勒索病毒已成為網絡安全最大威脅之一。從大洋彼岸的美國油管癱瘓,肉類加工告急,州輪渡停擺,再到鄰近的日本富士膠片集團關閉部分服務,近期頻發勒索事件,更是凸顯了該威脅的嚴重性,也再次為組織單位敲響警鐘。
那么,哪些單位更容易成為勒索團伙攻擊目標?勒索攻擊如何進行?組織單位該如何防范,避免成為下一個受害者?
勒索病毒攻擊目標
勒索病毒產業化是大趨勢,產業化意味著追求商業效率,低成本高產出,即追求效率和產出。產業化必然導致魚龍混雜,勒索病毒團隊有的規模龐大、技術高超,有的規模較小、技術一般(只能攻擊普通行業用戶)。所有勒索團隊也并非統一原則,其行為方式及原則必然有差異。有的熱衷于攻擊大企業、大型組織,有的熱衷攻擊普通企業,有部分勒索團隊利益至上,不惜攻擊醫院等非營利公益機構,也有拒絕攻擊此類用戶的團隊,比如近期攻擊了美國成品油運輸公司的DarkSide勒索團隊則聲稱不攻擊非營利公益機構。
整體來看,勒索團伙有兩種分類方式,一種是按照技術能力進行分類,一種是按照攻擊原則進行分類;同理,勒索目標也可以兩類,一種是按照企業/組織規模,一種是按照行業類型;攻擊者和勒索目標的對應關系如下:
攻擊者與勒索目標對應關系
從深信服安全云腦統計數據來看,2021年上半年,勒索軟件攻擊行業分布中,教育行業感染情況較為嚴重(受Wannacry數據影響統計,校園網由于大量設備的漏洞加固薄弱,使得Wannacry感染嚴重),企業、制造業、醫療衛生等行業,由于數據重要性和較好的經濟能力,通常為活躍勒索病毒攻擊的目標。
勒索病毒攻擊鏈解析
知己知彼,方能百戰不殆。想要做好勒索病毒防護首先需要了解勒索病毒攻擊全過程。
一般來說,勒索病毒的攻擊鏈一般分為四大步:邊界突破、病毒投放、加密勒索、橫向傳播。
勒索病毒攻擊鏈
1. 邊界突破
一般攻擊者通過RDP爆破、釣魚郵件、Web漏洞利用、水坑站點等方式實現從外網到內網的傳播。其中RDP爆破因其低成本、并且可以直接獲取到主機權限的優勢,是攻擊者主要利用方式。釣魚郵件攻擊則是攻擊者以廣撒網的方式大量傳播垃圾郵件、釣魚郵件,一旦收件人打開郵件附件或者點擊郵件中的鏈接地址,勒索軟件會以用戶看不見的形式在后臺靜默安裝,實施勒索。Web漏洞利用一般是攻擊者利用頁面上的惡意廣告驗證用戶的瀏覽器是否有可利用的漏洞,如果存在,用戶正常訪問頁面時,攻擊者利用漏洞將勒索軟件下載到用戶的主機。
邊界突破是勒索攻擊第一步,也是防護過程中關鍵的一步,防守方需提前識別內網風險,提前進行隱患消除。
2. 病毒投放
成功入侵到內網后,攻擊者開始向目標主機下發提權程序、勒索加密密鑰等,實現惡意程序安裝與C&C通信。在這個階段,防守方需要加強日常威脅分析手段,從而在病毒投放階段提前檢測出威脅。
3. 加密勒索
攻擊者執行加密程序對目標主機的數據進行加密,并進行勒索彈窗提示等,新的竊密勒索模式則在數據加密前將數據上傳到攻擊者服務器,利用數據泄密風險向受害者施壓,從而提高勒索成功率的目的。
4. 橫向傳播
為了擴大戰果范圍,攻擊者往往會利用內網系統漏洞或者RDP端口等進行內外橫向擴撒,從而實現勒索更多主機的目的。這個過程可能在加密勒索前也可能在加密勒索后進行。
有效預防勒索病毒攻擊,持續監測是重點
第一步,資產管理
安全建設必須在安全可視的基礎上,任何人都無法保護“未知”事務的安全性。如果沒有完整的、詳細的資產清單,安全運維人員就無法確保組織的安全。因此,資產管理是安全運營工作的基礎工作,也是后續安全運營工作能夠順利開展的關鍵要素。
資產梳理一般借用借助安全工具對用戶資產進行發現和識別,梳理的信息包含支撐業務系統運轉的操作系統、數據庫、中間件、應用系統的版本,類型,IP地址;應用開放協議和端口;應用系統管理方式、資產的重要性以及網絡拓撲等等。
第二步,風險排查
定期排查組織網絡中的風險項,包括:
系統與Web漏洞排查:對操作系統、數據庫、常見應用/協議、Web通用漏洞與常規漏洞進行漏洞掃描。
弱口令排查: 對信息化資產不同應用弱口令猜解檢測,如:SMB、Mssql、Mysql、Oracle、smtp、VNC、ftp、telnet、ssh、mysql、tomcat等。
基線配置核查:檢查支撐信息化業務的主機操作系統、數據庫、中間件的基線配置情況,確保達到相應的安全防護要求。檢查項包含但不限于帳號和口令管理、認證、授權策略、網絡與服務、進程和啟動、文件系統權限、訪問控制等配置情況。
邊界防御評估:檢查網絡邊界的安全防御措施是否完善,包括對外暴露面收斂、入侵防御能力、網絡病毒檢測等。
終端殺毒檢查:檢查辦公終端和重點服務器是否安裝企業版防病毒軟件、病毒庫聯網情況、更新日期,以及針對最新變種病毒是否具備查殺能力等。
第三步,安全加固
根據勒索風險排查結果,針對存在的內網勒索高危利用漏洞,高危端口開放、核心系統弱密碼等問題,及時進行修復,消除風險隱患。
針對網絡邊界防御的缺失,通過補齊邊界安全防御設備,并根據風險排查結果及實際受保護業務情況,針對性配置防護策略,最大程度發揮出設備的安全防護效果,確保在網絡邊界構建起第一道防線,盡可能阻斷病毒突破邊界進入內網。
針對終端殺毒能力的短板,通過對辦公終端及服務器分別安裝企業級殺毒軟件,啟用聯網自動更新病毒庫,并開啟變種病毒監測查殺功能,確保病毒在主機中運行并加密文件之前,盡可能識別并清除文件,阻止對業務造成實質性損失。
第四步,持續監測
想要在攻擊者對業務系統造成最終損害之前及時制止,那么就必須對業務系統進行勒索入侵、感染、傳播行為實時監測,及時發現威脅,提前響應。
此外,通過對黑客的活動規律進行統計,黑客組織往往在防守者較為放松的時候發動攻擊,如夜間凌晨、節假日,因此7*24小時持續監測與響應已是大勢所趨。
持續監測可結合資產梳理的結果,覆蓋高價值資產范圍,并充分利用邊界防御設備、終端殺毒軟件、網絡威脅監測平臺等安全工具,通過專業安全分析人員對異常流量、攻擊日志和病毒日志進行深入分析,第一時間發現內網疫情擴散情況,并快速聯動隔離止損。
第五步,備份管理
當前威脅發展太快,任何工具都無法提供100%防護。因此,建議提前制定備份及恢復計劃,針對業務類型選擇合適的備份,核心數據盡量定期做好異地備份、離線備份,若不幸失陷,備份恢復能夠將損失最小化。
數據備份方式
第六步,加強員工安全意識
人是安全鏈中最薄弱的一環,很多內部風險的起因往往是由于人的安全意識匱乏導致。因此,內部安全意識培養十分重要,包括定期進行安全意識的宣傳、制定員工規范操作計算機規范操作、制定安全制度考核,激勵員工關注網絡安全等等。
以人機共智構建勒索病毒免疫力,深信服勒索病毒防護解決方案全新升級,在圍繞勒索病毒攻擊鏈提供完整防護技術的基礎上,疊加勒索預防與響應專項服務,云端安全運營專家圍繞用戶的核心資產,基于配套的防勒索安全產品,開展7*24H的勒索預防與響應,幫助用戶補齊勒索預防、監測、處置能力的缺失。
全面排查,有效防御:圍繞邊界防御與主機查殺兩個維度,分別進行勒索攻擊前期的安全加固,并由安全服務專家基于大量積累的勒索病毒Checklist進行防御有效性驗證與調優,協助用戶全面清除勒索病毒隱患,大幅降低被勒索的概率。
持續監測,全程保護:在全網流量監測分析的基礎上, 疊加7*24H的安全托管服務,為用戶構建起“人機共智”的勒索病毒監測預警體系,圍繞網絡投毒、感染、加密、擴散全流程進行識別與攔截,全程保障業務安全。
快速響應,高效處置:一旦新型變種病毒在內網爆發,安全服務專家可在5分鐘內敏捷響應,第一時間通過設備協同聯動隔離病毒源,遏制疫情擴散,同時線上線下協助用戶進一步清除威脅,恢復業務,全面高效降低業務損失。
