应对电力行业勒索攻击，看亚信安全防勒索方案的3大技战法

来源：中国电力大数据创新联盟会刊

近年来，国际、国内的勒索事件频发，勒索已经成为具备国家背景的团伙组织危害行为，各关基单位需要在原有的实战化安全攻防的基础之上，专项针对数据勒索进行防护体系建设，建立起网络边界、对外业务入口、各业务服务、主机和终端、数据的完整数据防勒索体系，实现快速预警、自动隔离、行为监测、诱捕查杀、自动阻断的智能化的防御体系。

全球电力行业勒索攻击激增

2023年上半年，勒索软件攻击者至少勒索了全球 4.491 亿美元;据分析，电力行业由于效益好、数字化程度高、网络暴露面广、互联网依赖重，已经成为勒索团伙的首选行业之一，且勒索团伙认为攻击更容易得手，攻陷后也更容易拿到赎金;据欧盟的Handelsblat报告分析，2022 年勒索软件攻击能源部门的事件同比翻了一番，电力企业需要重视勒索防护工作，并开展勒索的排查梳理、体系化的勒索预警、防护和整治工作。

勒索流程详细分析

一般的勒索攻击过程还原：（Lockbit组织）

1.突破边界：外网到内网的入

通过社工钓鱼，水坑攻击、社交软件等方式，让用户主动执行，从而突破边界；
通过暴力破解、弱口令等方式突破边界，进入系统内部；
通过web漏洞、SQL注入等方式；
勒索软件被投放至系统内部。

2.持续驻留

利用服务、注册表、Com劫持、计划任务、后门通信、远程控制等方式实现驻留C&C通信和持久化。

3.内网渗透

利用SSH/RDP/SMB暴力破解、SMB漏洞、代码执行、SQLServer远程登录、密码泄露、WMI远程执行、Winrm远程执行、域控组策略推送、端口转发、扫描探测、内网协议等进行横向持续扩散。

4.命令控制

通过端口转发、隧道代理工具、Bencon上线/注册等进行C&C连接以达到命令控制的目的。

5.信息外泄

寻找数据库、虚拟化环境、容器环境里的敏感数据，使用外泄工具进行信息外泄。

6.执行勒索

利用删除卷影、异常流量、Bitsiocker加密、双重勒索窃密数据上报清除事件日志、停用或删除防病毒软件、使用域控下发加密勒索等方式执行勒索加密。

勒索防护措施

防勒索工作内容

防勒索需要充分了解勒索的攻击路径，借助已有的电力标准化的技防体系，通过体系化的能力提升带动勒索防御能力的更替，提高各电力企业防勒索体系化、智能化、整体化的防护水平。

建议电力行业的勒索防止工作从以下几点开展：一、事前减少勒索软件突破口，加固基础安全防护措施，模拟绘制攻击路径，建立常态化的防勒索安全监测体系；二、事中加强病毒监测，同步外部情报，保障病毒分析与查杀的时效性；三、建立基于安全运营平台的，勒索场景联动能力，针对情报协同、样本分析、流量分析、集中监测、事件溯源进行场景化编排，实现设备的联动处置；四、事后及时响应，做好数据的解密及备份恢复工作，降低事件影响、支撑事件复盘。

防勒索排查梳理（事前）

亚信安全的体系化防勒索方案，事前主要是针对不同的主机，如：物理主机、云主机统一部署主机加固软件系统（含数据防勒索模块），在进行进程管控与恶意行为检测的基础之上，还需要具备针对勒索的诱捕、检测、分析、阻断及恢复的能力。

网络边界：1.遵循最小授权原则、收敛网络入口、收敛网络边界防护策略。2.使用SDP网关替代VPN网关。3.部署邮件沙箱和邮件安全网关，过滤钓鱼邮件、勒索邮件。

外网全流量检测：1.更新旁路检测软件版本，增强对勒索软件攻击的检测。2.增加旁路监测设备覆盖所有网络边界流量。3.7*24小时值守，监控高危攻击事件，以及高频暴力破解事件。

内网终端：1.提高终端防病毒软件部署率、病毒库更新频率。2.部署EDR工具，对威胁事件进行溯源分析。3、增加对物理机、虚拟机、安全设备的版本控制，及时更新补丁。

内网全流量检测：增加内网流量旁路监测设备，监控所有安全域的流量，发现威胁在内网横移的可疑活动。

安全服务器：1.通过网管监控平台监控重要安全服务器的通讯端口。2.重要安全服务器退域并部署在物理服务器上。3.重要安全服务器放置于安全管理域，此域需要加强防护。4、部署EDR工具，对威胁事件进行溯源分析。

域控服务器：1.将域控服务器进行安全加固，将访问权限进行统一管理。2.在域控服务器上部署EDR工具，定期对其进行分析。3.通过旁路监测设备监控访问域控区域的可疑行为。

云上资源：1.限制ESXI宿主机的访问权限，并定期更新口令。2.检查ESX的版本，及时更新补丁。3.流量中检测针对ESX的可疑访问和攻击行为。（安全管理服务器及重要业务服务器需要单独部署，与虚拟环境分离。）

防勒索分析应急（事中）

开展勒索的排查梳理以后，在有效排雷的基础之上，针对可能爆发的勒索事件，进行必要的监测、预警、分析、响应。1.通告，对于发现的勒索线索需要及时进行通告，并启用应急响应流程进行对应的排查处置；2.遏制，采取必要的策略更新和对应的措施，从而识别受影响的主机，防止进一步的扩大；3.分析所有的勒索相关的时间事件线索，将勒索的全貌全过程完整呈现，最大化的降低勒索事件的影响，减小损失；4.补救，通过情报、规则、样本等信息的同步，快速达到全网的自愈，通过业务和数据的弹性能力，防止勒索对业务产生影响；5.恢复对于已经加密或者泄露的数据，采取相应的处置措施进行恢复，对于数据泄露需要及时追回；6.报告，事后需要对事件的全过程，影响范围，影响结果等进行深入的分析，并对流程、管理、技防进行加强。

防勒索处置提升（事后）

防勒索是一个体系化的工程，不是一个技术手段就可以实现的，因而需要借用现在先进的“平台+服务+运营”的综合防御能力，技术方面打通各个防御手段，管理上建立快速、敏捷的应急响应和指挥体系，服务上要加强外部情报、外部预警与内部的能力、策略、规则的融合，形成完整、高效的防勒索智能化能力体系。

核心防护能力产品

No.1 亚信安全信桅高级威胁邮件防护系统

邮件附件分析使用多个检测引擎和定制化沙箱检测附件，包括多种 Windows 可执行文件、Microsoft Office、PDF、Zip、Web内容和压缩文件类型等；

文件漏洞检测采用专业检测和沙箱技术发现藏匿在常见办公文档中的恶意软件和漏洞；

定制化沙箱定制化的沙箱可模拟与您桌面系统精确匹配的运行环境，准确地检测到针对贵公司的恶意软件；

嵌入式 URL 分析多级嵌入式 URL 分析通过web信誉检查、内容分析和沙箱模拟可识别嵌入在社交工程邮件以及文档附件中的恶意URL，必要时对目标内容进行扫描和沙箱分析，发现隐蔽下载中使用的重定向、高级恶意软件和漏洞；

智能文件解密使用多种启发式密码提取技术对密码保护的文件附件或压缩附件进行解密；

No.2 亚信安全信舷防毒墙系统

集成双病毒查杀引擎，能够在网络边界，针对Windows和Linux下的挖矿、勒索、木马、蠕虫、灰色软件等病毒进行精准查杀；持续优化高性能自研流扫描引擎和网络威胁检测引擎，有效阻止挖矿攻击及其他网络事件入侵、漏洞利用攻击、APT攻击、C&C外联等恶意行为，能够针对1DAY、NDAY漏洞进行快速响应，有效保护用户网络内部的数据资产安全；集成威胁情报引擎，有效监控挖矿、勒索、APT、病毒、远控、后门等事件，提供丰富的上下文，协助安全运营人员进行深度分析。

新一代勒索软件攻击的本质是APT攻击，具有很强的针对性，攻击者会从多个渠道并行攻击，系统主要从边界侧对勒索攻击进行防护，通过双病毒引擎结合亚信威胁情报库，能有效的识别在网络中传输的勒索软件以及其外联行为，并加以阻断，有效防止勒索软件在网络中扩散。

No.3 亚信安全信桅高级威胁监测系统

集成了亚信安全自主研发的文件扫描引擎--梦蝶引擎。该引擎支持真实文件类型的识别：能够识别300余种文件类型，准确的识别文件类型；支持恶意程序分类：针对检测出的恶意文件，能够给区分类型，如勒索病毒及各变种病毒等；支持多种检测技术结合：支持指纹、特征码、机器学习、云查杀等多种检测技术。可部署在核心交换及汇聚交换机旁路，实现实时监控发现C&C流程传播及外部及内部网络流量中存在的异常行为，进行及时通告，让勒索病毒无法通信。

No.4 亚信安全云主机深度安全防护系统应用软件

通过病毒防护、访问控制、入侵检测/入侵防护、虚拟补丁、主机完整性监控、日志审计、主机加固、资产管理、端点检测响应（EDR）等功能实现云主机的全面防护，可有效防止SSH/RDP/SMB暴力破解、smb漏洞、代码执行、SQLSERVER远程登录、密码泄露、WMI远程执行、winrm远程执行、域控组策略推送、端口转发、扫描探测、内网协议等进行横向持续扩散，从而防止勒索病毒的横向传播，构建对云平台基础架构多层次的综合防护。

No.5 亚信安全信端端点安全管理软件

一是静态检测与动态监测双管齐下。目前的防勒索技术主要采用规则匹配等静态方法进行检测，这样会存在一定误报，并且难以准确识别病毒变种。未来将按照1%至5%的机器采样进行深入动态行为分析，抓取关键系统和应用的API调用链、内存修改等运行痕迹，与静态检测结果实时交叉对比，提高侦测效率和准确率。同时利用大数据技术分析安全行业内外主流的黑客攻击模式，不断丰富和优化规则库。

二是构建“诱饵环境”降低隐蔽期。在隔离的网络环境中，针对各类常见木马和勒索软件构建“诱饵系统”，主动引导它们进行感染、传播或恶意行为，以暴露和分析其运作机制。我们可以进行各类漏洞注入和远控操作的模拟，诱出目标程序的行为特征。提取出有效的特征码后，即可用于后续的检测与防御工作。这可以大大缩短程序在企业网络中的隐蔽期。

三是完善“白名单”与动态更新机制。根据各系统中常见软件和服务的正常调用链，建立详细的预期行为图谱。对无法直接加入白名单的新软件，自动进行虚拟空间隔离以检测运行情况。一旦检测到异常，及时终止其操作。同时设计灵活的机制，能在短时间内将新软件的安全运行模式加入白名单数据库，以防止误报。

亚信安全勒索防护方案价值

亚信安全是国内最“懂云、懂网、懂安全”的智能化研发、服务、运营的专业安全企业，从1995年服务运营商开始，到2015年专注网络安全，利用20年时间实现了软件化、智能化的转型，能力覆盖终端、云、网络、应用、数据的各个安全层面，具备情报、样本、算法、模型、云原生等智能能力，是一家服务金融、电力、大型央国企的综合网络安全厂商。

亚信安全的防勒索体系化方案通过梳理自身的对外暴露资产和攻击面和路径，从而针对性的加强勒索监测能力；同时利用防钓鱼、防注入、防爆破的方式，在入口起到第一道拦阻；而通过内部的全区全域的检测与分析能力，对于任何的勒索异常具备快速的分析和应急能力；同时对勒索目标主机通过加固、诱捕、监控、阻断、备份控制的方式将业务和数据进行专项保护；最后对于勒索行为可以实现快速的预警、检测、分析、处置、恢复的能力，建立可自愈、有弹性的智能安全体系；最后通过智能工具、专业服务，形成可覆盖事前中后、具备智能化和体系化的勒索专项防御能力。