天津鸿萌科贸发展有限公司是科力锐数据安全产品的授权代理商。
科力锐勒索拦截系统设置五道防线,对勒索病毒进行层层拦截。通过采用真实的勒索攻击测试,查看主机文件是否被加密,可以验证其勒索拦截有效性和产品价值。
本文是科力锐勒索拦截系统的真实攻击拦截测试报告。
勒索拦截系统基于已知勒索行为DNA指纹库,针对文件系统层操作系统层、磁盘读写层进行全方位动态追踪检测,快速检测已知勒索病毒。
检测原理:
仅有一款杀毒软件提示报警,证明并不是所有的杀毒软件都能对已知勒索病毒防护,主要取决于规则库的大小,而基于规则库的防护,一定具有滞后性!
打开测试文件,验证测试文件处于正常状态,随后运行勒索病毒,勒索拦截系统出现弹窗告警:检测到已知勒索病毒,触发已知勒索防护规则,并且已经自动将此病毒阻止并隔离,测试文件也未被加密。说明勒索拦截系统能够对这款已知勒索病毒进行拦截阻断。
基于AI智能学习技术,为每个主机建模分析,生成唯一的合法行为DNA特征库,任何非法行为将会触发深度检测及告警,精准识别未知勒索病毒。
检测原理:
1、将客户提供未知勒索病毒拷贝到现有防护措施主机VM2中,检验传统杀毒软件对最新未知病毒的拦截效果;
运行该最新未知勒索病毒,传统杀毒软件未出现弹窗告警。随后点开测试文件,显示被加密无法打开,说明传统杀毒软件无法查杀这款最新未知勒索病毒。
2、再将该病毒拷贝到刚刚安装勒索拦截系统主机VM3中,检验勒索拦截系统对最新未知勒索病毒的拦截效果;
运行该最新未知勒索病毒,勒索拦截系统出现弹窗告警:检测到疑似勒索软件\病毒行为,触发未知勒索防护规则。此时,我们也可对此病毒进行阻止、隔离、挂起等操作。随后点开测试文件,显示未被加密,说明勒索拦截系统能够拦截阻断掉这款最新未知勒索病毒。
智能部署诱饵文件,发现勒索病毒即生成“诱饵森林”,通过图遍历算法让诱饵文件的读取加密进入循环,阻塞勒索进场,拦截勒索操作。
在部署方式上,传统安全厂商只在关键的文件目录下部署诱饵文件,存在勒索病毒跳过的问题。而科力锐诱饵文件通过静态部署与动态投喂相结合的方式,可有效避免诱饵文件被跳过。针对静态部署而言,除了在临时目录、临时文件夹下不投放诱饵文件,其余文件目录下均会投放诱饵文件,形成诱饵森林,勒索病毒无论加密那个文件目录,均会碰到诱饵文。同时,针对勒索病毒再加密文件时会磁盘遍历这一特性,通过动态投喂的方式,改变多阶B+树关键码指向,将诱饵文件主动投喂给勒索病毒,使得勒索病毒加密时会首先加密诱饵文件。通过静态部署和动态投喂的方式,让勒索病毒无处可逃。
同时,为了避免使用人员的误操作,对诱饵文件做了隐身处理,诱饵文件对于正常操作者来说是不可视的,需要借助能看见文件系统的第三方软件,比如CFF打开目录,才可以看到。
检验重复加密的有效性;
传统的厂商的诱饵文件是一次性的,被加密之后就无效了,抵挡不住多次重复攻击。针对刚刚的文件目录,可以看到诱饵文件是处于被加密的状态,为了验证科力锐诱饵文件重复加密的有效性,我们再去运行另外一款最新的未知勒索病毒。此时诱饵文件以及被加密诱饵文件的修改日期,可以看到是15点59分。随机,再去运行另外一款未知勒索病毒,和刚才一样,出现弹窗告警:已发现未知勒索病毒,触发未知勒索规则,再此查看诱饵文件时间,显示是16点01分,并且原来测试文件也都显示正常,未被加密,说明新的诱饵文件生效,将此未知勒索病毒拦截阻断掉了。证明了重复加密的有效性。
攻击行为实时上报,处置策略一键下发,高危进程、异常文件、感染主机有效隔离等操作,对威胁快速响应处置。
如今勒索病毒肆虐,有个很重要的原因就是采用了进程注入技术,可以将病毒行为注入到现有合法进程中,模拟现有进程进行加密勒索行为。这也是让很多基于进程黑白名单去做勒索病毒防护失效的技术。进程黑白名单不仅配置起来复杂,需要一个个进程去配置,而且很难防范进程注入、隐藏到正常进程里面的勒索病毒。而我司采用的是进程DNA技术,即进程本身和进程所依赖的环境来共同判断是否是可疑行为。即便是一个已知进程,但是他做出了一些破坏文件的高位行为、他的进程堆栈依赖是不可信是未授权的,我们依然会对其深入检测或者拦截阻断,从而有效防范进程注入、隐藏到进程中的病毒。
可为文件、应用、磁盘提供可信安全保障,非授权不能读、写、删除、拷离可信安全区,非授权无法调用可信安全区内的API接口。
1、目录可信安全区:只能新增文件,无法改写、删除、拷离可信安全区;
将某个文件目录配置为可信安全区之后,那在这个文件目录可信安全区里面,就只能去新增文件,无法对该文件目录里的文件进行改写、删除、以及拷离。适用于历史的财务数据、历史的客户信息/订单信息、PACS业务系统等不需要频繁修改的文件/数据/业务系统等。 同时,为了便于使用人员对于目录里面的文件的首次创建及修改,在管控平台可以设置目录可信安全区允许改写和删除时长,比如设置10分钟,意思就是在10分钟内是允许对该文件改写和删除的,超过这个时间,将不在允许任何程序改写、删除、拷离。
2、应用可信安全区:SQLserver数据库中的数据只能被SQLserver的进程或自定义进程进行改写和删除,恶意程序CFF无法改写
当配置了SQL SERVER数据库为可信安全区后,SQL Server数据库中的数据就只能被SQLserver的进程或者配置的其他进程进行改写和删除,当然是在合法进程环境下,如果SQLserver的进程被注入,也是无法对数据库数据进行改写和删除的。