1月30日，奇安信集團舉辦“椒圖服務器安全管理系統-防勒索專版”產品發布會，推出針對勒索攻擊防護的服務器端安全產品。新產品針對勒索病毒的攻擊鏈、行為特征提供多維度的防護方案，對勒索攻擊的防護效果更好、針對性更強；并提供針對不同操作系統、業務環境的場景化配置模版，讓產品能快速上線運行；同時，新版本還深度優化了系統資源配置，讓管理中心對CPU/內存等資源的配置要求降低50%，支持的服務器數量增加50%，讓產品的部署門檻大幅度降低。

(資料圖)

隨著企業數字化進程的加速，信息安全威脅和風險也快速增加，網絡攻擊手段越來越多，漏洞及攻擊入口無處不在，尤其是近年來勒索攻擊事件頻發，其破壞力和影響力越來越大。數據表明，超過2/3的企業在過去一年中至少經歷過一次勒索攻擊，僅2022上半年，全球共發生2.361億次勒索軟件攻擊。國外安全機構更是預測，到2031年，全球勒索軟件勒索活動造成的潛在總損失或達10.5萬億美元。勒索軟件成為全球頭號威脅，對抗勒索攻擊已經迫在眉睫。

據奇安信資深服務器安全專家李棟介紹，傳統對抗勒索病毒采用的方式是采用殺毒軟件或者數據備份的方式，但是這兩種都具有一定的局限性：

殺毒軟件依賴特征和病毒庫，對于已知病毒的防護效果較好，但是對于變形以及新型病毒的防護具有滯后性，根據奇安信反病毒研發運營中心的統計，2022年，在中國活躍的勒索病毒家族前50位，出現頻率高達1500多萬次，并且每個家族都會不斷推出變種、以及新型勒索病毒，一旦有新的變種出現就很容易導致服務器的二次感染，就像人類感染了奧密克戎新冠病毒株后，還有可能會繼續感染新的XBB病毒株。

同樣，用數據備份的方式去防御勒索攻擊，屬于被動防御的思路，對備份數據的有效性、實時性有著極高的要求，尤其是一些高交互的業務，實時備份的難度極大，另外備份系統也部署在內網，很容易被攻擊者一鍋端。

因此，針對現行防護方案的瓶頸，奇安信提出“觀其行、斷其路、挖其根”的勒索病毒防護理念，打造的全新一代防護方案。

“觀其行”— 洞察勒索病毒的攻擊鏈和攻擊行為

根據奇安信服務器安全團隊的統計，勒索病毒入侵服務器的方式有多種，包括：終端突破、暴力破解、系統及通用組件漏洞利用、webshell上傳以及供應鏈攻擊等，此外，對集權設備的攻擊以及對安全設備的攻擊，也呈現逐年遞增的態勢。

勒索病毒攻擊鏈包含了“偵查踩點、制定策略、打點入侵、內網滲透、目標定位、實現目的、穩固權限”7個階段，在每個攻擊階段都有不同的攻擊方式組合。比如獲取網絡訪問權限階段，可以采用RDP、SSH等遠程桌面暴力破解，或者去攻擊高危端口的方式；在獲取一定的權限后，再通過webshell、代理隧道的方式將勒索病毒落地，然后再通過內網滲透的方式，去進一步污染更多的服務器，從而達到目標系統并實施勒攻擊。

在深度了解勒索病毒的攻擊鏈和攻擊行為后，結合勒索病毒到達服務器引起的一些異常變化，如：業務&文件訪問突然出現異常；CPU、內存使用率快速增減；出現大量文件讀取，文件加密、文件名及后綴修改；以及內部端口被大量探測、掃描等等，根據這些“病灶”并結合攻擊特點，椒圖可以快速對勒索病毒感染作出“診斷”和告警。

“斷其路”— 要徹底切斷勒索病毒的攻擊和傳播途徑

在確認正遭受勒索攻擊后，需要“斷其路”去干擾勒索病毒的攻擊及傳播，包括防入侵、防破壞、防傳播三個關鍵點。

防入侵的關鍵是要做好攻擊面管理，伴隨著業務快速擴展的不僅是服務器的數量，還有不斷放大的攻擊面。做好攻擊面管理的第一步是要摸清資產家底，椒圖通過本地識別和網絡掃描的方式，可以準備識別多項核心資產包括配置信息、賬戶、應用、進程、端口等。目前識別的資產數量達到18類 、400多項，一方面在于能全局把握資產狀況，避免shadows it的發生，另一方面也能對資產做快速排查和處理，比如centos8停服后，通過椒圖可以快速篩選出業務環境中還在運行的centos8系統，并做下線或者加固處理。

在全面掌控資產信息的基礎上，椒圖可以根據資產的版本及運行狀況，對安全風險作出及時判斷，包括弱口令&口令復用、危險端口暴露、漏洞&補丁等，但只做到風險識別還是不夠的，比如，因為很多情況下修復漏洞需要重啟應用甚至服務器，對于高連續性的業務顯示是不適合，針對這些行業難題，椒圖推出了虛擬補丁功能，在內核態基于WFP框架/Netfilter框架實現引流功能，將入站、出站流量通知給應用態的IPS引擎，并用IPS引擎對流量實施檢測防護，可以實現在不打實體補丁、不重啟的情況下，防止黑客利用漏洞攻擊服務器，可以真正實現“資產-風險發現-實體補丁-虛擬補丁”的閉環管理。

李棟指出，通過webshell去上傳勒索病毒文件是黑客比較常用的入侵方式，也可以說是上傳勒索病毒的前置攻擊，因此，防御webshell是防御勒索攻擊落地的重點，椒圖在服務器端采用了動、靜的結合的方式，先會對webshell的靜態特征進行檢測，包括快速的哈希匹配、基于詞法分析的模糊哈希匹配、以及靜態污點追蹤，可以快速的發現已知的webshell，同時還會基于本地及管理中心沙盒、以及RASP這種基于流量上下問檢測的動態技術，去識別變形、加密的webshell。同時，椒圖在內核層，還采用了系統加固技術，可以自定義去限制web目錄、根目錄等關鍵位置的多余權限，進一步去限制webshell以及勒索病毒的執行。

近幾年也新出現冰蝎這類加載在內存中的無文件webshell，這類惡意代碼隱藏在系統的正常應用中，在服務器本地沒有獨立的文件形式，因此也很難被傳統的檢測手段發現。所以，針對這類攻擊，椒圖采用了內存馬動態檢測技術，可以快速的掃描并清除隱藏在在中間件、powershell、vbs等本地應用中的惡意代碼，從而有效的阻止webshell和勒索病毒的隱藏和執行。

防破壞是假設勒索病毒已經成功落地，要去阻止其在服務器內執行惡意操作和自我復制，椒圖采用了內核加固技術實現“應用白名單”，可以機器學習業務環境中的正常業務運行并形成白名單，不在白名單范圍內的其他應用(如勒索、挖礦病毒)執行時會被實時阻斷；同時內核加固技術還可以對重點目錄、文件的讀取、寫入、編輯、重命名等權限進行有效限制，實現文件的有效監控和防護；在高階攻防對抗中，椒圖可以細粒度學習進程服務的業務行為，如文件操作、命令執行和網絡IO等，可以快速捕捉偏離了正常業務的細微指數變化，從而發現隱蔽性更強的潛伏攻擊。

防傳播是要及時隔離受感染服務器、阻止“疫情”大范圍傳播，據李棟介紹，勒索攻擊首先突破的往往是邊界服務器，并不是要執行勒索操作的核心內網，因此，還需要通過進一步的內網滲透才能達到目標，這也是我們切斷勒索攻擊鏈的關鍵點，就像在對抗新冠病毒的過程中，一旦發現病毒陽性個體，要及時做居家隔離或者集中隔離處理，防止疫情的大范圍傳播。

椒圖首先會對 Cobalt Strike、PsExec這類橫向攻擊的常用工具進行識別和阻斷，同時采用了微隔離技術去限制訪問源，微隔離的兩個核心功能：端口白名單，可以限制服務器的指定端口只能被特定的ip或者ip段訪問；進程白名單可以限制服務器的對外服務進程，只能訪問特定的ip或域名，從而實現進出網雙向控制，有效阻止勒索病毒在服務器與服務器之間、以及服務器與容器等工作負載之間的非法移動。

結合誘餌文件、誘餌進程等多維度的勒索病毒防護技術，椒圖防勒索專版形成“防入侵、防破壞、防傳播”的立體防護體系，有效實現“斷其路”。

“挖其根”— 徹底清除病毒，讓服務器“陽康”

通過“觀其行”和“斷其路”，一方面有效阻止勒索病毒落地，第二方面即使勒索病毒落地了，椒圖也可以阻止其執行以及橫向傳播，最后還需要將勒索病毒徹底的清除，讓服務器真正的“陽康”。

在殺毒引擎的啟用上，椒圖考慮了業務優先的原則，讓業務以最小的損耗去獲得安全防護，因此采用本地查殺+控制臺查殺雙模式查殺模式，可自由的切換。本地查殺模式實時性高、殺毒引擎在服務器本地、對系統資源消耗相對較高，適合于資源相對充沛的場景。控制臺查殺模式采用異步查殺、殺毒引擎在管理中心上、對系統資源消耗低，適合于服務器剩余系統資源，相對緊張的場景。保證不會因為系統資源緊張，而導致安全功能的缺位。

就像人類在過去、現在和未來都將和病毒做抗爭一樣，在服務器端與勒索病毒的對抗，也將是一個持續的過程，會不斷的有新型的攻擊手段、新型的變種病毒出現，但是只要把握好“觀其行、斷其路、挖其根”的九字方針，就一定能在攻防實戰中占據先手、百戰不殆。

圖片由奇安信授權中國網財經使用

關鍵詞： 服務器的 系統資源 殺毒引擎 服務器端