安全419了解到,國内老牌安全廠商——瑞星公司日前正式發布《勒索軟件綜合報告》,報告内容涵蓋了勒索軟件曆史發展、勒索軟件分類及加密技術分類、主要攻擊手法、典型家族等内容,并在如何防範勒索軟件攻擊方面提供了相關建議,同時對未來的趨勢也做了分析,對于企業了解勒索軟件攻擊有着一定的參考意義和價值。
首個勒索軟件距今已有33年曆史 2016年被認為是勒索軟件元年報告指出,勒索軟件攻擊雖然在近些年來極受關注,但其曆史卻可以追溯至上個世紀80年代。據了解,第一個已知的勒索軟件——AIDS(PC Cybog)于1989年由哈佛大學畢業的Joseph Popp創建,是一種替換Autoexe.bat文件的特洛伊木馬。2005年,開始i出現加密用戶文件的木馬程序,并能夠在加密文件目錄下用于勒索的txt文件,要求受害者購買解密程序,當時能夠加密的文件種類還不算非常豐富,主要包括.doc、.xls、.html、.jpg等,同時還可以對zip以及rar文件進行加密;2006年,名為Archievus的勒索軟件出現,這是首個使用RSA加密算法的勒索軟件。在同一年,中國也出現了首個勒索軟件木馬程序Redplus。
第一個已知的勒索軟件——AIDS
當時間進入到21世紀的第二個十年,勒索軟件的發展速度明顯加快。2013年,Cryptolocker出現,并支持通過比特币的方式支付贖金;2015年,勒索軟件即服務(RaaS)出現,勒索軟件成為一種所謂“商業化”服務的形式開始出現;2016年,報告稱這一年被認為是勒索軟件元年,也是勒索軟件在整個全球範圍内極為活躍的首個鼎盛時期,由多個勒索軟件導緻的損失超過了10億美元;2017年,一個裡程碑級别的勒索軟件WannaCry影響了多達150個國家,包括英、美等在内的99個國家遭到了直接攻擊。
在具體的勒索軟件家族方面,報告列出了比較典型的12個,除了較早出現的CrySiS、WannaCry之外,還包括Globelmposter、Phobos、GrandCrab,其餘的則是近年來經常登上各媒體安全頭條的名字,如LockBit、Maze、DarkSide、Makop、BlackCat、Hive以及BlackBasta。
RDP弱口令攻擊是最常用攻擊手法之一報告指出,RDP爆破、釣魚郵件以及漏洞攻擊是勒索軟件攻擊的三大常用手法。其中RDP弱口令攻擊由于其簡便以及對開放遠程端口的弱密碼設備攻擊成功率高,而成為攻擊者最為熱衷使用的方式之一。
RDP弱口令攻擊是攻擊者最為熱衷使用的方式之一
在防範應對此類攻擊手法方面,瑞星強調了最小化授權以及多因素認證的重要性。報告指出,需限制可使用RDP的用戶,遠程訪問的授權應僅限于必須依靠其來執行工作的人員,而多因素認證也是進一步提升安全性的保障。
此外,報告還提出了以下幾點防護建議:
1、限制遠程桌面的訪問, 禁止非特定的 IP 地址訪問;
2、設置訪問鎖定的策略,如調整賬戶鎖定阈值與持續時間等,此舉目的在于防範攻擊者在一定時間内高頻使用暴破攻擊,同時登錄RDP需要高強度的密碼,降低弱口令攻擊成功的可能性;
3、減少不必要的RDP端口。确認RDP和業務的相關性,如果不需要則關閉,或限制在某些特定時間打開端口;
4、将默認的RDP端口更改為非标準的端口号,此舉可以減少部分惡意軟件對默認的特定端口發起直接攻擊;
5、定期的檢查RDP相關漏洞,并對于已知漏洞進行及時修複。
釣魚郵件攻擊可危及企業内部所有設備報告指出,通過釣魚郵件發起勒索軟件攻擊也較為常見,尤其是針對那些員工安全意識薄弱的企業,攻擊成功的概率很高,一旦勒索軟件在任意員工的主機上成功啟動,将會進一步危及企業網絡下的所有計算機,其後果不堪想象。
僞裝成韓國公平交易委員會向企業投遞釣魚郵件
針對此類攻擊手法的防範建議,瑞星給出的比較常規,如安裝殺毒軟件,關閉和業務無關的Office宏以及PowerShell腳本等,同時建議企業用戶的設備都開啟“顯示文件擴展名”的功能,以讓員工可以快速識别文件的類别。另外兩條建議則比較寬泛,就是不打開可疑郵件附件以及郵件中的可疑鍊接。
事實上,釣魚郵件的防範難度對于有經驗的安全人員而言并不高,但其最大的問題在于并不是所有的員工都可以達到安全人員的水平和能力。因此我們認為,對于有能力的企業,應建立防範釣魚郵件的相關制度,如指定安全責任人,在員工發現疑似釣魚郵件時可以及時反饋給相關責任人,以避免釣魚郵件攻擊或降低遭受進一步攻擊的可能性,将影響壓至盡可能低的水平。為了保證相關制度的有效性,還需提高員工的整體防範意識,如定期進行針對釣魚郵件相關的安全意識培訓,并應當考慮将其納入到新員工的入職培訓當中去。同時,為了進一步加強員工在面對真實釣魚郵件時的辨别能力,應酌情定期進行演練,以接近實戰的方式,讓員工切身體會釣魚郵件的形态及相關的攻擊方式,在提升員工實際應對能力的同時,也能檢驗整個企業在應對釣魚郵件時的能力。
通過漏洞發起勒索軟件攻擊或可引發軟件供應鍊安全危機至于漏洞攻擊,報告認為其傳播方式相比較RDP要更為複雜,并強調其需要穩定的0day或1day漏洞。比如近段時間在國内爆發出了某知名财務軟件爆發的大規模勒索軟件攻擊事件,由于其受影響軟件的用戶數量龐大,導緻其部分用戶受該事件影響而遭受攻擊,這種通過利用0day漏洞發起的勒索攻擊在攻擊的廣度、深度方面普遍更強,影響深遠。
值得警惕的是,由于操作系統和應用軟件的數量衆多,而版本數量更是龐大,在它們之中,難免存有漏洞。根據美安全托管運營服務商此前發布的研究報告顯示,2022年一季度勒索軟件相關漏洞數量增加7.6%,這一數字表明,通過漏洞發起勒索軟件攻擊的趨勢并不容樂觀。
而在防範此類攻擊手法方面,瑞星也給出了自己的建議,主要有以下幾點:
1、及時更新系統補丁;
2、部署網絡版安全軟件,實現對局域網中的設備統一安裝修複補丁;
3、在不影響業務的前提下,将危險性較高且容易被漏洞利用的端口修改為其他端口号,如139、445 端口等。如果不使用,可直接關閉高危端口以降低被攻擊的風險。
另外,報告還特别針對上述三種攻擊手法進行了案例展示,可供企業用戶參考。
談及未來趨勢,瑞星在報告中表示,近勒索軟件攻擊呈現出從以往單純加密用戶數據、勒索贖金解密進化為在攻擊過程中竊取企業隐私數據和商業信息,并以威脅公開企業内部數據的方式進行威脅的方式索取高額贖金。這種以發布企業隐私數據和商業信息的勒索方式造成的危害巨大,企業不僅要面臨數據洩露問題,還要面臨相關法規、财務和聲譽受損的影響,這大大增加了攻擊者勒索的成功率。
随着數字化轉型進程的不斷推進以及雲計算的廣泛應用和普及,勒索軟件攻擊組織、團夥也将會将目光轉移到這一領域,也将會成為未來勒索軟件攻擊的重要目标領域。
#網絡安全##勒索軟件攻擊#
,