“中小企业”在线学堂腾讯云腾讯安全如何破解勃攻击难题？日口%的企业管理者认为对网络安全的最大威胁难题 “中小企业”在线学堂腾讯云腾讯安全勒索病毒攻击常见手法腾讯安全玄武实验室：李冠成 目录Menu勒索病毒现状与危害勒索软件的攻击手法和趋势应对末来勒索病毒攻击的防御策略“中小企业”在线学堂 讲师介绍李冠成现为腾讯安全玄武实验室高级研究员，具有较为全栈的安全研究能力和多年的漏洞和攻防研究经验。曾发现过多个关键基础设施和具有攻防实战价值的漏洞，曾在ACMCCS、IEEE5&P、DEFCON等国际顶级安全会议发表相关研究成果。高级安全研究员“中小企业”在线学堂 勒索病毒的危害加密勒索：导致业务停摆，平均恢复周期三周。数据窃取：窃取数据作为勒索筹码，传统基于备份的防御手法无法防御此类攻击数据拍卖：导致业务数据泄漏。Did your organization pay ransom to recover its data? n=1,149No, we wereNo ransom支付赎金也不一定能解决问题able to recoverwas asked fordatawithout4%paying16%勒索攻击者会在支付赎金后拍卖Yes, and we数据，以达到利益最大化were ableYes,butto recoverwe stillcouldthe datanotrecover59%the data21%2023Veeam 勒索病毒的经济模型All Ransomware Payment Resolution RatesCyberExtortionOpportunityCostCurveHighEncryptionRansomwareImpactData ExfiltrationOnlyCDVEWAREDXF-Only Payment Resolution RatesNAS DeviceEncryptionDBDeletionC.v.E AttacksSprayingLowPhantomLowZ (p)($)HighCINERARE加密货币支付难以被潮源COVEWARE 勒索软件金趋势RansomPaymentsByQuarterAverageRansomPaymentMedianRansomPayment$800,000“CloP和其他以大型企业为$600,000目标的攻击者大幅拉升了全球平均薪酬水平，尽管中位薪酬水平小幅上升[中位赎金$400,000金额：190424美元[较2023年第一季度增长20%]。CloP集团很可能从MOVEit活动中$200,000赚取7500万至1亿美元COVEWARE“中小企业”在线学堂 勒索病毒的行业分布IndustriesImpactedbyRansomwareQ220232022, 360UtilitiesAutomobileTechnology Hardwar...3.1%3.9%Consumer Services教育Software Services5.4%Financial Services3.9%17.31%其他7.0%Food & Staples Reta...7.0%13.58%Retailing5.4%政府软件&互联网6.2%14.66%3.00%Real Estate2.3%餐饮Healthcare3.13%Public Sector14.0%建筑业制造业10.1%3.13%11.66%医疗Insurance6.13%1.6%Professional ServicesMaterials金融&贸易服务业15.5%11.6%%68'8批发零售9.62%8.89%COVEWARE数据来源“中小企业”在线学堂 勒索病毒的行业分布少有行业独善其身！勒索攻击者一般通过以下2点选择行业1.整个行业的网络安全防御水位2.有没有钱支付大量的金“中小企业”在线学堂 勒索病毒的攻击手法2022年1.89%云计算开源产业联盟信通院、腾讯等6.14%21.96%9.36%从数据上看：1.暴力破解、弱口令、网页挂马等“低级手法”仍然是攻击的主流手法13.46%2.钓鱼、投毒、漏洞攻击等高级手法也占14.36%有一部分比例■RDP远程桌面弱口令■恶意代码（病毒、破解等)·漏润利用·挂马网站·数据库弱口令·钓鱼邮件“中小企业”在线学堂 勒索病毒的攻击手法勒索病毒攻击的攻击手法取决于其攻击目的：1.广撒网，需要低成本高覆盖，所以通常利用暴力破解、挂马等相对低成本低方法展开2.攻击重要目标，需要精准打击，所以通常通过钓鱼、漏洞进行。整个过程与高级威胁很相似3.当有高价值漏洞公开时，漏洞也会被用来以广撒网的形式攻击“中小企业”在线学堂 专业化团队化攻击手法趋势：勒索攻击手段日趋成熟、攻击目标越发明确，模式多种多样，攻击愈发隐蔽，更加难以防范危害也日益增大。010203040506病毒变异快，攻击隐藏性加勒索软件即服加密货币普及“多重勒索”模供应链成为勒攻击路径多元强，发现和恢务成为网络攻助推赎金快速式引发数据泄索攻击重要切化，易传播复难度提升击新模式增长露风险入点“中小正业仕线字堂 向APT靠拢攻击手法趋势：100.0%RDPCompromiseEmail Phishingof Cases in the period using the vectorSoftware Vulnerability75.0%Unknown数据来源：COVEWAREInternal1.钓鱼开始逐渐取代暴力破解2. 软件漏洞的比例开始上升50.0%主要是因为安全水位的提高。25.0%“近年来来勒索软件攻击定向精准攻击趋势明显"0.0%COVEWARE“中小企业”在线学堂 反勒索病毒的挑战有哪些业务容易被勒索、被勒索后的感染面多大，如何恢复被勒索的业务系统？前后风险识别难发现溯源难快速恢复难事前难以确定资产状态检测技术单潮源分新缺乏手段和工具不清楚哪些资产可能被勒索·对新型勒索攻击无感知·感染面和被勒索情况不清晰不清楚资产系统备份情况·无法及时了解勒索攻击态势被勒索主机恢复难不清楚资产对应的备份是否可用攻击路径不可知“中小企业”在线学堂 及时发现及时响应很重要勤索病毒的攻击手法逐渐高端化，月PT化，且造成损失较大系统存活率随着勒索软件的存活时间随指数级下降，因此对勒索病毒响应速度有较高要求因此，需要科学防范，提前预防[攻击面管理]，及时发现【部署多维度的检测系统]】，及时处理【部署响应系统“中小企业”在线学堂 防御策略：攻击面管理+纵深防御+自动处置收敛攻击面识别资产，管理攻击面，减少对外暴露阻止落地多维度风险感知，阻止勒索病毒落地终端。阻止运行多维度的事件监控，阻正止勒索病毒的热行。阻止加密文件变化感知，及时发现异常情况，阻止恶意行为。及时处置及时处置，自动备份，自动恢复，减少损失“中小企业”在线学堂 防御策略：攻击面管理+纵深防御+自动处置腾讯安全玄武实验室x未来智安XDRSEC01资产清点和梳理，摸清家底02风险识别和状态识别，安全评估勒索全生命03多重检测技术动态关联分析，形成事件链4950万测试数据中，加密样本568,676条，正常样本48,931,308条周期解决误报率[FPR]=FP/为O，漏报率04方案系统文件变化感知，及时发现异常情况[FNR】=FN/P为0.0028%05自动研判和攻击确认，锁定被感染主机06一键化封禁和恢复，降低损失“中小企业”在线学堂 玄武实验室高级威胁防护引擎产品定义及特性玄武高级威胁防护引擎（ATPE）：终端和服务器通用的轻量级引擎，充分应用玄武实验室安全研究成果及实战攻防经验，专注于检测可绕过普通安全软件的隐蔽黑客攻击和渗透手段。专为检测高级威胁设计产品功能特性针对高级威肋包括（但不限于）免杀钓鱼木马白加黑利用钓鱼防护域渗透防护浏览器漏洞利用扫码咨询合作：李荣先生权限提升未来智安技术总监横向移动通用防护策略：基于行为，不基于特征多终端联动防御勒索软件防护“中小企业”在线学堂 “中小企业”在线学堂腾讯云腾讯安全感谢观看！Thank you “中小企业”在线学堂腾讯云M腾讯安全云原生安全防勒索病毒攻击场景最佳实践周佳宇腾讯云原生安全产品中心高级工程师 云上常见的勒索病毒攻击场景特点“中小企业”在线学堂 云上勒索病毒攻击特点资产用户云上资产数量多且种类繁杂，导致入侵云上租户数量庞大，安全水平参差不齐。点也较多，容易攻击。攻击方式攻击目标多以弱口令暴力破解为主，同时也存在云上勒素绝大多数为广撒网式攻击，并利用漏洞进行攻击的情况。不针对特定用户，但存在少量对高价值客户的勒索入侵行为。“中小企业”在线学堂 云上攻击风险来源漏洞弱口令系统漏洞Linux系统弱口令应用组件漏洞Windows系统弱口令Web-cms漏润漏洞弱口令业务逻辑漏洞Redis弱口令".资产暴露资产暴露未授权访问未授权访问高危端口景露公网Redis未授权访问高危服务暴露公网Zookeeper未授权Mongodb未授权其他恶意文件其他恶意文件恶意清求勃索病毒、木马、Webshell对抗安全软件异常行为...“中小企业”在线学堂 云上勒索病毒攻击场景防护痛点及策略“中小企业”在线学堂 云上勒索病毒攻击场景防护痛点及策略防护痛点问题1.攻击来源广，持续不断不同来源黑客针对云上资产进行攻击全天候不间断的攻击。2.用户不了解自身业务及资产情况不清楚自身组件、账号、端口、文件等各类资产使用情况。》资产较多的情况下，依靠人力很难全面掌握。》存在非必要的资产暴露公网的情况。3.无法100%防御所有勒索攻击基于规则的检测，无论是勒素病毒文件还是异常行为，始终存在漏报和误报的可能。4.勒索加密文件很难解密通常情况下，被勒索加密的文件无法被解密还原。“中小企业”在线学堂 数字安全免疫力模型端点安全代码安全，边界安全互联网防御攻防演练，AI安全，紧您响应，API安全，运维，合规和审计，容灾备份特定行业场景软件供应链安全与保护，找理企业资产国期数据+业务“中小企业"在线学堂 云上三道安全防线云防火墙Web应用防火墙主机安全第一道防线，为用户提供互联网边界的防护第二道防线，帮助腾讯云内及云外用户应对第三道防线，为用户提供资产管理、木马文解决云上访问控制的统一管理与日志审计的Web攻击、入侵、漏洞利用、挂马、篡改件查杀、黑客入侵防御、混洞风险预警及安安全与管理需求。后门、爬虫等网站及Web业务安全防护问全基线等安全防护服务，帮助企业构建服务题。器安全防护体系。“中小企业”在线学堂 勒索病毒攻击分析阶段攻击前期攻击中期攻击后期暴力破解投放动索样本尝试再次入慢漏河利用加密目标文件扩充入侵手取行为未授权访问破坏安全软件增加保活手段升级样本弱口令/未授权橙测诱饵文件一降低暴破成功可能性检测勒索病毒攻击资产清点筛杏潜在风险景破阻断样本搜集/查柔蒲润运营漏洞橙测阻止恶意文件运行，止损一维持检测能力解决方案漏润修复自动隔离鲜本运营收敛漏润/基线风险漏洞风险预警资产清点确立攻击影响面事件运营捕获新样本基线检测燃复定期备份防患于未然快照备份防止中招后无法解密快照备份+诱饵文件“中小企业”在线学堂 云原生安全防勒索实践“中小企业”在线学堂 事前：资产识别，风险收敛第一步资产识别类型-进程口器-B:E89讨): 2023-:8-18 1453.38±8±% @I号-系统安装包- Web引用-Web服务B:RsWusIE- Web框架---Web站点I:486-Jar包账号主机系况超势图（)无7天E14大2025-10-12 - 2025-10-18±(3主机标氢TOPS查看克多-数据库800·启动服务ton－计划任务400- 环境变量232-10-122023-79-142tes-10-1:2(53-10-15E内核模块“中小企业”在线学堂 事前：茅弱口令末授权类问题X基线检期设置0送择店用资产检测策略设置检测规则说明思随规则设置自定文口令添加自定义弱口令①自定交装口专只会下发始放股版机器，知您需要对您的资产使用自定文口进行验测，请输往【要权管理】只需进行配置，5销最多先持10