了解江民最新动态
2023-03-16 来源:安全资讯
ndr产品检测勒索攻击的原理
勒索攻击是企业面临的重要网络攻击威胁,受害企业面临着重要的数据资产丢失和泄漏的严重后果 ,轻则造成业务停顿,重则被迫缴纳巨额赎金。
一、勒索攻击的特点与原理剖析
勒索手段攻击也日益发展,但是主要有以下三个特点:
(1)隐秘性强。勒索攻击往往通过垃圾邮件、网页广告等经常使用的系统进行传播,并且利用隐蔽的方式绕过传统的安全检测,隐蔽性是勒索攻击的典型攻击策略。
(2)目的性强。大量的勒索事件表明,攻击者大多数都带有经济诉求;为了获得有价值的资产,渗透的过程可长达数月,这个特点与apt攻击有些相似。
(3)变异较快且易传播。勒索攻击变种正在呈指数行增长,对样本更新快速并发起攻击,以躲避传统的安全检测方式。
从攻击过程的角度看,黑客首先通过系统存在的的漏洞潜入目标的主机,获得主机权限;进而控制主机主动连接指定服务器下载加密key、内网扫描工具、暴力破解工具、勒索病毒体等成套工具;随后会锁定重要的文件并且向其他主机移动扩大战果。
二、江民ndr产品在检测勒索病毒传播上的特色
江民ndr产品通过流量分析和文件还原检测技术,识别勒索病毒的外部入侵、回连控制和内部扩散过程。
主要有以下特色:
特色1:结合人工智能技术,有效发现东西向流量中的勒索“投毒”和回连活动。
江民ndr产品通过流量镜像的方式,对钓鱼邮件投放、远程恶意代码植入等“投毒行为进行全方位的感知。通过人工智能引擎和独特的沙箱技术,可以有效发现已知和未知勒索病毒。同时,监控c&c回连等异常流量,发现内网肉鸡与控制端的通信行为。
特色2:监控内网流量,溯源勒索病毒的内网扩散路径。
通过对内网中勒索病毒文件的传输过程的还原,可以时间序列单位全网展示内网扩散过程。可视化的呈现方式有助于快速定位受感染主机范围和控制影响。
特色3:内置att&ck框架,从攻击者视角发现未知类攻威胁
江民ndr产品内置att&ck模型框架,将威胁攻击匹配至att&ck框架的各个攻击阶段,能够实现勒索病毒和其他未知的网络流量威胁。
三、对抗勒索病毒,不止步于ndr
江民ndr产品不是“单兵作战”。江民ndr产品可以联合江民终端安全产品,对勒索病毒的落地和执行进行阻断。同时,江民ndr产品还支持将流量日志和分析数据输出到江民xdr大数据安全平台;江民xdr大数据安全平台结合江民终端安全产品采集的行为数据、情报数据以及其他设备的数据进行聚合分析和联动处置。
江民ndr产品 江民终端安全产品 江民大数据安全平台,形成了勒索病毒全方位的防范、预警和处置的闭环能力。
四、关于江民流量安全团队
江民流量安全团队致力于高级威胁对抗的研究,通过大量的实战经验持续丰富产品的检测模型。我们的口号是:不放过任何已知的高级威胁,不停止对未知高级威胁的跟踪和对抗。