安全行动,只为中国(二)—— 勒索攻击等黑产活动分析响应处置篇
时间 : 2024年10月04日
国庆75周年之际,安天CERT将安全事件处置、重大事件研判、高级威胁分析等方面的历史工作进行汇聚梳理。以总结经验、提炼规律、改善不足,让我们后续的分析和响应工作,能更有效的支撑国家安全斗争。
威胁分析响应,是安天重要的能力频谱。安天面向攻击活动、攻击装备和威胁行为体,展开威胁感知、捕获、分析、处置、溯源、报送、曝光等系列工作,持续推动核心引擎和产品与服务能力迭代改进,有效支撑公共安全治理和国家安全斗争。
2004年,安天以病毒分析组为基础,组建了安天应急处理小组,后更名为安天安全研究与应急处理中心,即安天CERT。按照“第一时间启动,同时应对多线威胁,三体系联动,四作业面协同”的工作原则,构建了工作机制。面向重大安全事件和高级威胁响应处置,形成了整体战备动员机制。安天已经连续八届(十六年)蝉联国家互联网应急中心国家级(甲级)支撑单位。
今天带来,安天应急处置与威胁分析工作轨迹的第二部分——勒索攻击等黑产活动分析响应处置篇。
经济获利一直是网络攻击活动的主要动力来源之一,围绕侵害信息系统、信息资产和用户形成了网络黑灰产的犯罪体系。由此产生了勒索攻击、商业窃密、构造僵尸网络进行DDoS攻击、挖矿等多种威胁形势。
其中勒索攻击是网络犯罪中当前危害最大的一种形势,勒索攻击的早期模式,是通过勒索病毒或内置勒索代码的软件,感染扩散或分发,发作后用户数据被加密或系统瘫痪,交付赎金后完成的。但今天勒索攻击的主要形式已经以RaaS(勒索即服务)+定向攻击为主,攻击者对受害者实施定向入侵、数据窃取、数据加密和破坏系统等活动,之后以用户系统数据无法使用、数据贩卖、数据公开、关联举报等为要挟,要求用户支付大量赎金。
提升用户应对勒索攻击等黑灰产活动的感知和防御能力,一直是安天引擎和政企产品和服务能力的重要频谱,而跟进分析相关重大安全事件、提供公共安全知识、提升用户意识和防护水平则也是安天在应急响应处置中重要的支撑能力频谱,通过开展攻击活动感知、样本捕获分析、漏洞机理和缓解研究、威胁情报生产、发布专杀处置工具、公布分析报告等工作,为客户和公众提供安全赋能。
勒索攻击等黑产活动分析响应处置篇
2006年
事件:Redplus勒索
贡献:率先捕获国内首个勒索攻击样本
2013年
事件:CryptoLocker勒索
贡献:分析报告
2016年2月
事件:首例具有中文提示的勒索攻击
贡献:率先捕获、首例中文提示勒索
2017年5月
事件:魔窟“WannaCry”
贡献:首发完整分析、专杀、免疫工具、内存密钥提取(恢复)工具、溯源支撑
WannaCry病毒形象
更多内容参见:
2021年5月-7月
事件:美燃油管道商遭勒索攻击关停事件
贡献:防护建议、样本分析、事件梳理和总结
DarkSide勒索攻击勒索信
更多内容参见:
2021年9月
公共支撑:中国信通院《勒索病毒安全防护手册》
贡献:电信、移动、联通、安天、安恒、奇安信、绿盟等
勒索病毒安全防护手册
2021年11月
工作:勒索攻击和危害专题
贡献:勒索攻击专题
智甲终端防护系统防御勒索病毒原理示意图
更多内容参见:
《从八个方面认识勒索攻击和危害》之一:勒索攻击中的四种分工角色
《从八个方面认识勒索攻击和危害》之二:勒索攻击的两种典型模式
《从八个方面认识勒索攻击和危害》之三:惯用传播方式与侵入途径
《从八个方面认识勒索攻击和危害》之四:“勒索攻击杀伤链”分析
《从八个方面认识勒索攻击和危害》之五:四种主要勒索类型
《从八个方面认识勒索攻击和危害》之六:重要攻击特征
《从八个方面认识勒索攻击和危害》之七:十类典型家族
《从八个方面认识勒索攻击和危害》之八:勒索攻击的发展趋势
2022年11月
工作:挖矿家族研究
贡献:挖矿专题
更多内容参见:
2023年3月-至今
事件:“游蛇”黑产团伙
贡献:率先捕获、分析报告、专杀工具、普查工具
“游蛇”黑产团伙形象
更多内容参见:
2023年12月
事件:波音遭遇勒索攻击
贡献:威胁趋势分析、分析复盘、防御思考、样本分析
波音遭遇勒索攻击事件分析复盘
更多内容参见: