网络安全小黑板,再叙勒索威胁防与治
时间 : 2022年09月03日 来源: 安天CERT
1.概述
近年,不断增加的安全漏洞、新的高级持续性威胁(APT)行为体和新的勒索软件(Ransomware)家族,正在推动勒索软件的持续流行和提高勒索软件的盈利能力。勒索软件仍是全球网络安全最大威胁。快速漏洞武器化是勒索软件攻击的趋势,一旦公布新漏洞,攻击者和防御者将展开一场博弈,是攻击者先利用漏洞,亦或是防御者修补漏洞,通常攻击者获胜,修补漏洞时的每一分钟延迟,都将成为攻击者的机会窗口,攻击者将不遗余力且快速地编写利用代码。回看2021年3月的微软Exchange漏洞和11月份的Log4J漏洞,就可以了解到从易受攻击的代码转向有效利用的速度,攻击者在几个小时内就可以迅速“武器化”漏洞用以攻击目标系统。在持续不断的新冠大流行、不断暴露的脆弱远程办公终端、各种新家族勒索软件入局,以及其他新技术应用等形势下,勒索软件运营商尝试的攻击入口更宽,这些变化将伴随着一系列严重的、广泛存在的漏洞和大规模的供应链攻击,使更多政企面临勒索软件攻击的风险。
勒索软件属于木马家族的一员,早在1989年便已出现,近几年,众多勒索软件家族及其背后的攻击组织在全球范围内持续活跃,勒索软件攻击事件频发。随着网络技术的不断发展,勒索软件攻击者也在不断丰富其攻击手段和勒索方式,对个人、社会乃至国家关键信息基础设施造成严重影响。
为加强勒索软件攻击防范,在工业和信息化部网络安全管理局指导下,中国信息通信研究院联合多家单位共同编制勒索软件相关防护手册。安天持续的威胁分析研判工作也让安天全线产品在对抗勒索威胁中获得主动权。虽然勒索软件攻击活动越来越多,攻击形式越来越多样化,甚至一些网络犯罪组织所发动的定向勒索攻击能力已达到“APT”水准,但是个人和政企用户仍可以通过提高防范意识、做好基础防护,构建安全防护体系来应对,安天全线产品可以有效支撑构筑用户防御阵地。
2.勒索软件威胁小百科
2.1 勒索与传播
勒索软件属于木马家族的一员,近些年发现的勒索软件通常会采用绑架用户文件的方式,对用户的文档、邮件、数据库、源代码、图片、压缩包等多种文件进行加密,使用户数据资产或计算资源无法正常使用,并以此为条件向用户勒索钱财。赎金形式包括真实货币、比特币或其它虚拟货币。一般来说,勒索软件作者还会设定一个支付时限,如果感染者在勒索软件作者指定的时间内没有交付赎金,那么赎金数目也会随着时间的推移而上涨。有时,即使用户支付了赎金,最终也还是无法正常使用系统,无法还原被加密的文件。
图1 勒索软件主要传播手段
勒索软件是黑客用来劫持用户资产或实施资源勒索的一种恶意程序。主要的传播方式包括钓鱼邮件传播、网页挂马传播、漏洞传播、远程登录入侵传播、供应链传播和移动介质传播等。由于企业数字化建设加快进程,对IT和运营系统的依赖日益增加,网络犯罪的收益也不断上涨,并且攻击者可以采取更加先进的网络犯罪策略。
2.2 勒索软件能解密吗?
勒索软件通常使用对称加密算法和非对称加密算法相结合的方式加密数据,绝大部分勒索软件先使用对称加密算法加密受害者的数据,之后使用非对称加密算法加密对称加密算法的密钥,非对称加密算法的私钥只有攻击者拥有,如要暴力破解非对称加密算法,理论上需要上百年。所以,在勒索软件没有绝对缺陷的情况下,通常不存在恢复数据的可能。
2.3 警惕第三方“解密服务”骗局
在勒索软件层出不穷的近几年中,各类机构、行业乃至政府部门都遭受过攻击,与此同时也涌现出了为数不少的第三方“解密服务”。这些“解密服务”收费免费均有,他们可能会私下以低于赎金的价格从攻击者那里获得了解密工具,实质上是从中赚取差价。但更多的情况是,对其受害者进行诈骗,这些所谓的第三方“解密服务”不但恢复不了数据,还会要求受害者付费才能提供“解密服务”,当受害者付费后,这些所谓的第三方“解密服务”人员就会将受害者拉黑,敛财跑路。文件被勒索加密后,花钱找第三方摆平,多数为不靠谱服务。应在专业的指导下进行应急处理。
➢ 不要支付赎金
用户若遭遇勒索攻击,应在第一时间与安全厂商或安全团队取得联系,在专业的指导下进行应急处理,把损失降到最低,尽量不支付赎金。
安天在应急处理勒索攻击事件中,出现过受害者支付了赎金,却并没有得到解密的案例;有些攻击者甚至还会将数据出售或直接破坏,让受害者“钱货两空”加倍受损。
譬如“魔窟”(WannaCry),其背后组织者虽然声称支付赎金即可解密,但该团伙只有收款通道,并不能够对已支付赎金的目标进行识别,也就是说,他们根本就不知道谁付了钱,当然也就无从提供解密。
另一方面,面对犯罪活动时的不妥协,是对正义的支持,支付等于变相鼓励勒索。攻击者本质上是没有技术正义感和基本商业伦理的网络犯罪分子,绝不可信,应坚决打击。
2.4 主要勒索软件类型
➢ 加密类
加密类勒索软件通过对目标的重要用户数据进行加密,包括文档、音视频、图片等文件,以及重要系统文件、磁盘主引导记录、卷引导记录等,受害者数据一旦被加密,除了极少部分数据因为加密算法逻辑错误等因素存在解密的可能性外,大部分情况下,数据恢复都只存在理论可能,实际上基本无法破解。
➢ 窃密+泄密类
此类勒索软件主要为了加强勒索成功率和对抗目标的数据备份解决方法。勒索软件在加密前窃取相关数据,并在后台筛选重要数据,在后期除了以加密文件而勒索之外,实现以公开这些数据的方式勒索目标,对目标实施多重勒索,逼迫用户支付赎金。
➢ 锁定类
此类勒索软件主要以明显锁定界面来展示勒索目的,其锁定策略主要是通过伪装界面、阻碍文件或系统访问实现一定程度的勒索。该类型勒索软件一般不会加密用户数据,具备一定的数据恢复可能,更多活跃于移动端。
➢ 破坏类
此类勒索软件终极目标就是破坏目标系统、业务的可用性,主要通过改写文件、随机字符串替换、恶意删除关键程序或文件等方式实现。一旦用户系统被该类勒索软件植入,基本无恢复的可能。
2.5 勒索攻击的发展趋势
➢ 勒索攻击已经成为全球面临的主要网络威胁之一
近几年来,相关政企大力推动数字化转型,个人与组织对互联网、云计算等新兴技术的依赖日益增加,相应的基础设施资产、业务稳定运行等方面也越来越重要。而勒索攻击的目标也正是这些政企单位,且勒索平台和服务也在不断发展,不断涌现新的勒索团伙,勒索攻击也越来越多样化、高针对性、多重性。
➢ 多系统平台勒索攻击愈趋成熟
截至目前,针对Windows系统的勒索软件层出不穷,而针对Linux、macOS操作系统的勒索软件也不断涌现,如DarkSide、Conti、MacRansom、MacSpy等。甚至于针对工控系统也出现了如EKANS、Cring的勒索软件。除此之外,尽管目前尚未爆发针对移动平台的大规模勒索攻击事件,但移动用户数量众多,因此安全隐患仍不容小觑。
➢ “多重勒索”模式带来更大威胁
由于用户的终端防护、数据备份等成熟解决方案的产生,对于加密文件的单重勒索模式已无法满足攻击者的勒索目的。因而如窃密+加密、窃密+加密+泄密等多重勒索模式已被多个勒索软件攻击者所使用,用户一旦遭受此类勒索攻击,即使文件获得解密,数据的保密性也已然无法保障。
➢ 勒索软件与APT联系在一起发动攻击
勒索软件要想植入高价值的目标系统就必须要有高超的攻击技术,而在网络安全空间中高超的攻击技术使用者往往与APT组织有关。同时,勒索攻击后往往用户关注于其勒索事件本身,具备较强的聚焦能力。以此造成勒索攻击者不断学习APT的入侵技术,而APT组织常常以针对性攻击伪装成勒索攻击。
➢ RaaS模式愈发成熟壮大
勒索软件即服务的建设者在日益增长的收益驱使下,不断迭代RaaS功能和模式,拓展其勒索规模,为庞大的勒索团伙提供服务,收取丰厚的赎金。
➢ 勒索软件与挖矿木马“狼狈为奸”
勒索软件的成功植入在于入侵能力,而在投放勒索软件时,既已在目标系统内,利益驱使下,投放同样具备获利能力的挖矿木马,也符合勒索攻击者的本质,不断榨取目标的剩余价值。同时,也不排除勒索软件背后的攻击者会与挖矿团伙达成投放合作,实现利益最大化。
➢ 针对关键信息基础设施与工控系统的攻击显现
随着各行各业的数字化转型,关键信息基础设施和工控系统重要性不断提升、覆盖面也越广、功能也越来越多。从而也不断吸引攻击者的关注,比如,2021年5月,安天CERT监测到一起针对工控系统投放Cring勒索软件的攻击事件,此次事件最终导致欧洲一些国家工控业务系统临时关闭。
➢ 勒索软件产业链出现成熟的第三方数据泄露平台
勒索软件所窃取的数据在实施泄露勒索时,必须要有相对公开而又不受反制的平台,因此在暗网搭建这样的平台成为具备该类型勒索模式的攻击者喜好。据统计,2019年以来,勒索软件攻击组织已合计从“暗网”泄露了超过2100家企业数据。同时,部分组织也在转型,主做数据泄露勒索。如:Babuk组织。
➢ 模仿、冒充“知名”勒索软件家族进行勒索
由于一些勒索软件是开源的,因此一定程度上诱发了其他攻击者的模仿。还有一些具备一定攻击技术,但整体水平不高的攻击者,会在控制、锁定受害者设备后,弹出一封“知名”勒索软件家族的同款勒索信,让受害者产生“遭受了强力勒索攻击”的错觉。但实际上,这类攻击甚至可能都没有加密受害者数据。
3.勒索软件怎么防?如何治?
3.1 防范勒索软件要做到以下“九要”
图2 防范勒索——九要
3.2 防范勒索软件要做到以下“四不要”
图3 防范勒索——四不要
3.3 不幸中招怎么治?——感染勒索后的应急处置
当机器感染勒索软件后,不要惊慌,可立即开展以下应急工作,降低勒索软件产生的危害:隔离网络、分类处置、及时报告、排查加固、专业服务。
● 首先要将感染勒索软件的机器断网,防止勒索软件进行横向传播继续感染局域网中的其他机器。
● 不要重启机器,个别勒索软件的编写存在逻辑问题,在不重启的情况下有找回部分被加密文件的可能。
● 不要急于重做系统、格式化硬盘等破坏加密文档行为。先备份加密后的文档,被加密后带后缀的文件不具有传染性,可复制到任意计算机上做备份保存,但是恢复的可能性极小。可以根据情况考虑是否等待解密方案,有小部分勒索软件的解密工具会由于各种原因被放出。
● 虽然可以从后缀名、勒索信等信息判断出勒索软件家族类型。但是,由于暂时缺失该恶意代码在用户网络内如何加密、传播的具体过程,仍无法准确判断其类型。虽然可以从安天病毒库拿到了相似的病毒样本,拟通过模拟感染过程来确认,但在感染过程、感染源头的定位还需要细化,建议通过现场安全服务的形式进行定位、溯源。
4.做好安全基线的基础防御
➢ 口令管理
通过对多起勒索软件事件的分析发现,基于系统弱口令、统一口令的远程投放执行也是重要的攻击入口。即使已经有对设置复杂口令、禁止多点使用统一口令等基础的安全配置要求,依然有大量信息系统没有落实。
在网络安全防护中,务必要严格执行账户口令安全管理,重点排查弱口令问题,设立相关信息安全组,来管理、监督和审核账号口令问题;所有终端和服务器等都要配置口令,禁止存在无口令现象;在传递账号和口令时,应采取加密措施进行传输,避免在传输过程中被截取;口令设置要具有足够的长度和复杂度,使用数字、字母和符号等组合形式搭配,使口令难于猜测与破解;口令应定期进行修改,口令使用周期应不超过规定期限,用户必须在管理员要求更改口令时进行口令更改;新口令与旧口令之间应没有直接的联系,以保证不可由旧口令推测得知新口令;口令不应取具有特定含义的组合形式,如使用者姓名、生日和其他易于猜测的信息;严格检查口令的重复率,避免口令公用问题,以防攻击者利用统一口令入侵多台主机;禁止将口令存在本地系统中,以免被窃取;各个账号登录时都需要输入口令,禁止存在默认账户登录情况。
➢ 漏洞修补
目前越来越多的勒索软件攻击是依赖陈旧漏洞和系统配置缺陷得手的,及时的补丁更新和安全加固能防御大多数攻击,特别是非定向攻击。WannaCry所使用的“永恒之蓝”漏洞,固然是一个军火级漏洞,但在这一勒索软件的攻击时间节点,该漏洞的更新补丁发布时间已经过去了两个月。还包括2021年Exchange漏洞和Log4J漏洞,Conti勒索软件利用ProxyShell(CVE-2021-34473、CVE-2021-34523和CVE-2021-31207)漏洞针对Microsoft Exchange服务器进行传播;AvosLocker、Conti、Khonsari和TellYouThePass等勒索软件曾利用Log4J漏洞实现勒索攻击,近期TellYouThePass勒索软件利用畅捷通T+软件的漏洞进行传播;REvil勒索软件利用Kaseya公司旗下VSA软件(CVE-2021-30116、CVE-2021-30119和 CVE-2021-30120)漏洞进行传播;Magniber勒索软件利用打印机PrintNightmare(CVE-2021-34527)漏洞进行传播。
安全补丁是一种来自原厂的安全维护手段,安全加固是强化系统自身安全能力的手段,这些是低成本而且富有成效的。需要建立完善的对资产漏洞、补丁与升级、安全配置加固等进行统一管理的安全机制和安全运行规范。包括建立资产漏洞库、补丁源、补丁可靠性验证、定制补丁升级预案、补丁灰度升级、留存审查机制和STIG标准的安全配置加固等安全措施,并按照安全运行规范规定的角色、职责、流程等严格执行,确保系统自身的安全性。
➢ 权限管控
进行权限管控的意义在于,能够保证员工各司其职,每人所负责的内容不同,互不干扰,从而提高工作效率;每人负责的工作范围具体而明确,责任到人,权责分明,出了问题有据可查;不同的人负责的工作重要度有高有低,如机密或者重要决策只被少数人知晓,能够保证隐私从而规避风险。
员工在工作职责发生变化时,现有职责与现有账号权限不符合时,应当申请权限的变更,管理员发现用户具有当前工作不需要的权限,可以告知后停止多余的权限;定期检查账户情况,通过联系账号负责人来决定账号的关停和权限范围等;开通账号后应按照原则建立权限,以最小权限最小资源的形式对其提供服务,如需更高权限,需根据实际情况进行审核批准。通过以上方法来降低因单个账户沦陷而造成更大范围的影响。
➢ 内网强化
企业应该针对每个系统访问范围进行必要分区划分,每个系统之间进行逻辑隔离。同样每个系统内部也需要做必要的分区,避免发生安全威胁事件时造成大面积系统瘫痪。
在内外网间根据安全要求和对抗需求,将防火墙、网闸单向传输、入侵检测、深包检测还原与缓存等手段有机结合建立其安全屏障。对于类似威胁,仅仅依靠网络拦截是不够的,必须强化端点的最后一道防线,必须强调终端防御的有效回归。在终端侧应部署立足于有效防护的终端防御软件。每天定期排查设备的事件告警,避免出现事件已经发生却还不知晓的情况;加固系统防护策略;排查主机相关安全设置,将存在问题的及时进行修改。
根据企业自身特点确定企业系统、数据和配置文件的重要性,针对不同重要性采取不同的备份策略,定期针对备份信息有效性进行确认。
5.业界携手应对勒索威胁
为加强勒索软件攻击防范应对,在工业和信息化部网络安全管理局指导下,中国信息通信研究院联合中国电信集团有限公司、中国移动通信集团有限公司、中国联合网络通信集团有限公司、安天科技集团股份有限公司、杭州安恒信息技术股份有限公司、奇安信科技集团股份有限公司、绿盟科技集团股份有限公司七家单位编制《勒索病毒安全防护手册》,并由中国信通院官方正式发布。安天为这份手册的形成输送了大量的分析报告、处置案例和防护建议等原始素材。
作为二十年来持续与网络威胁实战对抗的“网络安全国家队”,安天对勒索攻击进行着持续跟踪与分析,2006年捕获了国内最早出现的Redplus敲诈者木马。2015年8月,安天发布了长篇报告《揭开勒索软件的真面目》。2017年5月,在“魔窟”(WannaCry)重大勒索响应过程中,安天率先发布全网首篇长篇分析报告,快速提供了专杀免疫工具,提供了周一开机指南,向政企机构分发了数千张应急响应处置光盘,后又研发了基于内存密钥获取的解密工具等,获得多个主管部门好评。安天针对GANDCRAB、GlobeImposter、Sodinokibi、Phobos、WannaRen等重大流行勒索软件,也同样进行了应急响应与详细分析研判,累计发布勒索攻击相关分析、预警、处置建议等报告四十余篇。
安天持续的威胁分析研判工作也让安天全线产品在对抗勒索威胁中获得了主动权。
6.安天智甲全面构筑端点系统侧安全
绝大多数勒索攻击都是以主机系统为攻击点,以主机上的数据为侵害对象。与此同时,随着加密协议正在全面削弱防火墙等安全边界,网络安全支点正在回归主机系统安全侧。面向政企侧端点场景,安天打造了智甲终端防御产品家族。智甲基于UES(统一端点安全)理念研发,将病毒查杀、配置加固、可信环境验证、主动防御、分布式防火墙、介质管控、WEB SERVER防护等模块积木化组合,可以有效覆盖包括传统桌面、工作站、服务器、虚拟化、容器等场景的安全需求,对包括Windows、Linux、Android以及欧拉、麒麟、统信等国产操作系统都能有效建构系统内核层防御。
智甲针对勒索攻击构建了5+2防护体系,“五层防御,两重闭环”的防护解决方案。五层防御即系统加固、(主机)边界防御、扫描过滤、主动防御、文档安全五个防御层次,两重闭环是EPP(端点防护)实时防御闭环,和EDR(端点检测和响应)准实时/异步防御闭环。
表1 安天智甲终端防御系统防护勒索软件的机理
防护层级 |
技术原理 |
系统加固 |
通过基线和补丁检查功能,实现对系统配置脆弱点的检查修补、补丁加固和系统自身安全策略调整等,从而减少包括开放端口、弱口令、不必要的服务等勒索攻击的暴露面,削弱漏洞利用的成功率。 |
(主机)边界防御 |
通过分布式主机防火墙和介质管控功能,拦截扫描、入侵数据包,阻断攻击载荷传输,拦截U盘、光盘等插入自动运行,使勒索攻击难以获得主机入口。 |
扫描过滤 |
基于安天AVL SDK反病毒引擎对文件对象、扇区对象、内存对象、注册表数据对象等进行扫描,判断检测对象是否是已知病毒或者疑似病毒,从而实现精准判断查杀。 |
主动防御 |
基于内核驱动持续监控进程等内存对象操作行为动作,研判是否存在持久化、提权、信息窃取等攻击动作,判断是否存在批量读写、删除、移动文件或扇区等操作,开启文件授信(签名验证)机制,过滤正常应用操作动作以降低误报。 |
文档安全 |
依靠部署多组诱饵文件并实时监测,诱导勒索病毒优先破坏,达成欺骗式防御效果。采用多点实时备份机制,即使正常文档被加密也可快速恢复。 |
凭借这样的机理设计,辅以每日10次病毒库本地升级,云端库实时升级,威胁情报定时推送,安天智甲可以有效阻止病毒落地、阻断恶意行为、保护重要文档,全面有效的保障用户免受勒索攻击威胁。
图4 智甲终端防护系统防护勒索软件原理示意图
图5 智甲(桌面版)拦截勒索攻击与文档保护界面示例
图6 智甲管理中心威胁告警与处置界面
7.安天全线产品支持用户构筑全面防护
当前,一些网络犯罪组织所发动的定向勒索攻击,具有APT(高级可持续威胁攻击)定向攻击水准,用户需要更为动态的综合勒索攻击安全防护体系,安天全线产品可以有效支撑构筑用户防御阵地。
表2 安天全线产品应对勒索攻击安全防护价值简介
产品品牌 |
产品定位 |
部署方式 |
在勒索攻击安全防护上的价值 |
终端防御系统 |
UES (统一端点防御,覆盖 EPP\EDR\CWPP) |
安装(或原厂预制)在系统主机上。 |
基于主机加固机制减少攻击暴露面,基于边界防御机制拦截网络连接和介质运行,通过驱动级的监控,实时感知本地新增文件及其动作,调用安天AVL SDK反病毒引擎进行精准检测和查杀。基于主动防御机制判定和中止可疑行为,并且结合诱饵文件防护、进程行为画像等功能可对具有勒索行为的程序进行发现和拦截;另外智甲可对文档的写行为进行判定,发现疑似恶意加密动作时可自动的在文档被破坏前进行主动备份,事后可通过文件恢复将用户损失降到最低。 |
威胁检测系统 |
NDR (网络检测响应) |
在政企网出口、关键网段等位置旁路部署,可以作为云资源池部署。 |
探海基于网络流量感知和检测勒索攻击的活动,包括扫描、探测、钓鱼邮件投方、远程木马植入、横向移动与C2的连接等,并基于流量侧的协议解析和还原,捕获攻击载荷,调用安天AVL SDK反病毒引擎进行更精准的检测,从而能更提前发现勒索攻击的网络侧活动,联动响应和处置。 |
蜜罐系统 |
威胁欺骗捕获 |
支持企业内网、隔离网、私有云、公有云等部署场景。 |
捕风蜜罐系统支持通过系统和应用的模拟欺骗捕获威胁攻击,可以与导流设备结合,有效感知扫描探测、暴力破解、漏洞攻击、内网横向扩散和载荷投放等,从而把勒索攻击吸引到蜜罐中,快速发现勒索事件和情报,联动响应和处置,以供应用户及时防御阻断勒索威胁传播。 |
威胁分析系统 |
FA (文件分析) |
旁路部署,联动设备与查询结果终端路由可达即可。 |
追影可以与智甲、探海等安天全线产品联动使用,或安全工程师手工交互,基于深度静态分析和高仿真沙箱环境执行双重机制分析文件对象,针对勒索攻击文件载荷,可以有效分析标定漏洞利用、权限提升、防御对抗、文件加密与备份禁用等行为,协助用户生产威胁情报,联动威胁响应和处置。 |
应急处置工具箱 |
应急处置 |
基于U盘、光盘、便携设备与场景连接使用。 |
拓痕基于对终端侧系统进行威胁检测分析,包括进程、服务、内核、引导扇区等对象的全要素的提取解析,调用安天AVL SDK反病毒引擎进行更精准的检测,检出和留存攻击载荷,提取可疑对象。从而有效发现勒索攻击在端点侧的活动,并通过底层处置能力,清除勒索软件实体与启动链,完成威胁发现、分析、取证、处置业务闭环。 |
8.安天面对用户产品与服务
➢ 垂直响应服务平台
“安天垂直响应服务平台”是安天旗下专注满足中小企业和个人(家庭)用户安全需求的“一站式服务平台,安天垂直响应服务平台中开通了面向Windows主机的轻量级勒索风险评估,并提供专用响应工具,帮助客户快速排查流程风险。
详情地址:https://vs.antiy.cn/endpoint/rdt
➢ 安天杀毒软件
个人和家庭用户,推荐安装使用安天杀毒软件(Windows版),获得有效安全防护。
详情地址:https://vs.antiy.cn/endpoint/anti-virus
➢ 安天应急响应服务
安天持续赋能用户构筑有效勒索攻击安全防护体系,达成有效安全价值。
全国服务热线:400-840-9234
服务支持邮箱:support@antiy.cn