華為安全大咖談 | 華為終端檢測與響應EDR 第04期：如何對高級勒索攻擊說“不”

?本期講解嘉賓

01

勒索軟件攻擊，一種經久不衰的威脅，依然讓全球企業倍感恐慌

萬物相生相成，數字化轉型提高了生產效率，但也給攻擊者提供了更多的機會和手段，增加了網絡安全風險。在勒索軟件即服務（RaaS）、匿名化加密貨幣支付、大模型加持下的高級勒索樣本生成和敲詐勒索帶來的暴利的助力下，勒索軟件攻擊已經成為最成功的網絡犯罪商業模式之一。

2022年至今，根據華為安全智能中心監測，全網每周收集捕獲的勒索軟件攻擊樣本可達百萬量級，勒索軟件網絡傳播次數可達上千次，且有持續穩定增加趨勢，影響面從企業到關鍵基礎設施，從業務數據安全到國家安全與社會穩定。

從華為乾坤安全服務現網運營和安全報告公開披露的數據看，相比較于2022年以前的勒索軟件攻擊，勒索軟件攻擊技術呈現出新趨勢：

• 為有效規避勒索軟件檢測機制，更快地加密文件，越來越多的勒索軟件家族采用“間歇性加密”技術，如BlackCat、Agenda、BabLock、Qyick等家族。

• 編程語言開始轉向更安全、高效的Rust、Go、.Net，且跨平臺勒索成為一個主流趨勢，據華為乾坤安全服務團隊統計，有20+流行的勒索軟件家族支持跨平臺勒索。

• 高級勒索軟件攻擊越來越傾向于結合高危應用程序漏洞攻擊，并使用無文件攻擊技術，例如近期頻發的Tellyouthepass、ESXiArg和Magniber家族等。

很多企業總是抱著僥幸的心態，覺得勒索防御與我無關。華為勒索攻擊態勢分析報告表明，勒索病毒就像潛伏在我們身邊的病毒一樣，隨時可能襲擊企業的關鍵資產和核心數據。很多企業都曾經遭受過這種攻擊，但不是所有的案例都被曝光出來，對于沒有中招的企業，往往會忽視警示。所以針對勒索防御，無論甲方還是乙方都應該修正一條經驗法則：不再只考慮勒索軟件攻擊是否發生，而是要考慮它何時會發生以及發生多少次，才能以正確的姿態在這場攻防無限游戲中與勒索軟件攻擊長期共舞。

02勒索軟件攻擊防御為何困難重重

勒索軟件的本質是破壞數據完整性，它可以獲取文件或系統的控制權限，并阻止用戶控制這些文件或系統，導致企業核心業務停擺，直到受害者支付贖金以換取解密密鑰，該密鑰允許用戶恢復被程序加密的文件或系統。

一般來說，勒索軟件攻擊鏈條分成如圖1-1所示的四個關鍵步驟：攻擊入侵、病毒投放&執行、加密勒索、橫向移動影響更多更重要的主機。將整個攻擊鏈條映射到Mitre ATT&CK框架中發現，70%以上的攻擊行為點發生在終端側，故終端是勒索防御的主戰場。

圖1-1勒索軟件攻擊鏈條

傳統的防御手段面對如此復雜的勒索攻擊鏈條往往束手無策，原因在于企業單位和攻擊者之間的攻防對抗是不對等的，對攻擊方來說1%的攻擊成功等于攻擊100%成功，對防守方來說即使做到了 99% 的防守成功，有 1% 被突破也等于防守 100% 失敗，因此防御難度遠遠大于攻擊，針對高級勒索軟件攻擊有如下挑戰：

• 在攻擊入侵階段，伴隨著數字化和信息化的繁榮，黑客可利用的漏洞量也呈現正相關趨勢，不同于傳統的已知漏洞防御手段，日益增加的0-Day漏洞、定向釣魚攻擊應該如何有效應對？

• 絕大多數終端安全防護方案主要針對投放階段的文件建立有效防御，對于一些漏洞攻擊、進程注入、腳本執行等無文件攻擊手段該如何有效處理？攻擊者為了控制目標系統往往采用更加隱蔽的加密通信技術，檢測難度指數級上升，如何有效應對？

• 勒索病毒問世34年，很多終端安全防護方案基本可以做到已知勒索病毒的防護，真正的難點是如何防御勒索變種和未知勒索軟件。TOP100流行勒索軟件家族沙盒運行發現80%的樣本從開始運行到開始加密的時間窗在5分鐘內，且平均加密速度在30MB/秒以上，面對如此閃電速度的勒索軟件攻擊，防御方案如何做到數據完整性保護？

• 勒索軟件攻擊鏈條如此復雜，如何全面還原勒索攻擊入侵鏈路，證明已經控制、根除、恢復勒索攻擊帶來的影響，并有效加固避免再次遭受勒索軟件攻擊呢？

03華為端邊云協同多層次高級勒索防御方案

針對高級勒索軟件攻擊的上述挑戰，華為勒索防御團隊認為需要站在攻擊者的角度分析戰術、拆解攻擊招式，首先我們來看攻擊者的兩個主要特點：

01

攻擊者也會考慮投入產出比，為了快速拿到贖金或形成威懾，攻擊和加密速度極快。

02

攻擊者通過恢復用戶核心業務數據來獲取贖金，攻擊者一定會加密用戶業務數據。

針對第一個特點，我們主要的應對理念是防御前移，建立分層防御網且實時防御，盡早斷開攻擊者的入侵鏈路，降低攻擊者ROI（Return-on-investment，投資凈利率），不斷增加攻擊者的成本和難度。從基于NDR（Network Detection and Response，網絡威脅檢測與響應）的高級入侵線索發現（如0-Day漏洞利用），到XDR（Extended Detection and Response，可擴展威脅檢測與響應） IOA（Indicator of Attack，攻擊指標）高級威脅檢測引擎實現勒索加密前阻斷，再到文件加密攻擊攔截，每一環節的防御機制均為上一環節防御機制的防御兜底，緩解勒索軟件攻擊帶來的影響。

針對第二個特點，我們需要抓住勒索軟件攻擊的不變量“文件加密攻擊”，通過主動誘捕技術加快攻擊意圖顯現并在加密用戶核心數據前處置威脅實體，在“用戶數據早晚會被加密”的假設下為用戶提供加密文件恢復兜底方案，穩定恢復到加密前的狀態，確保用戶數據零損失。

為了徹底控制、根除、恢復勒索軟件攻擊帶來的影響，我們需要通過攻擊可視化技術和深度溯源技術直接還原攻擊入口，助力定位根因，構建完整攻擊故事線，發現真實攻擊意圖，復盤企業信息系統弱點，多層次修復攻擊面，構建更完善的勒索防御體系。圖1-2為華為高級勒索防御方案的核心技術。

圖1-2高級勒索防御方案核心技術

以下對勒索防御方案的核心技術展開闡述：

NDR高級入侵線索發現：察微以知著，尋蹤于“無形”

邊界突破是未知勒索軟件進入目標系統的關鍵環節，外聯C&C通信是控制目標系統的重要手段，傳統的IPS/IDS僅能解決已知攻擊檢測，例如：N-day漏洞、常規暴力破解、已知家族C&C信息等，面對0-Day漏洞和占比日益增加的加密流量攻擊卻束手無策，華為NDR團隊創新采用三層防御方案有效應對：

• 無監督學習+細粒度動態特征基線+統計分析發現0-Day漏洞線索、未知加密流量攻擊線索，不依賴任何標簽，由安全資深專家和數學家、AI科學家領域知識深度融合，基于場景化建模的思路，利用30+統計工具、孤立森林、極值理論等方法，將已知攻擊場景（20+）的數據泛化到未知行為發現，從而全面發現攻擊線索。目前，已經累計開發了50+異常檢測模型。

• 因果關聯分析 + 監督樹算法 + 統計分析進行事件建模，從海量的告警中識別隱蔽攻擊，例如：代碼執行漏洞、慢速暴破等，精度可達99.9%。

• 風險傳播算法 +行為相似度模型進行關系建模，持續發現類似的攻擊模式和受害基礎設施。

IOA高級威脅檢測引擎：料敵于機先，覓敵于“無痕”

對于繞過邊界防御的勒索軟件攻擊，華為XDR IOA行為檢測引擎毫秒級實時檢測終端上的異常行為模式，通過華為獨創的內存威脅溯源圖與網絡側的攻擊線索實時深度聯動，通過泛化能力極強的圖因果關聯模型、時序關聯模型、時間關聯模型、統計關聯模型等精準研判0-Day漏洞利用成功、powershell攻擊投遞、釣魚入侵成功等高級無文件攻擊場景，并精準識別威脅子圖、威脅實體，通過XDR與網關、終端聯動毫秒級切斷攻擊執行鏈路，當前已累計模型15+，精度95%+。

對于已經執行起來的勒索軟件載體，同樣通過獨創的內存溯源圖，通過啟發式的方式鎖定威脅根節點，組合400+流行勒索軟件家族專家深度分析，高維度泛化抽象+大數據挖掘的關鍵因果鏈條，疊加信任傳播算法和華為第三代靜態文件檢測引擎，可有效實現對勒索軟件變種和未知勒索軟件加密前的實時精準研判，并基于威脅根節點毫秒級自動處置攻擊鏈條，緩解勒索軟件攻擊帶來的影響。

在華為乾坤未知勒索軟件攻擊測評中，近百萬勒索軟件樣本，在400+主流的勒索軟件家族上通過勒索軟件加密前的行為特征可有效支撐近90%的勒索軟件攻擊研判，現網運行半年無誤報，半年后采用1000個流行勒索軟件樣本評測，檢出率下降不到5%。

內核主動誘捕技術：虛實逆攻守，引劍斬邪魔

正如前文所述，文件攻擊（加密、破壞等）是勒索攻擊的不變量，也是整個勒索攻擊檢測鏈條上的兜底環節，是在勒索動態攻防對抗上保持優勢的關鍵“一招”。

為了從戰術上扭轉攻防對抗的不對等性，變被動為主動，華為終端檢測與響應EDR產品基于內核級主動誘捕技術，在用戶正常辦公和業務無感知狀態下全天候自動守護，保護客戶關鍵數據資產免受損失。那么，華為終端檢測與響應EDR產品如何做到這一點呢？

• 誘捕部署攔截攻擊必經之路，捕獲勒索加密第一跳：基于400+流行勒索軟件家族攻擊模式深度研究和用戶辦公行為模式學習，勒索專用靜態+基線動態誘餌，勒索軟件文件攻擊發動即感知。

• 誘捕全面數據采集，打破攻擊透視能力天花板：感知誘餌多維度細微變化，勒索攻擊透視無死角。

• 內核級快速精準研判，鎖定威脅實體：基于AI的海量勒索文件攻擊模式挖掘算法，實時精準研判，有效區分勒索攻擊和用戶正常操作。

• 內核級毫秒級處置，用戶數據接近零損失：基于終端內存圖鎖定惡意進程鏈，第一時間發起勒索攻擊阻斷動作，將用戶數據風險降至最低。

在華為乾坤未知勒索攻擊測評中，基于主動誘捕技術，華為終端檢測與響應EDR產品對未知勒索文件攻擊覆蓋率可達99.99%，毫秒級處置響應，現場平均被加密文件數3.07，結合輕量級備份恢復機制，保障用戶關鍵數據資產零損失。

跨域攻擊鏈還原：問君來時路，一鍵寰宇清

前面所述主要目標是如何及時切斷整個勒索軟件攻擊的入侵鏈路，緩解勒索軟件攻擊帶來的影響，為了全面控制、根除、恢復攻擊帶來的負面影響，還需要還原整個攻擊鏈路，這是防御閉環的最后一步。當前隨著操作系統組件日趨復雜，攻擊者的對抗和逃逸手段也日趨多樣化、隱秘化，攻擊鏈路的關鍵要素往往散落在多個數據域（進程、文件、系統服務、計劃任務、網絡連接、數據包等），呈現出碎片化的分布，給完整攻擊鏈路還原帶來巨大挑戰。

為應對上述挑戰，自動揭示完整攻擊鏈路，幫助客戶一鍵完成深度清理并看清攻擊入口，降低安全運營繁重的人力投入，華為XDR做出如下創新：

• 跨終端、異構數據時空關聯還原事件全貌：勒索軟件攻擊不是一次性完成的，它們會在各個路徑上都留下痕跡，通常以網絡、終端為主，要全面遙測這些數據并在一個工作界面進行攻擊故事線關聯，構建完整可視化進程鏈。

• 構建攻擊逃逸知識庫以有效應對攻擊路徑碎片化：覆蓋計劃任務濫用、系統服務濫用、惡意代碼注入、漏洞利用等多種復雜攻擊場景，并通過攻擊語義關聯技術進行攻擊溯源增強，提供完整的可視化進程鏈。

• 從終端失陷溯源可視化、攻擊影響面可視化、完整攻擊故事可視化等多視角提供每個威脅攻擊過程的高度可視化，成為安全運營效率提升的利器。

• 結合威脅信息、漏洞信息、沙箱等，組合IOA+IOC（Indicator of Compromise，失陷指標）+AI+UEBA（User and Entity Behavior Analytics，用戶和實體行為分析）等全面精準研判攻擊，實現70%以上的威脅一鍵自動處置，并以可視化的方式定位根因，包括：攻擊者從哪里來？攻擊者整個入侵鏈路地圖是什么？攻擊者都干了哪些壞事？攻擊者是否還有潛伏？攻擊者是否取得更多權限？我們還需做什么才能徹底根除、修復勒索軟件攻擊帶來的影響？

加密文件恢復：運行輕如燕，守護穩如山

正如2014年上映的德國驚悚電影《我是誰：沒有絕對安全的系統》中的名言“沒有絕對安全的系統”所表達的含義一樣，我們應當假設企業遲早會遭遇勒索軟件攻擊，更何況勒索軟件加密速度如此之快（LockBit家族可在4分鐘加密10萬個文件）。為了確保數據零損失，華為終端檢測與響應EDR產品內置終端輕量級備份恢復機制作為兜底方案，可在檢測到勒索攻擊后，將被加密文件恰好恢復至加密前的狀態并清理勒索信等垃圾文件，實現無損回滾，核心技術如下：

• 文件破壞全場景覆蓋：克服高難度的內核態開發挑戰，在內核層監控勒索病毒對文件的所有細粒度動作，并抽象到備份邏輯，融入驅動程序。

• 勒索病毒全進程鏈回滾：全面覆蓋勒索病毒的多進程加密行為，支持全進程鏈回滾，內置復雜的精細化文件回滾順序機制，支持勒索病毒全進程鏈自動化逆修改。

• 輕量靈活：備份單文件時長<10ms，單終端內存<5M，CPU無感知。此外，不僅內置對100多種重要文件的保護，用戶還可以自行添加需要備份的文件類型，設定備份區位置，備份區占用比等，易用性優秀。

相比業界其他勒索備份方案，華為終端檢測與響應EDR產品將檢測和備份解耦，克服了漏檢/誤寫、斷電場景下內容丟失問題，且具備如下優勢：

• 事件驅動機制，存儲資源占用少。

• 實時備份，無文件版本差異。

• 聯動檢測，自動恢復，無需用戶手工操作。

04結束語：全面賦能，共促創新

未來的勒索軟件攻擊還將持續演進，并且增長速度也會更快，攻擊的目標和形勢不斷變化，防御對抗將是長期性的。針對高級勒索軟件攻擊防御，仍需借助端邊云協同，分層構建防御網，將核心的防御邏輯、攻防知識、能力，流程化、智能化、自動化，同時動態更新特征和算法保持威脅主動感知的靈敏度。

同時為了共同抵抗這項威脅，還需要全行業攜手合作，共同推動創新，賦能企業安全防御能力。我們需要加強對勒索攻擊的認知和理解，不斷提升安全意識和技能，采用最先進的安全技術和工具，建立完善的安全體系。同時，我們也需要加強信息共享和合作，共同應對勒索攻擊的挑戰。只有通過全行業的共同努力，才能夠有效地抵御勒索攻擊，保障企業的安全和穩定發展，打贏這場持久戰。