從檢測角度思考美燃油管道商遭勒索攻擊事件

2021年5月7日，美國最大成品油管道運(yùn)營商Colonial Pipeline遭到Darkside（黑暗面組織）勒索軟件的網(wǎng)絡(luò)攻擊，該起攻擊導(dǎo)致美國東部沿海主要城市輸送油氣的管道系統(tǒng)被迫下線，對經(jīng)濟(jì)和民生都產(chǎn)生了巨大的影響后果。這次攻擊其實(shí)并沒有利用到0DAY漏洞，甚至也沒有利用到任何已知漏洞。如何檢測和防范類似的或更加隱蔽的網(wǎng)絡(luò)安全攻擊事件值得我們深思。

根據(jù)安天CERT對勒索攻擊的分類，包含既有傳統(tǒng)非定向勒索的大規(guī)模傳播->加密->收取贖金->解密模式，也有定向攻擊->數(shù)據(jù)竊取->加密->收取贖金解密->不交贖金->曝光數(shù)據(jù)模式的新型作業(yè)鏈條兩種。相對來說非定向勒索更多的是通過廣撒網(wǎng)的方式來碰運(yùn)氣，這種方式的攻擊力相對弱一些，主要攻擊安全基線做的不夠好而導(dǎo)致系統(tǒng)存在明顯的薄弱環(huán)節(jié)，而定向勒索的攻擊力就強(qiáng)很多，可以和APT攻擊相提并論，同時(shí)也針對一些高價(jià)值的目標(biāo)系統(tǒng)。

基于立體防御“事前、事中、事后”的思路，下面分別從這3個(gè)層次分別來講述安全檢測能做哪些事情來防范；

從檢測角度來看，“事前”如何盡可能的提前感知到系統(tǒng)的薄弱位置進(jìn)行加固，防范于未然是最好的；另外加強(qiáng)人的安全防范意識(shí)也是非常重要的，這次能攻擊成功的一個(gè)前置條件就是需要有admin權(quán)限的人來運(yùn)行該勒索軟件，因此不要運(yùn)行來路不明的應(yīng)用是大家平時(shí)工作中特別需要強(qiáng)調(diào)和注意，針對利用漏洞的攻擊行為，系統(tǒng)安全就更為關(guān)鍵和重要了。

對非定向勒索攻擊，更多的是做好系統(tǒng)安全基線的評(píng)估，其中關(guān)鍵點(diǎn)是補(bǔ)丁和系統(tǒng)安全加固的檢測和風(fēng)險(xiǎn)評(píng)估。

能實(shí)現(xiàn)這兩種檢測的黑盒工具：

動(dòng)態(tài)檢測商用工具有Nessus、Nexpose、RSAS、GSM、openVAS等

靜態(tài)已知漏洞檢測商用工具有appcheck、cybellum等。

另外針對漏洞等級(jí)和漏洞修復(fù)優(yōu)先順序的評(píng)估和關(guān)鍵資產(chǎn)的補(bǔ)丁修復(fù)跟蹤系統(tǒng)這塊也是需要加強(qiáng)和重視。

對定向勒索攻擊，同APT檢測一樣，需要更多的威脅情報(bào)和入侵檢測和縱深防御與檢測能力，而不僅僅只依賴單一的動(dòng)靜態(tài)檢測工具就能做到的。

既然無法完全防御住“事前”，那么針對“事中”的監(jiān)控和“事后”的確認(rèn)，從檢測角度看也是很有必要的。基于Darkside勒索軟件樣本的分析結(jié)果，針對勒索軟件的特有行為特征，可以開發(fā)一些針對性的方法和檢測工具，實(shí)現(xiàn)該勒索軟件行為的實(shí)時(shí)監(jiān)測，從而能實(shí)現(xiàn)及時(shí)的觸發(fā)報(bào)警系統(tǒng)，減輕或避免勒索軟件的橫向滲透導(dǎo)致感染面積的擴(kuò)散。

下面就這個(gè)勒索軟件的表現(xiàn)出來的異常行為特征我想到的一些檢測方法，給大家起到一個(gè)拋磚引玉作用。

軟件行為1：Darkside勒索軟件會(huì)有系統(tǒng)語言判定行為。

檢測方法1：監(jiān)測軟件獲取系統(tǒng)語言的API，從而發(fā)現(xiàn)那些調(diào)用該API獲取系統(tǒng)語言的軟件并觸發(fā)報(bào)警，再由人工來判斷是否遭受到Darkside勒索軟件的攻擊。

軟件行為2：為了避免影響勒索軟件的運(yùn)行，會(huì)結(jié)束下列服務(wù)backup、sql、sophos、svc$、vss、memtas、mepocs、veeam、GxBlr、GxCVD、GxClMgr、GxFWD、GxVss。的行為。

檢測方法2：可以在一些機(jī)器上部署這些假冒的服務(wù)，并時(shí)刻監(jiān)視這些服務(wù)是否在運(yùn)行狀態(tài)中，如果這些服務(wù)運(yùn)行狀態(tài)異常，那么就可以觸發(fā)報(bào)警系統(tǒng)，再由人工來確認(rèn)是否遭受到Darkside勒索軟件的攻擊。這種方法類似常見的蜜罐檢測方法。

軟件行為3：Darkside勒索軟件會(huì)有獲取用戶名、計(jì)算機(jī)名、機(jī)器首選語言、Netbios名等信息的行為。

檢測方法3：可以參考軟件行為1的類似檢測方法。

軟件行為4：打開Firefox/80.0應(yīng)用程序句柄，通過443端口連接到C2服務(wù)器的行為。

檢測方法4： 檢測異常的網(wǎng)絡(luò)連接端口和網(wǎng)絡(luò)連接行為。

軟件行為5：遞歸函數(shù)查找全盤特定文件和文件夾，并將其刪除的行為。

檢測方法5：可以參考軟件行為1的類似檢測方法。

總結(jié)：

針對勒索軟件的惡意攻擊，“事前”的有效防護(hù)是重中之重，而檢測能力則是“事前”有效防護(hù)的試金石，檢測工具“矛”的能力越強(qiáng)，越能檢測出“事前”有效防護(hù)這個(gè)“盾”的堅(jiān)固程度。另外網(wǎng)絡(luò)防護(hù)一定是立體防護(hù)，寄希望一道籬笆就擋住所有攻擊行為是不現(xiàn)實(shí)的，也是不明智的。

可以試試下面的漏掃服務(wù)，看看系統(tǒng)是否存在安全風(fēng)險(xiǎn)

漏洞掃描服務(wù) VSS

網(wǎng)絡(luò)

版權(quán)聲明：本文內(nèi)容由網(wǎng)絡(luò)用戶投稿，版權(quán)歸原作者所有，本站不擁有其著作權(quán)，亦不承擔(dān)相應(yīng)法律責(zé)任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實(shí)的內(nèi)容，請聯(lián)系我們jiasou666@gmail.com 處理，核實(shí)后本網(wǎng)站將在24小時(shí)內(nèi)刪除侵權(quán)內(nèi)容。