云小课|HSS教您如何应对LockBit勒索事件
阅识风云是华为云信息大咖,擅长将复杂信息多元化呈现,其出品的一张图(云图说)、深入浅出的博文(云小课)或短视频(云视厅)总有一款能让您快速上手华为云。更多精彩内容请单击此处。
摘要:勒索病毒是一种极具破坏性、传播性的恶意软件,勒索手段也逐步发展为加密数据、威胁泄露敏感数据、DDoS攻击威胁和供应链攻击等多阶段勒索。近期某银行的美国子公司发布公告被勒索攻击,数十亿美元的业务受到影响。一旦被勒索,会严重影响公司运作、数据安全以及公司声誉。
本文分享自华为云社区《云小课|HSS教您如何应对LockBit勒索事件》,作者:阅识风云。
近期热点勒索事件
2023年11月10日,某银行的美国全资子公司在官网发布声明称11月8日遭受了勒索软件攻击导致部分系统中断。并且11月9日LockBit勒索组织公开确认对此次攻击负责。LockBit是一种勒索软件家族,最初出现在2019年,目前已经升级至LockBit3.0,已发展成为一种具有高度定制化和复杂特性的勒索软件,并提供勒索软件即服务(RaaS)能力,是2023年最多产的勒索软件组织,其受害者名单不乏世界知名企业和机构,覆盖金融服务、食品和农业、教育、能源、政府、医疗保健、制造业和运输等,如果受害者不支付赎金,则文件可能会永久丢失或被公开泄露。
目前某银行尚未公布调查结果,据安全专家 Kevin Beaumont 称攻击者疑似利用Citrix Netscaler Gateway/ADC产品的CVE-2023-4966漏洞发起攻击(Citrix NetScaler Gateway是一套安全的远程接入解决方案,提供应用级和数据级管控功能,以实现用户从任何地点远程访问应用和数据。Citrix NetScaler ADC是一个应用程序交付和安全平台。)未授权的远程攻击者可通过利用此漏洞,窃取如cookie等敏感信息,从而绕过身份验证。
LockBit 勒索软件操作遵循勒索软件即服务 (RaaS) 模式,使用附属机构来分发勒索软件,这些附属机构使用不同的攻击方法来渗透并部署勒索软件。
初始入侵阶段
勒索入侵可能采用的攻击手法包括:远程桌面协议利用(RDP exploitation)、钓鱼活动(Phishing Campaigns)、有效帐户滥用(Abuse of Valid Accounts)、面向公众的应用程序的漏洞利用(Exploitation of Public-facing Applications),该勒索家族历史上利用的典型漏洞有:
感染与执行阶段
LockBit与常见的勒索软件一样,在感染阶段会执行持久化、提权、横向移动、探测内网敏感数据、禁用安全软件等操作。Lockbit 3.0在受害者环境中实际执行勒索软件时,可以提供各种参数来控制勒索软件的行为,可以接受额外的参数用于横向移动和加密端点上的特定目录的特定操作。并且通过使用加密可执行文件方式保护自身以躲避检测和分析。
LockBit采用双重勒索策略会把受害者的部分文件窃取再加密这些文件。LockBit3.0持续针对windows、linux系统,采用AES+RSA算法加密文件(市面上无相应的解密工具),同时更改桌面壁纸用于提示用户已被勒索,并释放文件名为[Random string].README.txt的勒索信。
数据外泄阶段
LockBit勒索软件会使用其自研的数据外泄工具StealBit,或合法的云同步工具(如RClone、Mega等),以上传窃取的数据。
勒索病毒防护方案
按照勒索病毒攻击的3个阶段,进行有针对性的防护。攻击阶段包括:攻击入侵、横向扩散和勒索加密。
常见勒索病毒攻击路径分析 :
华为云主机安全服务能够在攻击入侵前进行风险预防,在攻击入侵及横向移动时进行告警和攻击阻断,在勒索加密发生后进行数据恢复、安全加固。
风险预防
华为云主机安全HSS对勒索攻击提供全链路的安全防护,攻击入侵前,可使用HSS主机安全提供的风险预防功能,包含基线检查、漏洞管理、容器镜像安全扫描,对企业资产进行梳理,对服务器的各项服务进行基线检查,以及对服务器运行的各类应用进行漏洞扫描,及时修复漏洞,收敛攻击面,降低服务器被入侵风险。
步骤1:进入“基线检查”页面,处理配置风险、弱口令风险等。
步骤2:进入“漏洞管理”页面,扫描并修复漏洞。
入侵检测与阻断
黑客进行勒索首先需要获取边界服务器的权限,在攻击过程运用多种攻击手段进行入侵,所以需要在黑客入侵过程,对各类入侵攻击进行及时告警、阻断,华为云主机安全HSS支持对暴力破解、漏洞利用、Webshell、反弹shell、病毒、木马、Rootkit等的检测。
LockBit勒索攻击的常见战术行为列表及华为云主机安全HSS对应检测能力项如下表,HSS提供对攻击路径全链路的检测:
针对勒索病毒,华为云主机安全HSS提供了多维度的检测能力,包括AV病毒引擎检测、诱饵文件检测、HIPS主机入侵规则检测。AV病毒引擎根据勒索病毒特征进行检测,诱饵文件根据勒索病毒加密行为进行检测,HIPS引擎对勒索病毒常见异常行为进行检测。在发现勒索病毒和勒索加密行为后,对勒索病毒进程进行阻断,防止勒索病毒扩散蔓延。
数据恢复
若服务器被勒索病毒加密,事后需要及时通过备份恢复数据,分析被入侵的原因,然后进行安全加固,避免被再次被入侵勒索。华为云主机安全HSS支持一键恢复数据,开启勒索病毒防护策略后,可以对业务数据进行便捷地备份,服务器被勒索病毒入侵后,可以通过云服务器备份进行数据恢复,降低勒索病毒带来的损失。
赶紧戳这里,体验华为云主机安全服务防勒索能力!
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
数仓性能调优:row_number() over(p)-rn=1性能瓶颈发现和改写套路
本文分享自华为云社区《GaussDB(DWS)性能调优:row_number() over(p)-rn=1性能瓶颈发现和改写套路》,作者:Zawami 。 1、改写场景 本套路应用于子查询中含有row_number() over(partition by order by) rn,并仅把rn列用于分类排序后筛选最大值的场景。 2、性能分析 GaussDB中SQL语句的执行很多时候是流式的,即对每一条数据进行流水加工,各层算子同时在执行,缩短执行耗时。 但是在一些场景下,需要先取得前一个算子的全部结果集,然后才能够进行下一步的加工;窗口函数就是其中的一种。 观察执行计划可以看到,SQL会在计算得到rn列后,再同本层查询其它列进行关联。由于存在窗口函数,必须先把51号算子先执行完,然后才能进行关联,造成性能瓶颈。 通过去窗口函数改写,我们可以使得分类汇总同明细数据之间的关联流水执行。 改写前局部SQL SELECT PROD_EN_NAME, PROD_LIFE_CYCLE_STATUS FROM ( SELECT PROD_EN_NAME, LI...
- 下一篇
混合云案例:利用 Databend Cloud 高效加速私有 Databend 的策略与实施
背景 Databend 是一款基于对象存储的存算分离湖仓产品,已成为云上大数据分析中高效且低成本的首选解决方案。目前,Databend 在多个用户场景中得到广泛应用,包括: 新媒体行业数据分析及大屏数据展示 云上 CDH 替代以减少本地磁盘和资源占用 性能明显提升的云上 Greenplum 替代方案 降低用户管理复杂度的云上 Clickhouse 替代方案 ... Databend 将数据持久化存储在对象存储中,计算层无状态且可随意扩展。同时,Databend 还充分利用云上对象存储的无需虚拟专用网络(VPC)的特性,实现了一个统一化的湖仓解决方案。 在云上构建大数据环境时,有两个昂贵的成本需要考虑: 本地磁盘成本,包括大量的闲置存储空间和冗余副本。 流量成本,跨 VPC 通信的带宽费用,通常 1G 带宽的成本都超过 0.5 元。 越来越多的云上用户选择利用 Databend 结合对象存储构建湖仓,以节省本地磁盘成本。由于对象存储无需 VPC,全球写入无需费用,内网请求无带宽费用,从而降低了云上大数据相关费用。 本文将介绍如何通过私有化部署 Databend 和结合公有云上的 Data...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- SpringBoot2初体验,简单认识spring boot2并且搭建基础工程
- CentOS8安装Docker,最新的服务器搭配容器使用
- SpringBoot2更换Tomcat为Jetty,小型站点的福音
- CentOS7,8上快速安装Gitea,搭建Git服务器
- SpringBoot2全家桶,快速入门学习开发网站教程
- CentOS7设置SWAP分区,小内存服务器的救世主
- CentOS7安装Docker,走上虚拟化容器引擎之路
- CentOS7编译安装Gcc9.2.0,解决mysql等软件编译问题
- Windows10,CentOS7,CentOS8安装Nodejs环境
- MySQL8.0.19开启GTID主从同步CentOS8