勒索病毒防护整体解决方案
一、勒索病毒简介与发展史
1、勒索病毒简介
2、勒索病毒发展史
二、勒索病毒分析
1、勒索病毒爆发原因
2、勒索病毒传播方式
三、勒索病毒趋势分析
四、勒索病毒解决方案
1、勒索病毒入侵行为分析
2、结合勒索病毒行为特征的针对性防护思路
五、方案价值
一、勒索病毒简介与发展史
1、勒索病毒简介
勒索病毒是黑客通过锁屏、加密等方式劫持用户设备或文件,并以此敲诈用户钱财的恶意软件。黑客利用系统漏洞或通过网络钓鱼等方式,向受害电脑或服务器植入病毒,加密硬盘上的文档乃至整个硬盘,然后向受害者索要数额不等的赎金后才予以解密,如果用户未在指定时间缴纳黑客要求的金额,被锁文件将无法恢复。
2、勒索病毒发展史
勒索病毒第一阶段:不加密数据,提供赎金解锁设备
2008年以前,勒索病毒通常不加密用户数据,只锁住用户设备,阻止用户访问,需提供赎金才能解锁。期间以LockScreen 家族占主导地位。由于它不加密用户数据,所以只要清除病毒就不会给用户造成任何损失。由于这种病毒带来的危害都能被很好地解决,所以该类型的勒索软件只是昙花一现,很快便消失了。
勒索病毒第二阶段:加密数据,提供赎金解锁文件
2013年,以加密用户数据为手段勒索赎金的勒索软件逐渐出现,由于这类勒索软件采用了一些高强度的对称和非对称的加密算法对用户文件加密,在无法获取私钥的情况下要对文件进行解密,以目前的计算水平几乎是不可能完成的事情。正是因为这一点,该类型的勒索软件能够带来很大利润,各种家族如雨后春笋般出现,比较著名的有CTB-Locker、TeslaCrypt、Cerber等。
勒索病毒第三阶段:蠕虫化传播,攻击网络中其它机器
2017年,勒索病毒已经不仅仅满足于只加密单台设备,而是通过漏洞或弱口令等方式攻击网络中的其它机器, WannaCry就属于此类勒索软件,短时间内造成全球大量计算机被加密,其影响延续至今。另一个典型代表Satan勒索病毒,该病毒不仅使用了永恒之蓝漏洞传播,还内置了多种web漏洞的攻击功能,相比传统的勒索病毒传播速度更快。虽然已经被解密,但是此病毒利用的传播手法却非常危险。
二、勒索病毒分析
1、勒索病毒爆发原因
1.1.加密手段复杂,解密成本高
勒索软件都采用成熟的密码学算法,使用高强度的对称和非对称加密算法对文件进行加密。除非在实现上有漏洞或密钥泄密,不然在没有私钥的情况下几乎没有可能解密。当受害者数据非常重要又没有备份的情况下,除了支付赎金没有什么别的方法去恢复数据,正是因为这点勒索者能源源不断的获取高额收益,推动了勒索软件的爆发增长。
互联网上也流传有一些被勒索软件加密后的修复软件,但这些都是利用了勒索软件实现上的漏洞或私钥泄露才能够完成的。如Petya和Cryptxxx家族恢复工具利用了开发者软件实现上的漏洞,TeslaCrypt和CoinVault家族数据恢复工具是利用了key的泄露来实现的。
1.2.使用电子货币支付赎金,变现快追踪难
几乎所有勒索软件支付赎金的手段都是采用比特币来进行的。比特币因为他的一些特点:匿名、变现快、追踪困难,再加上比特币名气大,大众比较熟知,支付起来困难不是很大而被攻击者大量使用。可以说比特币很好的帮助了勒索软件解决赎金的问题,进一步推动了勒索软件的繁荣发展。
1.3.Ransomware-as-a-server(勒索服务化)的出现
勒索软件服务化,开发者提供整套勒索软件解决方案,从勒索软件的开发、传播到赎金收取都提供完整的服务。攻击者不需要任何知识,只要支付少量的租金就可以开展勒索软件的非法勾当,这大大降低了勒索软件的门槛,推动了勒索软件大规模爆发。
2、勒索病毒传播方式
2.1.针对个人用户常见的攻击方式
通过用户浏览网页下载勒索病毒,攻击者将病毒伪装为盗版软件、外挂软件、色情播放器等,诱导受害者下载运行病毒,运行后加密受害者机器。此外勒索病毒也会通过钓鱼邮件和系统漏洞进行传播。针对个人用户的攻击流程如下图所示:
2.2.针对企业用户常见的攻击方式
勒索病毒针对企业用户常见的攻击方式包括系统漏洞攻击、远程访问弱口令攻击、钓鱼邮件攻击、web服务漏洞和弱口令攻击、数据库漏洞和弱口令攻击等。其中,钓鱼邮件攻击包括通过漏洞下载运行病毒、通过office机制下载运行病毒、伪装office、PDF图标的exe程序等。
1)系统漏洞攻击
系统漏洞是指操作系统在逻辑设计上的缺陷或错误,不法者通过网络植入木马、病毒等方式来攻击或控制整个电脑,窃取电脑中的重要资料和信息,甚至破坏系统。同个人用户一样,企业用户也会受到系统漏洞攻击,由于企业局域网中机器众多,更新补丁费时费力,有时还需要中断业务,因此企业用户不太及时更新补丁,给系统造成严重的威胁,攻击者可以通过漏洞植入病毒,并迅速传播。席卷全球的Wannacry勒索病毒就是利用了永恒之蓝漏洞在网络中迅速传播。
攻击者利用系统漏洞主要有以下两种方式,一种是通过系统漏洞扫描互联网中的机器,发送漏洞攻击数据包,入侵机器植入后门,然后上传运行勒索病毒。
另外一种是通过钓鱼邮件、弱口令等其他方式,入侵连接了互联网的一台机器,然后再利用漏洞局域网横向传播。大部分企业的网络无法做到绝对的隔离,一台连接了外网的机器被入侵,内网中存在漏洞的机器也将受到影响。
网上有大量的漏洞攻击工具,尤其是武器级别的NSA方程式组织工具的泄露,给网络安全造成了巨大的影响,被广泛用于传播勒索病毒、挖矿病毒、木马等。有攻击者将这些工具,封装为图形化一键自动攻击工具,进一步降低了攻击的门槛。
2)远程访问弱口令攻击
由于企业机器很多需要远程维护,所以很多机器都开启了远程访问功能。如果密码过于简单,就会给攻击者可乘之机。很多用户存在侥幸心理,总觉得网络上的机器这么多,自己被攻击的概率很低,然而事实上,在全世界范围内,成千上万的攻击者不停的使用工具扫描网络中存在弱口令的机器。有的机由于存在弱口令,被不同的攻击者攻击,植入了多种病毒。这个病毒还没删除,又中了新病毒,导致机器卡顿,文件被加密。
3)钓鱼邮件攻击
企业用户也会受到钓鱼邮件攻击,相对个人用户,由于企业用户使用邮件频率较高,业务需要不得不打开很多邮件,而一旦打开的附件中含有病毒,就会导致企业整个网络遭受攻击。钓鱼邮件攻击逻辑图:
三、勒索病毒趋势分析
1.利用漏洞和弱口令植入勒索增多
传统的勒索病毒,一般通过垃圾邮件、钓鱼邮件、水坑网站等方式传播,受害者需要下载运行勒索病毒才会中毒。而通过漏洞和弱口令扫描互联网中的计算机,直接植入病毒并运行,效率要高很多。GandCrab、Crysis、GlobeImposter等勒索病毒主要就是通过弱口令传播,GandCrab内部虽然不含漏洞攻击的部分,但是有证据表明攻击者已经开始使用web漏洞植入此病毒,而Satan更是凶狠,不仅使用永恒之蓝漏洞攻击,还包含了web漏洞和数据库漏洞,包括CVE-2017-10271 WebLogic WLS组件漏洞、CVE-2017-12149 JBOOS 反序列化漏洞、tomcat弱口令等,从而增加攻击成功的概率。因此防御勒索病毒也从传统的不下载可疑文件、不打开可疑附件,过渡到及时安装系统和web服务的补丁,不使用弱口令密码。
2.攻击者入侵后人工投毒增多
攻击者通过弱口令或者漏洞,入侵一台可以访问互联网的计算机后,远程操作这台机器,攻击局域网中的其它机器,这些机器虽然没有连接互联网,但是和被攻击的机器相连,因此攻击者可以通过这台机器攻击局域网的其它机器。所以内外网隔离非常重要,否则再坚固的堡垒,一旦从内部遭受到攻击,就会损失惨重。
攻击者一旦远程登陆一台机器,就会通过工具手工关闭杀软,植入并运行勒索病毒,并继续扫描攻击局域网中的其它机器。此外由于局域网中大量机器使用弱口令和相同密码,给攻击者提供了便利,因此及时更新补丁非常重要。
3.勒索病毒持续更新迭代对抗查杀
GandCrab勒索(后缀GDCB、CRAB、GRAB、KRAB)、Satan勒索(后缀Satan、dbger、sicck)、Crysis勒索(后缀arena、bip)、GlobeImposter勒索(后缀reserver、Dragon444)等勒索持续更新,每隔一段时间就会出现一个新变种,有的修改加密算法,增加了加密速度,有的为了对抗查杀,做了免杀、反调试、反沙箱,并且后缀也会随之改变。此外有的勒索病毒新版本开始使用随机后缀,从而增加受害者查找所中勒索类型的难度,迫使受害者只能联系攻击者留下的邮箱来进行解密。
4.针对有价值目标发起定向攻击逐渐增多
相对于广撒网方式,定向攻击植入勒索病毒的事件逐渐增多。攻击者一般会选择更有勒索价值的目标进行定向攻击,包括医院、学校、防护不足的中小企业等,这些企业通常防护不足,数据非常重要,如学生数据、患者医疗数据、公司业务文件等,一旦此类资料被加密,受害者支付赎金的可能性就会更高,所以攻击者会有针对性的定向攻击此类企业。
5.勒索病毒开发门槛进一步降低
一方面由于各种编程语言脚本都可以被用来编写勒索软件,大大降低了勒索软件的开发门槛,有不少刚接触计算机的未成年人也开始制作勒索软件。从近期捕获的勒索病毒样本来看,有使用python编写勒索软件,伪装为office文档图标的。有使用Autoit脚本编写勒索软件,伪装为windows更新程序的。还有使用易语言编写勒索软件,通过设置开机密码,或者锁定MBR来勒索的。知名的勒索病毒有PyCrypt勒索、hc勒索、Halloware勒索、Xiaoba勒索等。
另一方面暗网和黑市上存在不少勒索病毒生成器,攻击者输入自己的邮箱和勒索信息,一键生成勒索软件等业务,使不少盗号、DDOS、诈骗等其它犯罪领域的攻击者,也投入到勒索领域,加剧了勒索病毒的泛滥。
6.勒索软件在世界范围内造成的损失逐渐增大
很多公司为了及时恢复数据,平时就会存储一定量的比特币等虚拟货币,以防被勒索时支付赎金。但是更多的情况是,即使支付赎金,对业务也已经造成了非常大的损失。永恒之蓝WannaCry,攻击世界最大的芯片代工厂“台积电”,导致台积电停工三天,损失十几亿元人民币。Petya勒索病毒造成全球最大的集装箱航运公司马士基损失数亿美元、全球最大语音识别公司Nuance 损失超过9,000万美元,此外受到该勒索病毒攻击的还有乌克兰中央银行、俄罗斯石油巨头 Rosneft、广告企业 WPP、律师事务所 DLA Piper等。以上数据还仅仅是冰山一角,还有很多不知名的公司和个人,由于遭受勒索病毒攻击,造成大量的经济损失,重要资料丢失。
四、勒索病毒解决方案
1、勒索病毒入侵行为分析
Ø 探测扫描:在攻击前期,黑客会对用户的互联网出口及对外业务发起踩点扫描,寻求防护漏洞,以利用发起攻击;
Ø 入侵突破:黑客发现可利用漏洞或风险后,发起针对性利用攻击,突破边界防护,并侵入主机终端,上传勒索病毒;
Ø C&C通信:勒索病毒一般都存在远程控制端,病毒需要与控制端进行远程通信,实现黑客远程控制的目的;
Ø 加密勒索:在拿到大量资产后,勒索病毒会集中式全面爆发,对系统目录所有文件进行快速加密,开始勒索。
2、结合勒索病毒行为特征的针对性防护思路
Ø 预防:在攻击发生前,需要整体梳理实时定位内网风险,对风险进行针对解决,如风险端口、漏洞、授权、备份等;
Ø 防御:对扫描、风险利用攻击、病毒、暴力破解等多种非法攻击手段进行全面防护,阻止病毒进入内网;
Ø 检测:结合沙箱、人工智能病毒查杀引擎、流量行为分析等方式对.上传文件、异常通信、文件非 法操作行为进行检测;
Ø 响应:一体化响应模型,在各个流程一旦发现勒索病毒,能智能化的自动进行如告警、隔离、查杀等响应动作;
Ø恢复:建立完善的数据备份恢复机制,采用增量备份的方式,可恢复至病毒爆发前一周任意时间点的数据。
网络边界安全防护:使用下一代防火墙(AF),构建边界L2一7的完整防御体系,提供各类漏洞检测与防护,风险端口检测、恶意软件的过滤,僵尸网络和DDOS攻击检测,为用户网络 边界提供全面的安全防护。
终端的安全防护:终端检测响应平台(EDR),可提供终端的病毒查杀、入侵防御、漏洞 管理、快速响应等多种防护功能,平台集成基因检测、沙箱检测、机器学习与预测等多种新型检测引擎,实现勒索病毒的高检出和准确率。
相比传统杀毒引擎,SAVE引擎采用了人工智能无特征技术,对不在病毒库里的未知病毒或变种,也能有效地鉴定。
创新微隔离技术,有效应对高级威胁快速传播,将病毒遏制在指定范围之内,使信息系统环境可控性大大提高。
全网安全运营:安全态势感知平台采用大数据分析架构,通过采集全网安全流量、设备安全日志融合联动分析,结合人工智能、机器学习、UEBA分析技术,对全网安全态势集中分析 展示,辅助用户定位安全风险、安全事件、失陷主机及反向溯源,构建集团和分支单位全网安全运营中心,让勒索病毒无处遁形。
安全感知平台定位为客户的安全大脑,是一个检测、预警、响应处置的大数据安全分析平台。其以全流量分析为核心,结合威胁情报、行为分析建模、UEBA、失陷主机检测、图关联分析、机器学习、大数据关联分析、可视化等技术,对全网流量实现全网业务可视化、威胁可视化、攻击与可疑流量可视化等,帮助客户在高级威胁入侵之后,损失发生之前及时发现威胁。
联动响应防护体系:态势感知除了采集全网流量日志做集中运营分析,在发现问题后,还可智能联动如防火墙、行为管理、EDR等安全设备进行自动化安全事件处置及阻断、隔离等, 真正实现安全智能免疫体系。
终端诱饵与全网肃杀: EDR针对勒索病毒,特意开发了针对性的解决功能,通过在内网资 产操作系统的文件目录中插入诱饵文件,捕获勒索病毒加密行为,一旦发现诱饵文件被加密,立即终止所有文件操作,反向定位勒索病毒,并进行全网针对性查杀,是勒索病毒防护的最后 一道防护屏障,可保障业务系统数据不被加密。
CDP持续数据保护:全面支持主流操作系统、数据库级应用系统,可提供文件、数据库、操作系统、虚拟机、卷等数据备份与应用容灾,提供数据零丢失(RPO等于0),True CDP能够持续监控并记录所有生产业务数据变化,确保病毒发生时数据零丢失,同时可以实现任意时间点数据回退,从而能够有效应对软件故障、病毒入侵(列如WannaCry勒索病毒)、认为操作(误操作、恶意破坏)等逻辑故障。
快速回退到中勒索病毒前一秒状态告别勒索风险
五、方案价值
(一)全面封锁勒索病毒、黑客攻击的传播渠道、系统漏洞。
(二)能能够检测出病毒和黑客攻击全过程,形成全攻击链检出能力。
(三)可发现ATP攻击行为、勒索软件行为、僵尸网络等异常的网络行为。
(四)构建“边界+流量+端点+CDP”的立体联动防护与恢复能力,提升响应速度与风险应对能力。
(五)可检测自助终端的安全合规态势,并可以对仿冒接入等异常行为和APT攻击等恶意行为进行预警和控制,从原来的被动防御转为主动防御
(六)等保合规,符合国家对等保建设的需求。
(七)确保重要数据在被加密锁定的情况下最大限度的恢复受攻击前1秒状态。