勒索攻擊是企業面臨的重要網絡攻擊威脅，受害企業面臨著重要的數據資產丟失和泄漏的嚴重后果 ，輕則造成業務停頓，重則被迫繳納巨額贖金。

一、勒索攻擊的特點與原理剖析

勒索手段攻擊也日益發展，但是主要有以下三個特點：

（1）隱秘性強。勒索攻擊往往通過垃圾郵件、網頁廣告等經常使用的系統進行傳播，并且利用隱蔽的方式繞過傳統的安全檢測，隱蔽性是勒索攻擊的典型攻擊策略。

（2）目的性強。大量的勒索事件表明，攻擊者大多數都帶有經濟訴求；為了獲得有價值的資產，滲透的過程可長達數月，這個特點與APT攻擊有些相似。

（3）變異較快且易傳播。勒索攻擊變種正在呈指數行增長，對樣本更新快速并發起攻擊，以躲避傳統的安全檢測方式。

從攻擊過程的角度看，黑客首先通過系統存在的的漏洞潛入目標的主機，獲得主機權限；進而控制主機主動連接指定服務器下載加密key、內網掃描工具、暴力破解工具、勒索病毒體等成套工具；隨后會鎖定重要的文件并且向其他主機移動擴大戰果。

二、江民NDR產品在檢測勒索病毒傳播上的特色

江民NDR產品通過流量分析和文件還原檢測技術，識別勒索病毒的外部入侵、回連控制和內部擴散過程。

主要有以下特色：

特色1：結合人工智能技術，有效發現東西向流量中的勒索“投毒”和回連活動。

江民NDR產品通過流量鏡像的方式，對釣魚郵件投放、遠程惡意代碼植入等“投毒行為進行全方位的感知。通過人工智能引擎和獨特的沙箱技術，可以有效發現已知和未知勒索病毒。同時，監控C&C回連等異常流量，發現內網肉雞與控制端的通信行為。

特色2：監控內網流量，溯源勒索病毒的內網擴散路徑。

通過對內網中勒索病毒文件的傳輸過程的還原，可以時間序列單位全網展示內網擴散過程。可視化的呈現方式有助于快速定位受感染主機范圍和控制影響。

特色3：內置ATT&CK框架，從攻擊者視角發現未知類攻威脅

江民NDR產品內置ATT&CK模型框架，將威脅攻擊匹配至ATT&CK框架的各個攻擊階段，能夠實現勒索病毒和其他未知的網絡流量威脅。

三、對抗勒索病毒，不止步于NDR

江民NDR產品不是“單兵作戰”。江民NDR產品可以聯合江民終端安全產品，對勒索病毒的落地和執行進行阻斷。同時，江民NDR產品還支持將流量日志和分析數據輸出到江民XDR大數據安全平臺；江民XDR大數據安全平臺結合江民終端安全產品采集的行為數據、情報數據以及其他設備的數據進行聚合分析和聯動處置。

江民NDR產品+江民終端安全產品+江民大數據安全平臺，形成了勒索病毒全方位的防范、預警和處置的閉環能力。

四、關于江民流量安全團隊

江民流量安全團隊致力于高級威脅對抗的研究，通過大量的實戰經驗持續豐富產品的檢測模型。我們的口號是：不放過任何已知的高級威脅，不停止對未知高級威脅的跟蹤和對抗。