1
12月7日,对于吃瓜群众而言,可能是某个人的生日,或者就是个平常的日子。但对由中国人开设的富帝银行(列支敦士登)的大量客户而言,包括德国和其他地方的政治人物、演员和有钱人,这是一个交付赎金的最后通牒日期。
“要么给钱,要么撕票。”这是绑匪的常用语,不要问雷锋网怎么知道,电视剧都是这么演的。
但是,对于特殊的“银行劫匪”——黑客,尤其是使用“勒索软件”大招的黑客而言,下面这招有点狠——“要么给钱,要么我就把你们这些客户中偷税、漏税的信息告诉媒体和政府了。”更狠的是,“绑匪”要求中招的账户支付的金额是帐户余额的10%,当然还是老规矩,用比特币!
这意味着,越有钱,被宰得越狠。
虽然,目前并没有获得其中一些银行客户的反馈,不过可以肯定的是,肯定有人不声不响地就把赎金交了。
关于勒索软件,一旦中招,FBI 和国内的网络安全专家都曾说过:你只能乖乖认输,要么就去交钱,要么就不要这些数据或文件了。最惨的结果是,就算你交了钱,数据和钱都没了(有没有点绑匪的职业道德)。
遭遇勒索软件,除了交赎金,还能怎么办?
在探索这个终极目标前,先来聊点关于勒索软件你可能不知道的事儿。
轻轻的,我走了,正如我轻轻的来。
勒索软件也有这么“浪漫”。
勒索软件专门以用户文件为攻击目标,同时会避免破坏系统文件。你以为它这么好心是因为黑客还残存一丝善良?图样图森破。
赤裸裸的现实是,黑客这么做的原因,一方面是为了确保用户会收到相关的通知,以告知他们的文件所遭到的攻击,另一方面,用户也能够通过一定的方法支付赎金以取回他们的文件。
对文件进行加密后,此类恶意软件通常会自我删除,并留下某种形式的文档 —— 这个文档会指示受害者如何支付赎金,并重新获得对加密文件的访问权限。某些“变体”还会向受害者设定支付时限,并威胁如果在此时限之前未收到付款,则将删除密钥/解密工具,否则则会增加赎金的价格。
勒索软件怎么入侵你的电脑?此前,雷锋网的读者表示,就是一脸懵x地打开了电脑,就发现着了勒索木马的道,没有一丝丝防备,后来发现,是因为登陆了有挂马的仿冒网站。
除了打开挂马的网站会中招,还有哪些坑不要踩?雷锋网宅客频道向阿里云安全专家正禾打听到以下信息:勒索软件还可能通过漏洞攻击包、水坑式攻击、恶意广告,或者大规模的网络钓鱼活动找到你。
一旦发送成功,勒索软件一般通过某种嵌入式文件扩展名列表来识别用户文件和数据。勒索软件还会通过编程,避免影响某些系统目录(例如 Windows 系统目录或某些程序文件目录),以确保负载运行结束后,系统仍然保持稳定,以使客户能够支付赎金。
中招之后,大部分主流格式的文件都会被“袭击”。
回溯一下,方法好像都懂,但勒索软件如何做到没有一丝防备,悄无声息地潜进来?正禾揭秘,
一组熟练的、以获取赎金为目标的攻击者,一直在收集一家大型公司的相关信息,准备对其发动攻击。机会出现了,攻击者获得了对其网络的初始访问权限。攻击者现在需要升级其授权,并确定网络中的关键目标,他们需要取得对这些目标的控制,这样一来,受害者支付赎金的可能性就会增加。
如上图所示,攻击者正在尝试利用系统中的本地功能以在目标网络里逐步渗透,同时降低被发现的风险。在许多操作系统里,攻击者可以利用很多的远程访问工具,从而在系统间逐步渗透。使用本地工具进行逐步渗透,不会向磁盘引入任何内容,并且也不会被视为异常操作,这就降低了人们发现攻击者的可能性。
一旦勒索软件发动攻击,并攻击成功,损失几乎是无法阻挡的。
但是,到底要不要支付赎金,这是一个问题。
正禾告诉雷锋网,如果不支付赎金,那么恢复数据就需要很高的成本。安全和 IT 员工需要全天候进行工作,将系统恢复至运行状态,这个过程中需要支出设备、运营成本等。
如果数据恢复成本大于赎金成本,那么受害组织很有可能会付钱。 否则攻击者会“撕票”,然而这里面也可能会有支付完赎金被骗的情况发生。
看上去好像都很悲剧。
比较简便的方式是,正禾给了一个流程图,让你判断是否需要支付赎金。
当然,土豪可以毫不犹豫地“视金钱如粪土”,直接选择付款。
除了缴纳赎金,还能怎么办?
一个有意思的比喻是——
就像是打仗时,士兵攻城一样。勒索软件的攻击者,会最先攻陷那些没有坚实外壳的系统,完成初始访问。当第一步攻陷行动完成,如果“城墙”内没有安全策略,威胁就会逐渐渗透到内部,以入侵重要的资产或数据,这是攻击的第二步。如果受害者还不留神,“允许”了权限升级,攻击就会最终得逞,造成无法挽回的危害。
正禾认为,“纵深防御”或许可以把危机挡在门外,而不是引狼入室,让恶意软件对你或者企业造成实际损失。以下为正禾提出的具体建议:
数据备份和恢复措施是发生被勒索事件挽回损失的重要工作,因此,将此关键措施放在第一位。面对攻击者的赎金勒索,需要清晰的了解并考虑以下点:
当系统遭到彻底破坏的时候,受害组织在多大程度上能够接受数据的丢失?
本地备份是否可用,或者异地备份的内容是否都被删除或以其他的方式导致不可用?
如果本地备份介质的内容被删除或不可使用,异地的备份是否可用? 异地备份频率如何?每周一次?每半个每月一次?每月一次?
是否定期验证过备份内容的有效性?数据是否可以正常使用?
是否数据应急恢复流程或手册?
备份恢复是企业的最后一道防线,在最坏的情况下,它将是最后的堡垒,而企业需要建不定期地进行数据备份策略,以确保在最坏的情况有备份措施。
如果企业的业务在云上,可以使用不同方式的备份方法来解决数据备份问题,以确保在发生勒索事件后,尽可能的挽回损失。
云上针对租户账号提供账号登录双因素验证机制 (MFA) 、密码安全策略、和审计功能,企业可以方便地在自己的云上界面中启用和关闭,以确保云服务账号的安全性。
针对组织内部多角色场景,企业需要使用 RAM 服务为不同角色合理分配账号并授权,以防止在运维管理活动中,出现意外操作而导致的安全风险。
企业可以采用如下两种方式,来阻止攻击进入系统的“第一道门”:
发现并修复业务系统存在的漏洞;
或者拒绝点击网络钓鱼等不明恶意链接和邮件/社交工程。如果攻击者在目标网络无法轻易地建立初始访问,那么攻击者更可能转向其他较为容易进攻的目标。攻击者也希望花费尽可能少的代价来取得相应的收益。如果无法轻易地建立初始访问,这会增加他们寻找其他更容易进攻目标的可能性。
高性能、具有冗余的基础架构能力是保障业务强固的基础条件,在云环境下,可以通过 SLB 集群的方式搭建高可用架构,当出现某一个节点发生紧急问题时,可以有效避免单点故障问题,防止业务中断的前提下,也可以防止数据丢失。
在资源允许的条件下,企业或组织可以搭建同城或异地容灾备份系统,当主系统出现发生勒索事件后,可以快速切换到备份系统,从而保证业务的连续性。
对于大部分企业网络而言,它们的网络安全架构是“一马平川”的,在业务块之前,很少有业务分区分段。但随着业务的增长和扩容,一旦发生入侵,影响面会是全局的。在这种情况下,通过有效的安全区域划分、访问控制和准入机制可以防止或减缓渗透范围,可以阻止不必要的人员进入业务环境。
例如:可以限制 ssh、RDP 业务管理源地址、对数据库连接源IP进行访问控制,实现最小化访问范围,仅允许授信人员访问,并对出口网络行为实时分析和审计。具体可以从以下几个方面实施:
推荐使用更安全的VPC网络;
通过VPC和安全组划分不同安全等级的业务区域,让不同的业务处在不同的隔离空间;
配置入口/出口过滤防火墙策略,再次强调 -入口和出口均需进行过滤。主机彼此之间应当不能通过 SMB(139/tcp、445/tcp) 进行通信。如果设置了文件服务器,实际上就不需要进行这种通信。如果企业可以有效地禁用主机间的 SMB 通信,企业就可以防止攻击者使用“通过散列表”所进行的逐步渗透。SMB 通讯应仅限于应用分发平台,文件共享和/或域控制器。
端口扫描可以用来检验企业的弱点暴露情况。
如果企业有一些服务连接到互联网,需要确定哪些业务是必须要发布到互联网上,哪些是仅内部访问,当公共互联网的服务数量越少,攻击者的攻击范围就越窄,从而遭受的安全风险就越小。
企业公司 IT 管理人员需要定期对业务软件资产进行安全漏洞探测,一旦确定有公开暴露的服务,应使用漏洞扫描工具对其进行扫描。尽快修复扫描漏洞,同时日常也应该不定期关注软件厂商发布的安全漏洞信息和补丁信息,及时做好漏洞修复管理工作。
制定并遵循实施IT软件安全配置,对操作系统和软件初始化安全加固,同时并定期核查其有效性;
为Windows操作系统云服务器安装防病毒软件,并定期更新病毒库;
确保定期更新补丁;
确保开启日志记录功能,并集中进行管理和审计分析;
确保合理的分配账号、授权和审计功能,例如:为服务器、RDS数据库建立不同权限账号并启用审计功能,如果有条件,可以实施类似堡垒机、VPN等更严格的访问策略。
确保实施强密码策略,并定期更新维护,对于所有操作行为严格记录并审计;
确保对所有业务关键点进行实时监控,当发现异常时,立即介入处理。
大部分安全问题由于程序员的不谨慎或无意识的情况下埋下了安全隐患,代码的安全直接影响到业务的风险,根据经验来看,代码层的安全需要程序员从一开始就需要将安全架构设计纳入到整体软件工程内,按照标准的软件开发流程,在每个环节内关联安全因素。以下是基于软件开发流程将安全管控点落实到流程中的最佳实践:
[SDL流程]
对于一般的企业来说,需要重点关注开发人员或软件服务提供上的安全编码和安全测试结果,尤其是对开发完毕的业务代码安全要进行代码审计评估和上线后的黑盒测试(也可以不定期的进行黑盒渗透测试)。
安全是动态的对抗的过程,就跟打仗一样,在安全事件发生之前,要时刻了解和识别外部不同各类风险,所以做安全的思路应该从防止安全入侵这种不可能的任务转到了防止损失这一系列的关键任务上。
防范措施必不可少,但是基于预警、响应的时间差也同样关键。而实现这种快速精准的预警能力需要对外面的信息了如指掌,切记“盲人摸象”,所以建立有效的监控和感知体系是实现安全管控措施是不可少的环节,更是安全防护体系策略落地的基础条件。
就像前面说的一样,在安全攻防动态的过程中,可能很难100%的防御住所有的安全事件,也就是说,要为可能突发的安全事件准备好应急策略,在安全事件发生后,要通过组织快速响应、标准化的应急响应流程、规范的事件处置规范来降低安全事件发生的损失。
最后,由于此前雷锋网曾从某安全企业获悉:他们预测,在2017年,由于大量企业转向基于云的存储和服务,云正在成为网络攻击者获利的攻击目标,勒索软件将对云实施攻击。阿里云怎么看待这种趋势?
正禾认为,不同的勒索软件攻击方式不一样,从目前掌握的勒索样本来看,跟勒索个人PC的方式不同的是,云上储存的主要是为企业服务端的应用数据,大部分入侵还是利用弱口令、软件程序漏洞实现获取操作系统最高权限,然后成功运行勒索程序并上传私钥到远端服务器端(上传协议主要为 http),成功对文件进行全盘加密。
云端和非云端都会有一样的机率被勒索,一个企业或用户是否被勒索跟云和非云环境没有必然联系,只要在互联网的环境下,且满足勒索攻击者的攻击条件,就会有被勒索的可能性。
不过,云计算服务提供商相比传统IDC厂商,提供了基础防御能力。但是,从效果来考虑,仍然需要进一步强化不同层面的防护能力,以应对复杂多变的外部安全威胁,从业界来看,短时间内,随着业务的迁移,勒索事件可能会有一定程度的上升或转移,但随着对安全的重视程度和资源投入,勒索事件将会被控制。
那么,如果用户数据备份在云端,勒索软件同时云平台进行攻击,用户的数据会遭殃吗?云上、线下同时备份会更加有效防止数据丢失吗?
正禾说:
在云上备份数据有很多方式,例如:可以备份在OSS、NAS,这些云服务器不提供恶意软件运行环境,所以也就无法被再次利用,能够确保用户备份数据的安全性。事实上,多重的备份方式会增加更高的可靠性,我们也是建议用户使用本地备份和异地本分方式相结合,防止备份单点。
同时,需要指出的是——现在很多安全公司和专家对勒索软件提出的防范建议都是以预防为主,包括正禾提出的建议。万一不幸没防住。有没有一些“事后”措施,比如攻防对抗,迅速解密勒索软件?
正禾对雷锋网强调的是:
目前已经支持对部分类型勒索软件的数据进行解密。但还是需要建立牢固的安全防御体系,提高攻击者门槛。
雷峰网原创文章,未经授权禁止转载。详情见转载须知。