勒索病毒已成為網(wǎng)絡(luò)安全最大威脅之一。從大洋彼岸的美國油管癱瘓,肉類加工告急,州輪渡停擺,再到鄰近的日本富士膠片集團關(guān)閉部分服務(wù),近期頻發(fā)勒索事件,更是凸顯了該威脅的嚴重性,也再次為組織單位敲響警鐘。
那么,哪些單位更容易成為勒索團伙攻擊目標?勒索攻擊如何進行?組織單位該如何防范,避免成為下一個受害者?
勒索病毒攻擊目標
勒索病毒產(chǎn)業(yè)化是大趨勢,產(chǎn)業(yè)化意味著追求商業(yè)效率,低成本高產(chǎn)出,即追求效率和產(chǎn)出。產(chǎn)業(yè)化必然導致魚龍混雜,勒索病毒團隊有的規(guī)模龐大、技術(shù)高超,有的規(guī)模較小、技術(shù)一般(只能攻擊普通行業(yè)用戶)。所有勒索團隊也并非統(tǒng)一原則,其行為方式及原則必然有差異。有的熱衷于攻擊大企業(yè)、大型組織,有的熱衷攻擊普通企業(yè),有部分勒索團隊利益至上,不惜攻擊醫(yī)院等非營利公益機構(gòu),也有拒絕攻擊此類用戶的團隊,比如近期攻擊了美國成品油運輸公司的DarkSide勒索團隊則聲稱不攻擊非營利公益機構(gòu)。
整體來看,勒索團伙有兩種分類方式,一種是按照技術(shù)能力進行分類,一種是按照攻擊原則進行分類;同理,勒索目標也可以兩類,一種是按照企業(yè)/組織規(guī)模,一種是按照行業(yè)類型;攻擊者和勒索目標的對應(yīng)關(guān)系如下:
攻擊者與勒索目標對應(yīng)關(guān)系
從深信服安全云腦統(tǒng)計數(shù)據(jù)來看,2021年上半年,勒索軟件攻擊行業(yè)分布中,教育行業(yè)感染情況較為嚴重(受Wannacry數(shù)據(jù)影響統(tǒng)計,校園網(wǎng)由于大量設(shè)備的漏洞加固薄弱,使得Wannacry感染嚴重),企業(yè)、制造業(yè)、醫(yī)療衛(wèi)生等行業(yè),由于數(shù)據(jù)重要性和較好的經(jīng)濟能力,通常為活躍勒索病毒攻擊的目標。
勒索病毒攻擊鏈解析
知己知彼,方能百戰(zhàn)不殆。想要做好勒索病毒防護首先需要了解勒索病毒攻擊全過程。
一般來說,勒索病毒的攻擊鏈一般分為四大步:邊界突破、病毒投放、加密勒索、橫向傳播。
勒索病毒攻擊鏈
1. 邊界突破
一般攻擊者通過RDP爆破、釣魚郵件、Web漏洞利用、水坑站點等方式實現(xiàn)從外網(wǎng)到內(nèi)網(wǎng)的傳播。其中RDP爆破因其低成本、并且可以直接獲取到主機權(quán)限的優(yōu)勢,是攻擊者主要利用方式。釣魚郵件攻擊則是攻擊者以廣撒網(wǎng)的方式大量傳播垃圾郵件、釣魚郵件,一旦收件人打開郵件附件或者點擊郵件中的鏈接地址,勒索軟件會以用戶看不見的形式在后臺靜默安裝,實施勒索。Web漏洞利用一般是攻擊者利用頁面上的惡意廣告驗證用戶的瀏覽器是否有可利用的漏洞,如果存在,用戶正常訪問頁面時,攻擊者利用漏洞將勒索軟件下載到用戶的主機。
邊界突破是勒索攻擊第一步,也是防護過程中關(guān)鍵的一步,防守方需提前識別內(nèi)網(wǎng)風險,提前進行隱患消除。
2. 病毒投放
成功入侵到內(nèi)網(wǎng)后,攻擊者開始向目標主機下發(fā)提權(quán)程序、勒索加密密鑰等,實現(xiàn)惡意程序安裝與C&C通信。在這個階段,防守方需要加強日常威脅分析手段,從而在病毒投放階段提前檢測出威脅。
3. 加密勒索
攻擊者執(zhí)行加密程序?qū)δ繕酥鳈C的數(shù)據(jù)進行加密,并進行勒索彈窗提示等,新的竊密勒索模式則在數(shù)據(jù)加密前將數(shù)據(jù)上傳到攻擊者服務(wù)器,利用數(shù)據(jù)泄密風險向受害者施壓,從而提高勒索成功率的目的。
4. 橫向傳播
為了擴大戰(zhàn)果范圍,攻擊者往往會利用內(nèi)網(wǎng)系統(tǒng)漏洞或者RDP端口等進行內(nèi)外橫向擴撒,從而實現(xiàn)勒索更多主機的目的。這個過程可能在加密勒索前也可能在加密勒索后進行。
有效預防勒索病毒攻擊,持續(xù)監(jiān)測是重點
第一步,資產(chǎn)管理
安全建設(shè)必須在安全可視的基礎(chǔ)上,任何人都無法保護“未知”事務(wù)的安全性。如果沒有完整的、詳細的資產(chǎn)清單,安全運維人員就無法確保組織的安全。因此,資產(chǎn)管理是安全運營工作的基礎(chǔ)工作,也是后續(xù)安全運營工作能夠順利開展的關(guān)鍵要素。
資產(chǎn)梳理一般借用借助安全工具對用戶資產(chǎn)進行發(fā)現(xiàn)和識別,梳理的信息包含支撐業(yè)務(wù)系統(tǒng)運轉(zhuǎn)的操作系統(tǒng)、數(shù)據(jù)庫、中間件、應(yīng)用系統(tǒng)的版本,類型,IP地址;應(yīng)用開放協(xié)議和端口;應(yīng)用系統(tǒng)管理方式、資產(chǎn)的重要性以及網(wǎng)絡(luò)拓撲等等。
第二步,風險排查
定期排查組織網(wǎng)絡(luò)中的風險項,包括:
系統(tǒng)與Web漏洞排查:對操作系統(tǒng)、數(shù)據(jù)庫、常見應(yīng)用/協(xié)議、Web通用漏洞與常規(guī)漏洞進行漏洞掃描。
弱口令排查: 對信息化資產(chǎn)不同應(yīng)用弱口令猜解檢測,如:SMB、Mssql、Mysql、Oracle、smtp、VNC、ftp、telnet、ssh、mysql、tomcat等。
基線配置核查:檢查支撐信息化業(yè)務(wù)的主機操作系統(tǒng)、數(shù)據(jù)庫、中間件的基線配置情況,確保達到相應(yīng)的安全防護要求。檢查項包含但不限于帳號和口令管理、認證、授權(quán)策略、網(wǎng)絡(luò)與服務(wù)、進程和啟動、文件系統(tǒng)權(quán)限、訪問控制等配置情況。
邊界防御評估:檢查網(wǎng)絡(luò)邊界的安全防御措施是否完善,包括對外暴露面收斂、入侵防御能力、網(wǎng)絡(luò)病毒檢測等。
終端殺毒檢查:檢查辦公終端和重點服務(wù)器是否安裝企業(yè)版防病毒軟件、病毒庫聯(lián)網(wǎng)情況、更新日期,以及針對最新變種病毒是否具備查殺能力等。
第三步,安全加固
根據(jù)勒索風險排查結(jié)果,針對存在的內(nèi)網(wǎng)勒索高危利用漏洞,高危端口開放、核心系統(tǒng)弱密碼等問題,及時進行修復,消除風險隱患。
針對網(wǎng)絡(luò)邊界防御的缺失,通過補齊邊界安全防御設(shè)備,并根據(jù)風險排查結(jié)果及實際受保護業(yè)務(wù)情況,針對性配置防護策略,最大程度發(fā)揮出設(shè)備的安全防護效果,確保在網(wǎng)絡(luò)邊界構(gòu)建起第一道防線,盡可能阻斷病毒突破邊界進入內(nèi)網(wǎng)。
針對終端殺毒能力的短板,通過對辦公終端及服務(wù)器分別安裝企業(yè)級殺毒軟件,啟用聯(lián)網(wǎng)自動更新病毒庫,并開啟變種病毒監(jiān)測查殺功能,確保病毒在主機中運行并加密文件之前,盡可能識別并清除文件,阻止對業(yè)務(wù)造成實質(zhì)性損失。
第四步,持續(xù)監(jiān)測
想要在攻擊者對業(yè)務(wù)系統(tǒng)造成最終損害之前及時制止,那么就必須對業(yè)務(wù)系統(tǒng)進行勒索入侵、感染、傳播行為實時監(jiān)測,及時發(fā)現(xiàn)威脅,提前響應(yīng)。
此外,通過對黑客的活動規(guī)律進行統(tǒng)計,黑客組織往往在防守者較為放松的時候發(fā)動攻擊,如夜間凌晨、節(jié)假日,因此7*24小時持續(xù)監(jiān)測與響應(yīng)已是大勢所趨。
持續(xù)監(jiān)測可結(jié)合資產(chǎn)梳理的結(jié)果,覆蓋高價值資產(chǎn)范圍,并充分利用邊界防御設(shè)備、終端殺毒軟件、網(wǎng)絡(luò)威脅監(jiān)測平臺等安全工具,通過專業(yè)安全分析人員對異常流量、攻擊日志和病毒日志進行深入分析,第一時間發(fā)現(xiàn)內(nèi)網(wǎng)疫情擴散情況,并快速聯(lián)動隔離止損。
第五步,備份管理
當前威脅發(fā)展太快,任何工具都無法提供100%防護。因此,建議提前制定備份及恢復計劃,針對業(yè)務(wù)類型選擇合適的備份,核心數(shù)據(jù)盡量定期做好異地備份、離線備份,若不幸失陷,備份恢復能夠?qū)p失最小化。
數(shù)據(jù)備份方式
第六步,加強員工安全意識
人是安全鏈中最薄弱的一環(huán),很多內(nèi)部風險的起因往往是由于人的安全意識匱乏導致。因此,內(nèi)部安全意識培養(yǎng)十分重要,包括定期進行安全意識的宣傳、制定員工規(guī)范操作計算機規(guī)范操作、制定安全制度考核,激勵員工關(guān)注網(wǎng)絡(luò)安全等等。
以人機共智構(gòu)建勒索病毒免疫力,深信服勒索病毒防護解決方案全新升級,在圍繞勒索病毒攻擊鏈提供完整防護技術(shù)的基礎(chǔ)上,疊加勒索預防與響應(yīng)專項服務(wù),云端安全運營專家圍繞用戶的核心資產(chǎn),基于配套的防勒索安全產(chǎn)品,開展7*24H的勒索預防與響應(yīng),幫助用戶補齊勒索預防、監(jiān)測、處置能力的缺失。
全面排查,有效防御:圍繞邊界防御與主機查殺兩個維度,分別進行勒索攻擊前期的安全加固,并由安全服務(wù)專家基于大量積累的勒索病毒Checklist進行防御有效性驗證與調(diào)優(yōu),協(xié)助用戶全面清除勒索病毒隱患,大幅降低被勒索的概率。
持續(xù)監(jiān)測,全程保護:在全網(wǎng)流量監(jiān)測分析的基礎(chǔ)上, 疊加7*24H的安全托管服務(wù),為用戶構(gòu)建起“人機共智”的勒索病毒監(jiān)測預警體系,圍繞網(wǎng)絡(luò)投毒、感染、加密、擴散全流程進行識別與攔截,全程保障業(yè)務(wù)安全。
快速響應(yīng),高效處置:一旦新型變種病毒在內(nèi)網(wǎng)爆發(fā),安全服務(wù)專家可在5分鐘內(nèi)敏捷響應(yīng),第一時間通過設(shè)備協(xié)同聯(lián)動隔離病毒源,遏制疫情擴散,同時線上線下協(xié)助用戶進一步清除威脅,恢復業(yè)務(wù),全面高效降低業(yè)務(wù)損失。
