结束语

LockBit2.0说明了整个勒索软件环境带来的持久性、复杂性和重大影响，正因如此，我们需要从“云管端”整体的解决方案去构筑纵深防御。而勒索软件即服务的到来，意味着组织及其安全团队需要在不断变化的威胁环境中时刻保持警惕。

了解华为勒索防护整体方案及其黑科技技术的详细信息，请持续关注本系列文章，华为安全专家将持续为您介绍。

关注“数据通信视频号”了解