企业动态

    “你访问的电脑/系统/文件已加密，请支付赎金以继续使用。”

    “请立即支付赎金，否则数据将被公开。”

    近期，全球多家知名企业因陆续遭到勒索攻击而引发关注。研究人员从这些攻击事件中发现了一些共同点，那就是：不同勒索组织利用一些已公开但未修补的1Day漏洞，来破坏企业系统、窃取数据并加密文件。

    这种利用已知漏洞的方式也是攻击者常用的勒索软件攻击方式之一。据国外安全机构对于攻击者常利用的勒索软件攻击途径调研显示，利用公开应用中的漏洞进行勒索攻击占所有事件的43%，运用被盗账户占比24%，恶意电子邮占比12%。可见，1Day漏洞确实是攻击者进行勒索攻击的“头号武器”。

    以近期发生的Lockbit勒索软件攻击和Medusa勒索软件攻击事件为例，勒索组织都是依靠一个名为“Citrix Bleed”的漏洞来进行攻击。尽管Citrix公司早在10月份时就已经发布了关于该漏洞（CVE-2023-4966）的补丁和修复方案，但由于一些企业没有及时对其使用的Citrix公司设备所存在的漏洞进行修补，造成勒索团伙利用该漏洞进入企业内部网络，注入勒索病毒，从而实现加密勒索。

    面对这种情况，企业客户需要及时了解和掌握自身资产究竟涉及哪些可能被肆意利用的漏洞，及时打补丁修补漏洞，从而防止隐患资产成为攻击者的突破口。但由于传统漏扫工具基于版本匹配的扫描原理，导致它们经常会上报大量无法被利用的资产漏洞，如果要全面修复这些漏洞，不仅需要耗费大量的时间和人力成本，还可能造成频繁的停机并带来业务中断风险，因此很多企业只能选择让资产带“病”运行，给攻击者创造了可乘之机。所以，从业务连续性角度考虑，企业用户需要一种可以验证漏洞是否能被利用的工具并确定漏洞优先级，来为其评估关键资产的脆弱性，并决定是否有必要修复漏洞。

    作为业内唯一可以提供大量1Day漏洞利用功能的企业级自动化渗透测试工具，奇安信网神自动渗透测试系统（简称“加特林”）可帮助企业用户以攻击者的角度，对自身业务资产进行自动化的攻击渗透，包括利用已知的漏洞对系统进行远程执行代码、尝试获取管理员权限等攻击行为，从而快速、准确地评估这些资产是否存在必须要立即修复的风险和漏洞。

    仍以近期影响较大的Citrix Bleed漏洞为例，加特林不仅可以准确验证设备是否存在相关漏洞，还能提供漏洞利用功能，为企业内部安全团队提供强有力的漏洞证明，推动网络或业务部门修复漏洞。

    图 加特林关于Citrix Bleed漏洞的验证

    图 加特林关于Citrix Bleed漏洞的利用

    图 通过加特林拿到泄露cookie并登录某目标Citrix网关设备

    图 加特林支持验证和利用的近半年内部分1Day漏洞清单

    无论是过去的NDay漏洞，还是最近爆出的1Day漏洞，加特林都能帮助企业用户快速完成自动化评估，评估结果准确率高、误报率低，从而帮助企业有效提高安全防御能力，不给勒索病毒攻击任何可乘之机。

    假如企业用户在事前没有发现资产存在可被利用的漏洞，也不用担心，因为在勒索组织利用漏洞进入企业客户内网，通过横向渗透、提权攻击、命令控制等方式进行漏洞利用的过程中，仍然可以靠奇安信网神威胁监测与分析系统（简称：天眼）及时发现攻击行为。

    图 天眼检测到Citrix漏洞利用

    当然，勒索组织不仅会通过漏洞利用来寻找突破口，他们往往还会利用账号盗用、恶意邮件、水坑钓鱼、供应链投毒等方式来进行渗透，从而达到控制目标系统，投放勒索病毒的目的。在此过程中，如果攻击者已经利用各种手段成功完成了第一步的渗透，企业用户也不必过于担心，因为仍然有机会在勒索病毒投递和横向传播的环节及时发现问题并采取措施，避免勒索病毒的大规模扩散，并阻止最终形成真正的安全事件。

    从攻击手段来看，Lockbit 3.0常采用双重勒索的方式，在加密文件之前首先会窃取文件，在这个过程中，攻击者会将恶意代码注入到文件中，使其看起来更像是正常的文件，从而避免被杀毒软件等安全工具检测到。

    针对此类载荷投递方式的勒索软件样本攻击，奇安信天眼系统的文件威胁鉴定器（天眼沙箱）完全可以进行检测。天眼沙箱本地内置威胁情报类相关的勒索软件规则达35000+，结合动态行为检测及静态规则，充分覆盖常见的勒索软件攻击检出场景。

    其中，天眼沙箱动态行为检测利用奇安信技术研究院自主可控的动态分析引擎为基础，基于硬件虚拟化、软件动态分析、控制流完整性分析等技术方法，研制了一款高对抗的文件沙箱，具备“上帝视角”的能力。该系统完全模拟虚拟环境中各种硬件的运行，并支持Windows、Linux、Android、macOS以及UOS、Kylin等信创操作系统和IOT操作系统，可有效助力企业组织从容应对勒索软件、加密恶意软件、零日威胁等广泛数字攻击面上迅猛发展且具针对性的新兴威胁。

    目前，天眼系统实现对勒索软件的若干变种进行检测，如近期影响较大的LockBit 勒索家族，以及典型的WannaCry勒索病毒、Sodinokibi勒索病毒、Ryuk勒索病毒等均可进行检测。

    图 天眼沙箱可检测到LockBit家族类勒索病毒

    图 天眼沙箱可检测到WannaCry类勒索病毒

    近年来，勒索攻击席卷全球，政府、金融、教育、医疗、制造、交通、能源等几乎所有的行业均受到影响，可以说有互联网的地方就可能存在勒索攻击。

    奇安信安全攻防部门研究专家表示，要防范被勒索病毒入侵，首先要做好攻击面收敛与管理，尽可能减少暴露资产，杜绝存在弱密码的操作系统账号、开放端口、不当配置等，同时更需要实时检测各类操作系统、中间件及上层应用漏洞信息，及时更新补丁，避免被黑客利用。如果事前不能杜绝入侵，只要在事中能及时发现勒索病毒，掐断“投毒”，同样也能阻断攻击，保护企业数字资产安全。