0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

从检测角度思考美燃油管道商遭勒索攻击事件

清欢科技 来源: 清欢科技 作者: 清欢科技 2022-10-12 19:39 次阅读

2021年5月7日,美国最大成品油管道运营商Colonial Pipeline遭到Darkside(黑暗面组织)勒索软件的网络攻击,该起攻击导致美国东部沿海主要城市输送油气的管道系统被迫下线,对经济和民生都产生了巨大的影响后果。这次攻击其实并没有利用到0DAY漏洞,甚至也没有利用到任何已知漏洞。如何检测和防范类似的或更加隐蔽的网络安全攻击事件值得我们深思。

根据安天CERT对勒索攻击的分类,包含既有 传统非定向勒索的大规模传播->加密->收取赎金->解密模式 ,也有定向攻击->数据窃取->加密->收取赎金解密->不交赎金->曝光数据模式的新型作业链条两种。相对来说非定向勒索更多的是通过广撒网的方式来碰运气,这种方式的攻击力相对弱一些,主要攻击安全基线做的不够好而导致系统存在明显的薄弱环节,而定向勒索的攻击力就强很多,可以和APT攻击相提并论,同时也针对一些高价值的目标系统。

基于立体防御“ 事前、事中、事后 ”的思路,下面分别从这3个层次分别来讲述安全检测能做哪些事情来防范;

从检测角度来看,“事前”如何尽可能的提前感知到系统的薄弱位置进行加固,防范于未然是最好的;另外加强人的安全防范意识也是非常重要的,这次能攻击成功的一个前置条件就是需要有admin权限的人来运行该勒索软件,因此不要运行来路不明的应用是大家平时工作中特别需要强调和注意,针对利用漏洞的攻击行为,系统安全就更为关键和重要了。

非定向勒索攻击 ,更多的是做好 系统安全基线的评估 ,其中关键点是补丁和系统安全加固的检测和风险评估。

能实现这两种检测的黑盒工具:

· 动态检测商用工具有Nessus、Nexpose、RSAS、GSM、openVAS等

· 静态已知漏洞检测商用工具有appcheck、cybellum等。

另外针对漏洞等级和漏洞修复优先顺序的评估和关键资产的补丁修复跟踪系统这块也是需要加强和重视。

定向勒索攻击 ,同APT检测一样,需要更多的威胁情报入侵检测纵深防御与检测能力,而不仅仅只依赖单一的动静态检测工具就能做到的。

既然无法完全防御住“事前”,那么针对“事中”的监控和“事后”的确认,从检测角度看也是很有必要的。基于Darkside勒索软件样本的分析结果,针对勒索软件的 特有行为特征 ,可以开发一些针对性的方法和检测工具,实现该勒索软件 行为的实时监测 ,从而能实现及时的触发报警系统,减轻或避免勒索软件的横向渗透导致感染面积的扩散。

下面就这个勒索软件的表现出来的异常行为特征我想到的一些检测方法,给大家起到一个抛砖引玉作用。

软件行为1 :Darkside勒索软件会有系统语言判定行为。

检测方法1 :监测软件获取系统语言的API,从而发现那些调用该API获取系统语言的软件并触发报警,再由人工来判断是否遭受到Darkside勒索软件的攻击。

软件行为2 :为了避免影响勒索软件的运行,会结束下列服务backup、sql、sophos、svc$、vss、memtas、mepocs、veeam、GxBlr、GxCVD、GxClMgr、GxFWD、GxVss。的行为。

检测方法2 :可以在一些机器上部署这些假冒的服务,并时刻监视这些服务是否在运行状态中,如果这些服务运行状态异常,那么就可以触发报警系统,再由人工来确认是否遭受到Darkside勒索软件的攻击。这种方法类似常见的蜜罐检测方法。

软件行为3 :Darkside勒索软件会有获取用户名、计算机名、机器首选语言、Netbios名等信息的行为。

检测方法3 :可以参考软件行为1的类似检测方法。

软件行为4 :打开Firefox/80.0应用程序句柄,通过443端口连接到C2服务器的行为。

检测方法4 :检测异常的网络连接端口和网络连接行为。

软件行为5 :递归函数查找全盘特定文件和文件夹,并将其删除的行为。

检测方法5 :可以参考软件行为1的类似检测方法。

审核编辑 黄昊宇

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 检测
    +关注

    关注

    5

    文章

    4487

    浏览量

    91463
  • 网络攻击
    +关注

    关注

    0

    文章

    331

    浏览量

    23451
收藏 人收藏

    评论

    相关推荐

    国内常见的石油管道外径测量方法?

    实时分析和处理。 自动化测量系统 集成式自动化测量系统:在石油管道生产线或检测线上,通常会配备集成式的自动化测量系统。这些系统集成了多种测量技术和设备,可以同时对管道的多项参数进行测量和分析。其中
    发表于 09-29 16:58

    高鸿信安推出可信“AI+”勒索病毒解决方案

    勒索病毒是一种极具破坏性、传播性的恶意软件,主要利用多种密码算法加密用户数据,恐吓、胁迫、勒索用户高额赎金。近期,勒索病毒攻击事件频发,一系列攻击
    的头像 发表于 09-19 15:00 453次阅读

    Steam一夜28万次攻击,该如何做好防护措施?

    Steam一夜28万次攻击是发生在《黑神话:悟空》上线后,该游戏作为中国首款3A大作,吸引了大量玩家,销量突破1000万套。然而,由于DDoS攻击导致Steam平台崩溃,游戏的实时在线人数一度
    的头像 发表于 08-27 10:47 455次阅读

    涡街流量计在石油管道运输中的流量监测与泄漏检测技术研究

    涡街流量计在石油管道运输中广泛应用于流量监测和泄漏检测,其原理和技术特点使其成为一种可靠的选择。以下是涡街流量计在这些应用中的主要技术和研究方向: 流量监测技术 原理与工作机制: 涡街流量计基于卡门
    的头像 发表于 08-05 17:22 312次阅读

    理想汽车在投资者起诉 涉嫌夸大车辆需求及运营策略

    据报道,理想汽车在投资者起诉,指控其在MEGA发布期间涉嫌夸大及虚假陈述“市场对车辆需求与运营策略效力”。
    的头像 发表于 05-17 09:45 387次阅读

    美国医疗巨头Ascension勒索软件攻击,涉及140家医院

    据报道,美国非营利性医疗机构 Ascension 于5月8日遭受黑客组织 Black Basta 的勒索软件攻击,导致其旗下140家医院和40家养老院的系统服务受到影响。
    的头像 发表于 05-14 11:37 605次阅读

    波音遭遇勒索软件攻击,拒付2亿美元赎金

    网络罪犯通过LockBit勒索软件平台于2023年10月展开攻击,并在11月初成功窃取了43GB的波音机密文件,后将其上传至LockBit网站。
    的头像 发表于 05-10 10:41 511次阅读

    运营的本分,就是专业做好管道

    3G时代开始,就一直有运营沦为流量管道,增量不增收的说法。国内外的运营多年来似乎都在上线各种创新业务,和管道的地位斗争。然而,
    的头像 发表于 04-24 08:04 442次阅读
    运营<b class='flag-5'>商</b>的本分,就是专业做好<b class='flag-5'>管道</b>

    应对勒索病毒,群晖数据保护黄金架构,多维度保护企业安全

    上海2024年4月22日 /通社/ -- 恶性的攻击和意外事件总是防不胜防,提前部署灾备方案可以在遭遇意外时尽可能减少企业损失。那么面对无处不在的勒索病毒和潜在风险,为什么依然有很多企业还会遭遇
    的头像 发表于 04-22 13:57 456次阅读
    应对<b class='flag-5'>勒索</b>病毒,群晖数据保护黄金架构,多维度保护企业安全

    勒索病毒的崛起与企业网络安全的挑战

    在数字化时代,网络安全已成为企业维护信息完整性、保障业务连续性的关键。然而,勒索病毒以其不断进化的攻击手段和商业化模式,成为全球网络安全领域最严峻的威胁之一。本文将概述勒索病毒带来的危害与挑战,并
    的头像 发表于 03-16 09:41 485次阅读

    功率放大器在管道定位系统硬件中的应用

    。   实验过程:   在实验过程中,探头与地面保持垂直关系,探头与管道的水平距离、垂直距离和水平角度发生变化。检测探头对管道发出的磁场信号进行检测
    发表于 03-08 17:39

    导热油管道漏油应该如何处理

    电子发烧友网站提供《导热油管道漏油应该如何处理.docx》资料免费下载
    发表于 03-06 15:41 0次下载

    ATA-M4功率放大器在充粘液管道损伤检测中的应用

    。对这三种缺陷分别进行超声导波检测。然后再将管中机油放出。   6、进行有缺陷的空心管道实验。   7、进行有缺陷的充水管道实验   实验结果:通过对4米长无损伤充机油管道的超声导波
    发表于 02-27 17:06

    施耐德电气勒索软件攻击,大量机密数据泄露

    Cactus是一种新颖的勒索软件,首次出现于2023年5月,其独有的加密机制可避免常规检测。此外,Cactus具备多种加密选项,包含快速模式。若攻击者选择连贯执行两种模式,受害方文件将被双重加密,附件会添加两个不同的扩展名。
    的头像 发表于 01-31 10:51 1364次阅读

    台湾半导体公司遭遇勒索软件攻击

    来源:The Record 台湾一家半导体制造受到网络攻击,据称该攻击是由臭名昭著的LockBit勒索软件团伙发起的。 黑客在京鼎精密科技(Foxsemicon)的网站上发布了一条威
    的头像 发表于 01-18 16:15 527次阅读