12月7日,對于吃瓜群眾而言,可能是某個人的生日,或者就是個平常的日子。但對由中國人開設(shè)的富帝銀行(列支敦士登)的大量客戶而言,包括德國和其他地方的政治人物、演員和有錢人,這是一個交付贖金的最后通牒日期。
“要么給錢,要么撕票。”這是綁匪的常用語,不要問雷鋒網(wǎng)怎么知道,電視劇都是這么演的。
但是,對于特殊的“銀行劫匪”——黑客,尤其是使用“勒索軟件”大招的黑客而言,下面這招有點狠——“要么給錢,要么我就把你們這些客戶中偷稅、漏稅的信息告訴媒體和政府了。”更狠的是,“綁匪”要求中招的賬戶支付的金額是帳戶余額的10%,當然還是老規(guī)矩,用比特幣!
這意味著,越有錢,被宰得越狠。
雖然,目前并沒有獲得其中一些銀行客戶的反饋,不過可以肯定的是,肯定有人不聲不響地就把贖金交了。
關(guān)于勒索軟件,一旦中招,F(xiàn)BI 和國內(nèi)的網(wǎng)絡(luò)安全專家都曾說過:你只能乖乖認輸,要么就去交錢,要么就不要這些數(shù)據(jù)或文件了。最慘的結(jié)果是,就算你交了錢,數(shù)據(jù)和錢都沒了(有沒有點綁匪的職業(yè)道德)。
遭遇勒索軟件,除了交贖金,還能怎么辦?
在探索這個終極目標前,先來聊點關(guān)于勒索軟件你可能不知道的事兒。
勒索軟件套路太深
輕輕的,我走了,正如我輕輕的來。
勒索軟件也有這么“浪漫”。
勒索軟件專門以用戶文件為攻擊目標,同時會避免破壞系統(tǒng)文件。你以為它這么好心是因為黑客還殘存一絲善良?圖樣圖森破。
赤裸裸的現(xiàn)實是,黑客這么做的原因,一方面是為了確保用戶會收到相關(guān)的通知,以告知他們的文件所遭到的攻擊,另一方面,用戶也能夠通過一定的方法支付贖金以取回他們的文件。
對文件進行加密后,此類惡意軟件通常會自我刪除,并留下某種形式的文檔 —— 這個文檔會指示受害者如何支付贖金,并重新獲得對加密文件的訪問權(quán)限。某些“變體”還會向受害者設(shè)定支付時限,并威脅如果在此時限之前未收到付款,則將刪除密鑰/解密工具,否則則會增加贖金的價格。
勒索軟件怎么入侵你的電腦?此前,雷鋒網(wǎng)的讀者表示,就是一臉懵x地打開了電腦,就發(fā)現(xiàn)著了勒索木馬的道,沒有一絲絲防備,后來發(fā)現(xiàn),是因為登陸了有掛馬的仿冒網(wǎng)站。
除了打開掛馬的網(wǎng)站會中招,還有哪些坑不要踩?雷鋒網(wǎng)宅客頻道向阿里云安全專家正禾打聽到以下信息:勒索軟件還可能通過漏洞攻擊包、水坑式攻擊、惡意廣告,或者大規(guī)模的網(wǎng)絡(luò)釣魚活動找到你。
一旦發(fā)送成功,勒索軟件一般通過某種嵌入式文件擴展名列表來識別用戶文件和數(shù)據(jù)。勒索軟件還會通過編程,避免影響某些系統(tǒng)目錄(例如 Windows 系統(tǒng)目錄或某些程序文件目錄),以確保負載運行結(jié)束后,系統(tǒng)仍然保持穩(wěn)定,以使客戶能夠支付贖金。
中招之后,大部分主流格式的文件都會被“襲擊”。
回溯一下,方法好像都懂,但勒索軟件如何做到?jīng)]有一絲防備,悄無聲息地潛進來?正禾揭秘,
一組熟練的、以獲取贖金為目標的攻擊者,一直在收集一家大型公司的相關(guān)信息,準備對其發(fā)動攻擊。機會出現(xiàn)了,攻擊者獲得了對其網(wǎng)絡(luò)的初始訪問權(quán)限。攻擊者現(xiàn)在需要升級其授權(quán),并確定網(wǎng)絡(luò)中的關(guān)鍵目標,他們需要取得對這些目標的控制,這樣一來,受害者支付贖金的可能性就會增加。
如上圖所示,攻擊者正在嘗試利用系統(tǒng)中的本地功能以在目標網(wǎng)絡(luò)里逐步滲透,同時降低被發(fā)現(xiàn)的風險。在許多操作系統(tǒng)里,攻擊者可以利用很多的遠程訪問工具,從而在系統(tǒng)間逐步滲透。使用本地工具進行逐步滲透,不會向磁盤引入任何內(nèi)容,并且也不會被視為異常操作,這就降低了人們發(fā)現(xiàn)攻擊者的可能性。
付,還是不付,這是一個問題
一旦勒索軟件發(fā)動攻擊,并攻擊成功,損失幾乎是無法阻擋的。
但是,到底要不要支付贖金,這是一個問題。
正禾告訴雷鋒網(wǎng)(公眾號:雷鋒網(wǎng)),如果不支付贖金,那么恢復數(shù)據(jù)就需要很高的成本。安全和 IT 員工需要全天候進行工作,將系統(tǒng)恢復至運行狀態(tài),這個過程中需要支出設(shè)備、運營成本等。
如果數(shù)據(jù)恢復成本大于贖金成本,那么受害組織很有可能會付錢。 否則攻擊者會“撕票”,然而這里面也可能會有支付完贖金被騙的情況發(fā)生。
看上去好像都很悲劇。
比較簡便的方式是,正禾給了一個流程圖,讓你判斷是否需要支付贖金。
當然,土豪可以毫不猶豫地“視金錢如糞土”,直接選擇付款。
除了繳納贖金,還能怎么辦?
一個有意思的比喻是——
就像是打仗時,士兵攻城一樣。勒索軟件的攻擊者,會最先攻陷那些沒有堅實外殼的系統(tǒng),完成初始訪問。當?shù)谝徊焦ハ菪袆油瓿桑绻?ldquo;城墻”內(nèi)沒有安全策略,威脅就會逐漸滲透到內(nèi)部,以入侵重要的資產(chǎn)或數(shù)據(jù),這是攻擊的第二步。如果受害者還不留神,“允許”了權(quán)限升級,攻擊就會最終得逞,造成無法挽回的危害。
正禾認為,“縱深防御”或許可以把危機擋在門外,而不是引狼入室,讓惡意軟件對你或者企業(yè)造成實際損失。以下為正禾提出的具體建議:
1.備份,備份,再備份。重要的事情說三遍!
數(shù)據(jù)備份和恢復措施是發(fā)生被勒索事件挽回損失的重要工作,因此,將此關(guān)鍵措施放在第一位。面對攻擊者的贖金勒索,需要清晰的了解并考慮以下點:
當系統(tǒng)遭到徹底破壞的時候,受害組織在多大程度上能夠接受數(shù)據(jù)的丟失?
本地備份是否可用,或者異地備份的內(nèi)容是否都被刪除或以其他的方式導致不可用?
如果本地備份介質(zhì)的內(nèi)容被刪除或不可使用,異地的備份是否可用? 異地備份頻率如何?每周一次?每半個每月一次?每月一次?
是否定期驗證過備份內(nèi)容的有效性?數(shù)據(jù)是否可以正常使用?
是否數(shù)據(jù)應急恢復流程或手冊?
備份恢復是企業(yè)的最后一道防線,在最壞的情況下,它將是最后的堡壘,而企業(yè)需要建不定期地進行數(shù)據(jù)備份策略,以確保在最壞的情況有備份措施。
如果企業(yè)的業(yè)務(wù)在云上,可以使用不同方式的備份方法來解決數(shù)據(jù)備份問題,以確保在發(fā)生勒索事件后,盡可能的挽回損失。
2.不得不看云上的帳戶
云上針對租戶賬號提供賬號登錄雙因素驗證機制 (MFA) 、密碼安全策略、和審計功能,企業(yè)可以方便地在自己的云上界面中啟用和關(guān)閉,以確保云服務(wù)賬號的安全性。
針對組織內(nèi)部多角色場景,企業(yè)需要使用 RAM 服務(wù)為不同角色合理分配賬號并授權(quán),以防止在運維管理活動中,出現(xiàn)意外操作而導致的安全風險。
3. 構(gòu)建“第一道門”
企業(yè)可以采用如下兩種方式,來阻止攻擊進入系統(tǒng)的“第一道門”:
發(fā)現(xiàn)并修復業(yè)務(wù)系統(tǒng)存在的漏洞;
或者拒絕點擊網(wǎng)絡(luò)釣魚等不明惡意鏈接和郵件/社交工程。如果攻擊者在目標網(wǎng)絡(luò)無法輕易地建立初始訪問,那么攻擊者更可能轉(zhuǎn)向其他較為容易進攻的目標。攻擊者也希望花費盡可能少的代價來取得相應的收益。如果無法輕易地建立初始訪問,這會增加他們尋找其他更容易進攻目標的可能性。
4. 對沒有容災能力的基礎(chǔ)架構(gòu)說“NO”
高性能、具有冗余的基礎(chǔ)架構(gòu)能力是保障業(yè)務(wù)強固的基礎(chǔ)條件,在云環(huán)境下,可以通過 SLB 集群的方式搭建高可用架構(gòu),當出現(xiàn)某一個節(jié)點發(fā)生緊急問題時,可以有效避免單點故障問題,防止業(yè)務(wù)中斷的前提下,也可以防止數(shù)據(jù)丟失。
在資源允許的條件下,企業(yè)或組織可以搭建同城或異地容災備份系統(tǒng),當主系統(tǒng)出現(xiàn)發(fā)生勒索事件后,可以快速切換到備份系統(tǒng),從而保證業(yè)務(wù)的連續(xù)性。
5. 網(wǎng)絡(luò)訪問要有門檻:不是誰都能進來啊喂!
精細化的網(wǎng)絡(luò)管理是業(yè)務(wù)的第一道屏障。
對于大部分企業(yè)網(wǎng)絡(luò)而言,它們的網(wǎng)絡(luò)安全架構(gòu)是“一馬平川”的,在業(yè)務(wù)塊之前,很少有業(yè)務(wù)分區(qū)分段。但隨著業(yè)務(wù)的增長和擴容,一旦發(fā)生入侵,影響面會是全局的。在這種情況下,通過有效的安全區(qū)域劃分、訪問控制和準入機制可以防止或減緩滲透范圍,可以阻止不必要的人員進入業(yè)務(wù)環(huán)境。
例如:可以限制 ssh、RDP 業(yè)務(wù)管理源地址、對數(shù)據(jù)庫連接源IP進行訪問控制,實現(xiàn)最小化訪問范圍,僅允許授信人員訪問,并對出口網(wǎng)絡(luò)行為實時分析和審計。具體可以從以下幾個方面實施:
推薦使用更安全的VPC網(wǎng)絡(luò);
通過VPC和安全組劃分不同安全等級的業(yè)務(wù)區(qū)域,讓不同的業(yè)務(wù)處在不同的隔離空間;
配置入口/出口過濾防火墻策略,再次強調(diào) -入口和出口均需進行過濾。主機彼此之間應當不能通過 SMB(139/tcp、445/tcp) 進行通信。如果設(shè)置了文件服務(wù)器,實際上就不需要進行這種通信。如果企業(yè)可以有效地禁用主機間的 SMB 通信,企業(yè)就可以防止攻擊者使用“通過散列表”所進行的逐步滲透。SMB 通訊應僅限于應用分發(fā)平臺,文件共享和/或域控制器。
6. 有鎧甲,也有軟肋
端口掃描可以用來檢驗企業(yè)的弱點暴露情況。
如果企業(yè)有一些服務(wù)連接到互聯(lián)網(wǎng),需要確定哪些業(yè)務(wù)是必須要發(fā)布到互聯(lián)網(wǎng)上,哪些是僅內(nèi)部訪問,當公共互聯(lián)網(wǎng)的服務(wù)數(shù)量越少,攻擊者的攻擊范圍就越窄,從而遭受的安全風險就越小。
7. 每個月總要有那么幾天……定期進行漏掃
企業(yè)公司 IT 管理人員需要定期對業(yè)務(wù)軟件資產(chǎn)進行安全漏洞探測,一旦確定有公開暴露的服務(wù),應使用漏洞掃描工具對其進行掃描。盡快修復掃描漏洞,同時日常也應該不定期關(guān)注軟件廠商發(fā)布的安全漏洞信息和補丁信息,及時做好漏洞修復管理工作。
8. 系統(tǒng)維護深深印在腦海里
制定并遵循實施IT軟件安全配置,對操作系統(tǒng)和軟件初始化安全加固,同時并定期核查其有效性;
為Windows操作系統(tǒng)云服務(wù)器安裝防病毒軟件,并定期更新病毒庫;
確保定期更新補丁;
確保開啟日志記錄功能,并集中進行管理和審計分析;
確保合理的分配賬號、授權(quán)和審計功能,例如:為服務(wù)器、RDS數(shù)據(jù)庫建立不同權(quán)限賬號并啟用審計功能,如果有條件,可以實施類似堡壘機、VPN等更嚴格的訪問策略。
確保實施強密碼策略,并定期更新維護,對于所有操作行為嚴格記錄并審計;
確保對所有業(yè)務(wù)關(guān)鍵點進行實時監(jiān)控,當發(fā)現(xiàn)異常時,立即介入處理。
9. 業(yè)務(wù)代碼安全也要說三遍
大部分安全問題由于程序員的不謹慎或無意識的情況下埋下了安全隱患,代碼的安全直接影響到業(yè)務(wù)的風險,根據(jù)經(jīng)驗來看,代碼層的安全需要程序員從一開始就需要將安全架構(gòu)設(shè)計納入到整體軟件工程內(nèi),按照標準的軟件開發(fā)流程,在每個環(huán)節(jié)內(nèi)關(guān)聯(lián)安全因素。以下是基于軟件開發(fā)流程將安全管控點落實到流程中的最佳實踐:
[SDL流程]
對于一般的企業(yè)來說,需要重點關(guān)注開發(fā)人員或軟件服務(wù)提供上的安全編碼和安全測試結(jié)果,尤其是對開發(fā)完畢的業(yè)務(wù)代碼安全要進行代碼審計評估和上線后的黑盒測試(也可以不定期的進行黑盒滲透測試)。
10. 再敏感一些:建立全局的外部威脅和情報感知能力
安全是動態(tài)的對抗的過程,就跟打仗一樣,在安全事件發(fā)生之前,要時刻了解和識別外部不同各類風險,所以做安全的思路應該從防止安全入侵這種不可能的任務(wù)轉(zhuǎn)到了防止損失這一系列的關(guān)鍵任務(wù)上。
防范措施必不可少,但是基于預警、響應的時間差也同樣關(guān)鍵。而實現(xiàn)這種快速精準的預警能力需要對外面的信息了如指掌,切記“盲人摸象”,所以建立有效的監(jiān)控和感知體系是實現(xiàn)安全管控措施是不可少的環(huán)節(jié),更是安全防護體系策略落地的基礎(chǔ)條件。
11. 防火防盜,防緊急事件
就像前面說的一樣,在安全攻防動態(tài)的過程中,可能很難100%的防御住所有的安全事件,也就是說,要為可能突發(fā)的安全事件準備好應急策略,在安全事件發(fā)生后,要通過組織快速響應、標準化的應急響應流程、規(guī)范的事件處置規(guī)范來降低安全事件發(fā)生的損失。
最后,由于此前雷鋒網(wǎng)曾從某安全企業(yè)獲悉:他們預測,在2017年,由于大量企業(yè)轉(zhuǎn)向基于云的存儲和服務(wù),云正在成為網(wǎng)絡(luò)攻擊者獲利的攻擊目標,勒索軟件將對云實施攻擊。阿里云怎么看待這種趨勢?
正禾認為,不同的勒索軟件攻擊方式不一樣,從目前掌握的勒索樣本來看,跟勒索個人PC的方式不同的是,云上儲存的主要是為企業(yè)服務(wù)端的應用數(shù)據(jù),大部分入侵還是利用弱口令、軟件程序漏洞實現(xiàn)獲取操作系統(tǒng)最高權(quán)限,然后成功運行勒索程序并上傳私鑰到遠端服務(wù)器端(上傳協(xié)議主要為 http),成功對文件進行全盤加密。
云端和非云端都會有一樣的機率被勒索,一個企業(yè)或用戶是否被勒索跟云和非云環(huán)境沒有必然聯(lián)系,只要在互聯(lián)網(wǎng)的環(huán)境下,且滿足勒索攻擊者的攻擊條件,就會有被勒索的可能性。
不過,云計算服務(wù)提供商相比傳統(tǒng)IDC廠商,提供了基礎(chǔ)防御能力。但是,從效果來考慮,仍然需要進一步強化不同層面的防護能力,以應對復雜多變的外部安全威脅,從業(yè)界來看,短時間內(nèi),隨著業(yè)務(wù)的遷移,勒索事件可能會有一定程度的上升或轉(zhuǎn)移,但隨著對安全的重視程度和資源投入,勒索事件將會被控制。
那么,如果用戶數(shù)據(jù)備份在云端,勒索軟件同時云平臺進行攻擊,用戶的數(shù)據(jù)會遭殃嗎?云上、線下同時備份會更加有效防止數(shù)據(jù)丟失嗎?
正禾說:
在云上備份數(shù)據(jù)有很多方式,例如:可以備份在OSS、NAS,這些云服務(wù)器不提供惡意軟件運行環(huán)境,所以也就無法被再次利用,能夠確保用戶備份數(shù)據(jù)的安全性。事實上,多重的備份方式會增加更高的可靠性,我們也是建議用戶使用本地備份和異地本分方式相結(jié)合,防止備份單點。
同時,需要指出的是——現(xiàn)在很多安全公司和專家對勒索軟件提出的防范建議都是以預防為主,包括正禾提出的建議。萬一不幸沒防住。有沒有一些“事后”措施,比如攻防對抗,迅速解密勒索軟件?
正禾對雷鋒網(wǎng)強調(diào)的是:
目前已經(jīng)支持對部分類型勒索軟件的數(shù)據(jù)進行解密。但還是需要建立牢固的安全防御體系,提高攻擊者門檻。
京公網(wǎng)安備 11010502049343號