美国管道袭击总结——勒索病毒的“自救指南”
作者:星期五, 五月 21, 20210

当地时间5月9日,美国政府宣布美国17个州和华盛顿特区进入紧急状态,原因是运送约45%东海岸成品油燃料的Colonial Pipeline(殖民地)管道由于勒索软件攻击而在周末全线关闭。

据知情人士透露,该攻击由DarkSide勒索软件团伙发起,该组织在周四在两个小时内就从Colonial公司网络中窃取了近100 GB数据。时至今日,大家对于勒索软件攻击早已不感到陌生。仅在过去一年,全球勒索软件攻击次数就增长150%以上,能源行业因此也遭受了较大打击。

美国管道袭击事件,再次引发对网络安全的探讨,互联网服务的普及,给工作和生活带来便利的同时也不可避免的增加了个人资料和个人隐私泄密的风险。不断频发的勒索软件攻击,是时候给基础架构安全补课了!

什么是勒索病毒?

勒索病毒是黑客围绕锁屏、加密文件、转移数据等操作手法劫持用户数据,并以此敲诈用户使其支付赎金的恶意软件的统称。

勒索病毒对源文件破坏的方式有三种:

  • 一是加密文件直接覆盖源文件;
  • 二是将数据加密后删除原文件;
  • 三是对原来文件重命名防止数据被恢复。

另外,被加密文件的算法多采用非对称加密算法或者对称与非对称混合加密。这导致被勒索数据在没有备份的情况下,恢复和解密都很难。

其次,勒索病毒的变种类型非常之多,而且类型变化也很快,因此常规的杀毒软件很难发现,从近期的数据来看,比较常见的攻击样本有exe、js、vbe以及wsf等类型。

往常常规的传播手段分多为以下6个方向:弱口令攻击、U盘蠕虫、软件供应链攻击、系统/软件漏洞、无文件攻击、等形式。但,近两年我们看到RDP 爆破、邮件钓鱼等手段的使用率在逐年增加。

勒索病毒攻击对象一般分为两种,一部分是针对企业用户,另部分是针对所有用户(不区分个人和企业)。由于个人用户索取利益有限,近两年针对企业的勒索攻击呈上升趋势。

据相关报告披露:上半年勒索病毒的主要特征表现为针对企业定向攻击、以RDP爆破为主、利用漏洞进行攻击 、攻击工具服务化。

从攻击过程看一般为:入侵——扩散——盗窃——勒索四个步骤。

第一步:入侵

惯用手法:RDP爆破、SQL弱口令爆破,网络钓鱼,恶意电子邮件(包括垃圾邮件广撒网与精准定向投放)及恶意附件投递(包括Office漏洞、Flash漏洞、PDF阅读器漏洞等),高危漏洞利用,无文件攻击等。也有部分勒索黑客会利用僵尸网络控制的肉鸡渠道分发。

第二步:扩散

勒索黑客入侵某一台主机之后,往往并不立即运行勒索病毒,而是尽可能的利用各种攻击手法在目标网络横向扩散以增加受控主机数量。勒索黑客在此阶段会通过下载各种攻击工具包,包括流行漏洞利用工具、密码提取工具、远程控制木马或后门、下载密码字典继续使用爆破入侵等等。

第三步:盗窃攻击者会遍历已攻陷主机数据,筛选最有价值的攻击对象,窃取受控主机数据。

第四步:勒索

下载一种或多种勒索病毒运行,瘫痪目标网络,留下勒索信件,在暗网渠道发布失陷企业数据,实施勒索。

勒索病毒防护

勒索病毒一般需要连接到黑客的C&C服务器来进行本地信息的上传和加密,因此建议用户及时做好漏洞修复、采用高强度密码、定期备份重要资料、关闭不必要的网络端口和不必要的文件共享、访问权限控制、安装专业杀毒软件并及时更新等基础工作,这样可以极大地降低我们的计算机被植入勒索病毒的风险。

以上为简单的勒索病毒防护手段,以下从安全管理、系统安全防护、办公数据防护三个层面详细说明一些常用的勒索病毒预防措施。

安全管理

加强安全意识工作,定期进行安全培训,日常安全管理可参考“三不三要”思路:

  • 不上钩:标题吸引人的未知邮件不要点开
  • 不打开:不随便打开电子邮件附件
  • 不点击:不随意点击电子邮件中附带网址
  • 要备份:重要资料要备份
  • 要确认:开启电子邮件前确认发件人可信
  • 要更新:系统补丁/安全软件病毒库保持实时更新

系统安全防护

系统安全是做好基础结构安全的基石,实战化运行实现体系化、常态化运营的核心方法,要建好基石。

  • 首先要盘清资产,在此基础上,实现对资产的全面纳管;
  • 其次,通过资产纳管,进而真正实现对资产安全的全程掌控,包括了从发现资产,到使用资产,以及资产变更等各种场景,以及在这些状态下的风险全面掌控。
  • 第三,掌控风险是为了驱动处置工作,包括系统加固、漏洞修复,以及其他各种手段,提升整个信息化系统的基础架构安全性,形成真正的内生安全。

最后,通过盘点资产、纳管资产、掌控风险、数据驱动、安全运行等层层递进的工作,帮助客户在数字化运营时,建立时刻保持最佳安全状况的信息化底座。

办公数据的安全防护

办公数据的安全防护应按照“预防在先、备份为主、机制为辅”原则进行,做到以下几点。

1)网络系统安全

在条件允许条件下,建立物理隔离和完善的病毒检测与防范安全体系是非常重要的,在办公自动化网络和外网之间实施物理隔离,防止互联网用户,特别是黑客远程对办公自动化数据库非法访问和入侵,同时也最大限度的避免了互联网上日益泛滥的各种病毒对办公自动化数据库的攻击和破坏。加强服务器、光缆、磁带机等设备的维护和检修,使其处于良好的状态。

2)软件上的预防措施

安装适用于局域网、广域网的全方位防杀病毒以及木马等黑客程序的产品,包括防病毒和黑客软件,全面监控和防杀各种途径进人网络的病毒、黑客。同时,防杀病毒软件要注意及时进行升级和更新,不然很可能对病毒失效,失去对网络的有效防护。

在服务器设置访问密码和身份认证措施。系统中的重要数据在数据库中应有加密和验证措施。有明确的授权策略,保证用户只能打开自己权限范围之内的文件。并通过软件强制实现各客户机口令的定期更换,以防止口令泄漏可能带来的损失。

3)操作管理

通过身份识别来控制操作权限。通过超级用户的管理,不同人员可以获得不同的操作权限,而未经授权的无关人员不能通过网络访问服务器上的资源。此外还应确保闲杂人员在任何时候都不得上机操作,不允许自行安装游戏,也不得操作未经安全检测的外来软盘、光盘等。

4)重要数据定期备份

对数据库数据库等关键数据进行定期的备份,最好是进行远程异地的备份。建议设置自动定时备份或者全量备份、增量备份。


相关文章