就在11月28日,又一起勒索事件出現(xiàn) —— 舊金山MUNI城市捷運系統(tǒng)受到勒索加密勒索軟件攻擊,所有的售票站點都顯示出“你被攻擊了,所有數(shù)據(jù)都被加密“,攻擊者發(fā)出公告索要100比特幣,也就是70000多美元。

勒索軟件不管對個人網(wǎng)絡(luò)用戶和企業(yè)用戶來說,是個越來越顯嚴(yán)重的犯罪問題。受影響的客戶包括中小企業(yè)的業(yè)務(wù)信息系統(tǒng),甚至包括個人終端,移動設(shè)備。據(jù)美國FBI的一份報告顯示,2016年,勒索軟件的非法收入可能達(dá)到10億美元。這一巨大的收入數(shù)字,很大一部分都是由企業(yè)繳納的贖金組成。

當(dāng)用戶因為勒索軟件導(dǎo)致業(yè)務(wù)中斷,企業(yè)通常會認(rèn)為支付贖金是取回數(shù)據(jù)最劃算的辦法。但尷尬的是,這些支付出去的贖金,通常會被直接用于下一代勒索軟件的開發(fā)。所以很多企業(yè)正在無奈地用“金錢澆灌著勒索軟件的花朵”。正因如此,勒索攻擊正以驚人的速度不斷發(fā)展,勒索軟件家族也正在不斷的進(jìn)化。

勒索事件之所以如此可怖,是因為它不像一般攻擊事件,其發(fā)起者只想訪問數(shù)據(jù)或者獲取資源,勒索者有時既想要數(shù)據(jù),更要錢。這也是為什么在很多勒索事件中,受害者被騙取了錢財,但未拿回自己的數(shù)據(jù)。

當(dāng)前國內(nèi)外諸多研究機構(gòu)已經(jīng)專門針對勒索軟件的現(xiàn)狀、趨勢,并做了詳細(xì)的信息收集和分析研究,微軟還專門針對勒索軟件在其安全中心開辟了專欄版塊,從所有的機構(gòu)數(shù)據(jù)來看,勒索軟件卷土重來的趨勢愈演愈烈,本文將重點討論如何保護(hù)企業(yè),幫助他們更好地應(yīng)對這種威脅。

一、什么是勒索軟件?

Ransomware(勒索軟件)是通過網(wǎng)絡(luò)勒索金錢的常用方法,它是一種網(wǎng)絡(luò)攻擊行為,可以立即鎖定目標(biāo)用戶的文件、應(yīng)用程序、數(shù)據(jù)庫信息和業(yè)務(wù)系統(tǒng)相關(guān)的重要信息,直到受害者支付贖金才能通過攻擊者提供的秘鑰恢復(fù)訪問。說直白一點,有點像大家的iPhone突然間“被掛失”了,然后攻擊者打來電話索要贖金,然后才幫你解鎖。而勒索軟件攻擊的這個“iPhone”,則是系統(tǒng)、服務(wù)器。

勒索軟件專門以用戶文件為攻擊目標(biāo),同時會避免破壞系統(tǒng)文件。其中的原因是,這一方面可以確保用戶會收到相關(guān)的通知,以告知他們的文件所遭到的攻擊,另一方面,用戶也能夠通過一定的方法支付贖金以取回他們的文件。對文件進(jìn)行加密后,此類惡意軟件通常會自我刪除,并留下某種形式的文檔 —— 這個文檔會指示受害者如何支付贖金,并重新獲得對加密文件的訪問權(quán)限。某些“變體”還會向受害者設(shè)定支付時限,并威脅如果在此時限之前未收到付款,則將刪除密鑰/解密工具,否則則會增加贖金的價格。

勒索軟件的發(fā)送方式通常包括:漏洞攻擊包、水坑式攻擊、惡意廣告,或者大規(guī)模的網(wǎng)絡(luò)釣魚活動。一旦發(fā)送成功,勒索軟件一般通過某種嵌入式文件擴展名列表來識別用戶文件和數(shù)據(jù)。勒索軟件還會通過編程,避免影響某些系統(tǒng)目錄(例如 Windows 系統(tǒng)目錄或某些程序文件目錄),以確保負(fù)載運行結(jié)束后,系統(tǒng)仍然保持穩(wěn)定,以使客戶能夠支付贖金。

翻譯:鎖定和加密您的數(shù)據(jù)和徹底改變文件后綴名,并留下聯(lián)系方式

圖1.大部分加密文件可以鎖定目前主流的文件格式類型

圖2.嘗試使用國內(nèi)某解密工具解密數(shù)據(jù)無效

圖3.勒索者留下的聯(lián)系方式

圖4.按照勒索者留下的聯(lián)系方式得到贖金信息

二、受害者的故事

一組熟練的、以獲取贖金為目標(biāo)的攻擊者,一直在收集一家大型公司的相關(guān)信息,準(zhǔn)備對其發(fā)動攻擊。機會出現(xiàn)了,攻擊者獲得了對其網(wǎng)絡(luò)的初始訪問權(quán)限。攻擊者現(xiàn)在需要升級其授權(quán),并確定網(wǎng)絡(luò)中的關(guān)鍵目標(biāo),他們需要取得對這些目標(biāo)的控制,這樣一來,受害者支付贖金的可能性就會增加。


圖5.常用的攻擊方法

如上圖所示,攻擊者正在嘗試?yán)孟到y(tǒng)中的本地功能以在目標(biāo)網(wǎng)絡(luò)里逐步滲透,同時降低被發(fā)現(xiàn)的風(fēng)險。在許多操作系統(tǒng)里,攻擊者可以利用很多的遠(yuǎn)程訪問工具,從而在系統(tǒng)間逐步滲透。使用本地工具進(jìn)行逐步滲透,不會向磁盤引入任何內(nèi)容,并且也不會被視為異常操作,這就降低了人們發(fā)現(xiàn)攻擊者的可能性。

三、被攻擊了,然后呢?

一旦勒索軟件發(fā)動攻擊,并攻擊成功,損失幾乎是無法阻擋的。如果不支付贖金,那么恢復(fù)數(shù)據(jù)就需要很高的成本。安全和 IT 員工需要全天候進(jìn)行工作,將系統(tǒng)恢復(fù)至運行狀態(tài),這個過程中需要支出設(shè)備、運營成本等。

如果數(shù)據(jù)恢復(fù)成本大于贖金成本,那么受害組織很有可能會付錢。 否則攻擊者會“撕票”,然而這里面也可能會有支付完贖金被騙的情況發(fā)生。

圖6.在客戶遭到勒索軟件時,此流程圖可以最終決定受害者是否會支付贖金。

四、縱深防御能在關(guān)鍵時候幫你

正如在本文我們所描述的那樣,在有經(jīng)驗的攻擊者手里,具有自我傳播功能的勒索軟件將可能給企業(yè)的業(yè)務(wù)帶來致命損失,或成為受害者的一場噩夢。但是,可能不代表必然。因為攻擊者要逐步從外向系統(tǒng)內(nèi)滲透,是需要受害者的安全防御層“允許”的。

就像是打仗時,士兵攻城一樣。勒索軟件的攻擊者,會最先攻陷那些沒有堅實外殼的系統(tǒng),完成初始訪問。當(dāng)?shù)谝徊焦ハ菪袆油瓿?,如果“城墻”?nèi)沒有安全策略,威脅就會逐漸滲透到內(nèi)部,以入侵重要的資產(chǎn)或數(shù)據(jù),這是攻擊的第二步。如果受害者還不留神,“允許”了權(quán)限升級,攻擊就會最終得逞,造成無法挽回的危害。因此,我們所倡導(dǎo)的“縱深防御”,不僅僅是一個概念,它決定了在勒索事件等攻擊場景中,企業(yè)到底是能把危機擋在門外,還是引狼入室,讓惡意軟件對業(yè)務(wù)造成實際損失。

那么,企業(yè)在如何一步步將威脅擋在門外呢?

1. 數(shù)據(jù)備份與恢復(fù):備份,備份,再備份。重要的事情說三遍!

數(shù)據(jù)備份和恢復(fù)措施是發(fā)生被勒索事件挽回?fù)p失的重要工作,我們將此關(guān)鍵措施放在第一位。面對攻擊者的贖金勒索,需要清晰的了解并考慮以下點:

  1. 當(dāng)系統(tǒng)遭到徹底破壞的時候,受害組織在多大程度上能夠接受數(shù)據(jù)的丟失?

  2. 本地備份是否可用,或者異地備份的內(nèi)容是否都被刪除或以其他的方式導(dǎo)致不可用?

  3. 如果本地備份介質(zhì)的內(nèi)容被刪除或不可使用,異地的備份是否可用? 異地備份頻率如何?每周一次?每半個每月一次?每月一次?

  4. 是否定期驗證過備份內(nèi)容的有效性?數(shù)據(jù)是否可以正常使用?

  5. 是否數(shù)據(jù)應(yīng)急恢復(fù)流程或手冊?

如果給出的答案是肯定了,那么備份恢復(fù)是企業(yè)的最后一道防線,在最壞的情況下,它將是企業(yè)最后的堡壘,而企業(yè)需要建不定期地進(jìn)行數(shù)據(jù)備份策略,以確保在最壞的情況有備份措施。如果企業(yè)的業(yè)務(wù)在云上,可以使用不同方式的備份方法來解決數(shù)據(jù)備份問題,以確保在發(fā)生勒索事件后,盡可能的挽回?fù)p失。

推薦工具:ECS快照功能、RDS提供的數(shù)據(jù)備份功能、使用OSS存儲服務(wù)備份重要數(shù)據(jù)文件、由用戶制定的數(shù)據(jù)備份策略或方案等。

2. 云上賬號安全策略

云上針對租戶賬號提供賬號登錄雙因素驗證機制(MFA)、密碼安全策略、和審計功能,企業(yè)可以方便的在自己的云上界面中啟用和關(guān)閉,以確保云服務(wù)賬號的安全性。

圖7.阿里云賬號強化策略

針對組織內(nèi)部多角色場景,企業(yè)需要使用RAM服務(wù)為不同角色合理分配賬號并授權(quán),以防止在運維管理活動中,出現(xiàn)意外操作而導(dǎo)致的安全風(fēng)險。

3. 阻止惡意的初始化訪問

企業(yè)可以采用如下兩種方式,來阻止攻擊進(jìn)入系統(tǒng)的“第一道門”:發(fā)現(xiàn)并修復(fù)業(yè)務(wù)系統(tǒng)存在的漏洞;或者拒絕點擊網(wǎng)絡(luò)釣魚等不明惡意鏈接和郵件/社交工程。如果攻擊者在目標(biāo)網(wǎng)絡(luò)無法輕易地建立初始訪問,那么攻擊者更可能轉(zhuǎn)向其他較為容易進(jìn)攻的目標(biāo)。攻擊者也希望花費盡可能少的代價來取得相應(yīng)的收益。如果無法輕易地建立初始訪問,這會增加他們尋找其他更容易進(jìn)攻目標(biāo)的可能性。

4. 搭建具有容災(zāi)能力的基礎(chǔ)架構(gòu)

高性能、具有冗余的基礎(chǔ)架構(gòu)能力是保障業(yè)務(wù)強固的基礎(chǔ)條件,在云環(huán)境下,可以通過SLB集群的方式搭建高可用架構(gòu),當(dāng)出現(xiàn)某一個節(jié)點發(fā)生緊急問題時,可以有效避免單點故障問題,防止業(yè)務(wù)中斷的前提下,也可以防止數(shù)據(jù)丟失。在資源允許的條件下,企業(yè)或組織可以搭建同城或異地容災(zāi)備份系統(tǒng),當(dāng)主系統(tǒng)出現(xiàn)發(fā)生勒索事件后,可以快速切換到備份系統(tǒng),從而保證業(yè)務(wù)的連續(xù)性。

推薦工具:SLB、RDS等高性能服務(wù)組合而成的容災(zāi)架構(gòu)

5. 強化網(wǎng)絡(luò)訪問控制

精細(xì)化的網(wǎng)絡(luò)管理是業(yè)務(wù)的第一道屏障。

對于大部分企業(yè)網(wǎng)絡(luò)而言,它們的網(wǎng)絡(luò)安全架構(gòu)是“一馬平川”的,在業(yè)務(wù)塊之前,很少有業(yè)務(wù)分區(qū)分段。但隨著業(yè)務(wù)的增長和擴容,一旦發(fā)生入侵,影響面會是全局的。在這種情況下,通過有效的安全區(qū)域劃分、訪問控制和準(zhǔn)入機制可以防止或減緩滲透范圍,可以阻止不必要的人員進(jìn)入業(yè)務(wù)環(huán)境。

例如:可以限制ssh、RDP業(yè)務(wù)管理源地址、對數(shù)據(jù)庫連接源IP進(jìn)行訪問控制,實現(xiàn)最小化訪問范圍,僅允許授信人員訪問,并對出口網(wǎng)絡(luò)行為實時分析和審計。具體可以從以下幾個方面實施:

  1. 推薦使用更安全的VPC網(wǎng)絡(luò);

  2. 通過VPC和安全組劃分不同安全等級的業(yè)務(wù)區(qū)域,讓不同的業(yè)務(wù)處在不同的隔離空間;

  3. 配置入口/出口過濾防火墻策略,再次強調(diào) -入口和出口均需進(jìn)行過濾。主機彼此之間應(yīng)當(dāng)不能通過 SMB(139/tcp、445/tcp) 進(jìn)行通信。如果設(shè)置了文件服務(wù)器,實際上就不需要進(jìn)行這種通信。如果企業(yè)可以有效地禁用主機間的 SMB 通信,企業(yè)就可以防止攻擊者使用“通過散列表”所進(jìn)行的逐步滲透。SMB 通訊應(yīng)僅限于應(yīng)用分發(fā)平臺,文件共享和/或域控制器。

圖8.網(wǎng)絡(luò)安全區(qū)域劃分架構(gòu)

推薦工具:VPC、安全組

6. 定期進(jìn)行外部端口掃描

端口掃描可以用來檢驗企業(yè)的弱點暴露情況。如果企業(yè)有一些服務(wù)連接到互聯(lián)網(wǎng),需要確定哪些業(yè)務(wù)是必須要發(fā)布到互聯(lián)網(wǎng)上,哪些是僅內(nèi)部訪問,當(dāng)公共互聯(lián)網(wǎng)的服務(wù)數(shù)量越少,攻擊者的攻擊范圍就越窄,從而遭受的安全風(fēng)險就越小。

7. 定期進(jìn)行安全測試發(fā)現(xiàn)存在的安全漏洞

企業(yè)公司IT管理人員需要定期對業(yè)務(wù)軟件資產(chǎn)進(jìn)行安全漏洞探測,一旦確定有公開暴露的服務(wù),應(yīng)使用漏洞掃描工具對其進(jìn)行掃描。盡快修復(fù)掃描漏洞,同時日常也應(yīng)該不定期關(guān)注軟件廠商發(fā)布的安全漏洞信息和補丁信息,及時做好漏洞修復(fù)管理工作。

推薦工具:安全眾測產(chǎn)品、VPC網(wǎng)絡(luò)、安全組策略、主機安全、可管理的安全服務(wù)(MSS)

8. 常規(guī)的系統(tǒng)維護(hù)工作

  1. 制定并遵循實施IT軟件安全配置,對操作系統(tǒng)和軟件初始化安全加固,同時并定期核查其有效性;

  2. 為Windows操作系統(tǒng)云服務(wù)器安裝防病毒軟件,并定期更新病毒庫;

  3. 確保定期更新補?。?/p>

  4. 確保開啟日志記錄功能,并集中進(jìn)行管理和審計分析;

  5. 確保合理的分配賬號、授權(quán)和審計功能,例如:為服務(wù)器、RDS數(shù)據(jù)庫建立不同權(quán)限賬號并啟用審計功能,如果有條件,可以實施類似堡壘機、VPN等更嚴(yán)格的訪問策略。

  6. 確保實施強密碼策略,并定期更新維護(hù),對于所有操作行為嚴(yán)格記錄并審計;

  7. 確保對所有業(yè)務(wù)關(guān)鍵點進(jìn)行實時監(jiān)控,當(dāng)發(fā)現(xiàn)異常時,立即介入處理。

推薦工具:主機安全產(chǎn)品

9. 重點關(guān)注業(yè)務(wù)代碼安全

大部分安全問題由于程序員的不謹(jǐn)慎或無意識的情況下埋下了安全隱患,代碼的安全直接影響到業(yè)務(wù)的風(fēng)險,根據(jù)經(jīng)驗來看,代碼層的安全需要程序員從一開始就需要將安全架構(gòu)設(shè)計納入到整體軟件工程內(nèi),按照標(biāo)準(zhǔn)的軟件開發(fā)流程,在每個環(huán)節(jié)內(nèi)關(guān)聯(lián)安全因素。以下是基于軟件開發(fā)流程將安全管控點落實到流程中的最佳實踐:

圖9.SDL流程

對于一般的企業(yè)來說,需要重點關(guān)注開發(fā)人員或軟件服務(wù)提供上的安全編碼和安全測試結(jié)果,尤其是對開發(fā)完畢的業(yè)務(wù)代碼安全要進(jìn)行代碼審計評估和上線后的黑盒測試(也可以不定期的進(jìn)行黑盒滲透測試)。

推薦工具:安全眾測產(chǎn)品、Web應(yīng)用防火墻(WAF)、SDL標(biāo)準(zhǔn)流程

10. 建立全局的外部威脅和情報感知能力

安全是動態(tài)的對抗的過程,就跟打仗一樣,在安全事件發(fā)生之前,我們要時刻了解和識別外部不同各類風(fēng)險,所以做安全的思路應(yīng)該從防止安全入侵這種不可能的任務(wù)轉(zhuǎn)到了防止損失這一系列的關(guān)鍵任務(wù)上。

防范措施必不可少,但是基于預(yù)警、響應(yīng)的時間差也同樣關(guān)鍵。而實現(xiàn)這種快速精準(zhǔn)的預(yù)警能力需要對外面的信息了如指掌,切記“盲人摸象”,所以建立有效的監(jiān)控和感知體系是實現(xiàn)安全管控措施是不可少的環(huán)節(jié),更是安全防護(hù)體系策略落地的基礎(chǔ)條件。

推薦工具:大數(shù)據(jù)安全分析平臺,云上安全威脅態(tài)勢感知系統(tǒng)

11. 建立安全事件應(yīng)急響應(yīng)流程和預(yù)案

就像前面說的一樣,在安全攻防動態(tài)的過程中,我們可能很難100%的防御住所有的安全事件,也就是說,我們要為可能突發(fā)的安全事件準(zhǔn)備好應(yīng)急策略,在安全事件發(fā)生后,要通過組織快速響應(yīng)、標(biāo)準(zhǔn)化的應(yīng)急響應(yīng)流程、規(guī)范的事件處置規(guī)范來降低安全事件發(fā)生的損失。

推薦工具:可管理的安全服務(wù)(MSS)、安全事件應(yīng)急響應(yīng)服務(wù)(SIEM)

五、總結(jié)

從以上介紹看來,這些對抗攻擊的方式并沒有很高的難度。它們在企業(yè)信息安全日常實踐中都是常用的安全措施。但是,大部分企業(yè)沒有去做好基礎(chǔ)防御工作,主要還是因為沒有引起高度的重視,而一旦發(fā)生此類嚴(yán)重影響業(yè)務(wù)安全事件之后,后悔莫及。在愈來愈烈的網(wǎng)絡(luò)安全環(huán)境中,如果企業(yè)、政府和社會各個機構(gòu)沒有從內(nèi)心重視起來,構(gòu)建和擴展深度防御,那么當(dāng)威脅到來時只能是螳臂當(dāng)車。

在勒索軟件不斷“變異”的趨勢下,這種攻擊行為在未來會繼續(xù)不斷鎖定新的目標(biāo),以一種新的方式不斷進(jìn)化滲透,在血琳琳的諸多案例下,各企業(yè)、組織的信息管理人員需要引起重視,尤其是在當(dāng)前互聯(lián)網(wǎng)蓬勃發(fā)展的趨勢下,數(shù)據(jù)對于企業(yè)的重要性越來越大時代,為我們客戶保障數(shù)據(jù)安全,促進(jìn)業(yè)務(wù)良性發(fā)展已然成為使命。(了解阿里云安全解決方案:https://yundun.aliyun.com/

作者:正禾@阿里云安全,更多安全類文章,請訪問阿里聚安全博客