勒索攻击是企业面临的重要网络攻击威胁，受害企业面临着重要的数据资产丢失和泄漏的严重后果 ，轻则造成业务停顿，重则被迫缴纳巨额赎金。

一、勒索攻击的特点与原理剖析

勒索手段攻击也日益发展，但是主要有以下三个特点：

（1）隐秘性强。勒索攻击往往通过垃圾邮件、网页广告等经常使用的系统进行传播，并且利用隐蔽的方式绕过传统的安全检测，隐蔽性是勒索攻击的典型攻击策略。

（2）目的性强。大量的勒索事件表明，攻击者大多数都带有经济诉求；为了获得有价值的资产，渗透的过程可长达数月，这个特点与APT攻击有些相似。

（3）变异较快且易传播。勒索攻击变种正在呈指数行增长，对样本更新快速并发起攻击，以躲避传统的安全检测方式。

从攻击过程的角度看，黑客首先通过系统存在的的漏洞潜入目标的主机，获得主机权限；进而控制主机主动连接指定服务器下载加密key、内网扫描工具、暴力破解工具、勒索病毒体等成套工具；随后会锁定重要的文件并且向其他主机移动扩大战果。

二、江民NDR产品在检测勒索病毒传播上的特色

江民NDR产品通过流量分析和文件还原检测技术，识别勒索病毒的外部入侵、回连控制和内部扩散过程。

主要有以下特色：

特色1：结合人工智能技术，有效发现东西向流量中的勒索“投毒”和回连活动。

江民NDR产品通过流量镜像的方式，对钓鱼邮件投放、远程恶意代码植入等“投毒行为进行全方位的感知。通过人工智能引擎和独特的沙箱技术，可以有效发现已知和未知勒索病毒。同时，监控C&C回连等异常流量，发现内网肉鸡与控制端的通信行为。

特色2：监控内网流量，溯源勒索病毒的内网扩散路径。

通过对内网中勒索病毒文件的传输过程的还原，可以时间序列单位全网展示内网扩散过程。可视化的呈现方式有助于快速定位受感染主机范围和控制影响。

特色3：内置ATT&CK框架，从攻击者视角发现未知类攻威胁

江民NDR产品内置ATT&CK模型框架，将威胁攻击匹配至ATT&CK框架的各个攻击阶段，能够实现勒索病毒和其他未知的网络流量威胁。

三、对抗勒索病毒，不止步于NDR

江民NDR产品不是“单兵作战”。江民NDR产品可以联合江民终端安全产品，对勒索病毒的落地和执行进行阻断。同时，江民NDR产品还支持将流量日志和分析数据输出到江民XDR大数据安全平台；江民XDR大数据安全平台结合江民终端安全产品采集的行为数据、情报数据以及其他设备的数据进行聚合分析和联动处置。

江民NDR产品+江民终端安全产品+江民大数据安全平台，形成了勒索病毒全方位的防范、预警和处置的闭环能力。

四、关于江民流量安全团队

江民流量安全团队致力于高级威胁对抗的研究，通过大量的实战经验持续丰富产品的检测模型。我们的口号是：不放过任何已知的高级威胁，不停止对未知高级威胁的跟踪和对抗。