提效50%！奇安信发布椒图服务器防勒索专版

日前，驰安信集团召开花椒地图服务器安全管理系统——防勒索特别版产品发布会，推出针对勒索攻击防护的服务器端安全产品新产品针对勒索软件的攻击链和行为特征提供了多维度的防护方案，防护效果更好，针对勒索软件攻击的针对性更强，并提供不同操作系统和业务环境的场景配置模板，让产品快速上线，同时，新版本还对系统资源分配进行了深度优化，使管理中心对CPU/内存等资源的分配需求降低50%，支持的服务器数量增加50%，大大降低了产品的部署门槛

伴随着企业数字化进程的加快，信息安全的威胁和风险也迅速增加，网络攻击越来越多，漏洞和攻击入口无处不在，尤其是最近几年来敲诈勒索攻击事件频发，破坏力和影响力越来越大数据显示，超过三分之二的企业在过去一年中经历过至少一次勒索病毒攻击仅2022年上半年，全球就发生了2.361亿次勒索病毒攻击国外安全机构甚至预测，到2031年，全球勒索软件勒索活动造成的潜在总损失可能达到10.5万亿美元勒索软件已经成为全球头号威胁，对抗勒索攻击刻不容缓

据奇安信资深服务器安全专家董力介绍，传统的对抗勒索软件的方式是使用杀毒软件或者数据备份，但这两种方式都有一定的局限性:

杀毒软件依靠特征和病毒库，对已知病毒有很好的防护效果，但在对变形和新型病毒的防护上有所滞后据奇安信反病毒R&D和运营中心统计，2022年，国内活跃的前50大勒索软件家族将出现超过1500万次，每个家族都将不断推出变种和新的勒索软件一旦出现新的变种，很容易导致服务器的二次感染，就像人类感染奥地利一样

同样，使用数据备份来防御勒索攻击，属于被动防御的思路，对备份数据的有效性和实时性要求极高，尤其是一些高交互的业务，实时备份难度极大另外，备份系统也部署在内网，容易被攻击者攻击

因此，针对目前保护方案的瓶颈，Chianxin提出了观其行，断其道，挖其根的理念，打造新一代保护方案。

注意你的所作所为——洞察勒索软件的攻击链和行为。

据奇安信服务器安全团队统计，勒索病毒入侵服务器的方式有多种，包括:终端突破，暴力破解，系统和通用组件漏洞利用，webshell上传和供应链攻击等此外，针对集中式设备和安全设备的攻击也在逐年增加

勒索病毒攻击链包括7个阶段，即检测踩点，制定策略，进行部分入侵，渗透内网，定位目标，达到目的，稳定权限，每个攻击阶段都有不同的攻击手段组合比如在获取网络访问权限阶段，可以利用RDP，SSH等远程桌面暴力破解或攻击高危端口，获得一定权限后，勒索病毒会通过webshell和代理隧道登陆，然后通过内网渗透进一步污染更多服务器，从而达到目标系统，实施绞杀攻击

斩断后路——彻底切断勒索病毒的攻击和传播途径。

在确认自己被勒索病毒攻击后，需要切断道路干扰勒索病毒的攻击和传播，包括防入侵，防破坏，防传播三个重点。

防范入侵的关键是管理好攻击面伴随着业务的快速扩张，不仅仅是服务器的数量，攻击面也在不断扩大攻击面管理的第一步是找出资产通过本地识别和网络扫描，Jiaotu可以准备识别许多核心资产，包括配置信息，帐户，应用程序，进程和端口目前，被认定的资产已达18类400多项一方面，它可以把握整体资产状况，避免影子it的发生另一方面，它也可以快速检查和处理资产比如centos8停服后，可以通过花椒地图快速筛选出商业环境中仍在运行的centos8系统，做下线或加固

在全面掌控资产信息的基础上，角途可以根据资产版本和运行情况及时做出安全风险判断，包括弱密码amp密码重用，危险端口暴露，漏洞amp补丁等，但仅仅识别风险是不够的例如，由于修复漏洞在很多情况下需要重启应用甚至服务器，因此不适合高连续性的业务展示为了解决这些行业问题，骄途引入了虚拟补丁功能，在内核态实现了基于WFP框架/Netfilter框架的引流功能，在应用态将进出流量通知给IPS引擎，利用IPS引擎对流量进行检测和保护可以防止黑客利用漏洞攻击服务器而不进行物理补丁和重启，可以真正实现资产—风险发现—物理补丁—虚拟补丁的闭环管理

董力指出，通过webshell上传勒索文件是黑客常用的入侵方式，也可以说是对上传勒索文件的前期攻击所以防御webshell是防御勒索病毒攻击的重点花椒地图在服务器端采用动静结合的方式，首先会检测webshell的静态特征包括快速哈希匹配，基于词法分析的模糊哈希匹配，静态污点跟踪等，可以快速找到已知的web shell，同时会基于本地和管理中心沙箱以及基于流量检测的动态技术RASP来识别变形和加密的web shell同时，在内核层，花椒地图还采用了安全加固技术，可以定制限制网页目录，根目录等关键位置的冗余权限，进一步限制webshell和勒索软件的执行

近几年也出现了无文件webshell，比如冰蝎这种恶意代码隐藏在系统的正常应用中，在服务器上没有独立的文件形式，很难被传统的检测手段发现因此，针对这种攻击，花椒地图采用了内存马动态检测技术，可以快速扫描并清除隐藏在中间件，powershell，vbs等本地应用中的恶意代码，从而有效防止webshell和勒索软件的隐藏和执行

防传播就是及时隔离被感染的服务器，防止疫情大规模传播据董力介绍，勒索攻击的第一个突破口往往是边界服务器，而不是实施勒索操作的核心内网所以需要通过进一步的内网渗透来达到目的，这也是我们切断勒索攻击链条的关键点就像在抗击新冠肺炎的过程中，一旦发现病毒阳性个体，要及时在家隔离或集中，防止疫情扩散

花椒地图将首先识别并屏蔽钴击，PsExec等横向攻击常用工具，同时利用微隔离技术限制访问源微隔离的两大核心功能:端口白名单，可以限制服务器的指定端口只能被特定的ip或ip段访问，进程白名单可以限制服务器对外服务进程，只能访问特定的ip或域名，实现网络内外双向控制，有效防止勒索病毒在服务器之间，服务器与容器之间非法移动

结合诱饵文件，诱饵过程等多维度的勒索病毒防护技术，花椒地图反勒索特别版形成了防入侵，防破坏，防传播的立体防护体系，有效实现了断路。

挖其根源——彻底清除病毒，让服务器健康

通过观其行为，断其路径，一方面可以有效阻止勒索病毒登陆，另一方面，即使勒索病毒确实登陆，花椒地图也可以阻止其执行和横向传播，最后，要彻底清除勒索病毒，让服务器真正健康。

在反病毒引擎的激活上，骄途考虑到业务优先的原则，让业务以最小的损失获得安全保护，所以采用了本地查杀和控制台查杀的双模式查杀模式，可以自由切换本地查杀模式实时性高，杀毒引擎在服务器本地，对系统资源的消耗比较高，适合资源相对充裕的场景控制台查杀模式在管理中心采用异步查杀和反病毒引擎，对系统资源消耗低，适用于服务器系统资源富余且相对紧张的场景保证不会因为系统资源不足而导致安全功能的缺失

就像人类过去，现在，未来都会对抗病毒一样，服务器端对抗勒索病毒也将是一个持续的过程，新的攻击方式，新的变种病毒会不断出现但只要把握住观其行，断其道，掘其根的九字方针，就一定能在实际攻防中占得先机