imtoken官网的地址|勒索病毒攻击方式
作者: imtoken官网的地址
2024-03-12 19:57:27
什么是勒索软件?如何防御勒索软件? - 华为
什么是勒索软件?如何防御勒索软件? - 华为
本站点使用Cookies,继续浏览表示您同意我们使用Cookies。
Cookies和隐私政策>
技术支持
运营商入口
公告
中文
English
首页
信息速查
IP知识百科
在线课堂
产品智能选型
首页
信息速查
产品智能选型
IP知识百科
中文
English
登录
提示
确定
取消
IP知识百科
IP知识百科
>
勒索软件
什么是勒索软件
勒索软件又称勒索病毒,是一种特殊的恶意软件,又被归类为“阻断访问式攻击”(denial-of-access attack),与其他病毒最大的不同在于攻击手法以及中毒方式。勒索软件的攻击方式是将受害者的电脑锁起来或者系统性地加密受害者硬盘上的文件,以此来达到勒索的目的。所有的勒索软件都会要求受害者缴纳赎金以取回对电脑的控制权,或是取回受害者根本无从自行获取的解密密钥以便解密文件。勒索软件一般通过木马病毒的形式传播,将自身掩盖为看似无害的文件,通常假冒普通电子邮件等社会工程学方法欺骗受害者点击链接下载,但也有可能与许多其他蠕虫病毒一样利用软件的漏洞在互联网的电脑间传播。
目录
勒索软件的类型
勒索软件的入侵方式
如何防御勒索软件
如何处置勒索软件
更多
收起
勒索软件的类型
根据勒索软件对受害者系统采取的措施,主要可以分为以下几类:
绑架用户数据使用加密算法(如AES、RSA等)将用户的文件进行加密,用户在没有秘钥的情况下无法操作自己的文件。用户可以访问设备,但是对设备内的数据无法操作。 典型勒索软件有:WannaCry、GlobeImposter、CryptoLocker,TeslaCrypt等。
锁定用户设备不加密用户的文件,但是通过修改一些配置或者系统文件,使得用户无法进入设备。 典型勒索软件有:NotPetya等。
锁定用户设备和绑架数据既加密用户文件,又锁住用户设备。是1和2的结合体。 典型勒索软件有:BadRabbit等。
勒索软件的入侵方式
勒索软件常用的入侵方式如图1所示。
勒索软件的入侵方式
网络共享文件一些小范围传播的敲诈勒索病毒会通过共享文件的方式进行传播,黑客会将病毒上传到网络共享空间、云盘、QQ群、BBS论坛等,以分享的方式发送给特定人群,进而诱骗其下载安装。 此外,不法黑客还常会编造出“杀毒软件会产生误报,运行之前需要退出杀毒软件”之类的理由,诱骗受害者关闭杀毒软件后运行。 典型代表有:暂时主要为国产勒索类病毒通过外挂辅助,“绿色”软件类工具携带。
捆绑传播勒索软件与正常合法软件一起捆绑发布在各大下载网站或者论坛,当用户下载该软件后便会中招。
垃圾邮件这是勒索软件最为广泛的攻击方式。
利用社会工程学方法,发送假冒的电子邮件,将恶意脚本/程序掩盖为普通的文件,欺骗受害者下载、运行。
利用一些僵尸网络,更能增加欺骗的概率。如GameOverZeus僵尸网络,会使用MITB技术窃取银行凭证,通过该僵尸网络来分发钓鱼邮件,受害者非常容易相信。该僵尸网络被CrytoLocker等勒索软件利用来分发钓鱼邮件。
典型代表有:Locky、Cerber、GlobeImposter、CrytoLocker等。
水坑攻击勒索者利用有价值、有权威或访问量较大网站的缺陷植入恶意代码,当受害者访问该网址,或者下载相关文件时便会中招。 典型代表有:Cerber、GandCrab等。
软件供应链传播勒索软件制作者通过入侵软件开发、分发、升级服务等环节,在软件开发过程中,就会在产品组件中混入病毒,通过入侵、劫持软件下载站、升级服务器,当用户正常进行软件安装或升级服务时勒索病毒趁虚而入。这种传播方式利用了用户与软件供应商之间的信任关系,成功绕开了传统安全产品的围追堵截,传播方式上更加隐蔽,危害也更为严重。此前侵袭全球的Petya勒索病毒便是通过劫持Medoc软件更新服务进行传播。 典型代表有:Petya等。
暴力破解(定向攻击)针对服务器、个人用户或特定目标,通过使用弱口令、渗透、漏洞等方式获取相应权限。例如NotPetya会对口令进行暴力破解然后在局域网内传播。 典型代表有:NotPetya、Crysis、GlobeImposter等。
利用已知漏洞攻击利用系统或者第三方软件存在的漏洞实施攻击。例如WannaCry便利用了SMBV1的一组漏洞进行攻击和传播。 典型代表有:WannaCry、Satan等
利用高危端口攻击利用一些端口的业务机制,找到端口的漏洞,进行攻击。如WannaCry利用Windows操作系统445端口存在的漏洞进行传播,并具有自我复制、主动传播的特性。常见的高危端口有135、139、445、3389、5800/5900等。建议尽量关闭此类端口。 典型代表有:WannaCry等。
以上几种的组合联合攻击通常来说,勒索软件不会只采取一种方式来进行攻击和传播,通常会是几种的组合。
如何防御勒索软件
阻止勒索软件攻击最有效的办法是防止攻击进入组织内部。
主机侧防护
首先,推荐通过组织级的IT基础设施方案来统一设置主机。通过AD服务器的组策略、企业级杀毒软件的控制中心等,可以保证安全措施执行到位,而不必依赖员工个人的执行力。
其次是针对员工的信息安全教育。很多勒索软件使用电子邮件和社会工程手段,诱使员工下载恶意软件,或访问恶意网址。员工不为所动,就能避免激活携带的攻击媒介。通过信息安全宣传,培训员工养成良好的办公习惯,识别和防范典型的攻击手法,是避免勒索软件攻击的有效手段
以下列出了主要的主机侧防护措施,其中大部分可以通过IT基础设施方案来统一管理。对于没有完善IT系统的小微企业,可以把这些措施转化为信息安全教育的内容,指导员工自行配置。相关措施包括但不局限于:
开启系统防火墙,利用防火墙阻止特定端口的连接,或者禁用特定端口。
升级最新的杀毒软件,或者部署专杀工具。
更新补丁,修复勒索软件所利用的含漏洞软件。
各项登录、鉴权操作的用户名、密码复杂度要符合要求。
设置帐户锁定策略。
阻止宏自动运行,谨慎启用宏。
仅从指定位置下载软件。
不要打开来源不明邮件的附件和链接。
定期做好异地备份,这是系统被感染后数据尽快恢复的最好手段,以勒索软件的套路,即使交付赎金,也不一定保证本地数据会被解密。
在Windows文件夹中设置显示“文件扩展名”,可以更轻易地发现潜在的恶意文件。
详细的主机侧防护措施请参见勒索软件防护指南>主机侧防护。
网络侧防护
防御勒索软件攻击的关键在于预防,即在勒索软件进入组织并造成实质性损坏之前,拦截攻击。 最佳方法是设置以防火墙为基础的多层安全防御体系,避免攻击者突破一层防御之后长驱直入。严格的安全策略是最简单有效的防护手段;仅对外开放必需的服务,封堵高危端口,可以减小暴露面(攻击面)。阻断已知威胁,通常可以使攻击者放弃攻击,否则攻击者就需要创建新的勒索软件,或者利用新的漏洞,其成本必然增加。同时,启用文件过滤,可以限制高风险类型文件进入网络;利用URL过滤阻断恶意网站,可以避免用户无意中下载恶意软件。在安全性要求较高的网络中,还可以部署FireHunter沙箱、HiSec Insight、诱捕系统,全面感知安全态势。
针对勒索软件在网络侧的防护,华为通过如下分层防御体系进行防护:
通过在防护墙上部署严格的安全策略,限制用户对网络和应用的使用。
南北向安全策略:在网络边界处,设置严格的网络访问策略,仅对外开放必需的服务,且仅允许受信任IP地址/用户访问必要的服务。
东西向安全策略:把内部网络按照功能和风险等级划分到不同的安全区域,在不同功能网络间设置严格的安全策略。建议阻断高危端口(包括135、137、138、139、445、3389等)或限制可访问的用户,降低勒索软件横向扩散的可能性。在交换机和路由器等网络设备上,也可以利用流策略封堵高危端口。
通过IPS、AV、URL,发现和阻断已知威胁。
IPS入侵防御:在安全策略中引用IPS配置文件,确保如下暴力破解和漏洞利用签名的动作为阻断。如果签名的缺省动作不是阻断,可以设置例外签名,修改其动作为阻断。
AV反病毒:对于文件传输协议(HTTP、FTP)和共享协议(NFS、SMB),采用缺省动作。对于邮件协议,建议动作设置为宣告或删除附件。防火墙将在邮件中添加提示信息,提醒收件人附件中可能含有病毒。
URL过滤:推荐使用白名单机制,根据组织业务需求,圈定业务需求所需的网站类型。如果采用白名单机制有困难,则至少要阻断恶意网站、其他类。同时,启用恶意URL检测功能。
通过沙箱联动,发现未知威胁。防火墙将流量还原成文件,并将需要检测的文件发送到沙箱进行检测。防火墙定期到沙箱上查询检测结果,并根据检测结果更新设备缓存中的恶意文件和恶意URL列表。当具有相同特征的后续流量命中恶意文件或恶意URL列表时,防火墙将直接阻断。
通过HiSec Insight、诱捕,避免横向扩散。部署HiSec Insight和支持诱捕特性的交换机和防火墙。诱导勒索病毒入侵仿真业务并捕获其入侵行为,上报检测结果至HiSec Insight,HiSec Insight可全网下发策略阻断勒索病毒传播。诱捕系统有助于降低真实系统被攻击的概率,最大限度减少损失。
部署日志审计系统,用于调查取证和攻击溯源。日志审计系统可以集中存储和管理网络设备和服务器的日志信息,便于监控和事后分析。此外,攻击者还可能会加密或者删除主机日志,部署日志审计系统可以规避此问题。
关于详细的操作指导,请参见勒索软件防护指南>网络侧防护。
如何处置勒索软件
如果不幸被勒索,请按照如下建议处理。
不要急于为勒索软件支付赎金。支付赎金相当于鼓励网络犯罪,并且并不能保证能够恢复被加密的文件。
严格来说,加密型勒索软件不可破解。因勒索软件本身设计的问题,或者黑客组织公布了解密密钥(如Shade),存在一定的解密可能性。
如果被加密的数据相当重要或者极其敏感,且该勒索软件尚无解密方案,也请在确认网络犯罪分子确实可以解密后,再决定是否支付赎金。
常见的勒索软件处置建议,相关措施包括但不局限于:
隔离被勒索的设备拔掉网线或者修改网络连接设置,从网络中隔离所有被勒索的设备,防止勒索软件进一步传播,控制影响范围。同时排查受影响的主机数量,记录问题现象。 关闭其他未感染主机的高危端口。在局域网内其它未感染设备上,关闭常见的高危端口(包括135、139、445、3389等),或设置可访问此端口的用户/计算机。
清除勒索软件尝试使用杀毒软件扫描和清除勒索软件。请重启操作系统,进入安全模式,安装/杀毒软件并全盘扫描。 勒索软件搜索文件并加密需要一定的时间,及早清理勒索软件可以降低其危害程度,也能避免它重复锁定系统或加密文件。
解密保护现场。不要直接重新安装操作系统。如果被加密锁定数据比较重要,建议做好被加密文件的备份和环境的保护,防止因为环境破坏造成无法解密等。 访问“No More Ransom”网站,使用解码刑警(Crypto Sheriff)确定勒索软件的类型,并检查是否有可用的解密方案,有机会破解并恢复文件。
调查取证求助专业技术人员进行取证操作,以便分析勒索软件的攻击路径,对攻击路径进行溯源。 在操作系统的事件查看器中,查看安全日志,重点关注登录失败事件。在网络设备中查看安全日志、会话日志,重点关注暴力破解、SMB等重大漏洞攻击事件。 确定中毒原因,彻底修复系统中存在的安全问题,避免再次沦陷。
重装系统最后的最后,如果勒索软件无法移除、被加密数据不可恢复,请备份被加密数据(或许未来有恢复的可能),然后格式化硬盘驱动器,擦除所有数据(包括受感染的数据),重新安装操作系统和应用程序。
参考资源
1勒索软件防护指南
Your browser does not support the video tag.
相关词条
词条统计
作者:
金德胜
最近更新:
2022-12-26
浏览次数:
15043
平均得分:
页内导航
勒索软件的类型
勒索软件的入侵方式
如何防御勒索软件
如何处置勒索软件
问卷调研
帮助中心
在线客服
分享链接
意见反馈
分享链接到:
意见反馈
关注我们
关于华为
华为公司简介
关于企业业务
查找中国办事处
新闻中心
市场活动
信任中心
如何购买
售前在线咨询
提交项目需求
查找经销商
向经销商询价
合作伙伴
成为合作伙伴
合作伙伴培训
合作伙伴政策
资源
华为“懂行”体验店
e直播
博客
资料中心
视频中心
电子期刊
成功案例
快速链接
互动社区
华为云
华为智能光伏
华为商城
华为招聘
版权所有 © 华为技术有限公司 1998-2023。 保留一切权利。粤A2-20044005号
隐私保护
|
法律声明
|
网站地图
|
一文读懂勒索攻击:特征、趋势与挑战
一文读懂勒索攻击:特征、趋势与挑战
首页
专题项目
数字科技前沿应用趋势
科技向善
WeCityX未来城市探索计划
研究领域
法律政策
产业经济
数字社会
研究成果
EN
|
一文读懂勒索攻击:特征、趋势与挑战
|数据安全
作者:腾讯研究院
2021-09-03
作者
翟尤 腾讯研究院产业安全中心主任、高级研究员
1989年,哈佛大学学生约瑟夫·L·波普制作了全球首个勒索病毒—AIDS木马,这位哈佛高材生将勒索病毒隐藏在软盘中并分发给国际卫生组织艾滋病大会的参会者。 此款勒索病毒会记录用户设备重启次数,一旦超过90次就会对电脑中的文件进行加密,并要求邮寄189美元才能解密重新访问系统。 虽然“名牌大学生恶作剧+邮寄支付赎金”的标签在今天看来既没有多大危害,也不够专业,但勒索病毒发起的对经济社会的攻击,在此后的30多年中逐渐演变为让人闻之色变的网络攻击浪潮。
勒索攻击从恶作剧向专业组织化网络攻击演变
勒索攻击又称为“赎金木马”,是指网络攻击者通过对目标数据强行加密,导致企业核心业务停摆,以此要挟受害者支付赎金进行解密。 如同我们把钱放在保险箱,小偷没有撬开保险箱偷钱,反而把放保险箱的房间加了把锁。 如果没有房间的钥匙,我们依然拿不到保险箱里的钱。 勒索攻击发展历程并不长,在30多年的发展过程中,主要经历三个阶段: 1989至2009年是勒索攻击的萌芽期,在这20年中,勒索攻击处于起步阶段,勒索攻击软件数量增长较为缓慢,且攻击力度小、危害程度低。 2006年我国首次出现勒索攻击软件。 2010年以后,勒索软件进入活跃期,几乎每年都有变种出现,其攻击范围不断扩大、攻击手段持续翻新。 2013年以来,越来越多的攻击者要求以比特币形式支付赎金; 2014年出现了第一个真正意义上针对Android平台的勒索攻击软件,标志着攻击者的注意力开始向移动互联网和智能终端转移。 勒索攻击在2015年后进入高发期,2017年WannaCry勒索攻击在全球范围内大规模爆发,至少150个国家、30万名用户受害,共计造成超过80亿美元的损失,至此勒索攻击正式走入大众视野并引发全球关注。
勒索攻击典型特征与案例
近年来勒索攻击席卷全球,几乎所有国家的政府、金融、教育、医疗、制造、交通、能源等行业均受到影响,可以说有互联网的地方就可能存在勒索攻击。 2021年5月,美国17个州能源系统受到勒索攻击,导致美国最大的燃料管道运营商Colonial关闭约8851公里的运输管道,犯罪分子在短时间内获取了100G数据,并锁定相关服务器等设备数据,要求支付75个比特币作为赎金 (相当于440万美元) 。 勒索攻击已经成为未来一段时期网络安全的主要威胁。 总的来看,勒索攻击有4个显著特征:
(一) 隐蔽性强且危害显著
勒索攻击善于利用各种伪装达到入侵目的,常见的传播手段有借助垃圾邮件、网页广告、系统漏洞、U盘等。 隐蔽性是勒索攻击的典型攻击策略。 在入口选择上,攻击者以代码仓库为感染位置对源代码发动攻击; 在上线选择上,宁可放弃大量的机会也不愿在非安全环境上线; 在编码上,高度仿照目标公司的编码方式和命名规范以绕过复杂的测试、交叉审核、校验等环节。 此外,攻击者往往在发动正式攻击之前就已控制代码仓库,间隔几个月甚至更长时间才引入第一个恶意软件版本,其潜伏时间之长再一次印证了勒索攻击的高隐蔽性。
调查发现,某些勒索攻击事件的制造者利用尚未被发现的网络攻击策略、技术和程序,不仅可以将后门偷偷嵌入代码中,而且可以与被感染系统通信而不被发现。 这些策略、技术和程序隐藏极深且很难完全从受感染网络中删除,为攻击活动细节的调查取证和后续的清除工作带来巨大的挑战。 此外,勒索攻击一般具有明确的攻击目标和强烈的勒索目的,勒索目的由获取钱财转向窃取商业数据和政治机密,危害性日益增强。
(二) 变异较快且易传播
目前活跃在市面上的勒索攻击病毒种类繁多呈现“百花齐放”的局面,而且每个家族的勒索病毒也处于不断地更新变异之中。 2016年勒索软件变种数量达247个,而2015年全年只有29个,其变体数量比上一年同期增长了752%。 变体的增多除了依赖先进网络技术飞速发展以外,还与网络攻击者“反侦查”意识的增强相关。 很多勒索软件编写者知道安全人员试图对其软件进行“逆向工程”,从而不断改进勒索软件变体以逃避侦查。 比如爆发于2017年的WannaCry,在全球范围蔓延的同时也迅速出现了新的变种——WannaCry 2.0,与之前版本的不同是,这个变种不能通过注册某个域名来关闭传播,因而传播速度变得更快。
(三) 攻击路径多样化
近年来越来越多的攻击事件表明,勒索攻击正在由被动式攻击转为主动式攻击。 以工业控制系统为例,由于设计之初没有考虑到海量异构设备以及外部网络的接入,随着开放性日益增加,设备中普遍存在的高危漏洞给了勒索攻击以可乘之机,一旦侵入成功即可造成多达数十亿台设备的集体沦陷。 随着远程监控和远程操作加快普及并生产海量数据,网络攻击者更容易利用系统漏洞发动远程攻击,实现盗取数据、中断生产的目的。 为了成功绕过外部安装的防火墙等安全设施,不少勒索攻击诱导企业内部员工泄露敏感信息。 除了针对运营管理中存在的薄弱环节,勒索攻击还在设备安装过程中利用内置漏洞进行横向渗透,一旦发现系统已有漏洞则立即感染侵入。
(四) 攻击目标多元化
一方面是从电脑端到移动端。 勒索病毒大多以电脑设备为攻击目标,其中Windows操作系统是重灾区。 但随着移动互联网的普及,勒索攻击的战场从电脑端蔓延至移动端,并且有愈演愈烈的趋势。 俄罗斯卡巴斯基实验室检测发现,2019年针对移动设备用户个人数据的攻击达67500个,相比2018年增长了50%。 同年卡巴斯基移动端产品共检测到350多万个恶意安装软件包,近7万个新型移动端银行木马和6.8万多个新型移动端勒索软件木马。
另一方面是从个人用户到企业设备。 个人设备在勒索软件攻击目标中一直占据较高比例,但随着传统勒索软件盈利能力的持续下降,对更高利润索取的期待驱使网络攻击者将目标重点聚焦在政府或企业的关键业务系统和服务器上。 比如在今年7月16日发生的国家级勒索事件中,厄瓜多尔最大网络运营商CNT遭遇勒索软件RansomEXX的攻击,致使其业务运营、支付门户及客户支持全部陷入瘫痪,犯罪团伙声称已经取得190GB的数据,并在隐藏的数据泄露页面上分享了部分文档截图。
随着AI、5G、物联网等技术的快速普及和应用,以及加密货币的持续火爆,勒索攻击呈现出持续高发态势,全球大量知名企业都曾遭到勒索攻击并导致经济和声誉损失。 据《2020年我国互联网网络安全态势综述》统计,2020年我国全年捕获勒索病毒软件78.1万余个,较2019年同比增长6.8%。 据Cybersecurity Adventure统计,2021年全球勒索软件破坏成本预计将达到200亿美元,高于2015年3.25亿美元的61倍。
勒索攻击7大趋势特点
(一) 影响社会正常运转且难解密
勒索攻击对社会正常运转带来较大挑战。 在民生方面,大型企业遭到勒索攻击严重影响民众正常生活。 2021年5月全球最大的肉类供应商JBS遭到勒索病毒攻击,部分牛羊屠宰加工厂停摆,美国肉类批发价格出现上涨,使得本就受到疫情冲击的全球食品供应链雪上加 霜。 在医疗卫生方面,勒索攻击不但造成巨额经济损失,同时也威胁到病人生命安全。 2020年9月,德国杜塞尔多夫医院30多台内部服务器遭到勒索攻击,一位前来寻求紧急治疗的妇女被迫转送至其他医院后死亡。 这是公开报道的第一起因勒索攻击导致人死亡的事件。 国内也出现过类似的勒索攻击事件,如某建筑设计院遭遇勒索病毒攻击,数千台电脑文件被加密,工程图纸无法访问,损失惨重。
勒索攻击使用的加密手段越来越复杂多样,绝大多数不能被解密。 业内专家普遍认为遭受勒索攻击之后,没有“特效药”。 受害者往往需要在支付巨额赎金和数据恢复重建中做出选择。 即使一些勒索攻击采用的加密算法是公开的,但是依靠现有的算力或者是通过暴力破解的方式也难以进行解密,因为暴力解密往往需要上百年的时间。
(二) 勒索攻击SaaS化
随着云计算、人工智能等新技术的快速普及和应用,勒索软件即服务成为当前网络攻击的新模式。 勒索软件黑色产业层级分明,全链条协作,开发者只管更新病毒,拓展传播渠道大肆释放勒索病毒,各级分销参与者点击鼠标就能从中瓜分利润。 这种黑色产业分销模式大大降低了勒索攻击的传播门槛,使网络安全风险快速扩散。 例如,依靠这种黑产模式,某勒索攻击软件仅用一年多时间就敛财20亿美元。
勒索攻击从制作、传播、攻击到收益呈现系统化、便捷化趋势,开发者可以提供一整套解决方案,甚至包括利用加密货币进行赎金支付等服务。 这些解决方案具有“开箱即用”的便捷性,犯罪分子获得勒索病毒后,可以通过多种渠道进行传播并获利,攻击模式更为便捷。 此外,攻击者往往并不需要任何编程技术就可以开展违法犯罪活动,理论上任何人只要支付少量费用就可以通过这类服务开展勒索攻击,导致网络攻击的门槛大幅降低。
(三) 加密货币普及助推赎金额度快速增长
勒索病毒的制造者对赎金的要求越来越高。 2017年在全球140多个国家和地区迅速蔓延的WannaCry勒索病毒赎金仅为300美元,4年后勒索病毒要求企业支付的赎金则大多在上百万美元, Sodinokibi勒索病毒在2019年前后出现在中国时,索要金额仅7000元人民币,到了2020年,该团伙的勒索金额已动辄千万美元以上。 例如2020年3月,计算机巨头宏碁公司被要求支付5000万美元赎金; 2020年11月,富士康墨西哥工厂被要求支付超过3400万美元赎金。
高额赎金不仅让犯罪分子赚得盆满钵满,同时可以借此招揽更多人铤而走险加入勒索攻击行列。 加密货币近年来成为社会关注的焦点,尤其是加密货币的匿名化导致监管部门很难对其进行管理。 犯罪分子利用加密货币这一特点,有效隐匿其犯罪行径,导致网络攻击门槛降低、变现迅速、追踪困难,一定程度上成为网络犯罪快速增长的“助推剂”。
(四) 大型企业和基础设施成为攻击重点
传统勒索病毒攻击者使用广撒网、误打误撞的手法,这种无差别攻击很难预测受害者是谁,哪些受害者有价值。 同时,普通用户的数据价值相对不高,且缴纳赎金的意愿并不强烈。 近年来,勒索攻击对象涉及面越来越广,目前主要针对掌握大量数据的大型企业,且定向精准攻击趋势愈发明显,勒索攻击日趋APT化。 所谓APT化,即攻击不计成本、不择手段,从低权限帐号入手,持续渗透攻击,直到控制企业核心服务器,再释放勒索病毒,使巨型企业彻底瘫痪。 此外,勒索攻击APT化还意味着攻击者入侵后会首先窃取该企业的核心数据,即使企业使用备份恢复系统,核心机密泄露也会导致极其严重的损失。 波音公司、台积电、富士康、全球最大的助听器制造商Demant、法国最大商业电视台M6 Group都曾成为被攻击对象。 BlackFog研究发现,2020年勒索攻击主要针对政府部门、制造业、教育和医疗保健等行业。
同时,攻击者开始针对特定企业有针对性地制定攻击策略,哪些企业掌握大量有价值的数据,哪些企业就越容易遭到攻击。 针对目标企业,攻击者手法更加多样化、对高价值目标的攻击进行“量身定做”,形成一整套攻击“组合拳”。 对于大型企业来讲,网络节点和上下游关联企业与供应商都成为潜在的攻击漏洞,产业链中安全薄弱环节均成为攻击者实现突破的关键点。 许多企业为了避免业务被中断,往往选择支付巨额赎金。
(五) “双重勒索”模式引发数据泄露风险
时至今日,勒索攻击已经从单纯的支付赎金即可恢复被加密的数据,逐渐演变成先窃取商业信息和内部机密,而后威胁企业不缴纳赎金将公开数据,这种新模式也被称为“双重勒索”。 这样一来,不仅使得勒索攻击杀伤性增强,被勒索企业缴纳赎金的可能性变大,诱使勒索攻击者发动更多攻击,而且极易引发大规模的行业内部数据泄露事件,使得受害企业同时承受数据公开、声誉受损、行政处罚等多重压力。
据不完全统计,自2019年11月首次公开报道勒索病毒窃取数据的事件以来,不到一年时间里,有超过20个流行勒索病毒团伙加入到数据窃取的行列中。 以Maze(迷宫)勒索攻击为例,它不仅最先开始系统性地窃取数据,还以泄露数据相逼要挟用户缴纳赎金。 越来越多的勒索事件表明,“双重勒索”模式已成为现今网络攻击者实施攻击的重要手段。
(六) 供应链成为勒索攻击的重要切入点
供应链攻击作为一种新型攻击手段,凭借自身难发现、易传播、低成本、高效率等特点成功跻身最具影响力的高级威胁之列。 供应链攻击一般利用产品软件官网或软件包存储库等进行传播,网络攻击一旦成功攻陷上游开发环节的服务器,便会引发连锁效应,波及处于供应链中下游的大量企业、政府机构、组织等。 由于被攻击的应用软件仍然来自受信任的分发渠道,恶意程序将随着软件的下载安装流程悄无声息地入侵目标电脑,逃避传统安全产品检查的同时又可沿供应链发动向后渗透攻击,大大增加安全检测的难度。
近年来供应链攻击备受关注。 2017年6月一家不知名的乌克兰软件公司遭受勒索攻击,勒索病毒通过软件公司服务器传播到数家全世界最大的企业之中,令其运营陷入瘫痪,造成全球范围内约100亿美元的损失。 2021年7月,美国软件开发商Kaseya遭勒索攻击,网络攻击团伙索要高达7000万美元的赎金,有评论称此次事件可能成为2021年影响最大的供应链攻击事件。
(七) 引发网络保险行业的恶性循环
美国战略与国际研究中心与杀毒软件供应商迈克菲联合发布的一份报告指出,估计每年全球网络攻击所带来的损失将达9450亿美元,再加上约1450亿美元的网络防护支出费用,总经济成本将超过1万亿美元。 高额的网络攻击成本催生了对网络风险保险的庞大需求市场,根据预测,到2025年网络风险保险费用将从2016年的32.5亿美元上升到200亿美元。 伦敦再保险经纪商Willis Re透露,今年7月保单更新季,网络安全相关保险费率将迎来40%的大幅增长。
然而网络保险行业欣欣向荣的表象下,却潜藏着巨大的恶性循环危机。 由于最近几个月来全球几大公司接连遭到灾难性的勒索攻击,越来越多的企业向网络保险和再保险公司寻求帮助,网络攻击者特意挑选投保了网络保险的公司作为攻击目标,更加有针对性地实施勒索攻击,使得网络犯罪的成功率大幅提升,整体网络环境面临加速恶化的窘境。 为遏制这一情况的继续恶化,已有多家公司开始缩减网络保险覆盖范围,法国正在考虑强制所有网络保险商停止报销赎金支出,以切断网络犯罪这一有利可图的途径。
提高预防意识并构建前置安全是关键
由于勒索攻击高强度加密算法的难破解性和数字货币交易方式的隐蔽性,并不建议将防治重点放在遭受攻击后的解密环节,而应该着重做好预防工作,不给勒索病毒以可乘之机。
从个人用户来讲, 增强员工安全意识与加强数据备份同等重要: 一方面要增强安全意识。 对于可疑的邮件尤其是附带的网址不建议随意点开,同时系统提示的安装补丁或者软件病毒库要保持及时更新。 另一方面,对于使用了非对称加密算法加密的文件,目前尚未找到有效的破解方法,一旦计算机遭到此类新型勒索病毒的攻击只能束手待毙,因而必须在平日里就做好重要数据的备份工作,且最好使用本地磁盘和云服务器双备份的策略。
从企业用户来讲,解决勒索攻击的核心是构建“安全能力前置”,提升自身的“免疫力”:
1.“安全能力前置”成为企业必选项。 企业数字化程度越高,潜在的安全风险也就越大,甚至会有致命风险。 被动防御性的安全思路难以应对多样化、动态化的网络攻击。 因此,一方面要利用AI、大数据、云计算等新技术实现安全能力在业务环节的前置,提前预判潜在安全风险,另一方面要对安全专家或人才能力量化,使过往积累的安全经验与能力标准化、流程化,以实现安全能力的量化部署。
2.构建云上安全提升安全防御能力。 产业互联网时代安全威胁逐步扩大,企业在应对勒索攻击时,数据备份和恢复的重要性进一步凸显。 云原生安全所具备的开箱即用、自适应等显著优势将成为保障云平台和云上业务安全的重要基础。 一方面云原生安全将构建安全服务全生命周期防护,伴随云上业务发展全过程。 另一方面云上安全产品将向模块化、敏捷化和弹性化演进,为用户提供差异化服务,成为兼顾成本、效率和安全的“最优解”。
3.零信任有望成为勒索攻击有效解决途径。 零信任假定所有身份、设备和行为都是不安全的,即使曾经有过被“信任”的经历也要一视同仁,在接入时需要进行全程安全验证和检查。 攻击者使用窃取到的账号信息登录VPN或其他内部业务平台时,由于零信任采用多因子用户验证 (即只有账号密码还不够,需要配合短信验证码、token、人脸识别等) ,即使攻陷了企业的一台服务器,也无法致使勒索攻击扩散到其他服务器。 零信任体系还能有效阻止黑客入侵后在内网扩散。 攻击者可能控制某些脆弱的单点,当其通过已攻击的终端向网络内部更重要系统渗透时,零信任的安全机制可以及时检测到风险,从而帮助企业将风险控制在最小限度,不至于发生全网崩溃的严重后果。
4. 打好保障供应链安全的“组合拳”。 一方面,须加强代码审计与安全检查。 机构组织可向供应商索要清单,列明其使用的所有代码组件,以识别与开源组件漏洞有关的潜在风险。 此外还可以考虑在实施代码前,增加额外的自动化或手工检查,并利用第三方工具对软件及相关产品源代码进行详细的安全分析。 另一方面,加快推动建立零信任架构等安全防护机制。 供应链攻击暴露出网络安全架构最大的缺陷就是过于信任。 而零信任架构意味着每个试图访问网络资源的人都要进行验证,其访问控制不仅能应用于用户,也适用于服务器设备与各类应用,以防止第三方供应商获得不必要的特权,从而降低恶意软件的渗透风险。
近期全球典型勒索攻击汇总表
数据来源: 公开信息整理
参考文献:
[1]张晓玉,陈河.从SolarWinds事件看软件供应链攻击的特点及影响[J].网信军民融合,2021(04):37-40.
[2].瑞星2020年中国网络安全报告[J].信息安全研究,2021,7(02):102-109.
[3]李江宁,覃汐赫.工业领域的勒索攻击态势与应对思路[J].自动化博览,2021,38(01):86-90.
[4]张宝移.计算机勒索病毒及防治策略分析[J].技术与市场,2020,27(10):109-110.
[5]高红静.近年勒索软件威胁分析及防范策略综述[J].保密科学技术,2018(12):21-28.
[6]李易尚.勒索软件:过去、现在和未来[J].北京警察学院学报,2017(06):99-104.
[7]李建平.供应链安全:防不胜防的软肋[J].保密工作,2021,{4}(04):58-59.
[8]嵇绍国.2020年勒索软件攻击情况及趋势预测[J].保密科学技术,2020(12):33-43.
[9]2021上半年勒索病毒趋势报告及防护方案建议,南方都市报,2021-5-10
[10] 门嘉平.勒索病毒防治策略浅析[J].网络安全技术与应用,2020(06):23-24.
[11]吴崇斌,成星恺.勒索软件发展现状及应对[J].通讯世界,2019,26(08):111-112.
[12].盘点2019年勒索病毒灾难事件[J].电脑知识与技术(经验技巧),2019(12):88-90.
打击勒索攻击,
扫码参与H5小游戏 ?
测试你是哪种类型的极客?
更多精彩内容
欢迎搜索关注微信公众号
腾讯研究院
前沿杂志
互联网前沿61
2022年,从引爆AI作画领域的DALL-E 2、Stable Diffusion等AI模型,到以ChatGPT为代表的接近人类水平的对话机器人,AIGC不断刷爆网络,其强大的内容生成能力给人们带来了巨大的震撼。
2023-05-12
全站精选
远程办公,会是现代公司的终局吗?
疫情期间这场大型试验,让我们对线上办公得到哪些新认识?
• “健康码”折射政务服务数据规则
• “新基建”:是什么?为什么?怎么干?
• 迈向行政规制的个人信息保护:GDPR与CCPA处罚制度比较
• 审视“基因编辑”:社会文化的技术隐喻
• 远程办公时代,范式转换后的三大核心变革
• 儿童个人信息保护 ——美好的权利如何脚踏实地
专题项目
研究领域
产经研究
网络社会
法律研究
研究成果
权利声明
本站系非盈利性学术网站,所有文章约为学术研究用途,如有任何权利问题,请直接与我们联系。
Copyright © 1998 Tencent All Rights Reserved
粤B2-20090059
一文读懂勒索攻击:特征、趋势与挑战
一文读懂勒索攻击:特征、趋势与挑战
首页
专题项目
数字科技前沿应用趋势
科技向善
WeCityX未来城市探索计划
研究领域
法律政策
产业经济
数字社会
研究成果
EN
|
一文读懂勒索攻击:特征、趋势与挑战
|数据安全
作者:腾讯研究院
2021-09-03
作者
翟尤 腾讯研究院产业安全中心主任、高级研究员
1989年,哈佛大学学生约瑟夫·L·波普制作了全球首个勒索病毒—AIDS木马,这位哈佛高材生将勒索病毒隐藏在软盘中并分发给国际卫生组织艾滋病大会的参会者。 此款勒索病毒会记录用户设备重启次数,一旦超过90次就会对电脑中的文件进行加密,并要求邮寄189美元才能解密重新访问系统。 虽然“名牌大学生恶作剧+邮寄支付赎金”的标签在今天看来既没有多大危害,也不够专业,但勒索病毒发起的对经济社会的攻击,在此后的30多年中逐渐演变为让人闻之色变的网络攻击浪潮。
勒索攻击从恶作剧向专业组织化网络攻击演变
勒索攻击又称为“赎金木马”,是指网络攻击者通过对目标数据强行加密,导致企业核心业务停摆,以此要挟受害者支付赎金进行解密。 如同我们把钱放在保险箱,小偷没有撬开保险箱偷钱,反而把放保险箱的房间加了把锁。 如果没有房间的钥匙,我们依然拿不到保险箱里的钱。 勒索攻击发展历程并不长,在30多年的发展过程中,主要经历三个阶段: 1989至2009年是勒索攻击的萌芽期,在这20年中,勒索攻击处于起步阶段,勒索攻击软件数量增长较为缓慢,且攻击力度小、危害程度低。 2006年我国首次出现勒索攻击软件。 2010年以后,勒索软件进入活跃期,几乎每年都有变种出现,其攻击范围不断扩大、攻击手段持续翻新。 2013年以来,越来越多的攻击者要求以比特币形式支付赎金; 2014年出现了第一个真正意义上针对Android平台的勒索攻击软件,标志着攻击者的注意力开始向移动互联网和智能终端转移。 勒索攻击在2015年后进入高发期,2017年WannaCry勒索攻击在全球范围内大规模爆发,至少150个国家、30万名用户受害,共计造成超过80亿美元的损失,至此勒索攻击正式走入大众视野并引发全球关注。
勒索攻击典型特征与案例
近年来勒索攻击席卷全球,几乎所有国家的政府、金融、教育、医疗、制造、交通、能源等行业均受到影响,可以说有互联网的地方就可能存在勒索攻击。 2021年5月,美国17个州能源系统受到勒索攻击,导致美国最大的燃料管道运营商Colonial关闭约8851公里的运输管道,犯罪分子在短时间内获取了100G数据,并锁定相关服务器等设备数据,要求支付75个比特币作为赎金 (相当于440万美元) 。 勒索攻击已经成为未来一段时期网络安全的主要威胁。 总的来看,勒索攻击有4个显著特征:
(一) 隐蔽性强且危害显著
勒索攻击善于利用各种伪装达到入侵目的,常见的传播手段有借助垃圾邮件、网页广告、系统漏洞、U盘等。 隐蔽性是勒索攻击的典型攻击策略。 在入口选择上,攻击者以代码仓库为感染位置对源代码发动攻击; 在上线选择上,宁可放弃大量的机会也不愿在非安全环境上线; 在编码上,高度仿照目标公司的编码方式和命名规范以绕过复杂的测试、交叉审核、校验等环节。 此外,攻击者往往在发动正式攻击之前就已控制代码仓库,间隔几个月甚至更长时间才引入第一个恶意软件版本,其潜伏时间之长再一次印证了勒索攻击的高隐蔽性。
调查发现,某些勒索攻击事件的制造者利用尚未被发现的网络攻击策略、技术和程序,不仅可以将后门偷偷嵌入代码中,而且可以与被感染系统通信而不被发现。 这些策略、技术和程序隐藏极深且很难完全从受感染网络中删除,为攻击活动细节的调查取证和后续的清除工作带来巨大的挑战。 此外,勒索攻击一般具有明确的攻击目标和强烈的勒索目的,勒索目的由获取钱财转向窃取商业数据和政治机密,危害性日益增强。
(二) 变异较快且易传播
目前活跃在市面上的勒索攻击病毒种类繁多呈现“百花齐放”的局面,而且每个家族的勒索病毒也处于不断地更新变异之中。 2016年勒索软件变种数量达247个,而2015年全年只有29个,其变体数量比上一年同期增长了752%。 变体的增多除了依赖先进网络技术飞速发展以外,还与网络攻击者“反侦查”意识的增强相关。 很多勒索软件编写者知道安全人员试图对其软件进行“逆向工程”,从而不断改进勒索软件变体以逃避侦查。 比如爆发于2017年的WannaCry,在全球范围蔓延的同时也迅速出现了新的变种——WannaCry 2.0,与之前版本的不同是,这个变种不能通过注册某个域名来关闭传播,因而传播速度变得更快。
(三) 攻击路径多样化
近年来越来越多的攻击事件表明,勒索攻击正在由被动式攻击转为主动式攻击。 以工业控制系统为例,由于设计之初没有考虑到海量异构设备以及外部网络的接入,随着开放性日益增加,设备中普遍存在的高危漏洞给了勒索攻击以可乘之机,一旦侵入成功即可造成多达数十亿台设备的集体沦陷。 随着远程监控和远程操作加快普及并生产海量数据,网络攻击者更容易利用系统漏洞发动远程攻击,实现盗取数据、中断生产的目的。 为了成功绕过外部安装的防火墙等安全设施,不少勒索攻击诱导企业内部员工泄露敏感信息。 除了针对运营管理中存在的薄弱环节,勒索攻击还在设备安装过程中利用内置漏洞进行横向渗透,一旦发现系统已有漏洞则立即感染侵入。
(四) 攻击目标多元化
一方面是从电脑端到移动端。 勒索病毒大多以电脑设备为攻击目标,其中Windows操作系统是重灾区。 但随着移动互联网的普及,勒索攻击的战场从电脑端蔓延至移动端,并且有愈演愈烈的趋势。 俄罗斯卡巴斯基实验室检测发现,2019年针对移动设备用户个人数据的攻击达67500个,相比2018年增长了50%。 同年卡巴斯基移动端产品共检测到350多万个恶意安装软件包,近7万个新型移动端银行木马和6.8万多个新型移动端勒索软件木马。
另一方面是从个人用户到企业设备。 个人设备在勒索软件攻击目标中一直占据较高比例,但随着传统勒索软件盈利能力的持续下降,对更高利润索取的期待驱使网络攻击者将目标重点聚焦在政府或企业的关键业务系统和服务器上。 比如在今年7月16日发生的国家级勒索事件中,厄瓜多尔最大网络运营商CNT遭遇勒索软件RansomEXX的攻击,致使其业务运营、支付门户及客户支持全部陷入瘫痪,犯罪团伙声称已经取得190GB的数据,并在隐藏的数据泄露页面上分享了部分文档截图。
随着AI、5G、物联网等技术的快速普及和应用,以及加密货币的持续火爆,勒索攻击呈现出持续高发态势,全球大量知名企业都曾遭到勒索攻击并导致经济和声誉损失。 据《2020年我国互联网网络安全态势综述》统计,2020年我国全年捕获勒索病毒软件78.1万余个,较2019年同比增长6.8%。 据Cybersecurity Adventure统计,2021年全球勒索软件破坏成本预计将达到200亿美元,高于2015年3.25亿美元的61倍。
勒索攻击7大趋势特点
(一) 影响社会正常运转且难解密
勒索攻击对社会正常运转带来较大挑战。 在民生方面,大型企业遭到勒索攻击严重影响民众正常生活。 2021年5月全球最大的肉类供应商JBS遭到勒索病毒攻击,部分牛羊屠宰加工厂停摆,美国肉类批发价格出现上涨,使得本就受到疫情冲击的全球食品供应链雪上加 霜。 在医疗卫生方面,勒索攻击不但造成巨额经济损失,同时也威胁到病人生命安全。 2020年9月,德国杜塞尔多夫医院30多台内部服务器遭到勒索攻击,一位前来寻求紧急治疗的妇女被迫转送至其他医院后死亡。 这是公开报道的第一起因勒索攻击导致人死亡的事件。 国内也出现过类似的勒索攻击事件,如某建筑设计院遭遇勒索病毒攻击,数千台电脑文件被加密,工程图纸无法访问,损失惨重。
勒索攻击使用的加密手段越来越复杂多样,绝大多数不能被解密。 业内专家普遍认为遭受勒索攻击之后,没有“特效药”。 受害者往往需要在支付巨额赎金和数据恢复重建中做出选择。 即使一些勒索攻击采用的加密算法是公开的,但是依靠现有的算力或者是通过暴力破解的方式也难以进行解密,因为暴力解密往往需要上百年的时间。
(二) 勒索攻击SaaS化
随着云计算、人工智能等新技术的快速普及和应用,勒索软件即服务成为当前网络攻击的新模式。 勒索软件黑色产业层级分明,全链条协作,开发者只管更新病毒,拓展传播渠道大肆释放勒索病毒,各级分销参与者点击鼠标就能从中瓜分利润。 这种黑色产业分销模式大大降低了勒索攻击的传播门槛,使网络安全风险快速扩散。 例如,依靠这种黑产模式,某勒索攻击软件仅用一年多时间就敛财20亿美元。
勒索攻击从制作、传播、攻击到收益呈现系统化、便捷化趋势,开发者可以提供一整套解决方案,甚至包括利用加密货币进行赎金支付等服务。 这些解决方案具有“开箱即用”的便捷性,犯罪分子获得勒索病毒后,可以通过多种渠道进行传播并获利,攻击模式更为便捷。 此外,攻击者往往并不需要任何编程技术就可以开展违法犯罪活动,理论上任何人只要支付少量费用就可以通过这类服务开展勒索攻击,导致网络攻击的门槛大幅降低。
(三) 加密货币普及助推赎金额度快速增长
勒索病毒的制造者对赎金的要求越来越高。 2017年在全球140多个国家和地区迅速蔓延的WannaCry勒索病毒赎金仅为300美元,4年后勒索病毒要求企业支付的赎金则大多在上百万美元, Sodinokibi勒索病毒在2019年前后出现在中国时,索要金额仅7000元人民币,到了2020年,该团伙的勒索金额已动辄千万美元以上。 例如2020年3月,计算机巨头宏碁公司被要求支付5000万美元赎金; 2020年11月,富士康墨西哥工厂被要求支付超过3400万美元赎金。
高额赎金不仅让犯罪分子赚得盆满钵满,同时可以借此招揽更多人铤而走险加入勒索攻击行列。 加密货币近年来成为社会关注的焦点,尤其是加密货币的匿名化导致监管部门很难对其进行管理。 犯罪分子利用加密货币这一特点,有效隐匿其犯罪行径,导致网络攻击门槛降低、变现迅速、追踪困难,一定程度上成为网络犯罪快速增长的“助推剂”。
(四) 大型企业和基础设施成为攻击重点
传统勒索病毒攻击者使用广撒网、误打误撞的手法,这种无差别攻击很难预测受害者是谁,哪些受害者有价值。 同时,普通用户的数据价值相对不高,且缴纳赎金的意愿并不强烈。 近年来,勒索攻击对象涉及面越来越广,目前主要针对掌握大量数据的大型企业,且定向精准攻击趋势愈发明显,勒索攻击日趋APT化。 所谓APT化,即攻击不计成本、不择手段,从低权限帐号入手,持续渗透攻击,直到控制企业核心服务器,再释放勒索病毒,使巨型企业彻底瘫痪。 此外,勒索攻击APT化还意味着攻击者入侵后会首先窃取该企业的核心数据,即使企业使用备份恢复系统,核心机密泄露也会导致极其严重的损失。 波音公司、台积电、富士康、全球最大的助听器制造商Demant、法国最大商业电视台M6 Group都曾成为被攻击对象。 BlackFog研究发现,2020年勒索攻击主要针对政府部门、制造业、教育和医疗保健等行业。
同时,攻击者开始针对特定企业有针对性地制定攻击策略,哪些企业掌握大量有价值的数据,哪些企业就越容易遭到攻击。 针对目标企业,攻击者手法更加多样化、对高价值目标的攻击进行“量身定做”,形成一整套攻击“组合拳”。 对于大型企业来讲,网络节点和上下游关联企业与供应商都成为潜在的攻击漏洞,产业链中安全薄弱环节均成为攻击者实现突破的关键点。 许多企业为了避免业务被中断,往往选择支付巨额赎金。
(五) “双重勒索”模式引发数据泄露风险
时至今日,勒索攻击已经从单纯的支付赎金即可恢复被加密的数据,逐渐演变成先窃取商业信息和内部机密,而后威胁企业不缴纳赎金将公开数据,这种新模式也被称为“双重勒索”。 这样一来,不仅使得勒索攻击杀伤性增强,被勒索企业缴纳赎金的可能性变大,诱使勒索攻击者发动更多攻击,而且极易引发大规模的行业内部数据泄露事件,使得受害企业同时承受数据公开、声誉受损、行政处罚等多重压力。
据不完全统计,自2019年11月首次公开报道勒索病毒窃取数据的事件以来,不到一年时间里,有超过20个流行勒索病毒团伙加入到数据窃取的行列中。 以Maze(迷宫)勒索攻击为例,它不仅最先开始系统性地窃取数据,还以泄露数据相逼要挟用户缴纳赎金。 越来越多的勒索事件表明,“双重勒索”模式已成为现今网络攻击者实施攻击的重要手段。
(六) 供应链成为勒索攻击的重要切入点
供应链攻击作为一种新型攻击手段,凭借自身难发现、易传播、低成本、高效率等特点成功跻身最具影响力的高级威胁之列。 供应链攻击一般利用产品软件官网或软件包存储库等进行传播,网络攻击一旦成功攻陷上游开发环节的服务器,便会引发连锁效应,波及处于供应链中下游的大量企业、政府机构、组织等。 由于被攻击的应用软件仍然来自受信任的分发渠道,恶意程序将随着软件的下载安装流程悄无声息地入侵目标电脑,逃避传统安全产品检查的同时又可沿供应链发动向后渗透攻击,大大增加安全检测的难度。
近年来供应链攻击备受关注。 2017年6月一家不知名的乌克兰软件公司遭受勒索攻击,勒索病毒通过软件公司服务器传播到数家全世界最大的企业之中,令其运营陷入瘫痪,造成全球范围内约100亿美元的损失。 2021年7月,美国软件开发商Kaseya遭勒索攻击,网络攻击团伙索要高达7000万美元的赎金,有评论称此次事件可能成为2021年影响最大的供应链攻击事件。
(七) 引发网络保险行业的恶性循环
美国战略与国际研究中心与杀毒软件供应商迈克菲联合发布的一份报告指出,估计每年全球网络攻击所带来的损失将达9450亿美元,再加上约1450亿美元的网络防护支出费用,总经济成本将超过1万亿美元。 高额的网络攻击成本催生了对网络风险保险的庞大需求市场,根据预测,到2025年网络风险保险费用将从2016年的32.5亿美元上升到200亿美元。 伦敦再保险经纪商Willis Re透露,今年7月保单更新季,网络安全相关保险费率将迎来40%的大幅增长。
然而网络保险行业欣欣向荣的表象下,却潜藏着巨大的恶性循环危机。 由于最近几个月来全球几大公司接连遭到灾难性的勒索攻击,越来越多的企业向网络保险和再保险公司寻求帮助,网络攻击者特意挑选投保了网络保险的公司作为攻击目标,更加有针对性地实施勒索攻击,使得网络犯罪的成功率大幅提升,整体网络环境面临加速恶化的窘境。 为遏制这一情况的继续恶化,已有多家公司开始缩减网络保险覆盖范围,法国正在考虑强制所有网络保险商停止报销赎金支出,以切断网络犯罪这一有利可图的途径。
提高预防意识并构建前置安全是关键
由于勒索攻击高强度加密算法的难破解性和数字货币交易方式的隐蔽性,并不建议将防治重点放在遭受攻击后的解密环节,而应该着重做好预防工作,不给勒索病毒以可乘之机。
从个人用户来讲, 增强员工安全意识与加强数据备份同等重要: 一方面要增强安全意识。 对于可疑的邮件尤其是附带的网址不建议随意点开,同时系统提示的安装补丁或者软件病毒库要保持及时更新。 另一方面,对于使用了非对称加密算法加密的文件,目前尚未找到有效的破解方法,一旦计算机遭到此类新型勒索病毒的攻击只能束手待毙,因而必须在平日里就做好重要数据的备份工作,且最好使用本地磁盘和云服务器双备份的策略。
从企业用户来讲,解决勒索攻击的核心是构建“安全能力前置”,提升自身的“免疫力”:
1.“安全能力前置”成为企业必选项。 企业数字化程度越高,潜在的安全风险也就越大,甚至会有致命风险。 被动防御性的安全思路难以应对多样化、动态化的网络攻击。 因此,一方面要利用AI、大数据、云计算等新技术实现安全能力在业务环节的前置,提前预判潜在安全风险,另一方面要对安全专家或人才能力量化,使过往积累的安全经验与能力标准化、流程化,以实现安全能力的量化部署。
2.构建云上安全提升安全防御能力。 产业互联网时代安全威胁逐步扩大,企业在应对勒索攻击时,数据备份和恢复的重要性进一步凸显。 云原生安全所具备的开箱即用、自适应等显著优势将成为保障云平台和云上业务安全的重要基础。 一方面云原生安全将构建安全服务全生命周期防护,伴随云上业务发展全过程。 另一方面云上安全产品将向模块化、敏捷化和弹性化演进,为用户提供差异化服务,成为兼顾成本、效率和安全的“最优解”。
3.零信任有望成为勒索攻击有效解决途径。 零信任假定所有身份、设备和行为都是不安全的,即使曾经有过被“信任”的经历也要一视同仁,在接入时需要进行全程安全验证和检查。 攻击者使用窃取到的账号信息登录VPN或其他内部业务平台时,由于零信任采用多因子用户验证 (即只有账号密码还不够,需要配合短信验证码、token、人脸识别等) ,即使攻陷了企业的一台服务器,也无法致使勒索攻击扩散到其他服务器。 零信任体系还能有效阻止黑客入侵后在内网扩散。 攻击者可能控制某些脆弱的单点,当其通过已攻击的终端向网络内部更重要系统渗透时,零信任的安全机制可以及时检测到风险,从而帮助企业将风险控制在最小限度,不至于发生全网崩溃的严重后果。
4. 打好保障供应链安全的“组合拳”。 一方面,须加强代码审计与安全检查。 机构组织可向供应商索要清单,列明其使用的所有代码组件,以识别与开源组件漏洞有关的潜在风险。 此外还可以考虑在实施代码前,增加额外的自动化或手工检查,并利用第三方工具对软件及相关产品源代码进行详细的安全分析。 另一方面,加快推动建立零信任架构等安全防护机制。 供应链攻击暴露出网络安全架构最大的缺陷就是过于信任。 而零信任架构意味着每个试图访问网络资源的人都要进行验证,其访问控制不仅能应用于用户,也适用于服务器设备与各类应用,以防止第三方供应商获得不必要的特权,从而降低恶意软件的渗透风险。
近期全球典型勒索攻击汇总表
数据来源: 公开信息整理
参考文献:
[1]张晓玉,陈河.从SolarWinds事件看软件供应链攻击的特点及影响[J].网信军民融合,2021(04):37-40.
[2].瑞星2020年中国网络安全报告[J].信息安全研究,2021,7(02):102-109.
[3]李江宁,覃汐赫.工业领域的勒索攻击态势与应对思路[J].自动化博览,2021,38(01):86-90.
[4]张宝移.计算机勒索病毒及防治策略分析[J].技术与市场,2020,27(10):109-110.
[5]高红静.近年勒索软件威胁分析及防范策略综述[J].保密科学技术,2018(12):21-28.
[6]李易尚.勒索软件:过去、现在和未来[J].北京警察学院学报,2017(06):99-104.
[7]李建平.供应链安全:防不胜防的软肋[J].保密工作,2021,{4}(04):58-59.
[8]嵇绍国.2020年勒索软件攻击情况及趋势预测[J].保密科学技术,2020(12):33-43.
[9]2021上半年勒索病毒趋势报告及防护方案建议,南方都市报,2021-5-10
[10] 门嘉平.勒索病毒防治策略浅析[J].网络安全技术与应用,2020(06):23-24.
[11]吴崇斌,成星恺.勒索软件发展现状及应对[J].通讯世界,2019,26(08):111-112.
[12].盘点2019年勒索病毒灾难事件[J].电脑知识与技术(经验技巧),2019(12):88-90.
打击勒索攻击,
扫码参与H5小游戏 ?
测试你是哪种类型的极客?
更多精彩内容
欢迎搜索关注微信公众号
腾讯研究院
前沿杂志
互联网前沿61
2022年,从引爆AI作画领域的DALL-E 2、Stable Diffusion等AI模型,到以ChatGPT为代表的接近人类水平的对话机器人,AIGC不断刷爆网络,其强大的内容生成能力给人们带来了巨大的震撼。
2023-05-12
全站精选
远程办公,会是现代公司的终局吗?
疫情期间这场大型试验,让我们对线上办公得到哪些新认识?
• “健康码”折射政务服务数据规则
• “新基建”:是什么?为什么?怎么干?
• 迈向行政规制的个人信息保护:GDPR与CCPA处罚制度比较
• 审视“基因编辑”:社会文化的技术隐喻
• 远程办公时代,范式转换后的三大核心变革
• 儿童个人信息保护 ——美好的权利如何脚踏实地
专题项目
研究领域
产经研究
网络社会
法律研究
研究成果
权利声明
本站系非盈利性学术网站,所有文章约为学术研究用途,如有任何权利问题,请直接与我们联系。
Copyright © 1998 Tencent All Rights Reserved
粤B2-20090059
《从八个方面认识勒索攻击和危害》之三:惯用传播方式与侵入途径 - 知乎
《从八个方面认识勒索攻击和危害》之三:惯用传播方式与侵入途径 - 知乎切换模式写文章登录/注册《从八个方面认识勒索攻击和危害》之三:惯用传播方式与侵入途径安天智者安天下 自2021年11月1日起,安天垂直响应服务平台运营组以威胁分析和防御赋能视角,通过一天一篇的科普专题连载,分享勒索攻击的攻击技术、行为特点、演进趋势等8组关键信息,介绍安天产品如何构建防御勒索攻击的防线。 今天是本专题的第三篇,围绕勒索攻击的惯用传播方式与侵入途径展开介绍。勒索攻击专题《从八个方面认识勒索攻击和危害》之一:勒索攻击中的四种分工角色《从八个方面认识勒索攻击和危害》之二:勒索攻击的两种典型模式 可能部分用户还没有认识到,如今的网络环境的每一步应用场景,几乎都有可能被攻击者利用成勒索攻击的传播方式与侵入途径。 安天垂直响应服务平台运营组基于我司历史勒索攻击分析报告及相关资料,将目前已知的攻击者惯用传播方式与侵入途径进行了归类整理,通过本文呈现,旨在为用户制定勒索攻击防护方案时提供参考。一、邮件传播侵入 一般为垃圾邮件、钓鱼邮件与鱼叉式钓鱼邮件,逻辑是通过邮件中的时事热点信息或与受害者相关的内容(包括标题),诱使用户点击或运行内嵌了勒索软件的附件(格式多为Word文档、Excel表格、JavaScript脚本或exe文件等),或打开邮件正文中的恶意链接。用户一旦进行相关操作,勒索软件将会自动下载和运行。 垃圾邮件在非定向勒索攻击中较为常见,以“广撒网”的方式进行传播,邮件内容一般为时事热点、广告、促销信息或伪装成打招呼邮件(如标题为“好久不见”等)。 钓鱼邮件与鱼叉式钓鱼邮件则常用于定向勒索攻击中,由于攻击者通常在事前已通过侦察手段获取到了受害者的相关信息,因此会将邮件包装成官方或工作伙伴发送的邮件(如:“XX最新政策信息”、“XX年度XX工作表”、“公司将升级XX系统”等相关标题与内容),甚至会模仿熟人发信的语气,增加收件人上当的概率。 这类传播及侵入的目标多为企业、高校、医院机构等单位,这些单位组织中的本地设备通常保存有较重要的文件,一旦侵入成功,即可造成极大威胁。例:安天曾在《LooCipher勒索软件分析报告》[1]中指出:LooCipher勒索软件主要通过垃圾邮件进行传播,邮件附件为包含恶意宏代码的Word文档。该文档诱使用户启用宏以查看文档内容,宏代码的功能为连接Tor服务器并下载执行程序,将该文件重命名为LooCipher.exe,然后执行该文件。二、系统或软件漏洞 攻击者利用各类系统或软件漏洞(包括已公开且已发布补丁的漏洞)组合,或通过黑色产业链中的漏洞利用套件(如:Exploit Kit)来传播勒索软件。 由于未能及时修补漏洞,因此用户即便没有不安全用网行为,也可能遭到攻击者侵入;同时,攻击者还会扫描同一网络中存在漏洞的其他设备,以扩大威胁攻击范围。例:“魔窟”(WannaCry)就是利用Windows操作系统中,名为“永恒之蓝”的安全漏洞进行全球范围传播的。三、弱口令暴力破解(远程桌面控制) 由于部分服务器会使用弱口令(可简单理解为复杂度较低的密码)远程登录,攻击者便利用这一弱点实施暴力破解,实现远程登陆并手动下载运行勒索软件。譬如:通过弱口令尝试暴力破解RDP端口、SSH端口和数据库端口等。 即使服务器安装了安全软件,攻击者也可手动将其退出。该手段具有较高的隐蔽性、机动性,因此极难被安全软件发现。例:2021年3月,安天就曾发布《对HelpYou勒索软件的分析报告》[2],发现该勒索软除了通过邮件之外,还可以利用RDP弱口令渗透进行传播。四、僵尸网络 僵尸网络是指:采用一种或多种传播方式,将大量主机感染bot程序(僵尸程序)病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。例:攻击者利用已经被僵尸网络控制的系统主机进行病毒传播,特点是传播范围广,隐秘性高,感染速度快。2021年8月,安天发布了《对AstraLocker勒索软件的分析报告》[3],该勒索软件主要通过垃圾邮件和僵尸网络进行传播。五、恶意广告链接(网页挂马) 攻击者会向网页代理投放广告(弹窗广告、悬浮窗广告等),并在其中植入跳转链接,从而避开针对广告系统的安全机制,诱导用户点击广告、访问网站并触发恶意代码,进而下载勒索软件并执行。 有些攻击者则会选择直接攻击网站,并植入恶意代码,用户一旦访问就会感染。 也有一些攻击者会自主搭建包含恶意代码的网站,或者仿造制作与知名站点相似的“假网站”,以此来诱骗用户访问。例:安天在《对Maze勒索软件的分析》[4]中发现,该勒索软件擅长使用FalloutEK漏洞利用工具,或通过网页挂马的方式传播;被挂马的网页,多用于黄赌毒以及某些软件内嵌的广告页面等。六、软件供应链(信任转嫁) 软件供应链攻击是指利用软件供应商与最终用户之间的信任关系,在合法软件正常传播、安装和升级过程中,通过软件供应商的各种疏忽或漏洞,对合法软件进行劫持或篡改,从而绕过传统安全产品检查达到传播侵入的攻击类型。例:2021年7月3日,美国技术管理软件供应商Kaseya遭遇REvil勒索软件的攻击。REvil团伙在Kaseya供应链攻击中利用了0day漏洞。据媒体报道,至少有1000家企业受到了攻击的影响,受害者来自至少17个国家,包括英国、南非、加拿大、阿根廷、墨西哥、印度尼西亚、新西兰和肯尼亚等。而REvil勒索团伙当时索要的赎金高达7000万美元[5]。七、移动存储介质 攻击者通过隐藏U盘、移动硬盘等移动存储介质中的原有文件,创建与移动存储介质盘符、图标等相同的快捷方式并植入病毒,一旦用户点击就会运行勒索软件,或运行专门用于收集和回传设备信息的木马程序,便于未来实施针对性的勒索软件攻击行为。 由于PE类文件(常见后缀为exe、dll、ocx、sys、com的都是PE文件)被感染后具有了感染其他文件的能力,如果此文件被用户携带(U盘、移动硬盘、网络上传等)到别的设备上运行,就会使得其他设备的文件也被全部感染。许多内网隔离环境,就是被藏在移动存储介质里的恶意软件感染的。例:2021年3月,安天捕获到的BleachGap勒索软件就具备添加自启动、改写MBR、通过可移动介质传播等多项特征[6]。八、水坑攻击 攻击者在受害者必经之路设置了一个“水坑(陷阱)”,致使受害者上当。譬如:攻击者会分析攻击目标的上网活动规律,寻找攻击目标经常访问的网站的弱点,先将此网站“攻破”并植入攻击代码,一旦攻击目标访问该网站就会“中招”。例:勒索软件“Bad Rabbit”就曾采用水坑攻击的方式传播,通过伪装成Adobe flashplayer欺骗用户安装,感染后会在局域网内扩散[7]。下期预告 勒索攻击的传播方式与侵入途径与常见的计算机网络威胁攻击大体一致,但“魔鬼藏在细节中”,用户的不当用网习惯、对系统或软件漏洞修补的忽略、对安全防护措施的忽视等,都有可能导致勒索攻击趁虚而入。 因此,养成日常安全用网习惯、构建安全防护体系、提升安全运营水平,是有效防御勒索攻击传播侵入的首要行动条件。 下一期主题:勒索攻击“杀伤链”分析,敬请期待。附件:安天智甲5+2防护,构筑端点系统侧安全防线▲ 智甲终端防护系统防御勒索病毒原理示意图 智甲针对勒索攻击构建了“五层防御,两重闭环”的防护解决方案。五层防御即系统加固、(主机)边界防御、扫描过滤、主动防御、文档安全五个防御层次,两重闭环是EPP(端点防护)实时防御闭环,和EDR(端点检测和响应)准实时/异步防御闭环。 凭借这样的机理设计,辅以每日10次病毒库本地升级,云端库实时升级,威胁情报定时推送,安天智甲可以有效阻止病毒落地、阻断恶意行为、保护重要文档,全面有效的保障用户免受勒索攻击威胁。 对于安天全线产品如何支持客户构建有效防御体系,请参考《安天产品助力用户有效防护勒索攻击》。 安天垂直响应服务平台中开通了面向Windows主机的轻量级勒索风险评估,并提供专用响应工具,帮助客户快速排查风险。 详情地址:https://vs.antiy.cn/endpoint/rdt 同时,个人和家庭用户,推荐安装使用安天杀毒软件(Windows版),获得有效安全防护。 详情地址:https://vs.antiy.cn/endpoint/anti-virus安天垂直响应服务平台简介 “安天垂直响应服务平台”是安天旗下专注满足中小企业和个人(家庭)用户安全刚需的“一站式服务平台”。 平台通过持续为个人安全、中小企业安全、开发安全与安全分析领域的用户,提供轻量级的产品与服务支撑,以实现快速响应用户在各类场景下的安全需求。 专业、精准、纯净、高效,是我们的服务宗旨;达成客户有效安全价值、提升客户安全获得感、与客户共同改善安全认识,是我们不变的初心与使命。参考资料[1] 《LooCipher勒索软件分析报告》.2019/07/08https://www.antiy.cn/research/notice&report/frontier_tech/2019190.html[2] 《安天周观察269期》.2021/03/15https://www.antiy.cn/research/notice&report/frontier_tech/2021269.html[3] 《安天周观察293期》.2021/08/27https://www.antiy.cn/research/notice&report/frontier_tech/2021293.html[4] 《Maze勒索病毒变种分析报告》.2019/06/10https://www.antiy.cn/research/notice&report/frontier_tech/2019187.html[5] 《REvil Used 0-Day in Kaseya Ransomware Attack, Demands $70 MillionRansom》.2021/07/04https://thehackernews.com/2021/07/revil-used-0-day-in-kaseya-ransomware.html[6] 《通过U盘传播的多功能勒索软件分析》.2021/03/12https://www.antiy.cn/research/notice&report/research_report/20210316.html[7] 《坏兔子来袭,安天智甲有效防护》.2017/10/26https://www.antiy.cn/research/notice&report/research_report/20171026.html发布于 2021-11-05 15:30网络安全黑客 (Hacker)勒索病毒赞同添加评论分享喜欢收藏申请
什么是勒索软件?如何防御勒索软件? - 华为
什么是勒索软件?如何防御勒索软件? - 华为
本站点使用Cookies,继续浏览表示您同意我们使用Cookies。
Cookies和隐私政策>
技术支持
运营商入口
公告
中文
English
首页
信息速查
IP知识百科
在线课堂
产品智能选型
首页
信息速查
产品智能选型
IP知识百科
中文
English
登录
提示
确定
取消
IP知识百科
IP知识百科
>
勒索软件
什么是勒索软件
勒索软件又称勒索病毒,是一种特殊的恶意软件,又被归类为“阻断访问式攻击”(denial-of-access attack),与其他病毒最大的不同在于攻击手法以及中毒方式。勒索软件的攻击方式是将受害者的电脑锁起来或者系统性地加密受害者硬盘上的文件,以此来达到勒索的目的。所有的勒索软件都会要求受害者缴纳赎金以取回对电脑的控制权,或是取回受害者根本无从自行获取的解密密钥以便解密文件。勒索软件一般通过木马病毒的形式传播,将自身掩盖为看似无害的文件,通常假冒普通电子邮件等社会工程学方法欺骗受害者点击链接下载,但也有可能与许多其他蠕虫病毒一样利用软件的漏洞在互联网的电脑间传播。
目录
勒索软件的类型
勒索软件的入侵方式
如何防御勒索软件
如何处置勒索软件
更多
收起
勒索软件的类型
根据勒索软件对受害者系统采取的措施,主要可以分为以下几类:
绑架用户数据使用加密算法(如AES、RSA等)将用户的文件进行加密,用户在没有秘钥的情况下无法操作自己的文件。用户可以访问设备,但是对设备内的数据无法操作。 典型勒索软件有:WannaCry、GlobeImposter、CryptoLocker,TeslaCrypt等。
锁定用户设备不加密用户的文件,但是通过修改一些配置或者系统文件,使得用户无法进入设备。 典型勒索软件有:NotPetya等。
锁定用户设备和绑架数据既加密用户文件,又锁住用户设备。是1和2的结合体。 典型勒索软件有:BadRabbit等。
勒索软件的入侵方式
勒索软件常用的入侵方式如图1所示。
勒索软件的入侵方式
网络共享文件一些小范围传播的敲诈勒索病毒会通过共享文件的方式进行传播,黑客会将病毒上传到网络共享空间、云盘、QQ群、BBS论坛等,以分享的方式发送给特定人群,进而诱骗其下载安装。 此外,不法黑客还常会编造出“杀毒软件会产生误报,运行之前需要退出杀毒软件”之类的理由,诱骗受害者关闭杀毒软件后运行。 典型代表有:暂时主要为国产勒索类病毒通过外挂辅助,“绿色”软件类工具携带。
捆绑传播勒索软件与正常合法软件一起捆绑发布在各大下载网站或者论坛,当用户下载该软件后便会中招。
垃圾邮件这是勒索软件最为广泛的攻击方式。
利用社会工程学方法,发送假冒的电子邮件,将恶意脚本/程序掩盖为普通的文件,欺骗受害者下载、运行。
利用一些僵尸网络,更能增加欺骗的概率。如GameOverZeus僵尸网络,会使用MITB技术窃取银行凭证,通过该僵尸网络来分发钓鱼邮件,受害者非常容易相信。该僵尸网络被CrytoLocker等勒索软件利用来分发钓鱼邮件。
典型代表有:Locky、Cerber、GlobeImposter、CrytoLocker等。
水坑攻击勒索者利用有价值、有权威或访问量较大网站的缺陷植入恶意代码,当受害者访问该网址,或者下载相关文件时便会中招。 典型代表有:Cerber、GandCrab等。
软件供应链传播勒索软件制作者通过入侵软件开发、分发、升级服务等环节,在软件开发过程中,就会在产品组件中混入病毒,通过入侵、劫持软件下载站、升级服务器,当用户正常进行软件安装或升级服务时勒索病毒趁虚而入。这种传播方式利用了用户与软件供应商之间的信任关系,成功绕开了传统安全产品的围追堵截,传播方式上更加隐蔽,危害也更为严重。此前侵袭全球的Petya勒索病毒便是通过劫持Medoc软件更新服务进行传播。 典型代表有:Petya等。
暴力破解(定向攻击)针对服务器、个人用户或特定目标,通过使用弱口令、渗透、漏洞等方式获取相应权限。例如NotPetya会对口令进行暴力破解然后在局域网内传播。 典型代表有:NotPetya、Crysis、GlobeImposter等。
利用已知漏洞攻击利用系统或者第三方软件存在的漏洞实施攻击。例如WannaCry便利用了SMBV1的一组漏洞进行攻击和传播。 典型代表有:WannaCry、Satan等
利用高危端口攻击利用一些端口的业务机制,找到端口的漏洞,进行攻击。如WannaCry利用Windows操作系统445端口存在的漏洞进行传播,并具有自我复制、主动传播的特性。常见的高危端口有135、139、445、3389、5800/5900等。建议尽量关闭此类端口。 典型代表有:WannaCry等。
以上几种的组合联合攻击通常来说,勒索软件不会只采取一种方式来进行攻击和传播,通常会是几种的组合。
如何防御勒索软件
阻止勒索软件攻击最有效的办法是防止攻击进入组织内部。
主机侧防护
首先,推荐通过组织级的IT基础设施方案来统一设置主机。通过AD服务器的组策略、企业级杀毒软件的控制中心等,可以保证安全措施执行到位,而不必依赖员工个人的执行力。
其次是针对员工的信息安全教育。很多勒索软件使用电子邮件和社会工程手段,诱使员工下载恶意软件,或访问恶意网址。员工不为所动,就能避免激活携带的攻击媒介。通过信息安全宣传,培训员工养成良好的办公习惯,识别和防范典型的攻击手法,是避免勒索软件攻击的有效手段
以下列出了主要的主机侧防护措施,其中大部分可以通过IT基础设施方案来统一管理。对于没有完善IT系统的小微企业,可以把这些措施转化为信息安全教育的内容,指导员工自行配置。相关措施包括但不局限于:
开启系统防火墙,利用防火墙阻止特定端口的连接,或者禁用特定端口。
升级最新的杀毒软件,或者部署专杀工具。
更新补丁,修复勒索软件所利用的含漏洞软件。
各项登录、鉴权操作的用户名、密码复杂度要符合要求。
设置帐户锁定策略。
阻止宏自动运行,谨慎启用宏。
仅从指定位置下载软件。
不要打开来源不明邮件的附件和链接。
定期做好异地备份,这是系统被感染后数据尽快恢复的最好手段,以勒索软件的套路,即使交付赎金,也不一定保证本地数据会被解密。
在Windows文件夹中设置显示“文件扩展名”,可以更轻易地发现潜在的恶意文件。
详细的主机侧防护措施请参见勒索软件防护指南>主机侧防护。
网络侧防护
防御勒索软件攻击的关键在于预防,即在勒索软件进入组织并造成实质性损坏之前,拦截攻击。 最佳方法是设置以防火墙为基础的多层安全防御体系,避免攻击者突破一层防御之后长驱直入。严格的安全策略是最简单有效的防护手段;仅对外开放必需的服务,封堵高危端口,可以减小暴露面(攻击面)。阻断已知威胁,通常可以使攻击者放弃攻击,否则攻击者就需要创建新的勒索软件,或者利用新的漏洞,其成本必然增加。同时,启用文件过滤,可以限制高风险类型文件进入网络;利用URL过滤阻断恶意网站,可以避免用户无意中下载恶意软件。在安全性要求较高的网络中,还可以部署FireHunter沙箱、HiSec Insight、诱捕系统,全面感知安全态势。
针对勒索软件在网络侧的防护,华为通过如下分层防御体系进行防护:
通过在防护墙上部署严格的安全策略,限制用户对网络和应用的使用。
南北向安全策略:在网络边界处,设置严格的网络访问策略,仅对外开放必需的服务,且仅允许受信任IP地址/用户访问必要的服务。
东西向安全策略:把内部网络按照功能和风险等级划分到不同的安全区域,在不同功能网络间设置严格的安全策略。建议阻断高危端口(包括135、137、138、139、445、3389等)或限制可访问的用户,降低勒索软件横向扩散的可能性。在交换机和路由器等网络设备上,也可以利用流策略封堵高危端口。
通过IPS、AV、URL,发现和阻断已知威胁。
IPS入侵防御:在安全策略中引用IPS配置文件,确保如下暴力破解和漏洞利用签名的动作为阻断。如果签名的缺省动作不是阻断,可以设置例外签名,修改其动作为阻断。
AV反病毒:对于文件传输协议(HTTP、FTP)和共享协议(NFS、SMB),采用缺省动作。对于邮件协议,建议动作设置为宣告或删除附件。防火墙将在邮件中添加提示信息,提醒收件人附件中可能含有病毒。
URL过滤:推荐使用白名单机制,根据组织业务需求,圈定业务需求所需的网站类型。如果采用白名单机制有困难,则至少要阻断恶意网站、其他类。同时,启用恶意URL检测功能。
通过沙箱联动,发现未知威胁。防火墙将流量还原成文件,并将需要检测的文件发送到沙箱进行检测。防火墙定期到沙箱上查询检测结果,并根据检测结果更新设备缓存中的恶意文件和恶意URL列表。当具有相同特征的后续流量命中恶意文件或恶意URL列表时,防火墙将直接阻断。
通过HiSec Insight、诱捕,避免横向扩散。部署HiSec Insight和支持诱捕特性的交换机和防火墙。诱导勒索病毒入侵仿真业务并捕获其入侵行为,上报检测结果至HiSec Insight,HiSec Insight可全网下发策略阻断勒索病毒传播。诱捕系统有助于降低真实系统被攻击的概率,最大限度减少损失。
部署日志审计系统,用于调查取证和攻击溯源。日志审计系统可以集中存储和管理网络设备和服务器的日志信息,便于监控和事后分析。此外,攻击者还可能会加密或者删除主机日志,部署日志审计系统可以规避此问题。
关于详细的操作指导,请参见勒索软件防护指南>网络侧防护。
如何处置勒索软件
如果不幸被勒索,请按照如下建议处理。
不要急于为勒索软件支付赎金。支付赎金相当于鼓励网络犯罪,并且并不能保证能够恢复被加密的文件。
严格来说,加密型勒索软件不可破解。因勒索软件本身设计的问题,或者黑客组织公布了解密密钥(如Shade),存在一定的解密可能性。
如果被加密的数据相当重要或者极其敏感,且该勒索软件尚无解密方案,也请在确认网络犯罪分子确实可以解密后,再决定是否支付赎金。
常见的勒索软件处置建议,相关措施包括但不局限于:
隔离被勒索的设备拔掉网线或者修改网络连接设置,从网络中隔离所有被勒索的设备,防止勒索软件进一步传播,控制影响范围。同时排查受影响的主机数量,记录问题现象。 关闭其他未感染主机的高危端口。在局域网内其它未感染设备上,关闭常见的高危端口(包括135、139、445、3389等),或设置可访问此端口的用户/计算机。
清除勒索软件尝试使用杀毒软件扫描和清除勒索软件。请重启操作系统,进入安全模式,安装/杀毒软件并全盘扫描。 勒索软件搜索文件并加密需要一定的时间,及早清理勒索软件可以降低其危害程度,也能避免它重复锁定系统或加密文件。
解密保护现场。不要直接重新安装操作系统。如果被加密锁定数据比较重要,建议做好被加密文件的备份和环境的保护,防止因为环境破坏造成无法解密等。 访问“No More Ransom”网站,使用解码刑警(Crypto Sheriff)确定勒索软件的类型,并检查是否有可用的解密方案,有机会破解并恢复文件。
调查取证求助专业技术人员进行取证操作,以便分析勒索软件的攻击路径,对攻击路径进行溯源。 在操作系统的事件查看器中,查看安全日志,重点关注登录失败事件。在网络设备中查看安全日志、会话日志,重点关注暴力破解、SMB等重大漏洞攻击事件。 确定中毒原因,彻底修复系统中存在的安全问题,避免再次沦陷。
重装系统最后的最后,如果勒索软件无法移除、被加密数据不可恢复,请备份被加密数据(或许未来有恢复的可能),然后格式化硬盘驱动器,擦除所有数据(包括受感染的数据),重新安装操作系统和应用程序。
参考资源
1勒索软件防护指南
Your browser does not support the video tag.
相关词条
词条统计
作者:
金德胜
最近更新:
2022-12-26
浏览次数:
15042
平均得分:
页内导航
勒索软件的类型
勒索软件的入侵方式
如何防御勒索软件
如何处置勒索软件
问卷调研
帮助中心
在线客服
分享链接
意见反馈
分享链接到:
意见反馈
关注我们
关于华为
华为公司简介
关于企业业务
查找中国办事处
新闻中心
市场活动
信任中心
如何购买
售前在线咨询
提交项目需求
查找经销商
向经销商询价
合作伙伴
成为合作伙伴
合作伙伴培训
合作伙伴政策
资源
华为“懂行”体验店
e直播
博客
资料中心
视频中心
电子期刊
成功案例
快速链接
互动社区
华为云
华为智能光伏
华为商城
华为招聘
版权所有 © 华为技术有限公司 1998-2023。 保留一切权利。粤A2-20044005号
隐私保护
|
法律声明
|
网站地图
|
什么是勒索软件?如何防御勒索软件? - 华为
什么是勒索软件?如何防御勒索软件? - 华为
本站点使用Cookies,继续浏览表示您同意我们使用Cookies。
Cookies和隐私政策>
技术支持
运营商入口
公告
中文
English
首页
信息速查
IP知识百科
在线课堂
产品智能选型
首页
信息速查
产品智能选型
IP知识百科
中文
English
登录
提示
确定
取消
IP知识百科
IP知识百科
>
勒索软件
什么是勒索软件
勒索软件又称勒索病毒,是一种特殊的恶意软件,又被归类为“阻断访问式攻击”(denial-of-access attack),与其他病毒最大的不同在于攻击手法以及中毒方式。勒索软件的攻击方式是将受害者的电脑锁起来或者系统性地加密受害者硬盘上的文件,以此来达到勒索的目的。所有的勒索软件都会要求受害者缴纳赎金以取回对电脑的控制权,或是取回受害者根本无从自行获取的解密密钥以便解密文件。勒索软件一般通过木马病毒的形式传播,将自身掩盖为看似无害的文件,通常假冒普通电子邮件等社会工程学方法欺骗受害者点击链接下载,但也有可能与许多其他蠕虫病毒一样利用软件的漏洞在互联网的电脑间传播。
目录
勒索软件的类型
勒索软件的入侵方式
如何防御勒索软件
如何处置勒索软件
更多
收起
勒索软件的类型
根据勒索软件对受害者系统采取的措施,主要可以分为以下几类:
绑架用户数据使用加密算法(如AES、RSA等)将用户的文件进行加密,用户在没有秘钥的情况下无法操作自己的文件。用户可以访问设备,但是对设备内的数据无法操作。 典型勒索软件有:WannaCry、GlobeImposter、CryptoLocker,TeslaCrypt等。
锁定用户设备不加密用户的文件,但是通过修改一些配置或者系统文件,使得用户无法进入设备。 典型勒索软件有:NotPetya等。
锁定用户设备和绑架数据既加密用户文件,又锁住用户设备。是1和2的结合体。 典型勒索软件有:BadRabbit等。
勒索软件的入侵方式
勒索软件常用的入侵方式如图1所示。
勒索软件的入侵方式
网络共享文件一些小范围传播的敲诈勒索病毒会通过共享文件的方式进行传播,黑客会将病毒上传到网络共享空间、云盘、QQ群、BBS论坛等,以分享的方式发送给特定人群,进而诱骗其下载安装。 此外,不法黑客还常会编造出“杀毒软件会产生误报,运行之前需要退出杀毒软件”之类的理由,诱骗受害者关闭杀毒软件后运行。 典型代表有:暂时主要为国产勒索类病毒通过外挂辅助,“绿色”软件类工具携带。
捆绑传播勒索软件与正常合法软件一起捆绑发布在各大下载网站或者论坛,当用户下载该软件后便会中招。
垃圾邮件这是勒索软件最为广泛的攻击方式。
利用社会工程学方法,发送假冒的电子邮件,将恶意脚本/程序掩盖为普通的文件,欺骗受害者下载、运行。
利用一些僵尸网络,更能增加欺骗的概率。如GameOverZeus僵尸网络,会使用MITB技术窃取银行凭证,通过该僵尸网络来分发钓鱼邮件,受害者非常容易相信。该僵尸网络被CrytoLocker等勒索软件利用来分发钓鱼邮件。
典型代表有:Locky、Cerber、GlobeImposter、CrytoLocker等。
水坑攻击勒索者利用有价值、有权威或访问量较大网站的缺陷植入恶意代码,当受害者访问该网址,或者下载相关文件时便会中招。 典型代表有:Cerber、GandCrab等。
软件供应链传播勒索软件制作者通过入侵软件开发、分发、升级服务等环节,在软件开发过程中,就会在产品组件中混入病毒,通过入侵、劫持软件下载站、升级服务器,当用户正常进行软件安装或升级服务时勒索病毒趁虚而入。这种传播方式利用了用户与软件供应商之间的信任关系,成功绕开了传统安全产品的围追堵截,传播方式上更加隐蔽,危害也更为严重。此前侵袭全球的Petya勒索病毒便是通过劫持Medoc软件更新服务进行传播。 典型代表有:Petya等。
暴力破解(定向攻击)针对服务器、个人用户或特定目标,通过使用弱口令、渗透、漏洞等方式获取相应权限。例如NotPetya会对口令进行暴力破解然后在局域网内传播。 典型代表有:NotPetya、Crysis、GlobeImposter等。
利用已知漏洞攻击利用系统或者第三方软件存在的漏洞实施攻击。例如WannaCry便利用了SMBV1的一组漏洞进行攻击和传播。 典型代表有:WannaCry、Satan等
利用高危端口攻击利用一些端口的业务机制,找到端口的漏洞,进行攻击。如WannaCry利用Windows操作系统445端口存在的漏洞进行传播,并具有自我复制、主动传播的特性。常见的高危端口有135、139、445、3389、5800/5900等。建议尽量关闭此类端口。 典型代表有:WannaCry等。
以上几种的组合联合攻击通常来说,勒索软件不会只采取一种方式来进行攻击和传播,通常会是几种的组合。
如何防御勒索软件
阻止勒索软件攻击最有效的办法是防止攻击进入组织内部。
主机侧防护
首先,推荐通过组织级的IT基础设施方案来统一设置主机。通过AD服务器的组策略、企业级杀毒软件的控制中心等,可以保证安全措施执行到位,而不必依赖员工个人的执行力。
其次是针对员工的信息安全教育。很多勒索软件使用电子邮件和社会工程手段,诱使员工下载恶意软件,或访问恶意网址。员工不为所动,就能避免激活携带的攻击媒介。通过信息安全宣传,培训员工养成良好的办公习惯,识别和防范典型的攻击手法,是避免勒索软件攻击的有效手段
以下列出了主要的主机侧防护措施,其中大部分可以通过IT基础设施方案来统一管理。对于没有完善IT系统的小微企业,可以把这些措施转化为信息安全教育的内容,指导员工自行配置。相关措施包括但不局限于:
开启系统防火墙,利用防火墙阻止特定端口的连接,或者禁用特定端口。
升级最新的杀毒软件,或者部署专杀工具。
更新补丁,修复勒索软件所利用的含漏洞软件。
各项登录、鉴权操作的用户名、密码复杂度要符合要求。
设置帐户锁定策略。
阻止宏自动运行,谨慎启用宏。
仅从指定位置下载软件。
不要打开来源不明邮件的附件和链接。
定期做好异地备份,这是系统被感染后数据尽快恢复的最好手段,以勒索软件的套路,即使交付赎金,也不一定保证本地数据会被解密。
在Windows文件夹中设置显示“文件扩展名”,可以更轻易地发现潜在的恶意文件。
详细的主机侧防护措施请参见勒索软件防护指南>主机侧防护。
网络侧防护
防御勒索软件攻击的关键在于预防,即在勒索软件进入组织并造成实质性损坏之前,拦截攻击。 最佳方法是设置以防火墙为基础的多层安全防御体系,避免攻击者突破一层防御之后长驱直入。严格的安全策略是最简单有效的防护手段;仅对外开放必需的服务,封堵高危端口,可以减小暴露面(攻击面)。阻断已知威胁,通常可以使攻击者放弃攻击,否则攻击者就需要创建新的勒索软件,或者利用新的漏洞,其成本必然增加。同时,启用文件过滤,可以限制高风险类型文件进入网络;利用URL过滤阻断恶意网站,可以避免用户无意中下载恶意软件。在安全性要求较高的网络中,还可以部署FireHunter沙箱、HiSec Insight、诱捕系统,全面感知安全态势。
针对勒索软件在网络侧的防护,华为通过如下分层防御体系进行防护:
通过在防护墙上部署严格的安全策略,限制用户对网络和应用的使用。
南北向安全策略:在网络边界处,设置严格的网络访问策略,仅对外开放必需的服务,且仅允许受信任IP地址/用户访问必要的服务。
东西向安全策略:把内部网络按照功能和风险等级划分到不同的安全区域,在不同功能网络间设置严格的安全策略。建议阻断高危端口(包括135、137、138、139、445、3389等)或限制可访问的用户,降低勒索软件横向扩散的可能性。在交换机和路由器等网络设备上,也可以利用流策略封堵高危端口。
通过IPS、AV、URL,发现和阻断已知威胁。
IPS入侵防御:在安全策略中引用IPS配置文件,确保如下暴力破解和漏洞利用签名的动作为阻断。如果签名的缺省动作不是阻断,可以设置例外签名,修改其动作为阻断。
AV反病毒:对于文件传输协议(HTTP、FTP)和共享协议(NFS、SMB),采用缺省动作。对于邮件协议,建议动作设置为宣告或删除附件。防火墙将在邮件中添加提示信息,提醒收件人附件中可能含有病毒。
URL过滤:推荐使用白名单机制,根据组织业务需求,圈定业务需求所需的网站类型。如果采用白名单机制有困难,则至少要阻断恶意网站、其他类。同时,启用恶意URL检测功能。
通过沙箱联动,发现未知威胁。防火墙将流量还原成文件,并将需要检测的文件发送到沙箱进行检测。防火墙定期到沙箱上查询检测结果,并根据检测结果更新设备缓存中的恶意文件和恶意URL列表。当具有相同特征的后续流量命中恶意文件或恶意URL列表时,防火墙将直接阻断。
通过HiSec Insight、诱捕,避免横向扩散。部署HiSec Insight和支持诱捕特性的交换机和防火墙。诱导勒索病毒入侵仿真业务并捕获其入侵行为,上报检测结果至HiSec Insight,HiSec Insight可全网下发策略阻断勒索病毒传播。诱捕系统有助于降低真实系统被攻击的概率,最大限度减少损失。
部署日志审计系统,用于调查取证和攻击溯源。日志审计系统可以集中存储和管理网络设备和服务器的日志信息,便于监控和事后分析。此外,攻击者还可能会加密或者删除主机日志,部署日志审计系统可以规避此问题。
关于详细的操作指导,请参见勒索软件防护指南>网络侧防护。
如何处置勒索软件
如果不幸被勒索,请按照如下建议处理。
不要急于为勒索软件支付赎金。支付赎金相当于鼓励网络犯罪,并且并不能保证能够恢复被加密的文件。
严格来说,加密型勒索软件不可破解。因勒索软件本身设计的问题,或者黑客组织公布了解密密钥(如Shade),存在一定的解密可能性。
如果被加密的数据相当重要或者极其敏感,且该勒索软件尚无解密方案,也请在确认网络犯罪分子确实可以解密后,再决定是否支付赎金。
常见的勒索软件处置建议,相关措施包括但不局限于:
隔离被勒索的设备拔掉网线或者修改网络连接设置,从网络中隔离所有被勒索的设备,防止勒索软件进一步传播,控制影响范围。同时排查受影响的主机数量,记录问题现象。 关闭其他未感染主机的高危端口。在局域网内其它未感染设备上,关闭常见的高危端口(包括135、139、445、3389等),或设置可访问此端口的用户/计算机。
清除勒索软件尝试使用杀毒软件扫描和清除勒索软件。请重启操作系统,进入安全模式,安装/杀毒软件并全盘扫描。 勒索软件搜索文件并加密需要一定的时间,及早清理勒索软件可以降低其危害程度,也能避免它重复锁定系统或加密文件。
解密保护现场。不要直接重新安装操作系统。如果被加密锁定数据比较重要,建议做好被加密文件的备份和环境的保护,防止因为环境破坏造成无法解密等。 访问“No More Ransom”网站,使用解码刑警(Crypto Sheriff)确定勒索软件的类型,并检查是否有可用的解密方案,有机会破解并恢复文件。
调查取证求助专业技术人员进行取证操作,以便分析勒索软件的攻击路径,对攻击路径进行溯源。 在操作系统的事件查看器中,查看安全日志,重点关注登录失败事件。在网络设备中查看安全日志、会话日志,重点关注暴力破解、SMB等重大漏洞攻击事件。 确定中毒原因,彻底修复系统中存在的安全问题,避免再次沦陷。
重装系统最后的最后,如果勒索软件无法移除、被加密数据不可恢复,请备份被加密数据(或许未来有恢复的可能),然后格式化硬盘驱动器,擦除所有数据(包括受感染的数据),重新安装操作系统和应用程序。
参考资源
1勒索软件防护指南
Your browser does not support the video tag.
相关词条
词条统计
作者:
金德胜
最近更新:
2022-12-26
浏览次数:
15044
平均得分:
页内导航
勒索软件的类型
勒索软件的入侵方式
如何防御勒索软件
如何处置勒索软件
问卷调研
帮助中心
在线客服
分享链接
意见反馈
分享链接到:
意见反馈
关注我们
关于华为
华为公司简介
关于企业业务
查找中国办事处
新闻中心
市场活动
信任中心
如何购买
售前在线咨询
提交项目需求
查找经销商
向经销商询价
合作伙伴
成为合作伙伴
合作伙伴培训
合作伙伴政策
资源
华为“懂行”体验店
e直播
博客
资料中心
视频中心
电子期刊
成功案例
快速链接
互动社区
华为云
华为智能光伏
华为商城
华为招聘
版权所有 © 华为技术有限公司 1998-2023。 保留一切权利。粤A2-20044005号
隐私保护
|
法律声明
|
网站地图
|
什么是勒索软件?| IBM
什么是勒索软件?| IBM
什么是勒索软件?
勒索软件攻击通过劫持受害者的数据和设备,要求其支付赎金。了解勒索软件如何演变以及组织如何防御勒索软件。
获取勒索软件权威指南
探索 IBM Security QRadar
什么是勒索软件?
勒索软件是一种恶意软件,它会锁定受害者的数据或设备,并威胁受害者,使其保持锁定状态(或更糟糕的状态),并要求受害者向攻击者支付赎金。根据 IBM Security X-Force Threat Intelligence Index 2023,勒索软件攻击占 2022 年网络攻击总数的 17%。
最早的勒索软件攻击只是要求通过支付赎金换取重新访问受影响数据或使用受感染设备所需的加密密钥。通过定期或连续进行数据备份,组织可以限制此类勒索软件攻击的成本,并且通常可以避免支付赎金要求的情况。
但近年来,勒索软件攻击已经演变为包括双重勒索和三重勒索攻击,这使受害者面临的风险大幅增加 — 即使对于严格维护数据备份或支付初始赎金要求的受害者也是如此。双重勒索攻击增加了受害者面临数据被窃取并将其泄露到网上的威胁;除此之外,三重勒索攻击还威胁受害者要使用窃取的数据来攻击受害者的客户或业务合作伙伴。
2023 X-Force Threat Intelligence Index 发现,从 2021 年到 2022 年,勒索软件在所有网络安全事件中所占的比例下降了 4%,其中的原因可能是防御者能够更成功地检测和阻止勒索软件攻击。但这一积极的发现因平均攻击时间大幅缩短 94%(从 2 个月减少到不到 4 天)而黯然失色,组织几乎没有时间检测和阻止潜在攻击。
勒索软件受害者和谈判者不愿透露赎金金额。然而,根据 勒索软件权威指南,赎金要求已增至七位数和八位数金额。赎金只是勒索软件感染总成本的一部分。根据 IBM 的《2022 年数据泄露成本报告》,勒索软件攻击造成的数据泄露的平均成本(不包括赎金)为 454 万美元。预计到 2023 年,勒索软件攻击将给受害者造成总体约 300 亿美元的损失。
勒索软件的类型
勒索软件有两种常见类型。最常见的类型称为加密型 (Encrypt) 勒索软件或加密 (Crypto) 勒索软件,这类勒索软件通过加密来劫持受害者的数据。然后,攻击者向受害者索要赎金,以换取提供解密数据所需的加密密钥。
另一种不太常见的勒索软件称为非加密勒索软件或锁屏勒索软件,这类勒索软件通常通过阻止受害者访问操作系统来锁定受害者的整个设备。受影响设备不会像往常一样启动,而是显示一个提供赎金要求的屏幕。
这两种类型可以进一步分为以下子类别:
泄漏软件(或称 Doxware)是指窃取或泄露敏感数据并威胁受害者要发布相关数据的勒索软件。虽然早期形式的泄漏软件(或称 Doxware)经常在不加密的情况下窃取数据,但当今的变体通常在加密/不加密的情况下均会窃取数据。
移动勒索软件包括影响移动设备的所有勒索软件。移动勒索软件通过恶意应用程序或路过式下载传播,它通常是非加密勒索软件,因为许多移动设备上标配的自动云数据备份可以轻松逆转加密攻击。
如果不支付赎金,擦除式/破坏性勒索软件就会威胁破坏数据,即使支付了赎金,勒索软件也会破坏数据的情况除外。后一种类型的擦除式勒索软件通常疑似是由国家/政府攻击主体或黑客行动主义者而非普通网络罪犯部署的。
假冒安全软件,顾名思义,是指试图通过恐吓用户使其支付赎金的勒索软件。假冒安全软件可能冒充来自执法部门的信息,指控受害者犯罪并要求受害者缴纳罚款;它可能会假装合法的病毒感染警报,鼓励受害者购买防病毒软件或反恶意软件。有时,假冒安全软件是勒索软件,它会加密数据或锁定设备。在其他情况下,它是勒索软件感染媒介,不加密任何内容,只是强迫受害者下载勒索软件。
注册获取 2023 年勒索软件权威指南
勒索软件如何感染系统或设备
勒索软件攻击可以使用多种方法或媒介来感染网络或设备。其中一些最重要的勒索软件感染媒介包括:
网络钓鱼电子邮件和其他社会工程攻击:网络钓鱼电子邮件操纵用户下载并运行恶意附件(其中包含伪装成看似无害的 .pdf、Microsoft Word 文档或其他文件的勒索软件),或访问通过用户的 Web 浏览器传播勒索软件的恶意网站。在 IBM 的 2021 年网络弹性组织调研报告中,在调查参与者报告的所有勒索软件攻击中,网络钓鱼和其他社会工程策略导致的攻击占 45%,使其成为所有勒索软件攻击媒介中最常见的媒介。
操作系统和软件漏洞:网络罪犯经常利用现有漏洞向设备或网络插入恶意代码。零日漏洞是安全社区未知或已识别但尚未修补的漏洞,构成了特殊的威胁。一些勒索软件团伙从其他黑客那里购买有关零日缺陷的信息,用来制定攻击计划。黑客还有效地利用已修补的漏洞作为攻击媒介,如以下讨论的 2017 年 WannaCry 攻击所示。
凭证盗用:网络罪犯可能会窃取授权用户的凭证,在暗网上购买凭证或通过暴力进行破解。然后,他们可以使用这些凭证登录网络或计算机并直接部署勒索软件。远程桌面协议 (RDP) 是 Microsoft 开发的一款专有协议,旨在允许用户远程访问计算机,它是勒索软件攻击者中常见的凭证盗用目标。
其他恶意软件:黑客经常使用为其他攻击开发的恶意软件向设备发送勒索软件。例如,Trickbot 木马最初是为了窃取银行凭证而设计的,后来在 2021 年用于传播 Conti 勒索软件变体。
路过式下载:黑客可以在用户不知情的情况下利用网站将勒索软件传播到设备。漏洞工具包使用遭破坏的网站来扫描访问者的浏览器,查找可用于将勒索软件插入设备的 Web 应用程序漏洞。恶意广告(已遭黑客破坏的合法数字广告)可以将勒索软件传播到设备,即使用户没有单击广告也会执行此操作。
网络罪犯不一定需要开发自己的勒索软件来利用这些媒介。一些勒索软件开发人员通过勒索软件即服务 (RaaS) 约定与网络罪犯共享其恶意软件代码。网络罪犯(或“关联公司”)使用该代码进行攻击,然后与开发人员分享赎金。这是一种互惠互利的关系:关联公司可以从勒索中获利,而无需开发自己的恶意软件,开发人员可以在不发起额外网络攻击的情况下增加利润。
勒索软件分销商可以通过数字市场销售勒索软件,或直接通过在线论坛或类似途径招募关联公司。大型勒索软件组织已投入大量资金来吸引关联公司。例如,REvil 集团在 2020 年 10 月的招聘活动中花费了 100 万美元。
勒索软件攻击的不同阶段
勒索软件攻击通常会经历以下阶段。
第一阶段:初始访问
勒索软件攻击最常见的访问媒介仍然是网络钓鱼和漏洞利用。
第二阶段:后渗透
根据初始访问媒介,第二阶段可能会在建立交互式访问之前插入中介远程访问工具 (RAT) 或恶意软件。
第 3 阶段:了解和扩展
在攻击的第三阶段,攻击者的重点是了解他们当前可以访问的本地系统和域,以及获得其他系统和域的访问权限(称为横向移动)。
第 4 阶段:数据收集和渗漏
在此阶段,勒索软件运营商将重点转移到识别有价值的数据并进行渗漏(窃取),通常所用方式是自己下载或导出副本。虽然攻击者可能会渗漏他们可以访问的任何和所有数据,但他们通常会关注特别有价值的数据(登录凭证、客户的个人信息、知识产权),这些数据可用于双重勒索。
第 5 阶段:部署和发送通知
加密勒索软件开始识别和加密文件。一些加密勒索软件还会禁用系统恢复功能,或者删除或加密受害者计算机或网络上的备份,以增加为获取解密密钥而支付赎金的压力。非加密勒索软件会锁定设备屏幕、用弹出窗口侵入设备或以其他方式阻止受害者使用设备。
一旦攻击者加密文件和/或禁用设备,勒索软件通常会通过存放在计算机桌面上的 .txt文件或通过弹出通知存放向受害者发出感染警报。勒索通知包含如何支付赎金的说明,通常以加密货币或类似的无法追踪的方式支付,以换取解密密钥或恢复标准操作。
值得注意的勒索软件变体
自 2020 年以来,网络安全研究人员已识别出超过 130 个不同的、活跃的勒索软件系列或变体,即具有自己的代码签名和功能的独特勒索软件变体。
在多年来传播的众多勒索软件变体中,有几种变体因其破坏程度、对勒索软件发展产生的影响或它们至今仍然构成的威胁而值得人们注意。
CryptoLocker
CryptoLocker 于 2013 年 9 月首次出现,被广泛认为开启了现代勒索软件时代。CryptoLocker 通过僵尸网络(被劫持的计算机网络)进行传播,是最早对用户文件进行强加密的勒索软件系列之一。在国际执法部门于 2014 年将其销毁之前,通过该勒索软件获得的赎金约 300 万美元。CryptoLocker 的成功催生了众多模仿者,并为 WannaCry、Ryuk 和 Petya(如下所述)等变体的出现奠定了基础。
WannaCry
WannaCry 是第一个引人注目的加密蠕虫病毒,即一种可以传播到网络上其他设备的勒索软件,它攻击了超过 200,000 台计算机(分布在 150 个国家/地区),而这些计算机的管理员未能及时修补 EternalBlue Microsoft Windows 漏洞。除了加密敏感数据外,WannaCry 勒索软件还威胁受害者:如果 7 天内未收到赎金,就会擦除文件。它仍然是迄今为止最大的勒索软件攻击之一,估计损失高达 40 亿美元。
Petya 和 NotPetya
与其他加密勒索软件不同,Petya 会加密文件系统表而不是单个文件,导致受感染的计算机无法启动 Windows。2017 年,经过大幅修改的版本 NotPetya 用于实施大规模网络攻击,主要针对的是乌克兰。NotPetya 是一个即使在支付赎金后也无法解锁系统的擦除恶意软件。
Ryuk
Ryuk 首次出现于 2018 年,常见的是针对特定高价值目标的“大型勒索软件”攻击,其平均赎金要求超过 100 万美元。Ryuk 可以找到和禁用备份文件和系统恢复功能;2021 年发现了一种具有加密蠕虫病毒能力的新变体。
DarkSide
DarkSide 是由一个疑似在俄罗斯境外运营的组织运行的勒索软件变体,它于 2021 年 5 月 7 日攻击了美国的输油管道运营商 Colonial Pipeline,这起案件被视为迄今为止针对美国关键基础设施实施的最严重的网络攻击。因此,为美国东海岸供应 45% 燃料的输油管道不得不暂时关闭。除了发起直接攻击外,DarkSide 组织还通过 RaaS 约定将其勒索软件授权给关联公司。
Locky
Locky 是一种加密勒索软件,具有独特的感染方法:它使用隐藏在电子邮件附件(Microsoft Word 文件)中的宏伪装成合法发票。当用户下载并打开 Microsoft Word 文档时,恶意宏会秘密地将勒索软件有效内容下载到用户的设备上。
REvil/Sodinokibi
REvil 也称为 Sodin 或 Sodinokibi,该团伙帮助普及了 RaaS 勒索软件分发方法。REvil 以追寻大目标和双重勒索攻击而闻名,它是 2021 年针对著名 JBS USA 和 Kaseya Limited 发起攻击的幕后黑手。在整个美国牛肉加工业务中断后,JBS 支付了 1100 万美元的赎金,而Kaseya 超过 1,000 个软件客户受到了严重停机的影响。俄罗斯联邦安全局报告称,其已于 2022 年初解散 REvil 并对其几名成员提出指控。
赎金
直到 2022 年,大多数勒索软件受害者都满足了攻击者的赎金要求。例如,在 IBM 的2021 年网络弹性组织调研报告中,在进行该调研的两年内,经历过勒索软件攻击的参与公司中有 61% 表示他们支付了赎金。
但最近的报告表明,从 2022 年起,这种情况发生了变化。网络勒索事件响应公司 Coveware 发布的调查结果显示,2022 年勒索软件受害者中只有 41% 支付了赎金,而 2021 年为 51%,2020 年为 70%。区块链数据平台提供商 Chainanalysis 报告称,勒索软件攻击者在 2022 年向受害者勒索的资金比 2021 年减少近 40%(ibm.com 外部链接)。专家指出,提升网络犯罪应对准备(包括数据备份)以及增加对威胁预防和检测技术的投资是出现这一逆转背后的潜在推动因素。
执法部门指导
美国联邦各执法机构一致劝阻勒索软件受害者支付赎金要求。根据国家网络调查联合特遣部队 (NCIJTF)(该联合部队由 20 个负责调查网络威胁的美国联邦机构组成)的说法:
“FBI 不鼓励向犯罪分子支付赎金。支付赎金可能会鼓励对手向其他组织发动攻击,鼓励其他犯罪分子参与勒索软件的分发和/或资助非法活动。支付赎金也不能保证受害者的文件能够恢复。”
执法机构建议勒索软件受害者在支付赎金之前向相应机构举报攻击行为,例如向 FBI 的互联网犯罪投诉中心 (IC3) 举报。无论是否支付赎金,一些勒索软件攻击的受害者都可能应法律要求举报勒索软件感染事件。例如,HIPAA 合规部门通常要求卫生保健实体向美国卫生与公众服务部举报任何数据泄露事件,包括勒索软件攻击。
在某些情况下,支付赎金可能是非法行为。根据美国财政部外国资产控制办公室 (OFAC) 2020 年的一份咨询报告,向来自受美国经济制裁的国家/地区(例如俄罗斯、朝鲜或伊朗)的攻击者支付赎金将违反 OFAC 法规,并可能导致民事处罚、罚款或刑事指控。
勒索软件保护和响应
为了防御勒索软件威胁,CISA、NCIJFT 和美国特勤局等联邦机构建议组织采取某些预防措施,例如:
维护敏感数据和系统映像的备份,最好保存在硬盘驱动器或其他可以与网络断开连接的设备上。
定期应用补丁,以帮助阻止利用软件和操作系统漏洞的勒索软件攻击。
更新网络安全工具,包括反恶意软件和防病毒软件、防火墙、网络监控工具和安全 Web 网关以及企业网络安全解决方案(如安全编排、自动化和响应 (SOAR)、端点检测和响应 (EDR)、安全信息和事件管理 (SIEM) 和扩展检测和响应 (XDR)),帮助安全团队实时检测和响应勒索软件。
员工网络安全培训,帮助用户识别和避免网络钓鱼、社会工程和其他可能导致勒索软件感染的策略。
实施访问控制策略,包括多重身份验证、零信任架构、网络分段和类似措施,可以防止勒索软件接触特别敏感的数据,并防止加密蠕虫病毒传播到网络上的其他设备。
虽然某些勒索软件变体的解密工具可以通过 No More Ransom 等项目公开获得,但主动勒索软件感染的修复通常需要采取多方面的方法。请参阅 IBM Security 的勒索软件权威指南查看按照美国国家标准与技术研究院 (NIST) 事件响应生命周期建模的勒索软件事件响应计划示例。
勒索软件简要时间线
1989 年:记录的第一个勒索软件攻击,称为 AIDS Trojan 或“P.C. Cyborg 攻击”,通过软盘分发。此次攻击隐藏了受害者计算机上的文件目录,并要求支付 189 美元的赎金才能取消隐藏。但由于它加密的是文件名而不是文件本身,因此用户很容易在不支付赎金的情况下修复损坏。
1996 年:在分析 AIDS Trojan 病毒的缺陷时,计算机科学家 Adam L. Young 和 Moti Yung 警告称,未来的恶意软件可能会使用更复杂的公用密钥密码术来劫持敏感数据。
2005 年:在 21 世纪初相对较少的勒索软件攻击之后,感染开始上升,主要集中在俄罗斯和东欧。出现第一个使用非对称加密的变体。随着新的勒索软件提供了更有效的勒索手段,更多的网络罪犯开始在全球范围内传播勒索软件。
2009 年:加密货币(尤其是比特币)的推出为网络罪犯提供了一种接收无法追踪的赎金的方式,从而促使勒索软件活动再次激增。
2013 年:勒索软件的现代时期始于 CryptoLocker,这款勒索软件开启了当前一波高度复杂的加密勒索软件攻击,其赎金以加密货币进行支付。
2015 年:Tox 勒索软件变体引入了勒索软件即服务 (RaaS) 模型。
2017 年:第一个广泛使用的自我复制加密蠕虫病毒 WannaCry 出现。
2018 年:Ryuk 通常通过勒索软件追寻大目标。
2019 年:双重和三重勒索勒索软件攻击开始增加。自 2019 年以来,IBM Security X-Force Incident Reponse 团队响应的几乎每一起勒索软件事件都涉及双重勒索。
2022 年:线程劫持(网络罪犯将自己插入目标的在线对话中)成为一种重要的勒索软件媒介。
相关解决方案
IBM Security® QRadar® Suite
利用互联的现代化安全套件战胜攻击。QRadar 产品组合嵌入了企业级 AI,并提供用于端点安全、日志管理、SIEM 和 SOAR 的集成产品,所有这些产品都具有通用用户界面、共享见解和互联工作流程。
探索 QRadar Suite
勒索软件防御解决方案
防止勒索软件中断业务连续性,并在攻击发生时快速恢复 — 采用零信任方法,帮助您更快地检测和响应勒索软件,并最大限度地减少勒索软件攻击的影响。
探索勒索软件防御解决方案
IBM Security® X-Force® Incident Response
我们的防御安全服务包括基于订阅的事件预防、检测和应急响应计划,有助于在发生重大损害之前检测、响应并遏制相关事件。
探索 X-Force Incident Response
IBM Security® X-Force® Red
利用我们的进攻型安全服务(包括渗透测试、漏洞管理和对手模拟)来帮助识别、优先处理和修复覆盖整个数字和物理生态系统的安全缺陷。
探索 X-Force Red
网络安全服务
在网络安全咨询、云端和安全托管服务方面的全球行业领导者的帮助下,推动业务转型并有效管控风险。
探索网络安全服务
资源
X-Force Threat Intelligence Index
找到切实可行的洞察,帮助您了解威胁参与者如何发动攻击,以及如何主动保护您的组织。
阅读报告
勒索软件权威指南
了解在勒索软件攻击渗透防御系统之前保护企业的关键步骤,以及在对手突破边界时实现最佳恢复的关键步骤。
下载指南
数据泄露成本
今年是该报告发布的第 17 个年头,它分享了对不断扩大的威胁态势的最新洞察,并提供了节省时间和限制损失的建议。
阅读报告
什么是 SIEM?
安全信息和事件管理 (SIEM) 提供事件的实时监控和分析,以及出于合规或审计目的进行安全数据的跟踪和记录。
了解更多信息
市民越安全,社区越强大
洛杉矶与 IBM Security 合作创建首个网络威胁共享组,以防范网络犯罪。
阅读成功案例
IBM 安全框架与发现研讨会
与 IBM 高级安全架构师和顾问合作,通过免费、虚拟或面对面的 3 小时设计思维会议确定您的网络安全计划的优先级。
了解详情
Take the next step
Cybersecurity threats are becoming more advanced and more persistent, and demanding more effort by security analysts to sift through countless alerts and incidents. IBM Security QRadar SIEM helps you remediate threats faster while maintaining your bottom line. QRadar SIEM prioritizes high-fidelity alerts to help you catch threats that others simply miss.
Explore QRadar SIEM
Book a live demo
技术分析丨勒索软件攻击的9大阶段 - FreeBuf网络安全行业门户
技术分析丨勒索软件攻击的9大阶段 - FreeBuf网络安全行业门户
主站 分类
漏洞
工具
极客
Web安全
系统安全
网络安全
无线安全
设备/客户端安全
数据安全
安全管理
企业安全
工控安全
特色
头条
人物志
活动
视频
观点
招聘
报告
资讯
区块链安全
标准与合规
容器安全
公开课
报告 专辑 ···公开课···商城···
用户服务
··· 行业服务
政 府
CNCERT
CNNVD
会员体系(甲方)
会员体系(厂商)
产品名录
企业空间
知识大陆 搜索 创作中心 登录注册 官方公众号企业安全新浪微博 FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。 FreeBuf+小程序把安全装进口袋 技术分析丨勒索软件攻击的9大阶段
关注
工控安全 技术分析丨勒索软件攻击的9大阶段
2022-03-24 17:40:11
所属地 北京 勒索软件主要通过盗取和持有数字资产,并向资产所有方勒索赎金以换回被盗取的数据或解密密钥从而恢复业务。近年来,勒索攻击的平均赎金猛增,截止2021年已上升到530万美元,同比上一年增长518%,然而从勒索攻击中恢复运行的成本通常远高于赎金本身,一次攻击导致企业停机的时间平均为21天,其中66%的受攻击对象反馈称:被勒索软件攻击后,企业收入损失惨重。勒索攻击本质上是一个多阶段过程,六方云将逐步分解这个过程,对每个阶段进行详细分析,以期提高用户警惕性,提前做好安全防范。01、初始入侵(电子邮件)勒索软件攻击的第一阶段,可以通过RDP暴力破解、恶意网站和捆绑下载、公司内部威胁、系统和软件漏洞或大量的其他方式来实现攻击活动。最常见的初始入侵方式是电子邮件。一个组织最大的安全弱点通常是他们的人员,攻击者善于寻找并利用这一点,通过精心研究,利用表面合法的电子邮件有针对的引导员工点击链接、打开附件或诱导其泄露敏感信息。大多数传统的电子邮件工具依靠陈旧的攻击数据进行防御。如果一封电子邮件的IP来自黑名单,或使用已知的恶意软件,则攻击可能会被阻止。但事实上,攻击者熟知大多数防御都采用这种方法,因此会不断通过更换新域名、小范围修改代码来更新他们的攻击方式,从而顺利通过网关实现攻击。02、初始入侵(服务器端)随着攻击技术的发展产生了大量的暴力攻击和服务器端攻击手段。由于许多面向Internet服务器和系统的漏洞已经被披露,因此对于攻击者来说,瞄准和利用公开的基础网络设施比以往任何时候都容易。例如,使用Shodan或MassScan等工具可以轻松扫描Internet以查找易受攻击的系统。攻击者还可能通过RDP暴力破解或窃取凭据来实现初始入侵,这种手段通常会重复使用以前数据转储中的合法凭据,与经典的暴力攻击相比具有更高的精度并且影响范围更小。恶意软件被下载后,只有当恶意软件指纹已经被识别才会被防病毒软件检测到。防火墙通常需要针对不同场景进行特殊配置,并且通常需要根据业务需求进行修改。如果遇到规则或签名不匹配的防火墙,恶意软件将再次绕过防火墙。03、建立立足点和C2攻击者成功入侵后,会进一步与被破坏的设备建立联系。此阶段允许攻击者远程控制攻击的后续阶段,在命令(Command)和控制(Control)C2通信期间,更多的恶意软件也可能被传递到设备,并有助于建立更强大的立足点,并为横向移动做好准备。勒索软件的功能可以被调整,从而隐藏在企业内部。高级的勒索软件能够自行适应环境,并自主运行,即使在与其C2服务器断开连接的情况下也能融入常规活动。这些“自给自足”的勒索软件变种对传统仅依靠恶意外部连接来阻止威胁的防御系统造成了一个大问题。IDS(入侵检测系统)和防火墙会阻止已经被列为黑名单的域或使用一些地址进行屏蔽,但勒索软件可能会利用新的域名进行攻击,这使得C2很难被识别。04、横向移动一旦攻击者在组织内建立了立足点,他们就会开始全面地搜索数据。恶意软件查找和盗取数据的方式是开始扫描网络、记录组件设备、确定有价值资产的位置,然后开始横向移动。在这个过程中,恶意软件将感染更多设备并获得更高的权限。例如,通过获取管理员权限,从而增加恶意软件本身对环境的控制。一旦这些软件在设备中获得了较高的权限,就可以进入攻击的最后阶段。现代勒索软件具有内置功能,可以自动搜索设备中存储的密码并通过网络传播,更复杂的软件被设计成在不同的环境中以不同的方式构建自己,因此特征不断变化,更难被发现。传统的防御系统难以防止横向移动和勒索软件的权限升级。理论上讲,一个组织或机构在内部利用防火墙,并且具备适当网络分段以及合理配置用户网络接入控制(NAC),可以防止跨网络横向移动,但在保护性控制和破坏性控制之间保持完美平衡几乎是不可能的。当数据包中检测到已知威胁时,一些组织依靠入侵预防系统(IPS)拒绝网络流量,但新型恶意软件可以逃避检测,因此需要不断更新数据库。但由于网络的可见性以及入侵检测系统(IDS)可能处于脱机状态,没有响应能力,因此可能造成防御问题。05、数据泄露过去的勒索软件只对操作系统或网络文件进行加密,然而在现代攻击中,随着阻止恶意加密的手段越来越多,勒索软件已经转向“双重勒索”,在加密之前会泄露关键数据并破坏备份,泄露的数据将被用来进行诸如散布或者售卖,现代勒索软件变体还可以搜索如Box、Dropbox等云文件存储库。需要注意的是,第3至第5阶段的顺序因攻击不同而不同。有时数据会先被泄露,然后有进一步的横向移动以及额外的C2信标,这整个时期被称为“停留时间”。有时攻击只发生几天,有时攻击可能会持续数月,以收集更多的情报并逐渐泄露数据,以避免被配置好的规则检测而导致触发防御机制。只有通过对恶意活动的整体了解,才能发现这一级别的活动,并允许安全团队在勒索软件破坏性达到最强的阶段之前消除威胁。06、数据加密攻击者试图在被检测到之前通过对称加密、非对称加密或两者的组合,尽可能多地破坏数据。虽然许多工具声称可以阻止数据加密,但每个工具都有漏洞的存在,这足以让经验丰富的攻击者在这个关键阶段逃避检测。另外,攻击行为通常都具有高度破坏性,能够直接导致重大停工并妨碍企业正常运营,即使企业内部防火墙可以阻止对服务器的攻击,然而攻击一旦成功,服务器将完全被控制,防火墙也就成了无用之物。同样,杀毒软件仅查找已知的恶意软件,如果在此之前未检测到恶意软件,杀毒软件自然也起不到作用。07、勒索记录需要注意的是,在加密之前的阶段,攻击还不能称之为勒索。当数据被加密或盗取后,攻击者通过泄露数据威胁被攻击者付款以换取解密密钥,被攻击者必须决定是支付赎金还是接受向竞争对手泄露数据,到这里才是勒索行为的关键。当前,勒索软件对于赎金的要求逐年上升。例如,肉类加工公司JBS支付了1100万美元,DarkSide在殖民管道事件后收到了超过9000万美元的比特币支付。到目前为止的,所有阶段都代表了典型的传统勒索软件攻击。但我们应该注意到,勒索软件正在从对设备的加密,转变为为了更高赎金而使企业业务中断的攻击,这类攻击不仅包括数据泄露,还包括公司域劫持、备份删除或加密、对靠近工业控制系统进行攻击等等。有时,攻击者会直接从第2阶段跳到第6阶段,无论是通过加密还是其他形式,勒索软件的主要目的就是金钱,在这一阶段再考虑任何形式的防御机制都为时已晚,企业面临的只有一个困境——是否支付赎金。08、清理安全团队很难在防火墙和IDS提供的有限日志中找到有用的信息。防病毒解决方案可能会发现一些已知的恶意软件,但无法发现新的攻击方式,这就需要我们去考虑新的更高效的攻击防范手段。09、恢复即使使用了解密密钥,许多文件也可能保持加密或损坏,除了支付赎金的成本外,网络关闭、业务中断、补救工作和公关挫折都会让被攻击企业或组织遭受巨大的经济损失,受害组织还可能遭受额外的声誉成本。据了解,66%的受害者表示在勒索软件攻击造成重大收入损失,32%的受害者表示勒索软件直接导致人才流失。10、结论综上所述,大多数勒索攻击都能大致划分为以上9大阶段,但并不是所有的勒索攻击都具备相同的流程。不仅如此,由于攻击技术的日渐成熟,高额赎金和严重破坏性成为了勒索攻击的发展潮流,勒索软件的攻击行为日益复杂多样,传统的、基于历史攻击数据的安全防护工具效果持续弱化……如何实现更精准的入侵检测?如何构建更完备的未知威胁防御手段?六方云安全专家认为:充分利用人工智能安全技术是解决勒索软件问题的重中之重。六方云基于“AI基因,威胁免疫”的安全理念,成功将人工智能主动式防御技术应用在安全实践中,使得产品安全防护能力更加智能化,不仅能够防范未知威胁攻击,还能精准防范未知威胁和变种攻击,由被动防御向主动防御转变。六方云自主研发的全流量威胁检测与回溯系统——“神探”,搭载了大数据AI分析引擎,采用无监督学习算法,以内网资产为核心构建AI模型,实现主动检测、主动预警、主动响应、主动保护,能够更好地应对复杂多变的勒索威胁,在9大阶段中有力阻止勒索软件蔓延。 # 工控安全 # 勒索软件 # 勒索攻击 # 六方云
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
展开更多
相关推荐
关 注 0 文章数 0 关注者
文章目录
01、初始入侵(电子邮件) 02、初始入侵(服务器端) 03、建立立足点和C2 04、横向移动 05、数据泄露 06、数据加密 07、勒索记录 08、清理 09、恢复 本站由阿里云 提供计算与安全服务 用户服务 有奖投稿 提交漏洞 参与众测 商城 企业服务 安全咨询 产业全景图 企业SRC 安全众测 合作信息 斗象官网 广告投放 联系我们 友情链接 关于我们 关于我们 加入我们 微信公众号 新浪微博 战略伙伴 FreeBuf+小程序 扫码把安全装进口袋 斗象科技 FreeBuf 漏洞盒子 斗象智能安全平台 免责条款 协议条款
Copyright © 2020 WWW.FREEBUF.COM All Rights Reserved
沪ICP备13033796号
|
沪公安网备
《从八个方面认识勒索攻击和危害》之三:惯用传播方式与侵入途径 - 知乎
《从八个方面认识勒索攻击和危害》之三:惯用传播方式与侵入途径 - 知乎切换模式写文章登录/注册《从八个方面认识勒索攻击和危害》之三:惯用传播方式与侵入途径安天智者安天下 自2021年11月1日起,安天垂直响应服务平台运营组以威胁分析和防御赋能视角,通过一天一篇的科普专题连载,分享勒索攻击的攻击技术、行为特点、演进趋势等8组关键信息,介绍安天产品如何构建防御勒索攻击的防线。 今天是本专题的第三篇,围绕勒索攻击的惯用传播方式与侵入途径展开介绍。勒索攻击专题《从八个方面认识勒索攻击和危害》之一:勒索攻击中的四种分工角色《从八个方面认识勒索攻击和危害》之二:勒索攻击的两种典型模式 可能部分用户还没有认识到,如今的网络环境的每一步应用场景,几乎都有可能被攻击者利用成勒索攻击的传播方式与侵入途径。 安天垂直响应服务平台运营组基于我司历史勒索攻击分析报告及相关资料,将目前已知的攻击者惯用传播方式与侵入途径进行了归类整理,通过本文呈现,旨在为用户制定勒索攻击防护方案时提供参考。一、邮件传播侵入 一般为垃圾邮件、钓鱼邮件与鱼叉式钓鱼邮件,逻辑是通过邮件中的时事热点信息或与受害者相关的内容(包括标题),诱使用户点击或运行内嵌了勒索软件的附件(格式多为Word文档、Excel表格、JavaScript脚本或exe文件等),或打开邮件正文中的恶意链接。用户一旦进行相关操作,勒索软件将会自动下载和运行。 垃圾邮件在非定向勒索攻击中较为常见,以“广撒网”的方式进行传播,邮件内容一般为时事热点、广告、促销信息或伪装成打招呼邮件(如标题为“好久不见”等)。 钓鱼邮件与鱼叉式钓鱼邮件则常用于定向勒索攻击中,由于攻击者通常在事前已通过侦察手段获取到了受害者的相关信息,因此会将邮件包装成官方或工作伙伴发送的邮件(如:“XX最新政策信息”、“XX年度XX工作表”、“公司将升级XX系统”等相关标题与内容),甚至会模仿熟人发信的语气,增加收件人上当的概率。 这类传播及侵入的目标多为企业、高校、医院机构等单位,这些单位组织中的本地设备通常保存有较重要的文件,一旦侵入成功,即可造成极大威胁。例:安天曾在《LooCipher勒索软件分析报告》[1]中指出:LooCipher勒索软件主要通过垃圾邮件进行传播,邮件附件为包含恶意宏代码的Word文档。该文档诱使用户启用宏以查看文档内容,宏代码的功能为连接Tor服务器并下载执行程序,将该文件重命名为LooCipher.exe,然后执行该文件。二、系统或软件漏洞 攻击者利用各类系统或软件漏洞(包括已公开且已发布补丁的漏洞)组合,或通过黑色产业链中的漏洞利用套件(如:Exploit Kit)来传播勒索软件。 由于未能及时修补漏洞,因此用户即便没有不安全用网行为,也可能遭到攻击者侵入;同时,攻击者还会扫描同一网络中存在漏洞的其他设备,以扩大威胁攻击范围。例:“魔窟”(WannaCry)就是利用Windows操作系统中,名为“永恒之蓝”的安全漏洞进行全球范围传播的。三、弱口令暴力破解(远程桌面控制) 由于部分服务器会使用弱口令(可简单理解为复杂度较低的密码)远程登录,攻击者便利用这一弱点实施暴力破解,实现远程登陆并手动下载运行勒索软件。譬如:通过弱口令尝试暴力破解RDP端口、SSH端口和数据库端口等。 即使服务器安装了安全软件,攻击者也可手动将其退出。该手段具有较高的隐蔽性、机动性,因此极难被安全软件发现。例:2021年3月,安天就曾发布《对HelpYou勒索软件的分析报告》[2],发现该勒索软除了通过邮件之外,还可以利用RDP弱口令渗透进行传播。四、僵尸网络 僵尸网络是指:采用一种或多种传播方式,将大量主机感染bot程序(僵尸程序)病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。例:攻击者利用已经被僵尸网络控制的系统主机进行病毒传播,特点是传播范围广,隐秘性高,感染速度快。2021年8月,安天发布了《对AstraLocker勒索软件的分析报告》[3],该勒索软件主要通过垃圾邮件和僵尸网络进行传播。五、恶意广告链接(网页挂马) 攻击者会向网页代理投放广告(弹窗广告、悬浮窗广告等),并在其中植入跳转链接,从而避开针对广告系统的安全机制,诱导用户点击广告、访问网站并触发恶意代码,进而下载勒索软件并执行。 有些攻击者则会选择直接攻击网站,并植入恶意代码,用户一旦访问就会感染。 也有一些攻击者会自主搭建包含恶意代码的网站,或者仿造制作与知名站点相似的“假网站”,以此来诱骗用户访问。例:安天在《对Maze勒索软件的分析》[4]中发现,该勒索软件擅长使用FalloutEK漏洞利用工具,或通过网页挂马的方式传播;被挂马的网页,多用于黄赌毒以及某些软件内嵌的广告页面等。六、软件供应链(信任转嫁) 软件供应链攻击是指利用软件供应商与最终用户之间的信任关系,在合法软件正常传播、安装和升级过程中,通过软件供应商的各种疏忽或漏洞,对合法软件进行劫持或篡改,从而绕过传统安全产品检查达到传播侵入的攻击类型。例:2021年7月3日,美国技术管理软件供应商Kaseya遭遇REvil勒索软件的攻击。REvil团伙在Kaseya供应链攻击中利用了0day漏洞。据媒体报道,至少有1000家企业受到了攻击的影响,受害者来自至少17个国家,包括英国、南非、加拿大、阿根廷、墨西哥、印度尼西亚、新西兰和肯尼亚等。而REvil勒索团伙当时索要的赎金高达7000万美元[5]。七、移动存储介质 攻击者通过隐藏U盘、移动硬盘等移动存储介质中的原有文件,创建与移动存储介质盘符、图标等相同的快捷方式并植入病毒,一旦用户点击就会运行勒索软件,或运行专门用于收集和回传设备信息的木马程序,便于未来实施针对性的勒索软件攻击行为。 由于PE类文件(常见后缀为exe、dll、ocx、sys、com的都是PE文件)被感染后具有了感染其他文件的能力,如果此文件被用户携带(U盘、移动硬盘、网络上传等)到别的设备上运行,就会使得其他设备的文件也被全部感染。许多内网隔离环境,就是被藏在移动存储介质里的恶意软件感染的。例:2021年3月,安天捕获到的BleachGap勒索软件就具备添加自启动、改写MBR、通过可移动介质传播等多项特征[6]。八、水坑攻击 攻击者在受害者必经之路设置了一个“水坑(陷阱)”,致使受害者上当。譬如:攻击者会分析攻击目标的上网活动规律,寻找攻击目标经常访问的网站的弱点,先将此网站“攻破”并植入攻击代码,一旦攻击目标访问该网站就会“中招”。例:勒索软件“Bad Rabbit”就曾采用水坑攻击的方式传播,通过伪装成Adobe flashplayer欺骗用户安装,感染后会在局域网内扩散[7]。下期预告 勒索攻击的传播方式与侵入途径与常见的计算机网络威胁攻击大体一致,但“魔鬼藏在细节中”,用户的不当用网习惯、对系统或软件漏洞修补的忽略、对安全防护措施的忽视等,都有可能导致勒索攻击趁虚而入。 因此,养成日常安全用网习惯、构建安全防护体系、提升安全运营水平,是有效防御勒索攻击传播侵入的首要行动条件。 下一期主题:勒索攻击“杀伤链”分析,敬请期待。附件:安天智甲5+2防护,构筑端点系统侧安全防线▲ 智甲终端防护系统防御勒索病毒原理示意图 智甲针对勒索攻击构建了“五层防御,两重闭环”的防护解决方案。五层防御即系统加固、(主机)边界防御、扫描过滤、主动防御、文档安全五个防御层次,两重闭环是EPP(端点防护)实时防御闭环,和EDR(端点检测和响应)准实时/异步防御闭环。 凭借这样的机理设计,辅以每日10次病毒库本地升级,云端库实时升级,威胁情报定时推送,安天智甲可以有效阻止病毒落地、阻断恶意行为、保护重要文档,全面有效的保障用户免受勒索攻击威胁。 对于安天全线产品如何支持客户构建有效防御体系,请参考《安天产品助力用户有效防护勒索攻击》。 安天垂直响应服务平台中开通了面向Windows主机的轻量级勒索风险评估,并提供专用响应工具,帮助客户快速排查风险。 详情地址:https://vs.antiy.cn/endpoint/rdt 同时,个人和家庭用户,推荐安装使用安天杀毒软件(Windows版),获得有效安全防护。 详情地址:https://vs.antiy.cn/endpoint/anti-virus安天垂直响应服务平台简介 “安天垂直响应服务平台”是安天旗下专注满足中小企业和个人(家庭)用户安全刚需的“一站式服务平台”。 平台通过持续为个人安全、中小企业安全、开发安全与安全分析领域的用户,提供轻量级的产品与服务支撑,以实现快速响应用户在各类场景下的安全需求。 专业、精准、纯净、高效,是我们的服务宗旨;达成客户有效安全价值、提升客户安全获得感、与客户共同改善安全认识,是我们不变的初心与使命。参考资料[1] 《LooCipher勒索软件分析报告》.2019/07/08https://www.antiy.cn/research/notice&report/frontier_tech/2019190.html[2] 《安天周观察269期》.2021/03/15https://www.antiy.cn/research/notice&report/frontier_tech/2021269.html[3] 《安天周观察293期》.2021/08/27https://www.antiy.cn/research/notice&report/frontier_tech/2021293.html[4] 《Maze勒索病毒变种分析报告》.2019/06/10https://www.antiy.cn/research/notice&report/frontier_tech/2019187.html[5] 《REvil Used 0-Day in Kaseya Ransomware Attack, Demands $70 MillionRansom》.2021/07/04https://thehackernews.com/2021/07/revil-used-0-day-in-kaseya-ransomware.html[6] 《通过U盘传播的多功能勒索软件分析》.2021/03/12https://www.antiy.cn/research/notice&report/research_report/20210316.html[7] 《坏兔子来袭,安天智甲有效防护》.2017/10/26https://www.antiy.cn/research/notice&report/research_report/20171026.html发布于 2021-11-05 15:30网络安全黑客 (Hacker)勒索病毒赞同添加评论分享喜欢收藏申请
勒索病毒攻击手法曝光及简单方便的防护方法(上) - 知乎
勒索病毒攻击手法曝光及简单方便的防护方法(上) - 知乎首发于网络安全方案实践切换模式写文章登录/注册勒索病毒攻击手法曝光及简单方便的防护方法(上)万丈阳光网络安全关注勒索病毒攻击手法曝光及简单方便的防护方法(上)一、文章前言总结近年勒索病毒攻击手法及相关打击成效,同时介绍下如何使用小茶壶(TeaPot)软件预防勒索病毒攻击,毕竟这款软件最开始的研发初衷就是提供一种新的简易部署、低成本、效果好的勒索病毒防护方案。二、勒索病毒背景2017年5月12日WannCry勒索病毒全球爆发,那一天,人类开启起了被网络漏洞支配着的恐怖,以及被囚禁在勒索病毒的屈辱。直至今年5月,美国因勒索病毒攻击宣布进入国家紧急状态:7月2日,美国软件开发商Kaseya(卡西亚软件)遭REvil黑客组织网络攻击,导致全球数千家客户受到勒索病毒影响,其中包括瑞典最大连锁超市Coop大部分店铺被迫暂停营业。攻击者号称全球超100万个系统,并开出了约合4.52亿人民币的天价勒索赎金:三、近年勒索手法回顾一是通过僵尸网络传播勒索病毒2017年勒索病毒爆发后,我们意识到攻击者极有可能通过僵尸网络传播勒索病毒,利用僵尸网络攻击手法控制大量肉鸡,然后对控制的肉鸡进行勒索。以传播已久的Satan(撒旦)僵尸网络为例,病毒使用各种网络漏洞控制僵尸肉鸡,然后在肉鸡上植入勒索病毒。这类勒索病毒传播量比较大,但表象危害看起来较小,主要原因在于:一是病毒开发成本较高,较少有黑客开发出高水平Linux勒索病毒,对Linux肉鸡影响有限,据一名黑客供述,他耗费半年多时间才开发出一款通用型Linux勒索病毒;二是僵尸肉鸡一般不是重要系统,由于没有重要数据,受害单位一般不会重视。二是利用特定网络漏洞传播病毒黑客使用特定的系统漏洞,针对特定系统扫描并植入勒索病毒或开展数据勒索。这种攻击手段的好处是技术成本较低,而且可以确保受害系统中有较高质量数据,便于黑客最终盈利。1)在一起针对3306数据库端口弱口令探测随后自动加密数据的勒索案例中,黑客删除一千多个数据库数据并索要赎金:2)著名的“宝塔”系统后门曝光后,疑似境内黑客使用该漏洞对境外宝塔系统进行数据库勒索,要求受害人支付虚拟货币:3)知道创宇zoomeye态势监测系统监测到黑客利用Elasticsearch权限设置缺陷对全球1500个该类数据库实施数据勒索,该团伙的攻击直至今天仍然存在:这类数据勒索不是严格意义上的勒索病毒,而且攻击者有可能将受害数据永久删除而并非本地加密。这种攻击手法的优势是技术要求不高,而且受害数据往往较为重要,黑客有较大可能达到盈利目的。三是针对特定目标开展定向渗透根据上述勒索病毒攻击手法,我们发现无法解释曾经碰到的大规模勒索攻击事件,那种导致数十上百台内网服务器遭受加密的攻击事件、引发行业性、地区性规模的攻击事件用上述手段难以无法完成,那种所谓的“不小心U盘感染病毒导致”的说法实际上是自欺欺人或者意图隐瞒安全责任。经过对多起该类攻击事件的深入调查,我们于2019年明确这种大规模攻击事件的幕后往往有黑客团队实施长期的定向攻击:今年FBI针对勒索病毒的调查得出跟我们一致的结论,只不过我们认定的黑客事先潜伏周期是一周至三个月:针对这种攻击性破坏性极强的犯罪形式,我们协助南通警方抓获“5ss5c”勒索病毒作者。该起犯罪过程中,黑客自行实施所有攻击行动,包括自己挖掘办公系统漏洞、编制勒索病毒加解密程序、编制内网传播及控制程序,自行实施系统入侵、病毒植入、数据恢复、收取赎金等一系列操作。这也是目前掌握的全球首例该类高水平勒索攻击者被抓获案例。由于大部分安全人员尚未做到深入了解勒索病毒的攻击手法和特点,因此出现了很多打着各种名目和旗号的所谓勒索病毒防护手段,判断这种虚假宣传的原则就是观察其提供的方案是否具备三大特点:一是成本投入极高;二是技术原理不明;三是引用各种所谓前沿技术。鉴于这个严重的情况,下一篇介绍一下我们提供的低成本可靠性防护经验。发布于 2021-07-06 20:24勒索病毒网络攻击系统漏洞赞同 31 条评论分享喜欢收藏申请转载文章被以下专栏收录网络安全方案实践探索并实践新的网络安全防
一文读懂勒索攻击:特征、趋势与挑战
一文读懂勒索攻击:特征、趋势与挑战
首页
专题项目
数字科技前沿应用趋势
科技向善
WeCityX未来城市探索计划
研究领域
法律政策
产业经济
数字社会
研究成果
EN
|
一文读懂勒索攻击:特征、趋势与挑战
|数据安全
作者:腾讯研究院
2021-09-03
作者
翟尤 腾讯研究院产业安全中心主任、高级研究员
1989年,哈佛大学学生约瑟夫·L·波普制作了全球首个勒索病毒—AIDS木马,这位哈佛高材生将勒索病毒隐藏在软盘中并分发给国际卫生组织艾滋病大会的参会者。 此款勒索病毒会记录用户设备重启次数,一旦超过90次就会对电脑中的文件进行加密,并要求邮寄189美元才能解密重新访问系统。 虽然“名牌大学生恶作剧+邮寄支付赎金”的标签在今天看来既没有多大危害,也不够专业,但勒索病毒发起的对经济社会的攻击,在此后的30多年中逐渐演变为让人闻之色变的网络攻击浪潮。
勒索攻击从恶作剧向专业组织化网络攻击演变
勒索攻击又称为“赎金木马”,是指网络攻击者通过对目标数据强行加密,导致企业核心业务停摆,以此要挟受害者支付赎金进行解密。 如同我们把钱放在保险箱,小偷没有撬开保险箱偷钱,反而把放保险箱的房间加了把锁。 如果没有房间的钥匙,我们依然拿不到保险箱里的钱。 勒索攻击发展历程并不长,在30多年的发展过程中,主要经历三个阶段: 1989至2009年是勒索攻击的萌芽期,在这20年中,勒索攻击处于起步阶段,勒索攻击软件数量增长较为缓慢,且攻击力度小、危害程度低。 2006年我国首次出现勒索攻击软件。 2010年以后,勒索软件进入活跃期,几乎每年都有变种出现,其攻击范围不断扩大、攻击手段持续翻新。 2013年以来,越来越多的攻击者要求以比特币形式支付赎金; 2014年出现了第一个真正意义上针对Android平台的勒索攻击软件,标志着攻击者的注意力开始向移动互联网和智能终端转移。 勒索攻击在2015年后进入高发期,2017年WannaCry勒索攻击在全球范围内大规模爆发,至少150个国家、30万名用户受害,共计造成超过80亿美元的损失,至此勒索攻击正式走入大众视野并引发全球关注。
勒索攻击典型特征与案例
近年来勒索攻击席卷全球,几乎所有国家的政府、金融、教育、医疗、制造、交通、能源等行业均受到影响,可以说有互联网的地方就可能存在勒索攻击。 2021年5月,美国17个州能源系统受到勒索攻击,导致美国最大的燃料管道运营商Colonial关闭约8851公里的运输管道,犯罪分子在短时间内获取了100G数据,并锁定相关服务器等设备数据,要求支付75个比特币作为赎金 (相当于440万美元) 。 勒索攻击已经成为未来一段时期网络安全的主要威胁。 总的来看,勒索攻击有4个显著特征:
(一) 隐蔽性强且危害显著
勒索攻击善于利用各种伪装达到入侵目的,常见的传播手段有借助垃圾邮件、网页广告、系统漏洞、U盘等。 隐蔽性是勒索攻击的典型攻击策略。 在入口选择上,攻击者以代码仓库为感染位置对源代码发动攻击; 在上线选择上,宁可放弃大量的机会也不愿在非安全环境上线; 在编码上,高度仿照目标公司的编码方式和命名规范以绕过复杂的测试、交叉审核、校验等环节。 此外,攻击者往往在发动正式攻击之前就已控制代码仓库,间隔几个月甚至更长时间才引入第一个恶意软件版本,其潜伏时间之长再一次印证了勒索攻击的高隐蔽性。
调查发现,某些勒索攻击事件的制造者利用尚未被发现的网络攻击策略、技术和程序,不仅可以将后门偷偷嵌入代码中,而且可以与被感染系统通信而不被发现。 这些策略、技术和程序隐藏极深且很难完全从受感染网络中删除,为攻击活动细节的调查取证和后续的清除工作带来巨大的挑战。 此外,勒索攻击一般具有明确的攻击目标和强烈的勒索目的,勒索目的由获取钱财转向窃取商业数据和政治机密,危害性日益增强。
(二) 变异较快且易传播
目前活跃在市面上的勒索攻击病毒种类繁多呈现“百花齐放”的局面,而且每个家族的勒索病毒也处于不断地更新变异之中。 2016年勒索软件变种数量达247个,而2015年全年只有29个,其变体数量比上一年同期增长了752%。 变体的增多除了依赖先进网络技术飞速发展以外,还与网络攻击者“反侦查”意识的增强相关。 很多勒索软件编写者知道安全人员试图对其软件进行“逆向工程”,从而不断改进勒索软件变体以逃避侦查。 比如爆发于2017年的WannaCry,在全球范围蔓延的同时也迅速出现了新的变种——WannaCry 2.0,与之前版本的不同是,这个变种不能通过注册某个域名来关闭传播,因而传播速度变得更快。
(三) 攻击路径多样化
近年来越来越多的攻击事件表明,勒索攻击正在由被动式攻击转为主动式攻击。 以工业控制系统为例,由于设计之初没有考虑到海量异构设备以及外部网络的接入,随着开放性日益增加,设备中普遍存在的高危漏洞给了勒索攻击以可乘之机,一旦侵入成功即可造成多达数十亿台设备的集体沦陷。 随着远程监控和远程操作加快普及并生产海量数据,网络攻击者更容易利用系统漏洞发动远程攻击,实现盗取数据、中断生产的目的。 为了成功绕过外部安装的防火墙等安全设施,不少勒索攻击诱导企业内部员工泄露敏感信息。 除了针对运营管理中存在的薄弱环节,勒索攻击还在设备安装过程中利用内置漏洞进行横向渗透,一旦发现系统已有漏洞则立即感染侵入。
(四) 攻击目标多元化
一方面是从电脑端到移动端。 勒索病毒大多以电脑设备为攻击目标,其中Windows操作系统是重灾区。 但随着移动互联网的普及,勒索攻击的战场从电脑端蔓延至移动端,并且有愈演愈烈的趋势。 俄罗斯卡巴斯基实验室检测发现,2019年针对移动设备用户个人数据的攻击达67500个,相比2018年增长了50%。 同年卡巴斯基移动端产品共检测到350多万个恶意安装软件包,近7万个新型移动端银行木马和6.8万多个新型移动端勒索软件木马。
另一方面是从个人用户到企业设备。 个人设备在勒索软件攻击目标中一直占据较高比例,但随着传统勒索软件盈利能力的持续下降,对更高利润索取的期待驱使网络攻击者将目标重点聚焦在政府或企业的关键业务系统和服务器上。 比如在今年7月16日发生的国家级勒索事件中,厄瓜多尔最大网络运营商CNT遭遇勒索软件RansomEXX的攻击,致使其业务运营、支付门户及客户支持全部陷入瘫痪,犯罪团伙声称已经取得190GB的数据,并在隐藏的数据泄露页面上分享了部分文档截图。
随着AI、5G、物联网等技术的快速普及和应用,以及加密货币的持续火爆,勒索攻击呈现出持续高发态势,全球大量知名企业都曾遭到勒索攻击并导致经济和声誉损失。 据《2020年我国互联网网络安全态势综述》统计,2020年我国全年捕获勒索病毒软件78.1万余个,较2019年同比增长6.8%。 据Cybersecurity Adventure统计,2021年全球勒索软件破坏成本预计将达到200亿美元,高于2015年3.25亿美元的61倍。
勒索攻击7大趋势特点
(一) 影响社会正常运转且难解密
勒索攻击对社会正常运转带来较大挑战。 在民生方面,大型企业遭到勒索攻击严重影响民众正常生活。 2021年5月全球最大的肉类供应商JBS遭到勒索病毒攻击,部分牛羊屠宰加工厂停摆,美国肉类批发价格出现上涨,使得本就受到疫情冲击的全球食品供应链雪上加 霜。 在医疗卫生方面,勒索攻击不但造成巨额经济损失,同时也威胁到病人生命安全。 2020年9月,德国杜塞尔多夫医院30多台内部服务器遭到勒索攻击,一位前来寻求紧急治疗的妇女被迫转送至其他医院后死亡。 这是公开报道的第一起因勒索攻击导致人死亡的事件。 国内也出现过类似的勒索攻击事件,如某建筑设计院遭遇勒索病毒攻击,数千台电脑文件被加密,工程图纸无法访问,损失惨重。
勒索攻击使用的加密手段越来越复杂多样,绝大多数不能被解密。 业内专家普遍认为遭受勒索攻击之后,没有“特效药”。 受害者往往需要在支付巨额赎金和数据恢复重建中做出选择。 即使一些勒索攻击采用的加密算法是公开的,但是依靠现有的算力或者是通过暴力破解的方式也难以进行解密,因为暴力解密往往需要上百年的时间。
(二) 勒索攻击SaaS化
随着云计算、人工智能等新技术的快速普及和应用,勒索软件即服务成为当前网络攻击的新模式。 勒索软件黑色产业层级分明,全链条协作,开发者只管更新病毒,拓展传播渠道大肆释放勒索病毒,各级分销参与者点击鼠标就能从中瓜分利润。 这种黑色产业分销模式大大降低了勒索攻击的传播门槛,使网络安全风险快速扩散。 例如,依靠这种黑产模式,某勒索攻击软件仅用一年多时间就敛财20亿美元。
勒索攻击从制作、传播、攻击到收益呈现系统化、便捷化趋势,开发者可以提供一整套解决方案,甚至包括利用加密货币进行赎金支付等服务。 这些解决方案具有“开箱即用”的便捷性,犯罪分子获得勒索病毒后,可以通过多种渠道进行传播并获利,攻击模式更为便捷。 此外,攻击者往往并不需要任何编程技术就可以开展违法犯罪活动,理论上任何人只要支付少量费用就可以通过这类服务开展勒索攻击,导致网络攻击的门槛大幅降低。
(三) 加密货币普及助推赎金额度快速增长
勒索病毒的制造者对赎金的要求越来越高。 2017年在全球140多个国家和地区迅速蔓延的WannaCry勒索病毒赎金仅为300美元,4年后勒索病毒要求企业支付的赎金则大多在上百万美元, Sodinokibi勒索病毒在2019年前后出现在中国时,索要金额仅7000元人民币,到了2020年,该团伙的勒索金额已动辄千万美元以上。 例如2020年3月,计算机巨头宏碁公司被要求支付5000万美元赎金; 2020年11月,富士康墨西哥工厂被要求支付超过3400万美元赎金。
高额赎金不仅让犯罪分子赚得盆满钵满,同时可以借此招揽更多人铤而走险加入勒索攻击行列。 加密货币近年来成为社会关注的焦点,尤其是加密货币的匿名化导致监管部门很难对其进行管理。 犯罪分子利用加密货币这一特点,有效隐匿其犯罪行径,导致网络攻击门槛降低、变现迅速、追踪困难,一定程度上成为网络犯罪快速增长的“助推剂”。
(四) 大型企业和基础设施成为攻击重点
传统勒索病毒攻击者使用广撒网、误打误撞的手法,这种无差别攻击很难预测受害者是谁,哪些受害者有价值。 同时,普通用户的数据价值相对不高,且缴纳赎金的意愿并不强烈。 近年来,勒索攻击对象涉及面越来越广,目前主要针对掌握大量数据的大型企业,且定向精准攻击趋势愈发明显,勒索攻击日趋APT化。 所谓APT化,即攻击不计成本、不择手段,从低权限帐号入手,持续渗透攻击,直到控制企业核心服务器,再释放勒索病毒,使巨型企业彻底瘫痪。 此外,勒索攻击APT化还意味着攻击者入侵后会首先窃取该企业的核心数据,即使企业使用备份恢复系统,核心机密泄露也会导致极其严重的损失。 波音公司、台积电、富士康、全球最大的助听器制造商Demant、法国最大商业电视台M6 Group都曾成为被攻击对象。 BlackFog研究发现,2020年勒索攻击主要针对政府部门、制造业、教育和医疗保健等行业。
同时,攻击者开始针对特定企业有针对性地制定攻击策略,哪些企业掌握大量有价值的数据,哪些企业就越容易遭到攻击。 针对目标企业,攻击者手法更加多样化、对高价值目标的攻击进行“量身定做”,形成一整套攻击“组合拳”。 对于大型企业来讲,网络节点和上下游关联企业与供应商都成为潜在的攻击漏洞,产业链中安全薄弱环节均成为攻击者实现突破的关键点。 许多企业为了避免业务被中断,往往选择支付巨额赎金。
(五) “双重勒索”模式引发数据泄露风险
时至今日,勒索攻击已经从单纯的支付赎金即可恢复被加密的数据,逐渐演变成先窃取商业信息和内部机密,而后威胁企业不缴纳赎金将公开数据,这种新模式也被称为“双重勒索”。 这样一来,不仅使得勒索攻击杀伤性增强,被勒索企业缴纳赎金的可能性变大,诱使勒索攻击者发动更多攻击,而且极易引发大规模的行业内部数据泄露事件,使得受害企业同时承受数据公开、声誉受损、行政处罚等多重压力。
据不完全统计,自2019年11月首次公开报道勒索病毒窃取数据的事件以来,不到一年时间里,有超过20个流行勒索病毒团伙加入到数据窃取的行列中。 以Maze(迷宫)勒索攻击为例,它不仅最先开始系统性地窃取数据,还以泄露数据相逼要挟用户缴纳赎金。 越来越多的勒索事件表明,“双重勒索”模式已成为现今网络攻击者实施攻击的重要手段。
(六) 供应链成为勒索攻击的重要切入点
供应链攻击作为一种新型攻击手段,凭借自身难发现、易传播、低成本、高效率等特点成功跻身最具影响力的高级威胁之列。 供应链攻击一般利用产品软件官网或软件包存储库等进行传播,网络攻击一旦成功攻陷上游开发环节的服务器,便会引发连锁效应,波及处于供应链中下游的大量企业、政府机构、组织等。 由于被攻击的应用软件仍然来自受信任的分发渠道,恶意程序将随着软件的下载安装流程悄无声息地入侵目标电脑,逃避传统安全产品检查的同时又可沿供应链发动向后渗透攻击,大大增加安全检测的难度。
近年来供应链攻击备受关注。 2017年6月一家不知名的乌克兰软件公司遭受勒索攻击,勒索病毒通过软件公司服务器传播到数家全世界最大的企业之中,令其运营陷入瘫痪,造成全球范围内约100亿美元的损失。 2021年7月,美国软件开发商Kaseya遭勒索攻击,网络攻击团伙索要高达7000万美元的赎金,有评论称此次事件可能成为2021年影响最大的供应链攻击事件。
(七) 引发网络保险行业的恶性循环
美国战略与国际研究中心与杀毒软件供应商迈克菲联合发布的一份报告指出,估计每年全球网络攻击所带来的损失将达9450亿美元,再加上约1450亿美元的网络防护支出费用,总经济成本将超过1万亿美元。 高额的网络攻击成本催生了对网络风险保险的庞大需求市场,根据预测,到2025年网络风险保险费用将从2016年的32.5亿美元上升到200亿美元。 伦敦再保险经纪商Willis Re透露,今年7月保单更新季,网络安全相关保险费率将迎来40%的大幅增长。
然而网络保险行业欣欣向荣的表象下,却潜藏着巨大的恶性循环危机。 由于最近几个月来全球几大公司接连遭到灾难性的勒索攻击,越来越多的企业向网络保险和再保险公司寻求帮助,网络攻击者特意挑选投保了网络保险的公司作为攻击目标,更加有针对性地实施勒索攻击,使得网络犯罪的成功率大幅提升,整体网络环境面临加速恶化的窘境。 为遏制这一情况的继续恶化,已有多家公司开始缩减网络保险覆盖范围,法国正在考虑强制所有网络保险商停止报销赎金支出,以切断网络犯罪这一有利可图的途径。
提高预防意识并构建前置安全是关键
由于勒索攻击高强度加密算法的难破解性和数字货币交易方式的隐蔽性,并不建议将防治重点放在遭受攻击后的解密环节,而应该着重做好预防工作,不给勒索病毒以可乘之机。
从个人用户来讲, 增强员工安全意识与加强数据备份同等重要: 一方面要增强安全意识。 对于可疑的邮件尤其是附带的网址不建议随意点开,同时系统提示的安装补丁或者软件病毒库要保持及时更新。 另一方面,对于使用了非对称加密算法加密的文件,目前尚未找到有效的破解方法,一旦计算机遭到此类新型勒索病毒的攻击只能束手待毙,因而必须在平日里就做好重要数据的备份工作,且最好使用本地磁盘和云服务器双备份的策略。
从企业用户来讲,解决勒索攻击的核心是构建“安全能力前置”,提升自身的“免疫力”:
1.“安全能力前置”成为企业必选项。 企业数字化程度越高,潜在的安全风险也就越大,甚至会有致命风险。 被动防御性的安全思路难以应对多样化、动态化的网络攻击。 因此,一方面要利用AI、大数据、云计算等新技术实现安全能力在业务环节的前置,提前预判潜在安全风险,另一方面要对安全专家或人才能力量化,使过往积累的安全经验与能力标准化、流程化,以实现安全能力的量化部署。
2.构建云上安全提升安全防御能力。 产业互联网时代安全威胁逐步扩大,企业在应对勒索攻击时,数据备份和恢复的重要性进一步凸显。 云原生安全所具备的开箱即用、自适应等显著优势将成为保障云平台和云上业务安全的重要基础。 一方面云原生安全将构建安全服务全生命周期防护,伴随云上业务发展全过程。 另一方面云上安全产品将向模块化、敏捷化和弹性化演进,为用户提供差异化服务,成为兼顾成本、效率和安全的“最优解”。
3.零信任有望成为勒索攻击有效解决途径。 零信任假定所有身份、设备和行为都是不安全的,即使曾经有过被“信任”的经历也要一视同仁,在接入时需要进行全程安全验证和检查。 攻击者使用窃取到的账号信息登录VPN或其他内部业务平台时,由于零信任采用多因子用户验证 (即只有账号密码还不够,需要配合短信验证码、token、人脸识别等) ,即使攻陷了企业的一台服务器,也无法致使勒索攻击扩散到其他服务器。 零信任体系还能有效阻止黑客入侵后在内网扩散。 攻击者可能控制某些脆弱的单点,当其通过已攻击的终端向网络内部更重要系统渗透时,零信任的安全机制可以及时检测到风险,从而帮助企业将风险控制在最小限度,不至于发生全网崩溃的严重后果。
4. 打好保障供应链安全的“组合拳”。 一方面,须加强代码审计与安全检查。 机构组织可向供应商索要清单,列明其使用的所有代码组件,以识别与开源组件漏洞有关的潜在风险。 此外还可以考虑在实施代码前,增加额外的自动化或手工检查,并利用第三方工具对软件及相关产品源代码进行详细的安全分析。 另一方面,加快推动建立零信任架构等安全防护机制。 供应链攻击暴露出网络安全架构最大的缺陷就是过于信任。 而零信任架构意味着每个试图访问网络资源的人都要进行验证,其访问控制不仅能应用于用户,也适用于服务器设备与各类应用,以防止第三方供应商获得不必要的特权,从而降低恶意软件的渗透风险。
近期全球典型勒索攻击汇总表
数据来源: 公开信息整理
参考文献:
[1]张晓玉,陈河.从SolarWinds事件看软件供应链攻击的特点及影响[J].网信军民融合,2021(04):37-40.
[2].瑞星2020年中国网络安全报告[J].信息安全研究,2021,7(02):102-109.
[3]李江宁,覃汐赫.工业领域的勒索攻击态势与应对思路[J].自动化博览,2021,38(01):86-90.
[4]张宝移.计算机勒索病毒及防治策略分析[J].技术与市场,2020,27(10):109-110.
[5]高红静.近年勒索软件威胁分析及防范策略综述[J].保密科学技术,2018(12):21-28.
[6]李易尚.勒索软件:过去、现在和未来[J].北京警察学院学报,2017(06):99-104.
[7]李建平.供应链安全:防不胜防的软肋[J].保密工作,2021,{4}(04):58-59.
[8]嵇绍国.2020年勒索软件攻击情况及趋势预测[J].保密科学技术,2020(12):33-43.
[9]2021上半年勒索病毒趋势报告及防护方案建议,南方都市报,2021-5-10
[10] 门嘉平.勒索病毒防治策略浅析[J].网络安全技术与应用,2020(06):23-24.
[11]吴崇斌,成星恺.勒索软件发展现状及应对[J].通讯世界,2019,26(08):111-112.
[12].盘点2019年勒索病毒灾难事件[J].电脑知识与技术(经验技巧),2019(12):88-90.
打击勒索攻击,
扫码参与H5小游戏 ?
测试你是哪种类型的极客?
更多精彩内容
欢迎搜索关注微信公众号
腾讯研究院
前沿杂志
互联网前沿61
2022年,从引爆AI作画领域的DALL-E 2、Stable Diffusion等AI模型,到以ChatGPT为代表的接近人类水平的对话机器人,AIGC不断刷爆网络,其强大的内容生成能力给人们带来了巨大的震撼。
2023-05-12
全站精选
远程办公,会是现代公司的终局吗?
疫情期间这场大型试验,让我们对线上办公得到哪些新认识?
• “健康码”折射政务服务数据规则
• “新基建”:是什么?为什么?怎么干?
• 迈向行政规制的个人信息保护:GDPR与CCPA处罚制度比较
• 审视“基因编辑”:社会文化的技术隐喻
• 远程办公时代,范式转换后的三大核心变革
• 儿童个人信息保护 ——美好的权利如何脚踏实地
专题项目
研究领域
产经研究
网络社会
法律研究
研究成果
权利声明
本站系非盈利性学术网站,所有文章约为学术研究用途,如有任何权利问题,请直接与我们联系。
Copyright © 1998 Tencent All Rights Reserved
粤B2-20090059
如何防勒索病毒? - 知乎
如何防勒索病毒? - 知乎首页知乎知学堂发现等你来答切换模式登录/注册勒索病毒如何防勒索病毒?关注者39被浏览75,183关注问题写回答邀请回答好问题 7添加评论分享23 个回答默认排序文秀大人 关注在讨论如何防勒索病毒问题之前,先来了解一下勒索病毒。 什么是勒索病毒?勒索病毒并不是某一个病毒,而是一类病毒的统称,主要以邮件、程序、木马、网页挂马的形式进行传播,利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。 已知最早的勒索软件出现于 1989 年,名为“艾滋病信息木马”(Trojan/DOS.AidsInfo,亦称“PC Cyborg木马”),其作者为 Joseph Popp。早期的勒索病毒主要通过钓鱼邮件,挂马,社交网络方式传播,使用转账等方式支付赎金,其攻击范畴和持续攻击能力相对有限,相对容易追查。2006 年出现的 Redplus 勒索木马(Trojan/Win32.Pluder),是国内首个勒索软件。2013下半年开始,是现代勒索病毒正式成型的时期。勒索病毒使用AES和RSA对特定文件类型进行加密,使破解几乎不可能。同时要求用户使用虚拟货币支付,以防其交易过程被跟踪。这个时期典型的勒索病毒有CryptoLocker,CTBLocker等。自2016年开始,WannaCry勒索蠕虫病毒大爆发,且目的不在于勒索钱财,而是制造影响全球的大规模破坏行动。戏剧性的是,在此阶段,勒索病毒已呈现产业化、家族化持续运营状态。勒索病毒产业化架构自2018年开始,勒索病毒技术日益成熟,已将攻击目标从最初的大面积撒网无差别攻击,转向精准攻击高价值目标。比如直接攻击医疗行业,企事业单位、政府机关服务器,包括制造业在内的传统企业面临着日益严峻的安全形势。2018年至今勒索病毒活跃趋势勒索病毒19年一季度行业分布情况2019年最具代表性的勒索病毒家族排行榜勒索病毒工作原理勒索病毒文件一旦进入被攻击者本地,就会自动运行,同时删除勒病毒母体,以躲避查杀、分析和追踪(变异速度快,对常规的杀毒软件都具有免疫性)。接下来利用权限连接黑客的服务器,上传本机信息并下载加密私钥与公钥,利用私钥和公钥对文件进行加密(先使用 AES-128 加密算法把电脑上的重要文件加密,得到一个密钥;再使用 RSA-2048 的加密算法把这个密钥进行非对称加密。)。除了病毒开发者本人,其他人是几乎不可能解密。如果想使用计算机暴力破解,根据目前的计算能力,几十年都算不出来。如果能算出来,也仅仅是解开了一个文件。(当然,理论上来说,也可以尝试破解被 RSA-2048 算法加密的总密钥,至于破解所需要的时间,恐怕地球撑不到那个时候。)加密完成后,还会锁定屏幕,修改壁纸,在桌面等显眼的位置生成勒索提示文件,指导用户去缴纳赎金。值得一提的是,有的勒索方式索要赎金是比特币,如果你不会交易流程,可能会遭到勒索者的二次嘲讽:自己上网查!( Ĭ ^ Ĭ )以下为APT沙箱分析到勒索病毒样本载体的主要行为:1、调用加密算法库;2、通过脚本文件进行Http请求;3、通过脚本文件下载文件;4、读取远程服务器文件;5、通过wscript执行文件;6、收集计算机信息;7、遍历文件。该样本主要特点是通过自身的解密函数解密回连服务器地址,通过HTTP GET 请求访问加密数据,保存加密数据到TEMP目录,然后通过解密函数解密出数据保存为DLL,然后再运行DLL (即勒索者主体)。该DLL样本才是导致对数据加密的关键主体,且该主体通过调用系统文件生成密钥,进而实现对指定类型的文件进行加密,即无需联网下载密钥即可实现对文件加密。同时,在沙箱分析过程中发现了该样本大量的反调试行为,用于对抗调试器的分析,增加了调试和分析的难度。如何防勒索病毒?1、青铜段位(1)不要打开陌生人或来历不明的邮件,防勒索病毒通过邮件的攻击;(2)需要的软件从正规(官网)途径下载;(3)升级杀毒软件到最新版本,阻止已存在的病毒样本攻击;(4)Win7、Win 8.1、Win 10用户,尽快安装微软MS17-010的官方补丁;(5)定期异地备份计算机中重要的数据和文件,万一中病毒可以进行恢复;(6)定期进行安全培训,日常安全管理可参考“三不三要”(三不:不上钩、不打开、不点击。三要:要备份、要确认、要更新)思路。2、钻石段位(1)物理,网络隔离染毒机器;(2)对于内网其他未中毒电脑,排查系统安全隐患: a)系统和软件是否存在漏洞 b)是否开启了共享及风险服务或端口,如135、137、139、445、3389 c)只允许办公电脑,访问专门的文件服务器。使用FTP,替代文件夹共享。 d)检查机器ipc空连接及默认共享是否开启 e)检查是否使用了统一登录密码或者弱密码(3) 尽量不要点击office宏运行提示,避免来自office组件的病毒感染;(4)尽量不要双击打开.js、.vbs等后缀名文件;(5)事后处理在无法直接获得安全专业人员支持的情况下,可考虑如下措施: a) 通过管家勒索病毒搜索引擎搜索,获取病毒相关信息。搜索引擎地址 (https://guanjia.qq.com/pr/ls/#navi_0)勒索病毒搜索引擎 b) 若支持解密,可直接点击下载工具对文件进行解密(3)王者段位 在如何防勒索病毒这个话题中,人们常规的防御思维综上所述。虽然没什么毛病,但怎么看都像是“坐以待毙”,被动挨打。不过也无可厚非,毕竟见招拆招是惯性思维。正确的防勒索病毒手段,一定是以不变应万变。 举个栗子:农场主养了一群羊,毛发油亮,膘肥体壮,卖相极好,农场主甚是欣慰。有一天农场主发现少了几只羊,还发现了狼的踪迹,便明白了有狼偷羊。农场主跟踪狼的踪迹,设置陷阱,日夜监督,身心俱疲,但还是没有捉到狼,羊的数量还在减少。最后,农场主把茅草的羊圈换成了大理石羊圈,羊再也没少过,农场主也再也不用去寻找狼。主机加固的概念便是如此。所以如何防勒索病毒,主机加固的思路才是良策。主机加固的核心要点:1、系统加固 将调试好的系统锁定,变成可信系统。 在可信系统下,非法程序、脚本都无法运行。而且不会影响数据进出。 即使系统有漏洞,甚至管理员权限丢失,这个可信系统都是安全的。2、程序加固 采用可信签名方式对可执行程序、脚本的启动进行实时的hash值校验,校验不通过 拒绝启动,并且可信程序无法被伪装。3、文件加固 保护指定类型的文件不被篡改。4、磁盘加密 创建安全沙盒,该沙盒对外隔离,对沙盒内的数据进行加密,确保数据只能在授权管理有效前提 下,才能被解密。如果没有授权,即使管理员也无法拷贝使用这些数据,即使系统克隆也无效。5、数据库加固 第一层:数据库文件禁止陌生程序访问和篡改。确保数据库文件级安全。 第二层:数据库端口访问可信过滤,只允许业务程序进行数据库端口通信连接,在连 接字符串的IP+端口+账号密码中,追加进程身份识别。 第三层:数据库连接SQL文进行智能过滤,防止关键数据被检索和访问,防止数据库 内数据被非法访问,防止数据库表单的危险操作行为。 很多问题换一种思维可能就迎刃而解。如何防勒索病毒,显然用主机加固的策略更佳。至于主机 加固产品如何选型,各位仁者见仁智者见智吧。个人推荐MCK主机加固。这个产品所属公司在数据安全领域可是老前辈了,而且他们的另一个产品SDC沙盒在源代码安全领域是很能打的。最后,涩情网站君莫入,陌生邮件小心读,美女果聊需当心,勒索病毒助你贫。不要谢我,叫我雷锋,深藏功名。编辑于 2021-12-16 17:55赞同 3526 条评论分享收藏喜欢收起Ommega3110计算机硕士,码农,书呆子 关注谢邀,刚上飞船,人在自然选择号。说的是深信达吧。你一提到SDC沙盒,真的有太多感慨。前两年公司开发新项目,大量的嵌入式开发调试动作。我们用U口和网口来传输代码,频繁的发到设备里调试,找问题,改BUG。甲方爸爸特别交代,项目要严格保密,PM和CTO都很忙,就命我出方案。我TM能出什么方案?百度上到处找项目保密,源代码保密,源代码加密的解决方案,全是广告,百度真是绝绝子了。好吧,找了几家软件测试下,要么就坏文件,要么就不停地设置进程、文件后缀名。最关键的是,我这种水平不高的菜鸟也能想办法绕过这些加密软件,简直了。后来问了在DJI(大疆)的师兄,他告诉我源代码加密要用环境加密的,透明加密的不适合,他们公司选型也费老鼻子劲,最后才选的SDC沙盒。至于原理,太多了一句两句也说不清。简单总结一下区别哪:代码开发的环境复杂,进程文件类型很多,要用透明加密一一设置,就类似于白名单,不胜其烦,而且安全系数低,也不支持嵌入式开发场景的加密需求。这时候需要一款基于系统的、开发场景的加密产品。这个产品要不关联文件类型,不抓取进程,不区分文件大小,不改变研发者使用计算机习惯,还要保证数据不能外泄,支持嵌入式这种带烧录的场景,最好还要安全系数高一些,至少要保证普通开发人员不能破解。一种是基于文件过滤层的文件加密,一种是基于驱动层的系统环境加密,各有千秋吧,但是源代码加密这种环境复杂的需求,后者更为合适。经过一周的测试,最终选型SDC。历时2个月的调研和选型,终于结束。虽然有点波折,但也学到了很多。有些知识,只有在实践中获得。感谢我的地中海PM和CTO。发布于 2021-12-23 14:36赞同 73 条评论分享收藏喜欢
勒索病毒防护方案 - 从安全运营视角讲起 - FreeBuf网络安全行业门户
勒索病毒防护方案 - 从安全运营视角讲起 - FreeBuf网络安全行业门户
主站 分类
漏洞
工具
极客
Web安全
系统安全
网络安全
无线安全
设备/客户端安全
数据安全
安全管理
企业安全
工控安全
特色
头条
人物志
活动
视频
观点
招聘
报告
资讯
区块链安全
标准与合规
容器安全
公开课
报告 专辑 ···公开课···商城···
用户服务
··· 行业服务
政 府
CNCERT
CNNVD
会员体系(甲方)
会员体系(厂商)
产品名录
企业空间
知识大陆 搜索 创作中心 登录注册 官方公众号企业安全新浪微博 FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。 FreeBuf+小程序把安全装进口袋 勒索病毒防护方案 - 从安全运营视角讲起
关注
Web安全 勒索病毒防护方案 - 从安全运营视角讲起
2023-05-19 16:41:44
所属地 北京 0x00 前言在当前新的背景下,国家政策层面上对企业的网络安全、数据安全和个人信息保护提出了更高的要求。在勒索防护领域,勒索软件除了在本地加密重要文件外,还具备了信息泄露的特性。其攻击团伙开始使用更加复杂的技术手段,发展成了自闭环产业链。攻击对象从一般民众,开始转向国家政企机关以及相关从业人员。为了防御复杂的勒索攻击,企业必须结合多种防御手段来降低被勒索的风险。本文介绍了勒索病毒的现状,列举了时下流行的勒索病毒家族,重点分析了当下典型的勒索病毒,归纳勒索病毒发展的背后逻辑。随后,结合浪潮云的基建、勒索病毒的流行趋势、主流安全厂商的勒索防护方案,以及针对这些厂商进行勒索防护能力进行的测试结果,提出勒索防护的解决方案。0x01 勒索病毒现状(一)现状2022年度勒索软件整体传播趋势相对平稳,虽然每月都有新增的勒索病毒家族,各个家族也在不断迭代,但是全年并没有出现特别大规模的勒索事件。纵观近5年的发展过程,勒索病毒形成了一条供销分明的完整产业链。勒索病毒的功能、入侵手段开始多样化,基于虚拟货币的匿名性和隐私性,以虚拟货币作为交易的方式依旧是主流。并且,勒索软件的传播手段出现了蹭热点,获利形式从单纯的经济利益,出现了表达政治主张,在地缘政治冲突中偏袒一方。可以预见,将来勒索病毒,出于某些目的,对于国家机关和政府部门的攻击将会逐渐增加。(二)勒索病毒攻击简介2022年的勒索病毒没有爆发性增长,整体相对平稳。RDP口令爆破依然是最常见的勒索病毒入侵传播方式,但是各种其他传播方式出现了爆发式增长,国内新出现的coffee勒索病毒体则现出了很鲜明的本土特色。(三)勒索病毒攻击趋势从公开数据统计来看,总体有一定波动,但是并没有出现较大的爆发现象。但是勒索病毒并没有消减的趋势,根据相关数据,2022年度,每个月份均有新勒索病毒出现。月份新增传统勒索家族新增双重/多重勒索家族1月Coffee、DeadBolt、Koxic、Trap、EvilNominatusNightSky2月Sutur、D3adCrypt、Sojusz、Unlock、IIMxT3月FarAttack、Venus、Sojusz、KalajaTomorr、GoodWill、AntiWar、IceFire、AcepyPandora4月Pipikaki、BlockZ、Phantom、BlazeOnyx、Industrial Spy、BlackBasta5月7Locker、EAF、QuickBubck、PSRansomCheers、RansomHouse、Mindware6月BlueSky、Agenda、Kawaii、DamaCrypt、RedTeamCrimson Walrus、SiegedSec7月Stop247、RoBaj、Checkmate、LunaRedAlert、Lilith、BianLian、0mega8月Moishsa、Filerec、iceFire、CryptOnD0N#T (Donut Leaks)、iceFire、CryptOn、Bl00dy、DAIXIN、VSOP9月Ballacks、BlackBit、DoyUKz6wkg、Sparta10月Prestige、Ransom CartelSexyPhotos、Azov11月PCOK、SomniaRoyal、Play12月Seoul、Lucknite、Blocky、HentaiLocker图表 2 2022年月度新增勒索家族尽管没有出现大面积爆发,但是勒索病毒的勒索金呈现逐年上升的趋势,但是2022年度的勒索收益有些许下降,但是依然高于2020年度,疑似受到大经济环境影响。双重/多重勒索家族,以及出现的勒索团伙介入地区热点事件,也可以理解为勒索团伙开始探索新的盈利模式。(四)重点勒索病毒家族分析2022年度的勒索病毒除了传统的RDP口令爆破来实现病毒突破和扩散外,还具有一些新的特性。这些勒索团伙出现本土化,组织专业化,并且开始针对国家政企和介入地缘政治,表达政治诉求,站队,站边。下面将依次对值得单独分析的病毒进行一些细节分析。(1)本土Coffee病毒分析该病毒以其加密后的文件后缀修改为coffee.xxxx(x为随机数)因此命名。如图表 2 2022年月度新增勒索家族 所示,该病毒出现与2022年1月。为国内新出现的勒索家族。该病毒具备蠕虫性质的勒索软件,出现时并不是以主流的RDP口令爆破来实现初始突破,而是通过软件捆绑和QQ群钓鱼传播,具备非常明显的国内特色。在维持阶段会感染系统中的常用软件,在横向移动阶段会将自己发到其他QQ群中进行传播,在影响阶段,则会向玩家所要ZEC(零币)还附上了全中文教程。在2月份的时候,该病毒出现了新的变化,开始针对高校教师和科研人员发起勒索攻击。在保留先前特性外,还会通过以《2021年度本单位职工个税补缴名单》的钓鱼邮件进行传播,目标主要是《国家自然科学基金》项目的高校教师和科研人员。2022年12月,该勒索家族又出现新的变种。该变种对加密触发方式,加密格式,等进行了更新调整。在原有76种会被加密的文件外,新增了SQL辅助数据库文件加密;加密触发方式从原有的主动触发,变成了锁屏时,或者伪装成系统更新,在关机注销时进行加密;潜伏期最多可长达15天;使用DNS隧道技术获取C2信息;综上所述,该病毒通过版本迭代,具备了更强的隐蔽性,提高了自身的免杀能力。(2)国家进入紧急状态Conti病毒首次被发现与2019年。在2022年5月8日,哥斯达黎加宣布国家进入紧急状态,理由是多个政府机构正遭到Conti勒索软件攻击。先前Conti组织就宣称对哥斯达黎加政府进行了攻击。截止2022年5月20日,该组织已经发布了大约672GB的数据,其中包含了属于哥斯达黎加政府机构的数据。Conti勒索病毒从2019年发展至今,已经具备了一定的规模,组织团队也已经演变成一个专业化团队。在俄乌冲突中,公开支持俄罗斯。从Conti勒索样本的二进制分析中可以看到,其工作流程在启动之后,首先会关闭一系列影响文件操作的系统服务,尽可能释放计算机文件加密的性能。然后会删除本机一切备份数据,包括但不限于SQL备份,windows磁盘备份卷。然后使用IOCP技术,对文件进行异步加密,实现高吞吐,高效率的文件加密。最后创建勒索文档。根据乌克兰安全人员透露的信息归纳,其组织架构顶层是大老板Stern。下面分别是HR管理层,技术团队,谈判专家,有极强的专业分工。HR团队负责新鲜血液的招募和人力资源提效,逆向工程师和攻击团队的引入,体现了该团队非常专业的攻防突破能力。谈判专家的出现,也体现了其对价值回收环节的重视,作为黑客团伙具备极强的持续化运营能力,已经形成了完整的产业链闭环。(3)介入地缘冲突从病毒发展历史来看,恶意软件总会借用热点事件来扩大自己的传播范围和影响力。自Covid-19开始流行以来,到俄乌冲突至今一直未变。其总是通过热点事件中的某一个点,来进行钓鱼,达到传播自身的目的。但是俄乌冲突热点中,出现了不同的现象,勒索团伙会利用自己的攻击载荷,或者勒索文档实现或者表达自己的政治立场。除了勒索软件外,还出现了针对俄罗斯和乌克兰国家的数据擦除软件。本质上讲,勒索团队,尤其是具备高度组织化的勒索团伙表现出自己的政治诉求时,其攻击目标的选择就会出现倾向性,并且会让整个勒索事件的链条引入其他因素,变得复杂化,对于政企是值得关注的变化。(五)流行核心逻辑分析安全本质就是攻击成本和防御成本之间的成本博弈。在恶意软件的发展历史中,前期的恶意软件很少注重成本回收,只是开发成本和目标的损失之间的博弈。随后随着信息泄露等各种恶意软件的出现,开始出现了提高成本回收的手段。现今,勒索软件成为了恶意软件当下费效比最高的恶意软件类别之一。由于其完整的生态闭环尚未被有效打破,且参与的团伙还在不断挖掘成本回收的手段,在可见的未来,勒索软件还会继续发展迭代下去。从ATT&CK的角度来看勒索软件。我们隐去无法探明和没有使用的手段,常见的手段如下表所示。常见的手段如上图所示。除此之外,勒索目标的发现,合法的攻击凭证,横向移动资源发现等内容,就不在此详细罗列。勒索软件的攻击方式和攻击手段正在逐步走向多元化,这种快速的发展形势也是近年发展出来的恶意软件中所拥有的共性特点。勒索团伙也出现了让人惊讶的变化。LockBit在今年6月完成了其3.0版本的迭代和发布。为病毒运营,病毒投放者提供技术支持,建立了其自身的ASRC系统,发出了1000美金到100万美金的悬赏。除此之外,还为其服务器增加了抗D能力(应对Entrust的DDoS攻击)。很难想象这是一个非法团伙做的事情。从另外一个角度来说,也可以体现该团伙的高度组织化,产业链条的完整性。结合前文对Conti团伙的分析,我们不难发现,勒索团伙已经开始主动的完善自己的组织架构,出现了非常专业而且自洽的产业链。如果没有一个良好的费效比,显然是无法支撑这种发展趋势的。2022年度,仅公开资料统计,2861次勒索,平均每次勒索既可以有490美金入账。在如此有效的费效比支撑下,勒索团伙依然在寻找更多的盈利空间和盈利模式。LockBit3.0已经开始提供“阶梯赎回”方案。本次俄乌冲突勒索团伙对自己政治立场的表达也体现了这种趋势。其攻击面从普通用户,普通企业,开始向政企蔓延,在局部冲突的大背景下,政企面临勒索团伙的攻击,其回旋空间被压缩,面临的社会舆论风险激增,极大的提高了政企的对抗成本,在攻防成本博弈之中天然处于劣势。成为这些有技术实力,高组织度团伙的攻击目标。勒索团伙也有机会引入外部政治势力的投资。综上所述,勒索病毒能长期流行的核心逻辑是:勒索病毒具有很高的费效比,在安全攻防成本博弈中处于优势地位,且勒索团伙还在不断寻求新的盈利空间,属于上升发展的总体趋势。对于我们防守方来讲,我们将面临更加严峻的挑战,而且在地区热点阶段,政企和机关将面临更加频繁和更加具有针对性的勒索攻击。0x02 勒索病毒防护方案通过图表 12 勒索软件的ATT&CK杀伤链统计 的展示和分析,我们可以将勒索防护分成下面4块内容,分别对应不同的攻击阶段:事前阶段:安全意识教育/培训边界防护事中阶段:主机查杀事后阶段:勒索止损(一)防护方案概要(二)安全意识教育/培训无论任何安全平台,安全软件,使用者都是人。人们常说科技以人为本。安全也是如此,安全以人为本。再好的安全防护体系,不提高使用者的素质,依然会成为一个千疮百孔的体系。所以安全意识教育和安全培训需要放在首位。需要制定《软件使用规范》禁止使用盗版软件,规范正版软件的下载路径和下载方式,杜绝从三方平台下载软件的行为。提高员工邮件安全意识,做到非加密邮件和陌生邮件的附件,链接,二维码绝不下载,不点击,不扫描。由于二维码可以隐藏链接,需要尽量杜绝在邮件中使用二维码。对于陌生的外接设备要加强管理,强化陌生USB设备的管理。由此做到ATT&CK杀伤链中钓鱼环节的入侵防护。(三)边界防护边界防护的目标是针对 图表 12 勒索软件的ATT&CK杀伤链统计 中的部署、入侵、横向移动和窃取阶段构建的检测和防护手段。其包含整体网络边界的WAF,子网内的态势感知系统,主机边界的防火墙,HIPS,以及对横向移动行为进行检测和处置的EDR等多款安全产品。以WAF和态势感知来应对部署和入侵阶段的钓鱼邮件,钓鱼网站访问,RDP口令爆破,服务器层面的漏洞利用。主机边界的防火墙,HIPS,EDR等多款产品用来应对在主机测的入侵、横向移动、窃取阶段的RDP口令爆破,主机漏洞利用,聊天工具横向移动和窃取阶段的数据上传防护。(四)主机查杀主机查杀阶段是针对 图表 12 勒索软件的ATT&CK杀伤链统计 中的执行、维持、规避和影响阶段。其包含主机终端的攻击载荷落盘查杀,执行查杀。查杀引擎会持续和勒索病毒进行对抗,应对勒索病毒的规避手段,同时更新病毒库引擎,针对勒索软件进行持续化清理。其核心能力指标是针对勒索病毒的覆盖率和阻断能力。(五)勒索止损当所有防线都被突破之后,我们需要进行止损,防止损失扩大。主要为两个方面:使用定期的数据备份恢复被勒索的数据。对于无法恢复的数据部分,以及在恢复期间产生的经济损失,可以引入勒索保险,来实现一定的经济损失补偿。根据sophos的勒索白皮书中对5400家外国企业的调研,在勒索场景下,只有46%的厂家会支付勒索金,在这些支付勒索金到厂家中,只有61%的厂家的数据能找回。而只有4%的厂商能找回完整的数据。如此低下的数据恢复率,充分证明数据找回是不能指望勒索恢复。2022年度勒索保险的赔付率已经从2021年的77%,上升到了98%。可以成为对勒索损失的一种补偿。勒索止损主要分成两个方案:经济补偿和数据恢复。经济补偿主要依靠商业保险。当前国际上勒索保险也是处在刚刚起步的发展阶段,国内勒索保险领域也处在摸索阶段,尚不成熟。数据恢复部分主要依赖数据备份产品。浪潮云拥有国内领先的数据备份产品。在勒索场景下,面对不同的客户需求可以分别采用优备或者CDP来进行数据备份。优备具备成本较低,备份策略灵活的特点。当采用异地备份方案的时候可以防止勒索病毒造成的用户数据永久损失。而CDP的备份周期短,但是相对的存储成本较高,可以用来保护实时性较高的高价值数据。0x03 结论勒索病毒开始出现本土化,攻击手段复杂化,加密手段复杂化的趋势。让防御成本逐渐上升。同时,勒索病毒开始把攻击目标从普通企业和普通个人,逐渐转向了政企和国家机关,以此谋求更大的利益。我们结合浪潮云的基建,按照主机安全厂商测试结果和勒索防护方案的设计,给出如下的勒索防护解决方案。加强安全意识教育和培训。防止不当操作导致的安全事故。在边界防护和主机防护方面,需要搭建WAF、HIPS和EDR系统,覆盖不同的边界防护阶段需求。在勒索止损方面,根据用户自身数据的价值,可以使用浪潮云的优备或者CDP来实现数据异地备份和数据的快速恢复,最大化降低勒索带来的数据损失。 # 资讯 # web安全 # 数据安全 # 企业安全 # 网络安全技术
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
展开更多
相关推荐
关 注 0 文章数 0 关注者
文章目录
0x00 前言 0x01 勒索病毒现状 (一)现状(二)勒索病毒攻击简介(三)勒索病毒攻击趋势(四)重点勒索病毒家族分析0x02 勒索病毒防护方案(一)防护方案概要(二)安全意识教育/培训(三)边界防护0x03 结论 本站由阿里云 提供计算与安全服务 用户服务 有奖投稿 提交漏洞 参与众测 商城 企业服务 安全咨询 产业全景图 企业SRC 安全众测 合作信息 斗象官网 广告投放 联系我们 友情链接 关于我们 关于我们 加入我们 微信公众号 新浪微博 战略伙伴 FreeBuf+小程序 扫码把安全装进口袋 斗象科技 FreeBuf 漏洞盒子 斗象智能安全平台 免责条款 协议条款
Copyright © 2020 WWW.FREEBUF.COM All Rights Reserved
沪ICP备13033796号
|
沪公安网备
勒索软件防御:检测和响应攻击 | Veeam
勒索软件防御:检测和响应攻击 | Veeam
#1 全球领先厂商
下载
联系我们
关闭
联系我们
联系销售人员
技术支持
登陆
菜单
产品
Veeam Data Platform
通过安全的备份和快速、可靠的恢复解决方案为混合和多云环境提供极致弹性。
立即观看
免费试用
面向混合云和多云的
云端、虚拟和物理环境
备份和恢复
监控和分析
恢复编排
目标产品
Backup for Microsoft 365
Backup for Salesforce
Backup for Kubernetes
按业务类型划分的解决方案
大企业
小企业
服务提供商
如何购买
捆绑包和购买选项
许可
托管备份和灾难恢复服务
免费社区版
Veeam Backup & Replication CE
Veeam Microsoft 365 CE
Veeam Salesforce CE
所有免费工具
解决方案
用例
数据安全
数据恢复
数据自由
勒索软件备份和恢复
混合云
行业
金融服务和保险
医疗
教育
业务类型
大企业
小企业
服务提供商
托管服务
BaaS 和 DRaaS
灾难恢复即服务
BaaS for Microsoft 365
BaaS for Public Cloud
托管和异地备份
环境
云
AWS
Azure
Kubernetes
虚拟
VMware
Hyper-V
Nutanix AHV
RHV
物理
Windows
Linux
MacOS
Unix
NAS
应用
Microsoft
Oracle
SAP Hana
PostgreSQL
SaaS
Microsoft 365
Salesforce
联盟技术
查看所有 Veeam 联盟合作伙伴
AWS
Cisco
HPE
Lenovo
Microsoft
VMware
联盟合作伙伴集成和资格认证
支持
获取支持
支持
创建问题工单
跟踪问题工单
支持策略
续约中心
续约
服务
Veeam客户成功支持
培训与教育
Veeam University
课程和认证
支持资源
技术文档
知识库
社区
社区资源中心
社区专家
技术论坛
下载
所有产品下载
资源
资源库
白皮书
解决方案简介
分析报告
查看所有资源
博客
Veeam 博客
活动和网络研讨会
VeeamON
活动
即将举行的网络研讨会
点播网络研讨会
客户案例
查看所有案例
产品演示
即将推出的产品演示
按需获取产品演示
Cyber Resiliency
合作伙伴
成为Veeam合作伙伴的益处
成为合作伙伴
增值经销商
服务提供商
全球系统集成商
技术联盟
查找合作伙伴
查找合作伙伴
合作伙伴资源
ProPartner 门户
企业
公司
关于我们
领导团队
联系信息
加入我们
搜索工作
Veeam 精彩生活
资讯与媒体
新闻稿
奖项
新闻资料
Trust Center
Trust Center
关闭
菜单
产品
产品
Veeam Data Platform
通过安全的备份和快速、可靠的恢复解决方案为混合和多云环境提供数据弹性。
面向混合云和多云的
云端、虚拟和物理环境
备份和恢复
监控和分析
恢复编排
目标产品
Backup for Microsoft 365
Backup for Salesforce
Backup for Kubernetes
按业务类型划分的解决方案
大企业
小企业
服务提供商
如何购买
捆绑包和购买选项
许可
托管备份和灾难恢复服务
免费社区版
Veeam Backup & Replication CE
Veeam Microsoft 365 CE
Veeam Salesforce CE
所有免费工具
解决方案
解决方案
用例
数据安全
数据恢复
数据自由
勒索软件备份和恢复
混合云
行业
金融服务和保险
医疗
教育
业务类型
大企业
小企业
服务提供商
托管服务
BaaS 和 DRaaS
灾难恢复即服务
BaaS for Microsoft 365
BaaS for Public Cloud
托管和异地备份
环境
云
AWS
Azure
Kubernetes
虚拟
VMware
Hyper-V
Nutanix AHV
RHV
物理
Windows
Linux
MacOS
Unix
NAS
应用
Microsoft
Oracle
SAP Hana
PostgreSQL
SaaS
Microsoft 365
Salesforce
联盟技术
查看所有 Veeam 联盟合作伙伴
AWS
Cisco
HPE
Lenovo
Microsoft
VMware
联盟合作伙伴集成和资格认证
支持
支持
获取支持
支持
创建问题工单
跟踪问题工单
支持策略
续约中心
续约
服务
Veeam客户成功支持
培训与教育
Veeam University
课程和认证
支持资源
技术文档
知识库
社区
社区资源中心
社区专家
技术论坛
下载
所有产品下载
资源
资源
资源库
白皮书
解决方案简介
分析报告
查看所有资源
博客
Veeam 博客
活动和网络研讨会
VeeamON
活动
即将举行的网络研讨会
点播网络研讨会
客户案例
查看所有案例
产品演示
即将推出的产品演示
按需获取产品演示
Cyber Resiliency
合作伙伴
合作伙伴
成为Veeam合作伙伴的益处
成为合作伙伴
增值经销商
服务提供商
全球系统集成商
技术联盟
查找合作伙伴
查找合作伙伴
合作伙伴资源
ProPartner 门户
企业
企业
公司
关于我们
领导团队
联系信息
加入我们
搜索工作
Veeam 精彩生活
资讯与媒体
新闻稿
奖项
新闻资料
Trust Center
Trust Center
#1 全球领先厂商
下载
联系我们
关闭
联系我们
联系销售人员
技术支持
登陆
菜单
Free trial
Home
Veeam Blog
勒索软件防御:检测和响应攻击
Business
|
2023年9月12日
所要時間 < 1 分
文章语言
文章语言
中文(简体)
English
Deutsch
Français
Italiano
Español
Português (Brasil)
日本語
勒索软件防御:检测和响应攻击
Misha Rangel
文章内容
勒索软件对现代企业来说是一种日益严峻的威胁
理解勒索软件防御
勒索软件防御的关键组件
网络安全和监控
事件响应和恢复
采取系统性遏制和恢复方法
避免支付赎金
持续改进和学习
与其他勒索软件措施的联系
增强贵公司的勒索软件防御
创建全面的策略
充分利用技术并加强协作
勒索软件是不认人的
勒索软件是一种恶意软件,它会阻止用户访问计算机系统或其存储的数据,直至受害者向攻击者支付赎金。2022 年,全球发生了 4.9333 亿起勒索软件攻击,勒索软件成为当今企业面临的最严重的网络威胁之一。在本指南中,我们将探讨常见的勒索软件攻击及其防御方法。
如果您担心遭到勒索软件攻击,请立即使用 Veeam 勒索软件防护来保护您的数据。
勒索软件对现代企业来说是一种日益严峻的威胁
在勒索软件攻击泛滥的今天,大多数人都至少已经对勒索软件有了基本的了解,但他们可能不完全理解其运作机制或攻击活动如此猖獗的原因。根据《英国犯罪经济和社会损失》报告,网络犯罪给英国造成的损失高达“数十亿美元”。 到 2031 年,勒索软件攻击给全球造成的损失预计将达到 2,650 亿美元。
虽然一些勒索软件的受害者足够幸运,成功解密了其数据,但事实上许多类型的勒索软件都没有适用的解密工具,这意味着组织必须还原备份才能从攻击中恢复。如果他们没有备份或备份也受到攻击,则可能会遭受惨重的数据和运营时间损失。我们的《2023 年勒索软件趋势报告》重点介绍了勒索软件攻击对一些组织的严重危害。
理解勒索软件防御
勒索软件防御需要多管齐下。首先,实施基本的网络安全最佳实践,采用针对性较强的策略和技术来检测和响应勒索软件攻击,包括正在进行中的攻击。
传统防火墙和杀毒软件可以阻止一些攻击,而且开展有关如何识别网络钓鱼电子邮件、恶意网站和潜在危险可执行文件的全员培训对于防止攻击也大有帮助。然而,现代勒索软件防御工具可能更胜一筹,它们能够监控网络活动和文件系统活动,识别攻击迹象,如异常通信模式或文件访问/加密活动。
网络管理员可应用大量安全和 IT 工具进行勒索软件防御。终端保护、入侵检测系统 (IDS) 和入侵防御系统 (IDS) 能够与基于行为的分析技术相结合,快速发现攻击,从而减轻损害。
每种策略都无法单独保护企业 IT 系统免遭勒索软件的攻击。通过组合使用防御技术、被动扫描和主动防御措施,我们可减小攻击面,并提高任何补救措施成功抵御攻击的可能性。
勒索软件防御的关键组件
有效的勒索软件防御需要采用多管齐下的方法。
网络安全和监控
防火墙和入侵检测系统 (IDS) 是抵御各种攻击的第一道防线,不仅限于勒索软件。防火墙会扫描传入和传出的网络活动,并阻止被其视作未经授权的连接。
未经授权的活动可能是端口扫描,即攻击者尝试随机连接端口,以发现服务器上正在运行的服务。或者,可能是攻击者试图暴力登录服务器,或通过快速连续发送大量请求对服务器发起拒绝服务攻击。
入侵检测系统类似于防火墙,也可以检测恶意活动。然后,这些工具会根据一组预定义的规则采取操作。例如,它们可能会触发其他工具运行或提醒系统管理员,以便他们可以分析问题并手动干预。
勒索软件防御是一场军备竞赛,不可能仅仅依赖于静态规则和恶意软件定义。即使是启发式病毒扫描,也无法保证能够识别所有恶意代码。因此,必须采用实时监控和行为分析来识别系统上活动的变化。采用这种形式的监控会增加发现可疑活动的可能性。
例如,实时监控可发现短时间内访问或更改大量文件的情况。它还能够发现长期未用文件被突然打开的情况。即使事实证明该活动不是勒索软件,它也可能是一些其他安全问题,比如内部威胁。
事件响应和恢复
安全工具只是策略之一。即使部署了复杂的工具,仍存在发生安全漏洞的风险,拥有清晰而有效的事件响应计划对于最大限度地减少攻击造成的破坏至关重要。
勒索软件事件响应计划包括以下几个步骤:
确定受影响的系统。
尽可能断开设备与网络的连接。
必要时关闭受影响的设备。
查看系统日志,以确定攻击是如何发生的。
识别勒索软件,并确定该系统上是否有任何其他恶意软件。
您所遵循的步骤可能会因攻击的性质而有所不同。对于是保持受感染设备的运行状态(攻击得以继续进行),还是关闭系统(但会丢失易失性内存中所存的任何证据),管理员必须权衡利弊。
如果最近的备份可用,并且据知已受到保护/与勒索软件隔离,那么打开受感染的系统但断开任何 Wi-Fi 或 LAN 连接以进行分析可能是合理之举。
数据恢复也只是策略之一。迅速控制攻击以防止其蔓延是最理想的情况。在许多情况下,通过对员工的笔记本电脑进行有针对性的网络钓鱼攻击,勒索软件得以侵入网络,进而渗透到网络硬盘和其他系统,寻找其有权限访问和写入的任何位置。
快速识别攻击意味着恶意软件有更少的时间来传播和感染硬盘。破坏范围可能仅限于用户设备和一些非关键任务的网络共享,具体取决于最初感染的系统以及网络上文件访问权限的配置完备性。
采取系统性遏制和恢复方法
系统管理员应始终谨记,勒索软件有着多变的攻击方式。 一些勒索软件只对文件进行加密;如不支付赎金,其他恶意脚本会在一段设定时间之后删除受害者的数据。还有一些特别危险的勒索软件会扫描文件,寻找有潜在价值的数据,并将这些数据发送给攻击者,然后攻击者会威胁称,如不支付赎金,就泄露这些数据。
此类数据泄露对任何企业都别具破坏力,因此在应对勒索软件攻击时必须谨慎处理。与其匆忙进行数据还原,不如花一些时间对任何受感染的系统进行彻底消毒。根据攻击的严重程度,只擦除或重映像受感染系统的做法可能更高效。
为了降低再次遭遇攻击的风险,请更改您所有系统的密码,并审查您现有的任何防火墙规则、拦截列表和恶意软件检测系统,以确保它们得能及时更新和正常运行。为员工提供有关网络钓鱼和社会工程攻击的培训。
确信恶意软件已完全从网络中删除后,方可开始从备份中还原关键数据。在还原备份之前,务必要扫描备份本身,以确保它们未被感染。如果能迅速发现感染,那么备份不太可能被感染。但如果您经常执行备份,则最近的备份可能被感染,为此您需要还原更早的“冷”备份或“异地”备份。
避免支付赎金
虽然在一些备受瞩目的案例中,勒索软件攻击者将目标瞄准大型组织,并向他们索要巨额赎金,但其实大多数勒索软件攻击者都抱着投机心态。攻击者通常索要较少的金额,从 700 美元到 1,500 美元不等,认为一心只想尽快恢复文件的受害者更有可能支付金额较低的赎金。
最常见的勒索软件赎金支付方式是加密货币,如比特币、莱特币,甚至狗狗币。之所以选择这些代币,是因为它们在主流交易所广泛使用,受害者更容易购买。攻击者还发现,可轻松使用“转币器”洗白非法所得货币的历史,以便日后将这些币种转换成现金。
对于经受不起电脑锁屏的企业主来说,支付赎金可能是一个比较好的选择。然而,在数据恢复和支付赎金之间做出抉择时,您必须认真考虑每种选择的影响。支付赎金后恢复数据的唯一保证是勒索软件开发者能够遵守承诺,但选择这种赚钱方式的人毫无道德可言。此外,即使您恢复了数据,如若不对系统进行消毒,也无法保证剩余恶意软件日后不会通过其他方式再次向您发起攻击。
支付勒索软件赎金的道德问题也值得深思。加密货币经常被用来资助贩毒、洗钱、人口贩运和恐怖主义活动。当您购买加密货币时,您就是在间接地支持此类活动,而支付赎金也是在鼓励网络犯罪。
在世界上的一些国家和地区,支付勒索软件赎金可能是非法行为,因为这可能涉及向受到金融制裁的实体支付款项。并非每个国家和地区都是如此,但我们要注意。如果您是勒索软件攻击的受害者,并且正在考虑支付赎金,请务必在采取行动之前寻求法律建议。
持续改进和学习
如果成为勒索软件攻击的受害者,贵公司可能会感到尴尬。您可能诧异这是怎么发生的,后悔没做些什么来阻止攻击。要知道网络犯罪的受害者中不乏拥有专门 IT 团队和巨额预算的大型组织。试着从攻击事件中汲取教训,并制定新的策略来击败勒索软件。
您可以在不违反保密协议或分享公司数据的情况下,公开探讨攻击事件,并帮助其他人从中汲取教训。分享您的失误所在,并讨论您(和其他人)如何才能更好地保护自己。
您还可以选择运行模拟勒索软件训练,以测试您的就绪程度,并确定可能需要额外培训的领域,或者您的 IDS 或其他系统的有待改进之处。
与其他勒索软件措施的联系
本文聚焦于勒索软件防御,但其他一些相关问题也值得关注:
首先,防止攻击的发生
识别攻击后,响应攻击
在攻击之后恢复数据
综合运用所有这些措施,形成有效的勒索软件防护策略。它们之间有很多重叠部分。良好的勒索软件防御策略可能采用类似的工具来预防勒索软件,并包含快速响应计划。不过,单独制定自己的策略意义重大,可确保您拥有强大的安全和备份系统。
增强贵公司的勒索软件防御
如果贵公司担心勒索软件的潜在影响,则可借此机会审查您的防御策略。
创建全面的策略
审查您现有的网络安全措施,并执行全面的安全审计。考虑运行突发事件模拟,以识别潜在的安全漏洞。
在执行审查之后,起草一份集预防、保护、防御和响应于一体的计划,以涵盖您能想到的每一种可能性。不要盲目地复制他人的计划;务必要根据贵公司的具体需求定制计划。
充分利用技术并加强协作
在勒索软件无所不在的今天,有许多工具可用于监控和检测入侵以及收集威胁情报。不要试图自行创建工具。利用现有的丰富专业知识,与业内其他人士合作。我们可以携手击败勒索软件。
勒索软件是不认人的
勒索软件是一种无法摆脱的投机性威胁。它感染单个家庭用户的概率同感染一家跨国公司的概率相差无几。因此,对于担心数据保护的人来说,积极主动地防御勒索软件至关重要。
通过制定一个集预防、保护、响应和恢复于一体的多方面勒索软件防御策略,我们可构建灵活的网络安全框架,有效应对不断演变的勒索软件攻击威胁环境。
如要详细了解我们可如何帮助保护贵公司的数据,请下载我们的《勒索软件恢复的七大最佳实践》白皮书。
Misha Rangel
Misha Rangel is Global Director of Enterprise Product Marketing at Veeam. Misha has 15+ years experience in Product Marketing and Content Marketing for growth stage companies.
More about author
上一篇博文 下一篇博文
文章内容
勒索软件对现代企业来说是一种日益严峻的威胁
理解勒索软件防御
勒索软件防御的关键组件
网络安全和监控
事件响应和恢复
采取系统性遏制和恢复方法
避免支付赎金
持续改进和学习
与其他勒索软件措施的联系
增强贵公司的勒索软件防御
创建全面的策略
充分利用技术并加强协作
勒索软件是不认人的
文章语言
中文(简体)
English
Deutsch
Français
Italiano
Español
Português (Brasil)
日本語
Similar Blog Posts
Business |
2023年12月5日
使用 Veeam 解决方案实现极致弹性
阅读更多
Business |
2023年5月26日
《2023 年勒索软件趋势报告》新鲜出炉
阅读更多
Technical |
2023年5月4日
如何从勒索软件攻击中快速恢复
阅读更多
Stay up to date on the latest tips and news
订阅即表示您同意 Veeam 根据隐私政策管理您的个人信息
You're all set!
Watch your inbox for our weekly blog updates.
OK
联系我们
1-800-691-1991
9am - 8pm ET
Veeam
关于
加入我们
新闻中心
联系信息
资源和支持
联系 Veeam 销售人员
续约
支持
博客
资源库
技术文档
热门链接
Veeam Data Platform
Veeam Data Cloud
Backup & Replication
Microsoft 365
Salesforce
Kubernetes
订阅即表示您同意接收有关 Veeam 产品和活动的信息,并同意 Veeam 根据隐私声明管理您的个人信息。 您可随时退订邮件通知。
更改语言
关闭
更改语言
本地化网站
English
Deutsch
Français
Italiano
Español (España)
Português (Brasil)
中文(简体)
日本語
资源页面
中文(繁體)
한국어
©2024 Veeam® Software | 隐私声明
| Cookie 声明
| EULA
总结 | 疫情期间疯狂传播的勒索病毒类型及攻击手法汇总 - 知乎
总结 | 疫情期间疯狂传播的勒索病毒类型及攻击手法汇总 - 知乎切换模式写文章登录/注册总结 | 疫情期间疯狂传播的勒索病毒类型及攻击手法汇总信息安全发送者专注实战型网络安全教育服务平台6月8日,美国新冠肺炎疫情又上了微博热搜,确认病例超193万例。然而,虽然新冠疫情仍在继续,但勒索软件组织并没有因为疫情而停止。安仔今天就整理下疫情期间疯涨的勒索病毒类型,还望大家在工作中,认真对待病毒攻击,切勿掉以轻心。2019新型冠状病毒病(COVID-19,即 Corona Virus Disease 2019)全球大流行,让远程工作变得越来越普遍,全球的商业领袖被迫对他们的基础设施进行通宵更改,IT主管和安全运营团队面临巨大的压力。然而,勒索软件组织并没有因为疫情而停止,攻击病毒种类也在持续增长。本篇文章,我们将对最近的勒索软件活动作深入分析。针对复杂且范围广泛的人工勒索软件的协同防御易受攻击且不受监控的联网系统容易被入侵黑客入侵后,可在环境中保持相对休眠状态,直到他们确定了部署勒索软件的适当时机。具有以下弱点的系统易受攻击:无多因素身份验证(MFA)的远程桌面协议(RDP)或虚拟桌面端点使用弱密码的旧系统,例如Windows Server 2003和Windows Server 2008配置错误的系统,Web服务器,包括IIS,电子健康记录(EHR)软件未修补的系统,你需要特别关注:CVE-2017-11882, CVE-2017-0199, CVE-2017-5638, CVE-2012-0158 , CVE-2019-0604, CVE-2017-0143, CVE-2018-4878, CVE-2017-8759, CVE-2015-1641, CVE-2018-7600, CVE-2019-0604, CVE- 2020-0688, CVE-2020-10189攻击者经常使用工具(例如Mimikatz和Cobalt Strike)窃取凭证,横向移动,网络侦察和泄露数据。在这些活动中,黑客可以访问特权较高的管理员凭据,并准备在受到干扰时采取可能更具破坏性的措施。在攻击者部署了勒索软件的网络上,他们故意在某些端点上维护其存在,目的是在支付赎金或重建系统后重新启动恶意活动。其实,几乎所有的黑客组织在攻击过程中都在查看和窃取数据,随后他们可以在暗网中将公司的网络访问凭据出售,再次获利。所以,为了防止你的数据泄露,你需要主动修补/监控联网的系统,并采取缓解措施,以降低攻击风险。各种各样的勒索软件攻击手法分析尽管个别活动和勒索软件系列具有以下各节所述的独特属性,但这些勒索软件活动往往结合了人工投毒攻击,它们通常采用了类似的攻击战术,至于执行的Payload,完全取决于其个人风格。RobbinHood勒索软件RobbinHood勒索软件会利用易受攻击的驱动程序来关闭安全软件,它们通常对暴露资产进行远程桌面爆破。他们最终获得特权凭证,主要是具有共享或通用密码的本地管理员帐户,以及具有域管理员特权的服务帐户。像Ryuk和其他广为宣传的勒索软件组一样,RobbinHood运营商会留下新的本地和Active Directory用户帐户,以便在删除恶意软件和工具后重新获得访问权限。Vatet loader勒索软件攻击者通常会转移基础结构,技术和工具,以避开执法部门或安全研究人员的调查。Vatet是Cobalt Strike框架的自定义加载程序,早在2018年11月就已在勒索软件活动中出现,它是最近活动中浮出水面的工具之一。该工具背后的小组似乎特别针对医院、援助组织、生物制药、医疗设备制造商和其他关键行业。他们是这段时间里最多产的勒索软件运营商之一,已经造成了数十起案件。为了访问目标网络,他们利用CVE-2019-19781,RDP爆破并发送包含启动恶意PowerShell命令的.lnk文件的电子邮件。一旦进入网络,他们就会窃取凭据(包括存储在凭据管理器库中的凭据),并横向移动直到获得域管理员权限。NetWalker勒索软件NetWalker运营商发送大量的COVID-19(2019新型冠状病毒病)信息的钓鱼邮件,来锁定医院和医疗保健商。这些电子邮件包含了恶意.vbs附件。除此之外,他们还使用错误配置的基于IIS的应用程序来启动Mimikatz并窃取凭据,从而破坏了网络,他们随后又使用这些凭据来启动PsExec,并最终部署了NetWalker勒索软件。PonyFinal勒索软件这种基于Java的勒索软件被认为是新颖的,但是活动并不罕见。其经营者入侵了面向互联网的Web系统,并获得了特权凭证。为了建立持久性,他们使用PowerShell命令启动系统工具mshta.exe,并基于常见的PowerShell攻击框架设置反向shell。同时,他们还使用合法的工具来维护远程桌面连接。Maze 勒索软件Maze是首批出售被盗数据的勒索软件,Maze继续以技术提供商和公共服务为目标。Maze有攻击托管服务提供商(MSP)来访问MSP客户数据和网络的记录。Maze通过电子邮件发送,其运营商在使用通用媒介(例如RDP爆破)获得访问权限后,将Maze部署到了网络。一旦进入网络,他们就会窃取凭证,横向移动以访问资源并窃取数据,然后部署勒索软件。窃取凭证获得对域管理员帐户的控制权之后看,勒索软件运营商使用Cobalt Strike,PsExec和大量其他工具来部署各种payload并访问数据。他们使用计划任务和服务建立了无文件持久化吗,这些任务和服务启动了基于PowerShell的远程Shell。他们还使用被盗的域管理员权限打开Windows远程管理以进行持久控制。为了削弱安全控制以准备勒索软件部署,他们通过组策略操纵了各种设置。REvil/Sodinokibi勒索勒索软件REvil(也称为Sodinokibi)可能是第一个利用Pulse VPN中的网络设备漏洞窃取凭据以访问网络的勒索软件。Sodinokibi访问MSP以及访问客户的网络后,盗窃并出售客户的文档和访问权,声名狼藉。在COVID-19(2019新型冠状病毒病)疫情期间,他们继续开展这项活动,以MSP和其他组织(例如地方政府)为目标。REvil在漏洞利用方面与其它组织有所不同,但攻击手法与许多其他组织类似,它们曾经依赖于像Mimikatz这样的凭据盗窃工具和PsExec等工具进行横向移动和侦察。其他勒索软件系列在此次疫情期间,其他人工投毒的勒索软件系列包括:Paradise,曾经直接通过电子邮件分发,但现在用人工投毒勒索软件攻击;RagnarLocker,大量使用被盗的凭据,RDP爆破和Cobalt Strike攻击;MedusaLocker,可能通过现有的Trickbot感染进行部署;LockBit,使用公开的渗透测试工具CrackMapExec进行横向移动;针对主动攻击的即时响应措施我们强烈建议企业立即检查是否有收到与这些勒索软件攻击有关的警报,并优先进行调查和补救。防御者应注意的与这些攻击有关的恶意行为包括:恶意PowerShell,Cobalt Strike和其他渗透测试工具盗窃凭据活动,例如可疑访问lsass.exe系统服务任何篡改安全事件日志,取证工件,例如USNJournal或安全代理的行为如果您的网络受到影响,请立即执行以下范围和调查活动,以了解此安全事件的影响。仅仅使用危害指标:payload可疑文件来确定这些威胁的影响并不是一个持久的解决方案。因为大多数勒索软件活动都为活动使用“一次性”套件,一旦确定了安全软件具有检测能力,便经常更改其工具和系统。调查受影响的端点和凭据 调查受这些攻击影响的端点,并标识这些端点上存在的所有凭据。假定攻击者可以使用这些凭据,并且所有关联帐户都受到了威胁。请注意,攻击者不仅可以转储已登录交互式或RDP会话的帐户的凭据,还可以转储存储在注册表的LSA Secrets部分中的服务帐户和计划任务的缓存的凭据和密码。 检查Windows事件日志中是否存在泄漏后登录,查看审核失败事件,查看事件ID为4624,登录类型为2或10的事件。对于其他任何时间范围,请检查登录类型4或5。隔离被入侵的端点从管理控制台中立即隔离可疑的或已成为横向移动目标的端点,或使用高级搜寻语法查询搜索相关IOC的方法找到这些端点,从已知的受影响的端点寻找横向运动。安全加固你可以使用网络上比较知名的杀毒软件进行漏洞扫描与补丁管理,风险管理来修复端点的漏洞,配置错误等漏洞:设置风险扫描计划,主动评估端点的攻击面,例如:Windows安全基线扫描,配置错误,程序漏洞等配置防火墙策略,阻止未经授权的网络访问通过事件搜寻,查找和解决攻击源检查和重置被恶意软件感染的设备许多勒索软件运营商通过Emotet和Trickbot等恶意软件感染,然后进入目标网络。这些恶意软件家族通常被认为是银行木马,已被用来提供各种payload,包括持久化工件,研究和补救任何已知的感染,并认为它们可能是复杂的人类对手的病媒。在重建受影响的端点或重置密码之前,请确保检查暴露的凭据,其他payload和横向移动。建立安全防护体系,以防御网络免受人工投毒攻击勒索软件运营商仍在不断挖掘新的攻击目标,防御者应使用所有可用工具主动评估风险。您应该继续执行经过验证的预防性解决方案——设置复杂的密码,并定期更改最小特权,保持操作系统和应用程序最新,安装超一流的反病毒软件,保持更新。系统遵循Windows安全基线设置,配置防火墙,执行备份- 来阻止这些攻击,利用监视工具不断改善安全。拦截高级勒索软件阻止漏洞利用:阻止利用autoit.exe, bitsadmin.exe, cscript.exe, java.exe, javaw.exe, miprvse.exe, net.exe, netsh.exe, powershell.exe, powershell_ise.exe, py.exe, python.exe, regedit.exe, regsvr32.exe, rundll32.exe, schtasks.exe, PsExec和 wscript.exe等执行无文件攻击阻止从Windows本地安全授权子系统(lsass.exe)窃取凭据 阻止犯罪软件 自动化分析可疑文件人工投毒勒索软件攻击代表了不同级别的威胁,因为攻击者擅长于系统管理和发现安全配置错误,因此可以以最小路径快速入侵。如果碰壁,他们可以熟练地尝试其它方法突破。总而言之,人工投毒勒索软件攻击是非常复杂的,没有两次攻击是完全相同的。企业需要从端点、网络、云等等多个维度,全方位洞察整个基础架构中的所有网络攻击和可疑活动,实时阻止恶意威胁和流量。在企业的日常网络维护中,可以设置关联传感器并合并警报,以帮助企业确定事件的优先级,从而尽早进行调查和响应,加强自身网络防御功能。发布于 2020-06-09 11:20传染病瘟疫勒索病毒赞同 2添加评论分享喜欢收藏申请