一切没有经过验证的安全措施,都是不可靠的-兼谈防勒索能力安全验证思路

资讯 3个月前 admin
24 0 0

0x1 勒索事件成功关键

某种意义上,没有比勒索软件更能体现安全价值的形式。

勒索事件成功的关键:漏洞利用+防护失效。


1)漏洞利用:

攻击者利用软件、系统或网络中的漏洞或弱点,通过某种方式来执行恶意代码或获取未授权的访问权限。

漏洞是软件或系统中存在的错误、缺陷或不安全的设计,可以被攻击者利用来获得未经授权的权限或执行恶意操作。

2)防护失效:

从纵深防御的角度出发,针对边界安全,流量安全,主机安全等部署了众多的安全设备,在实际的安全运营过程中,还是有很多的攻击,威胁并没有被拦截,或者及时的产生告警。所有安全事件的发生,安全防护都存在失效。

通俗的说:勒索事件的发生,是因为存在漏洞被利用,以及安全防护措施失效(没防住),两个因素共同作用导致。

降低或消除两个因素中的任何一个,都可以起到降低勒索事件发生的效果。

除了漏洞及时修复,提高勒索软件防护措施有效性也是非常必要的。况且漏洞是无法完全杜绝,如果漏洞能被完全杜绝,那安全也没有存在的必要了。

所以除了重视及时修复漏洞外,验证并提升防勒索能力,也很有必要。

进一步扩展思考:

一切没有经过验证的安全措施,都是不可靠的,靠概率和运气活着。
聂君


0x2 如何验证防勒索能力

正向安全措施+反向安全验证,构成了防勒索能力闭环。

一切没有经过验证的安全措施,都是不可靠的-兼谈防勒索能力安全验证思路

一切没有经过验证的安全措施,都是不可靠的-兼谈防勒索能力安全验证思路

针对勒索软件的检测和防范有多种常见方案,包括:情报域名解析、情报样本分析、诱饵文件以及勒索软件行为分析等。须对每⼀种方案进行的验证。以下分别详述验证思路:
  1. 情报样本类

    勒索软件在执行之前,将自身下载到受害者的系统中,然后开始执行恶意行为。通过威胁情报获取恶意样本,利用样本对比进行静态特征检测,识别和拦截勒索软件。

  2. 情报域名解析类

    勒索软件运行中与特定的控制端、信息回传端或数据外泄端进行通信,并发送受害者信息,过程通常涉及与恶意域名的交互。通过威胁情报获取这些恶意域名,并利用流量检测设备侦测网络中的通信流量。通过“DNS 劫持”将恶意域名解析到“⿊洞IP”,中断与控制端的连接,遏制勒索软件的传播和扩散。

  3. 诱饵文件有效性

    勒索软件在执行过程中,会进行磁盘目录扫描遍历查找关键文件、利用加密算法进行加密,也会遍历EDR、杀软提前布控的诱饵⽬录进行加密,当勒索软件对诱饵目录进行加密时,EDR、杀软会进⾏拦截并告警,可以直接通过加密诱饵目录下的文件来判定诱饵文件是否有效。

  4. 勒索软件行为分析类

    勒索软件在执行过程中,会进行磁盘目录扫描遍历查找关键文件、利用加密算法进行加密、加密后对原始⽂件进行修改或删除等操作,同时还具备检测对抗。部署杀毒软件/EDR类产品进行查杀与之对抗。

0x3 验证结果

正向安全措施+反向安全验证,构成了防勒索能力闭环。

自动化验证结果如下:

一切没有经过验证的安全措施,都是不可靠的-兼谈防勒索能力安全验证思路

一切没有经过验证的安全措施,都是不可靠的-兼谈防勒索能力安全验证思路

一切没有经过验证的安全措施,都是不可靠的-兼谈防勒索能力安全验证思路

一切没有经过验证的安全措施,都是不可靠的-兼谈防勒索能力安全验证思路

一切没有经过验证的安全措施,都是不可靠的-兼谈防勒索能力安全验证思路

常见失效点举例:

1、终端防病毒除一些常见恶意样本投递外,文件落盘、执行等常见攻击均无法进行有效阻断

事件排查:用户侧使用某品牌的防病毒设备,因为设备服务端部署在linux的虚拟机上,所以导致设备只有投递拦截的能力,没有沙箱检测能力,导致检测拦截能力降低,且用户侧无感知。

失效影响:导致用户侧的防病毒、防勒索软件,除一些常见恶意样本投递外,对文件落盘、执行等常见攻击均无法进行有效拦截或检测,从而造成防护失效。

2、防病毒告警日志未写入SOC平台

事件排查:验证执行的过程中,安全验证平台能够接收到防病毒告警并验证成功,但在SOC平台中没有防病毒相关告警信息,经排查发现,防病毒服务端升级过程中,Syslog外发地址配置错误,导致防病毒告警日志无法外发到SOC平台。

失效影响:导致用户后续安全运营过程中,碰到终端侧相关攻击事件后,在SOC平台无法正常获取防病毒告警日志,对威胁处置产生影响,从而造成防护失效。

3、终端发现终端防护几乎对恶意样本和勒索软件无拦截阻断能力

事件排查:用户侧由于进行的终端安全设备版本升级,升级后部分服务未升级成功,引擎和服务版本不一致导致部分数据对接不匹配的情况,策略上未开启实时防护,造成检测能力大幅度降低。并且对已发布勒索软件最新版本(Lockbit3.0版本),不具备检测告警能力,但用户侧服务均正常运行,所以此安全隐患一直未发现。

失效影响:导致用户日常防护的能力下降,且用户侧仅在每日的晚上十点开启全盘扫描,会造成日常防护仅在EDR上告警,同时对应最新升级的相关恶意软件和勒索软件没有防护能力,从而造成防护失效。

更多安全失效点,敬请期待《安全有效性失效案例集》

知其安一直都有防勒索能力验证场景:过模拟勒索软件关键行为,自动化对比防护能力是否健之前制造业用比较最近协助很多金融机构紧急做防勒索能力验证,看看防勒索能力有哪些缺失,并根据验证结果针对性完善防护能力和策略。目前已经具备的安全验证场景包括:

边界安全、主机安全、终端安全、流量安全、容器安全、云安全、邮件安全、防勒索能力、访问控制隔离、开发安全、供应链安全、身份安全、数据安全、信创安全。

欢迎扫码联系技术交流,公众号留言:防勒索

一切没有经过验证的安全措施,都是不可靠的-兼谈防勒索能力安全验证思路

传送门:

安全验证,实现安全运营闭环实践


原文始发于微信公众号(君哥的体历):一切没有经过验证的安全措施,都是不可靠的-兼谈防勒索能力安全验证思路

版权声明:admin 发表于 2023年11月29日 上午12:00。
转载请注明:一切没有经过验证的安全措施,都是不可靠的-兼谈防勒索能力安全验证思路 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...