勒索攻擊是企業(yè)面臨的重要網(wǎng)絡(luò)攻擊威脅，受害企業(yè)面臨著重要的數(shù)據(jù)資產(chǎn)丟失和泄漏的嚴(yán)重后果 ，輕則造成業(yè)務(wù)停頓，重則被迫繳納巨額贖金。

一、勒索攻擊的特點與原理剖析

勒索手段攻擊也日益發(fā)展，但是主要有以下三個特點：

（1）隱秘性強。勒索攻擊往往通過垃圾郵件、網(wǎng)頁廣告等經(jīng)常使用的系統(tǒng)進行傳播，并且利用隱蔽的方式繞過傳統(tǒng)的安全檢測，隱蔽性是勒索攻擊的典型攻擊策略。

（2）目的性強。大量的勒索事件表明，攻擊者大多數(shù)都帶有經(jīng)濟訴求；為了獲得有價值的資產(chǎn)，滲透的過程可長達數(shù)月，這個特點與APT攻擊有些相似。

（3）變異較快且易傳播。勒索攻擊變種正在呈指數(shù)行增長，對樣本更新快速并發(fā)起攻擊，以躲避傳統(tǒng)的安全檢測方式。

從攻擊過程的角度看，黑客首先通過系統(tǒng)存在的的漏洞潛入目標(biāo)的主機，獲得主機權(quán)限；進而控制主機主動連接指定服務(wù)器下載加密key、內(nèi)網(wǎng)掃描工具、暴力破解工具、勒索病毒體等成套工具；隨后會鎖定重要的文件并且向其他主機移動擴大戰(zhàn)果。

二、江民NDR產(chǎn)品在檢測勒索病毒傳播上的特色

江民NDR產(chǎn)品通過流量分析和文件還原檢測技術(shù)，識別勒索病毒的外部入侵、回連控制和內(nèi)部擴散過程。

主要有以下特色：

特色1：結(jié)合人工智能技術(shù)，有效發(fā)現(xiàn)東西向流量中的勒索“投毒”和回連活動。

江民NDR產(chǎn)品通過流量鏡像的方式，對釣魚郵件投放、遠程惡意代碼植入等“投毒行為進行全方位的感知。通過人工智能引擎和獨特的沙箱技術(shù)，可以有效發(fā)現(xiàn)已知和未知勒索病毒。同時，監(jiān)控C&C回連等異常流量，發(fā)現(xiàn)內(nèi)網(wǎng)肉雞與控制端的通信行為。

特色2：監(jiān)控內(nèi)網(wǎng)流量，溯源勒索病毒的內(nèi)網(wǎng)擴散路徑。

通過對內(nèi)網(wǎng)中勒索病毒文件的傳輸過程的還原，可以時間序列單位全網(wǎng)展示內(nèi)網(wǎng)擴散過程。可視化的呈現(xiàn)方式有助于快速定位受感染主機范圍和控制影響。

特色3：內(nèi)置ATT&CK框架，從攻擊者視角發(fā)現(xiàn)未知類攻威脅

江民NDR產(chǎn)品內(nèi)置ATT&CK模型框架，將威脅攻擊匹配至ATT&CK框架的各個攻擊階段，能夠?qū)崿F(xiàn)勒索病毒和其他未知的網(wǎng)絡(luò)流量威脅。

三、對抗勒索病毒，不止步于NDR

江民NDR產(chǎn)品不是“單兵作戰(zhàn)”。江民NDR產(chǎn)品可以聯(lián)合江民終端安全產(chǎn)品，對勒索病毒的落地和執(zhí)行進行阻斷。同時，江民NDR產(chǎn)品還支持將流量日志和分析數(shù)據(jù)輸出到江民XDR大數(shù)據(jù)安全平臺；江民XDR大數(shù)據(jù)安全平臺結(jié)合江民終端安全產(chǎn)品采集的行為數(shù)據(jù)、情報數(shù)據(jù)以及其他設(shè)備的數(shù)據(jù)進行聚合分析和聯(lián)動處置。

江民NDR產(chǎn)品+江民終端安全產(chǎn)品+江民大數(shù)據(jù)安全平臺，形成了勒索病毒全方位的防范、預(yù)警和處置的閉環(huán)能力。

四、關(guān)于江民流量安全團隊

江民流量安全團隊致力于高級威脅對抗的研究，通過大量的實戰(zhàn)經(jīng)驗持續(xù)豐富產(chǎn)品的檢測模型。我們的口號是：不放過任何已知的高級威脅，不停止對未知高級威脅的跟蹤和對抗。