安全行动,只为中国(二)—— 勒索攻击等黑产活动分析响应处置篇

安全行动,只为中国(二)—— 勒索攻击等黑产活动分析响应处置篇

时间 :  2024年10月04日


国庆75周年之际,安天CERT将安全事件处置、重大事件研判、高级威胁分析等方面的历史工作进行汇聚梳理。以总结经验、提炼规律、改善不足,让我们后续的分析和响应工作,能更有效的支撑国家安全斗争。

威胁分析响应,是安天重要的能力频谱。安天面向攻击活动、攻击装备和威胁行为体,展开威胁感知、捕获、分析、处置、溯源、报送、曝光等系列工作,持续推动核心引擎和产品与服务能力迭代改进,有效支撑公共安全治理和国家安全斗争。

2004年,安天以病毒分析组为基础,组建了安天应急处理小组,后更名为安天安全研究与应急处理中心,即安天CERT。按照“第一时间启动,同时应对多线威胁,三体系联动,四作业面协同”的工作原则,构建了工作机制。面向重大安全事件和高级威胁响应处置,形成了整体战备动员机制。安天已经连续八届(十六年)蝉联国家互联网应急中心国家级(甲级)支撑单位。

今天带来,安天应急处置与威胁分析工作轨迹的第二部分——勒索攻击等黑产活动分析响应处置篇

经济获利一直是网络攻击活动的主要动力来源之一,围绕侵害信息系统、信息资产和用户形成了网络黑灰产的犯罪体系。由此产生了勒索攻击、商业窃密、构造僵尸网络进行DDoS攻击、挖矿等多种威胁形势。

其中勒索攻击是网络犯罪中当前危害最大的一种形势,勒索攻击的早期模式,是通过勒索病毒或内置勒索代码的软件,感染扩散或分发,发作后用户数据被加密或系统瘫痪,交付赎金后完成的。但今天勒索攻击的主要形式已经以RaaS(勒索即服务)+定向攻击为主,攻击者对受害者实施定向入侵、数据窃取、数据加密和破坏系统等活动,之后以用户系统数据无法使用、数据贩卖、数据公开、关联举报等为要挟,要求用户支付大量赎金。

提升用户应对勒索攻击等黑灰产活动的感知和防御能力,一直是安天引擎和政企产品和服务能力的重要频谱,而跟进分析相关重大安全事件、提供公共安全知识、提升用户意识和防护水平则也是安天在应急响应处置中重要的支撑能力频谱,通过开展攻击活动感知、样本捕获分析、漏洞机理和缓解研究、威胁情报生产、发布专杀处置工具、公布分析报告等工作,为客户和公众提供安全赋能。

勒索攻击等黑产活动分析响应处置篇

2006年

事件:Redplus勒索

贡献:率先捕获国内首个勒索攻击样本

2013年

事件:CryptoLocker勒索

贡献:分析报告

2015年8月

事件:CTB-Locker敲诈者

贡献:分析报告

CTB-Locker勒索形象

更多内容参见:

"攻击WPS样本"实为敲诈者

2015年8月

工作:分析梳理勒索攻击的历史

贡献:勒索攻击分类、演进史、威胁趋势、家族分析

更多内容参见:

揭开勒索软件的真面目

2016年2月

事件:首例具有中文提示的勒索攻击

贡献:率先捕获、首例中文提示勒索

2018年2月

事件:GandCrab勒索

贡献:深度分析报告、加密原理分析

更多内容参见:

GANDCRAB勒索软件着眼“达世币”,安天智甲有效防护

2018年2月

事件:GlobeImposter勒索

贡献:动态解密原理分析

GlobeImposter勒索病毒形象

更多内容参见:

警惕GlobeImposter勒索软件,安天智甲有效防护

2019年3月

事件:国际黑产组织针对部分东亚国家金融从业者攻击

贡献:事件分析、样本分析、组织关联与画像

TA505组织形象

更多内容参见:

国际黑产组织针对部分东亚国家金融从业者攻击活动的报告

2019年6月

事件:勒索攻击Sodinokibi运营组织的关联贡献:组织归因、关联分析

Sodinokibi勒索形象

更多内容参见:

勒索软件Sodinokibi运营组织的关联分析

2019年10月

事件:Phobos勒索变种

贡献:样本归因、家族演进史

Phobos勒索变种形象

更多内容参见:

Phobos勒索软件变种分析报告

2020年4月

事件:WannaRen勒索攻击

贡献:捕获预警、分析报告、追踪溯源

WannaRen勒索攻击弹窗显示

更多内容参见:

针对WannaRen勒索软件的梳理与分析

2021年2月

事件:“云铲”挖矿木马

贡献:联合发布、样本分析、处置方案

更多内容参见:

针对某云平台服务器的“云铲”挖矿木马事件分析

2021年5月-7月

事件:美燃油管道商遭勒索攻击关停事件

贡献:防护建议、样本分析、事件梳理和总结

DarkSide勒索攻击勒索信

更多内容参见:

关于美燃油管道商遭勒索攻击关停事件的初步研判和建议

关于美燃油管道商遭勒索攻击事件样本与跟进分析

针对美燃油管道商遭勒索攻击关停事件总结

2021年7月

事件:“幻鼠”组织窃密攻击

贡献:全球监测、流程分析、样本分析

“幻鼠”组织形象

更多内容参见:

“幻鼠”组织针对我国的窃密攻击活动分析

2021年8月

事件:Agent Tesla新型变种

贡献:捕获预警、分析报告

更多内容参见:

商业窃密木马Agent Tesla新型变种分析

2021年9月

公共支撑:中国信通院《勒索病毒安全防护手册》

贡献:电信、移动、联通、安天、安恒、奇安信、绿盟等

勒索病毒安全防护手册

2021年10月

事件:FormBook窃密木马攻击

贡献:捕获预警、分析报告

更多内容参见:

对某单位遭受投递FormBook窃密木马的分析报告

2021年11月

事件:RedLine窃密

贡献:传播途径、分析报告

更多内容参见:

通过视频网站传播的RedLine窃密木马分析通过视频网站传播的RedLine窃密木马跟进分析

2021年11月

工作:勒索攻击和危害专题

贡献:勒索攻击专题

智甲终端防护系统防御勒索病毒原理示意图

更多内容参见:

《从八个方面认识勒索攻击和危害》之一:勒索攻击中的四种分工角色

《从八个方面认识勒索攻击和危害》之二:勒索攻击的两种典型模式

《从八个方面认识勒索攻击和危害》之三:惯用传播方式与侵入途径

《从八个方面认识勒索攻击和危害》之四:“勒索攻击杀伤链”分析

《从八个方面认识勒索攻击和危害》之五:四种主要勒索类型

《从八个方面认识勒索攻击和危害》之六:重要攻击特征

《从八个方面认识勒索攻击和危害》之七:十类典型家族

《从八个方面认识勒索攻击和危害》之八:勒索攻击的发展趋势

2021年11月

事件:H2Miner组织挖矿

贡献:样本分析、排查建议

更多内容参见:

双平台传播——活跃的H2Miner组织挖矿分析

2021年12月

事件:Conti勒索

贡献:组织介绍、梳理受害者信息、样本分析

Conti勒索攻击勒索信

更多内容参见:

Conti勒索软件分析报告

2022年2月

事件:Coffee勒索攻击

贡献:样本分析、全球感染情况、解密工具

Coffee勒索攻击勒索信

更多内容参见:

Coffee勒索软件持续活跃,安天发布解密工具

2022年3月

工作:商业窃密木马专题

贡献:专题研究

更多内容参见:

商业窃密木马综合分析报告

2022年9月

事件:“魔盗”窃密木马大规模传播

贡献:联合发布、风险提示、感染规模、样本分析

更多内容参见:

关于“魔盗”窃密木马大规模传播的风险提示

2023年5月

事件:Akira勒索攻击

贡献:勒索攻击概览、技术梳理

Akira勒索攻击勒索信

更多内容参见:

疑似使用定向攻击模式的Akira勒索软件分析

2023年6月

事件:Diicot挖矿组织近期攻击

贡献:监测预警、联合发布

更多内容参见:

Diicot挖矿组织近期攻击活动分析

2023年11月

事件:LockBit勒索攻击贡献:样本分析、定向勒索防御思考

LockBit勒索攻击修改桌面背景

更多内容参见:

LockBit勒索软件样本分析及针对定向勒索的防御思考

2023年12月

事件:波音遭遇勒索攻击

贡献:威胁趋势分析、分析复盘、防御思考、样本分析

波音遭遇勒索攻击事件分析复盘

更多内容参见:

波音遭遇勒索攻击事件分析复盘——定向勒索的威胁趋势分析与防御思考

2024年1月

事件:“暗蚊”黑产团伙

贡献:全球监测、活动时间线、攻击流程、样本分析

更多内容参见:

“暗蚊”黑产团伙通过国内下载站传播Mac远控木马攻击活动分析

2024年5月

安全服务:安天勒索防治演练贡献:勒索防护专题、勒索防治演练服务

安天勒索防治演练服务概述

更多内容参见:

反勒索 新抓手 | 安天勒索防治演练服务

2024年5月

事件:“匿铲”挖矿木马

贡献:样本分析、排查与清除方案

更多内容参见:

“匿铲”挖矿木马活动分析

2024年9月

事件:RansomHub勒索攻击

贡献:组织背景、组织归因

RansomHub组织RaaS计划

更多内容参见:

活跃的RansomHub勒索攻击组织情况分析