2021年5月9日,美国政府宣布美国17个州和华盛顿特区进入紧急状态,原因是美国最大的输油管道——运送约45%东海岸成品油燃料的管道colonial pipeline由于勒索软件攻击而在周末全线关闭。这是美国能源基础设施遭受的最为严重、影响面最广的攻击之一,也是截至目前美国石油管道遭遇的第二起大型国际网络安全威胁事件。
据知情人士透露,该攻击由darkside勒索软件团伙发起,该组织在两个小时内就从燃油管道公司网络中窃取了近100 gb数据。时至今日,大家对于勒索软件攻击早已不感到陌生。仅在过去一年,全球勒索软件攻击次数就增长150%以上,能源行业因此也遭受了较大打击。
美国管道袭击事件,再次引发对网络安全的探讨,互联网服务的普及,给工作和生活带来便利的同时也不可避免的增加了个人资料和个人隐私泄密的风险。不断频发的勒索软件攻击,是时候给基础架构安全补课了!
什么是勒索病毒?
勒索病毒是黑客围绕锁屏、加密文件、转移数据等操作手法劫持用户数据,并以此敲诈用户使其支付赎金的恶意软件的统称。
勒索病毒对源文件破坏的方式有三种:
一是加密文件直接覆盖源文件;
二是将数据加密后删除原文件;
三是对原来文件重命名防止数据被恢复。
另外,被加密文件的算法多采用非对称加密算法或者对称与非对称混合加密。这导致被勒索数据在没有备份的情况下,恢复和解密都很难。
其次,勒索病毒的变种类型非常之多,而且类型变化也很快,因此常规的杀毒软件很难发现,从近期的数据来看,比较常见的攻击样本有exe、js、vbe以及wsf等类型。
往常常规的传播手段分多为以下6个方向:弱口令攻击、u盘蠕虫、软件供应链攻击、系统/软件漏洞、无文件攻击、等形式。但,近两年我们看到rdp 爆破、邮件钓鱼等手段的使用率在逐年增加。
勒索病毒攻击对象一般分为两种,一部分是针对企业用户,另部分是针对所有用户(不区分个人和企业)。由于个人用户索取利益有限,近两年针对企业的勒索攻击呈上升趋势。
据相关报告披露:上半年勒索病毒的主要特征表现为针对企业定向攻击、以rdp爆破为主、利用漏洞进行攻击 、攻击工具服务化。
从攻击过程看一般为:入侵——扩散——盗窃——勒索四个步骤。
第一步:入侵
惯用手法:rdp爆破、sql弱口令爆破,网络钓鱼,恶意电子邮件(包括垃圾邮件广撒网与精准定向投放)及恶意附件投递(包括office漏洞、flash漏洞、pdf阅读器漏洞等),高危漏洞利用,无文件攻击等。也有部分勒索黑客会利用僵尸网络控制的肉鸡渠道分发。
第二步:扩散
勒索黑客入侵某一台主机之后,往往并不立即运行勒索病毒,而是尽可能的利用各种攻击手法在目标网络横向扩散以增加受控主机数量。勒索黑客在此阶段会通过下载各种攻击工具包,包括流行漏洞利用工具、密码提取工具、远程控制木马或后门、下载密码字典继续使用爆破入侵等等。
第三步:盗窃攻击者会遍历已攻陷主机数据,筛选最有价值的攻击对象,窃取受控主机数据。
第四步:勒索
下载一种或多种勒索病毒运行,瘫痪目标网络,留下勒索信件,在暗网渠道发布失陷企业数据,实施勒索。
勒索病毒防护
勒索病毒一般需要连接到黑客的c&c服务器来进行本地信息的上传和加密,因此建议用户及时做好漏洞修复、采用高强度密码、定期备份重要资料、关闭不必要的网络端口和不必要的文件共享、访问权限控制、安装专业杀毒软件并及时更新等基础工作,这样可以极大地降低我们的计算机被植入勒索病毒的风险。
以上为简单的勒索病毒防护手段,以下从安全管理、系统安全防护、办公数据防护三个层面详细说明一些常用的勒索病毒预防措施。
加强安全管理
加强安全意识工作,定期进行安全培训,日常安全管理可参考“三不三要”思路:
不上钩:标题吸引人的未知邮件不要点开
不打开:不随便打开电子邮件附件
不点击:不随意点击电子邮件中附带网址
要备份:重要资料要备份
要确认:开启电子邮件前确认发件人可信
要更新:系统补丁/安全软件病毒库保持实时更新