勒索病毒已成为网络安全最大威胁之一。从大洋彼岸的美国油管瘫痪,肉类加工告急,州轮渡停摆,再到邻近的日本富士胶片集团关闭部分服务,近期频发勒索事件,更是凸显了该威胁的严重性,也再次为组织单位敲响警钟。
那么,哪些单位更容易成为勒索团伙攻击目标?勒索攻击如何进行?组织单位该如何防范,避免成为下一个受害者?
勒索病毒攻击目标
勒索病毒产业化是大趋势,产业化意味着追求商业效率,低成本高产出,即追求效率和产出。产业化必然导致鱼龙混杂,勒索病毒团队有的规模庞大、技术高超,有的规模较小、技术一般(只能攻击普通行业用户)。所有勒索团队也并非统一原则,其行为方式及原则必然有差异。有的热衷于攻击大企业、大型组织,有的热衷攻击普通企业,有部分勒索团队利益至上,医院等非营利公益机构,也有拒绝攻击此类用户的团队,比如近期攻击了美国成品油运输公司的DarkSide勒索团队则声称不攻击非营利公益机构。
整体来看,勒索团伙有两种分类方式,一种是按照技术能力进行分类,一种是按照攻击原则进行分类;同理,勒索目标也可以两类,一种是按照企业/组织规模,一种是按照行业类型;攻击者和勒索目标的对应关系如下:
攻击者与勒索目标对应关系
从深信服安全云脑统计数据来看,年上半年,勒索软件攻击行业分布中,教育行业感染情况较为严重(受Wannacry数据影响统计,校园网由于大量设备的漏洞加固薄弱,使得Wannacry感染严重),企业、制造业、医疗卫生等行业,由于数据重要性和较好的经济能力,通常为活跃勒索病毒攻击的目标。
勒索病毒攻击链解析
知己知彼,方能百战不殆。想要做好勒索病毒防护首先需要了解勒索病毒攻击全过程。
一般来说,勒索病毒的攻击链一般分为四大步:边界突破、病毒投放、加密勒索、横向传播。
勒索病毒攻击链
1.边界突破
一般攻击者通过RDP爆破、钓鱼邮件、Web漏洞利用、水坑站点等方式实现从外网到内网的传播。其中RDP爆破因其低成本、并且可以直接获取到主机权限的优势,是攻击者主要利用方式。钓鱼邮件攻击则是攻击者以广撒网的方式大量传播垃圾邮件、钓鱼邮件,一旦收件人打开邮件附件或者点击邮件中的链接地址,勒索软件会以用户看不见的形式在后台静默安装,实施勒索。Web漏洞利用一般是攻击者利用页面上的恶意广告验证用户的浏览器是否有可利用的漏洞,如果存在,用户正常访问页面时,攻击者利用漏洞将勒索软件下载到用户的主机。
边界突破是勒索攻击第一步,也是防护过程中关键的一步,防守方需提前识别内网风险,提前进行隐患消除。
2.病毒投放
成功入侵到内网后,攻击者开始向目标主机下发提权程序、勒索加密密钥等,实现恶意程序安装与CC通信。在这个阶段,防守方需要加强日常威胁分析手段,从而在病毒投放阶段提前检测出威胁。
3.加密勒索
攻击者执行加密程序对目标主机的数据进行加密,并进行勒索弹窗提示等,新的窃密勒索模式则在数据加密前将数据上传到攻击者服务器,利用数据泄密风险向受害者施压,从而提高勒索成功率的目的。
4.横向传播
为了扩大战果范围,攻击者往往会利用内网系统漏洞或者RDP端口等进行内外横向扩撒,从而实现勒索更多主机的目的。这个过程可能在加密勒索前也可能在加密勒索后进行。
有效预防勒索病毒攻击,持续监测是重点
第一步,资产管理
安全建设必须在安全可视的基础上,任何人都无法保护“未知”事务的安全性。如果没有完整的、详细的资产清单,安全运维人员就无法确保组织的安全。因此,资产管理是安全运营工作的基础工作,也是后续安全运营工作能够顺利开展的关键要素。
资产梳理一般借用借助安全工具对用户资产进行发现和识别,梳理的信息包含支撑业务系统运转的操作系统、数据库、中间件、应用系统的版本,类型,IP地址;应用开放协议和端口;应用系统管理方式、资产的重要性以及网络拓扑等等。
第二步,风险排查
定期排查组织网络中的风险项,包括:
系统与Web漏洞排查:对操作系统、数据库、常见应用/协议、Web通用漏洞与常规漏洞进行漏洞扫描。
弱口令排查:对信息化资产不同应用弱口令猜解检测,如:SMB、Mssql、Mysql、Oracle、smtp、VNC、ftp、telnet、ssh、mysql、tomcat等。
基线配置核查:检查支撑信息化业务的主机操作系统、数据库、中间件的基线配置情况,确保达到相应的安全防护要求。检查项包含但不限于帐号和口令管理、认证、授权策略、网络与服务、进程和启动、文件系统权限、访问控制等配置情况。
边界防御评估:检查网络边界的安全防御措施是否完善,包括对外暴露面收敛、入侵防御能力、网络病毒检测等。
终端杀毒检查:检查办公终端和重点服务器是否安装企业版防病毒软件、病毒库联网情况、更新日期,以及针对最新变种病毒是否具备查杀能力等。
第三步,安全加固
根据勒索风险排查结果,针对存在的内网勒索高危利用漏洞,高危端口开放、核心系统弱密码等问题,及时进行修复,消除风险隐患。
针对网络边界防御的缺失,通过补齐边界安全防御设备,并根据风险排查结果及实际受保护业务情况,针对性配置防护策略,最大程度发挥出设备的安全防护效果,确保在网络边界构建起第一道防线,尽可能阻断病毒突破边界进入内网。
针对终端杀毒能力的短板,通过对办公终端及服务器分别安装企业级杀毒软件,启用联网自动更新病毒库,并开启变种病毒监测查杀功能,确保病毒在主机中运行并加密文件之前,尽可能识别并清除文件,阻止对业务造成实质性损失。
第四步,持续监测
想要在攻击者对业务系统造成最终损害之前及时制止,那么就必须对业务系统进行勒索入侵、感染、传播行为实时监测,及时发现威胁,提前响应。
此外,通过对黑客的活动规律进行统计,黑客组织往往在防守者较为放松的时候发动攻击,如夜间凌晨、节假日,因此7*24小时持续监测与响应已是大势所趋。
持续监测可结合资产梳理的结果,覆盖高价值资产范围,并充分利用边界防御设备、终端杀毒软件、网络威胁监测平台等安全工具,通过专业安全分析人员对异常流量、攻击日志和病毒日志进行深入分析,第一时间发现内网疫情扩散情况,并快速联动隔离止损。
第五步,备份管理
当前威胁发展太快,任何工具都无法提供%防护。因此,建议提前制定备份及恢复计划,针对业务类型选择合适的备份,核心数据尽量定期做好异地备份、离线备份,若不幸失陷,备份恢复能够将损失最小化。
数据备份方式
第六步,加强员工安全意识
人是安全链中最薄弱的一环,很多内部风险的起因往往是由于人的安全意识匮乏导致。因此,内部安全意识培养十分重要,包括定期进行安全意识的宣传、制定员工规范操作计算机规范操作、制定安全制度考核,激励员工