安恒主机卫士(EDR) 勒索专防专杀解决方案(9.3)_修正版

安恒主机卫士(EDR)

勒索专防专杀解决方案

杭州安恒信息技术股份有限公司

二〇二二年四月

修正版

修正版

目 录

1 需求概述 .......................................................................................................................................... 1

1.1 勒索病毒简介 ..................................................................................................................................................... 1

1.2 勒索过程分析 ..................................................................................................................................................... 1

2 方案目标 .......................................................................................................................................... 2

3 方案设计 .......................................................................................................................................... 3

3.1 设计理念 ............................................................................................................................................................. 3

3.2 方案部署 ............................................................................................................................................................. 3

3.3 勒索处理流程 ..................................................................................................................................................... 4

3.3.1 确认感染勒索病毒，被加密前部署EDR .....................................................................................4

3.3.2 开启专利级勒索防御双重引擎 ......................................................................................................5

3.3.3 一键应用“永恒之蓝勒索挖矿防御”批量配置模板，双向隔离445端口 ..............................5

3.3.4 观察进程启动日志、勒索加密阻断日志，定位病毒源 ..............................................................6

3.3.5 批量查杀病毒并复查 ......................................................................................................................6

3.3.6 配置定期巡检与漏洞扫描进行系统加固 ......................................................................................6

3.4 总结 ..................................................................................................................................................................... 7

3.5 产品兼容性 ......................................................................................................................................................... 8

3.5.1 管理控制中心 .......................................................................................................................................... 8

3.5.2 终端.......................................................................................................................................................... 8

3.5.3 Web中间件 .............................................................................................................................................. 8

修正版

1

需求概述

1.1

勒索病毒简介

勒索病毒，是一种新型电脑病毒，主要以邮件、程序木马、网页挂马的形式进行传播。勒索病毒利用

各种非对称加密算法对文件进行加密，被感染者一般无法解密，必须拿到解密的私钥才有可能破解。勒索

病毒性质恶劣、危害极大，一旦感染将给用户带来无法估量的损失。

1.2

勒索过程分析

勒索病毒文件一旦进入本地，就会自动运行。接下来，勒索病毒利用本地的互联网访问权限连接至黑

客的C&C服务器，进而上传本机信息并下载加密公钥，利用加密公钥对文件进行加密。除了拥有解密私

钥的攻击者本人，其他人是几乎不可能解密。加密完成后，通常还会修改壁纸，在桌面等明显位置生成勒

索提示文件，指导用户去缴纳赎金。勒索病毒变种类型非常快，对常规的杀毒软件都具有免疫性。攻击的

样本以exe、js、wsf、vbe等类型为主，对常规依靠特征检测的安全产品是一个极大的挑战。勒索流程图

如下：

渗透进入内网

的某一台机器X

①

在机器X

植入勒索病毒

②

通过机器X在内网

扩散勒索病毒

③

通过与控制端交互，接

收并执行加密指令

④

坐收赎金

图1.1 勒索流程图

修正版

2

方案目标

根据以往安恒信息对勒索病毒的研究发现，勒索病毒的变种通常可以隐藏自己的特征，但勒索病毒想

要完成加密过程以达到勒索的目的，关键的行为是无法隐藏的。经过分析可以发现勒索病毒在运行的过程

中的行为主要包括以下几项：

 通过脚本文件进行Http请求；

 通过脚本文件下载文件；

 读取远程服务器文件；

 收集计算机信息；

 进程遍历文件；

 调用加密算法运行加密进程。

所以本方案的目标如下：

 事前部署：风险评估，评估感染勒索病毒的可能性，进行针对性安全加固，避免感染勒索病毒；

 事中部署：通过在勒索病毒加密前部署EDR，达到隔离病毒、定位病毒程序源、查杀病毒、进行

系统加固的目的；

 事后部署：清除残余病毒，进行系统加固，杜绝再次感染。

修正版

3

方案设计

3.1

设计理念

安恒信息在深入分析与研究勒索病毒的基础上，总结归纳勒索病毒的攻击方式和行为特征后，提出了

以明御®主机安全及管理系统又称安恒主机卫士（Endpoint Detection and Response，以下简称EDR）为基

础的解决方案。

本产品具备诱饵捕获引擎、内核级流量隔离等行业领先技术。对于已知勒索病毒，通过“进程启动防

护引擎”零误报零漏报查杀；对于未知勒索病毒，采用“专利级诱饵引擎”进行捕获，阻断其加密行为；

通过内核级的流量隔离技术，自动阻止勒索病毒在内网扩散或者接收远程控制端指令。同时，还提供勒索

保险业务，全方位应对勒索病毒。

3.2

方案部署

明御®主机安全及管理系统由管理控制中心和监控端组成，管理控制中心部署在独立提供的服务器或

PC机(Linux系统)上，监控端软件安装在需要被监控的主机设备上。

管理控制中心主要功能为把多个监控端信息集中于一体，便于集中管理、应急和配置安全策略，聚合

监控端情报信息。

在部署明御®主机安全及管理系统时，首先架设管理控制中心，然后在主机上安装监控软件，通过配

置管理控制中心的IP地址+端口信息，即可实现管理控制中心与监控端的安全连接。云租户可在管理控制

中心查看服务器资产详细信息。部署示意图如下：

服务器部署监控端

互联网

管理控制中心

PC部署监控端

防火墙

图3.1 部署示意图

修正版

3.3

勒索处理流程

(1) 确认感染勒索病毒，被加密前部署EDR；

(2) 开启专利级勒索防御双重引擎；

(3) 一键应用“永恒之蓝勒索挖矿防御”批量配置模板，双向隔离445端口；

(4) 观察进程启动日志、勒索加密阻断日志，定位病毒源；

(5) 批量查杀病毒并复查；

(6) 配置定期巡检与漏洞扫描进行系统加固；

3.3.1 确认感染勒索病毒，被加密前部署EDR

未安装EDR的情况下，通过任务管理器或其他途径发现感染勒索病毒，但文件还未被加密时，紧急

部署EDR。

具体现象举例：

(1) APT等设备大量告警；

(2) 系统短周期重启（5分钟左右）；

(3) 、等进程持续大量占用CPU；

(4) 无故蓝屏......

修正版

3.3.2 开启专利级勒索防御双重引擎

主机部署EDR客户端后，通过管理平台立即开启EDR 资产列表-对应资产详情-工具箱-勒索防御-实

时防御 中的勒索软件启动防护引擎与专利级勒索软件加密防护引擎。

EDR专利级防加密引擎在内核层预置诱饵文件，面对未知类型的勒索病毒，在加密程序运行时可立即

阻断，并记录其特征，作为守护文件安全的最后一道防线。

3.3.3 一键应用“永恒之蓝勒索挖矿防御”批量配置模板，双向隔离445端口

通过EDR微隔离功能，封堵445端口，阻止其他主机探测本地的445端口，同时阻止本地端口向外

发包探测局域网内其他主机的445端口。

下图即批量配置功能内置的“永恒之蓝勒索挖矿防御”模板内容：

涉及其他端口可录制相应模板。

修正版

3.3.4 观察进程启动日志、勒索加密阻断日志，定位病毒源

病毒进程试图启动进行自我复制等行为就会触发EDR的进程防护，通过查看EDR的日志，可看到大

量进程防护（阻止已知勒索病毒启动）或勒索深度防护（阻止未知勒索病毒加密）记录。通过日志给出的

位置来逐步定位攻击源。

3.3.5 批量查杀病毒并复查

通过EDR的病毒查杀功能，配合通过日志定位到的攻击源，进行病毒查杀，病毒可一键隔离或清除。

通过批量配置可快速为大量资产配置查杀策略。清除病毒后进行复查。

3.3.6 配置定期巡检与漏洞扫描进行系统加固

通过EDR定期巡检功能，与批量配置配合，配置所有主机定时开始病毒查杀与漏洞修复，可避开资

源占用高峰期，及时修复漏洞，加固主机安全。

修正版

3.4

总结

EDR的“三级盾牌”勒索防御总结如下：

第一级盾牌：风险评估，提前加固；

第二级盾牌：勒索软件启动防护引擎，防御已知的勒索程序；

第三级盾牌：勒索软件加密防护，诱饵捕获引擎，防御未知的勒索程序。

EDR处理勒索病毒流程图如下：

修正版

渗透进入内网

的某一台机器X

①

在机器X

植入勒索病毒

②

N

通过机器X在内网

扩散勒索病毒

部署EDR？

Y

流量隔离

阻止发包

通过与控制端交互，确

认之后下发加密指令

Y

阻止勒索程序

启动

已知勒索病毒？

N

诱饵引擎

阻断加密行为

坐收赎金

定位攻击源

查杀病毒

补丁修复

解决勒索病毒

图3.5 明御®主机安全及管理系统处理勒索病毒流程图

3.5

产品兼容性

3.5.1 管理控制中心

CentOS 6.5以上。

3.5.2 终端

Windows server 2008、Windows server 2012、Windows server 2016、win 7、win 8、win 10、Centos 5.0 +、

Redhat 5.0 + 、 Suse11 +、 Ubuntu 14 +等操作系统。

3.5.3 Web中间件

Apache 2.0-2.4、IIS7、IIS8、IIS10、Java系列(JBoss、tomcat、weblogic、webshere)等。