勒索软件安全防护手册

最新推荐文章于 2024-06-27 16:03:43 发布

亦风亦尘

最新推荐文章于 2024-06-27 16:03:43 发布

阅读量1.4k

点赞数 27

分类专栏：网络安全文章标签：勒索软件勒索病毒网络安全网络安全应急预案解密工具

本文链接：https://blog.csdn.net/lschou/article/details/138191768

版权

网络安全专栏收录该内容

34 篇文章 3 订阅

订阅专栏

文章目录

勒索软件概述

典型勒索软件包括文件加密、数据窃取、磁盘加密等类型，攻击者主要通过钓鱼邮件、网页挂马等形式传播勒索软件，或利用漏洞、远程桌面入侵等发起攻击，植入勒索软件并实施勒索行为。

勒索软件主要类型

文件加密类勒索软件

该类勒索软件以RSA、AES等多种加密算法对用户文件进行加密，并以此索要赎金，一旦感染，极难恢复文件。该类勒索软件以 WannaCry为代表，自2017年全球大规模爆发以来，其通过加密算法加密文件，并利用暗网通信回传解密密钥、要求支付加密货币赎金等隐蔽真实身份的勒索软件攻击模式引起攻击者的广泛模仿，文件加密类已经成为当前勒索软件的主要类型。

数据窃取类勒索软件

该类勒索软件与文件加密类勒索软件类似，通常采用多种加密算法加密用户数据，一旦感染，同样极难进行数据恢复，但在勒索环节，攻击者通过甄别和窃取用户重要数据，以公开重要数据胁迫用户支付勒索赎金。

系统加密类勒索软件。

该类勒索软件同样通过各类加密算法对系统磁盘主引导记录、卷引导记录等进行加密，阻止用户访问磁盘，影响用户设备的正常启动和使用，并向用户勒索赎金，甚至对全部磁盘数据进行加密，一旦感染，同样难以进行数据恢复。例如，2016 年首次发现的 Petya 勒索软件，对攻击对象全部数据进行加密的同时，以病毒内嵌的主引导记录代码覆盖磁盘扇区，直接导致设备无法正常启动。

屏幕锁定类勒索软件

该类勒索软件对用户设备屏幕进行锁定，通常以全屏形式呈现涵盖勒索信息的图像，导致用户无法登录和使用设备，或伪装成系统出现蓝屏错误等，进而勒索赎金，但该类勒索软件未对用户数据进行加密，具备数据恢复的可能。例如，WinLock 勒索软件通过禁用Windows系统关键组件，锁定用户设备屏幕，要求用户通过短信付费的方式支付勒索赎金。

勒索软件典型传播方式

利用安全漏洞传播

攻击者利用弱口令、远程代码执行等网络产品安全漏洞，攻击入侵用户内部网络，获取管理员权限，进而主动传播勒索软件。目前，攻击者通常利用已公开且已发布补丁的漏洞，通过扫描发现未及时修补漏洞的设备，利用漏洞攻击入侵并部署勒索软件，实施勒索行为。

利用钓鱼邮件传播

攻击者将勒索软件内嵌至钓鱼邮件的文档、图片等附件中，或将勒索软件恶意链接写入钓鱼邮件正文中，通过网络钓鱼攻击传播勒索软件。一旦用户打开邮件附件，或点击恶意链接，勒索软件将自动加载、安装和运行，实现实施勒索软件攻击的目的。

利用网站挂马传播

攻击者通过网络攻击网站，以在网站植入恶意代码的方式挂马，或通过主动搭建包含恶意代码的网站，诱导用户访问网站并触发恶意代码，劫持用户当前访问页面至勒索软件下载链接并执行，进而向用户设备植入勒索软件。

利用移动介质传播

攻击者通过隐藏U 盘、移动硬盘等移动存储介质原有文件，创建与移动存储介质盘符、图标等相同的快捷方式，一旦用户点击，自动运行勒索软件，或运行专门用于收集和回传设备信息的木马程序，便于未来实施针对性的勒索软件攻击行为。

利用软件供应链传播

攻击者利用软件供应商与软件用户间的信任关系，通过攻击入侵软件供应商相关服务器设备，利用软件供应链分发、更新等机制，在合法软件正常传播、升级等过程中，对合法软件进行劫持或篡改，规避用户网络安全防护机制，传播勒索软件。

利用远程桌面入侵传播

攻击者通常利用弱口令、暴力破解等方式获取攻击目标服务器远程登录用户名和密码，进而通过远程桌面协议登录服务器并植入勒索软件。同时，攻击者一旦成功登录服务器，获得服务器控制权限，可以服务器为攻击跳板，在用户内部网络进一步传播勒索软件。

典型勒索软件攻击流程

聚焦勒索软件攻击链，近期勒索软件攻击团伙在成功实施网络攻击入侵的基础上，植入勒索软件并实施勒索行为，其典型攻击流程主要包括探测侦察、攻击入侵、病毒植入、实施勒索4个阶段。

1. 探测侦察阶段

（1）收集基础信息。 攻击者通过主动扫描、网络钓鱼以及在暗网黑市购买等方式，收集攻击目标的网络信息、身份信息、主机信息、组织信息等，为实施针对性、定向化的勒索软件攻击打下基础。

（2）发现攻击入口。 攻击者通过漏洞扫描、网络嗅探等方式，发现攻击目标网络和系统存在的安全隐患，形成网络攻击的突破口。此外，参照勒索软件典型传播方式，攻击者同样可利用网站挂马、钓鱼邮件等方式传播勒索软件。

2. 攻击入侵阶段

（1）部署攻击资源。 根据发现的远程桌面弱口令、在网信息系统漏洞等网络攻击突破口，部署相应的网络攻击资源，如 MetaSploit、CobaltStrike、RDP Over Tor 等网络攻击工具。

（2）获取访问权限。 采用合适的网络攻击工具，通过软件供应链攻击、远程桌面入侵等方式，获取攻击目标网络和系统的访问权限，并通过使用特权账户、修改域策略设置等方式提升自身权限，攻击入侵组织内部网络。

3. 病毒植入阶段

（1）植入勒索软件。 攻击者通过恶意脚本、动态链接库 DLL 等部署勒索软件，并劫持系统执行流程、修改注册表、混淆文件信息等方式规避安全软件检测功能，确保勒索病毒成功植入并发挥作用。

（2）扩大感染范围。 攻击者在已经入侵内部网络的情况

下，通过实施内部鱼叉式网络钓鱼、利用文件共享协议等方式在攻击目标内部网络横向移动，或利用勒索软件本身类蠕虫的功能，进一步扩大勒索软件感染范围和攻击影响。

4. 实施勒索阶段

（1）加密窃取数据。 攻击者通过运行勒索软件，加密图像、视频、音频、文本等文件以及关键系统文件、磁盘引导记录等，同时根据攻击目标类型，回传发现的敏感、重要的文件和数据，便于对攻击目标进行勒索。

（2）加载勒索信息。 攻击者通过加载勒索信息，胁迫攻击目标支付勒索赎金。通常勒索信息包括通过暗网论坛与攻击者的联系方式、以加密货币支付赎金的钱包地址、支付赎金获取解密工具的方式等。

安全防护框架

由于不同的安全防护措施在勒索软件攻击的不同阶段发挥不同程度的作用，通过梳理勒索软件典型安全防护措施，按照核心防护措施（●）、重要防护措施（◎）、一般防护措施（○），与勒索软件攻击的4个阶段形成映射关系，构建形成勒索软件攻击安全防护框架。可根据自身情况，选择恰当的防护措施，防范化解勒索软件攻击风险。

核心防护措施

核心防护措施在特定勒索软件攻击阶段发挥核心防护作用，有效阻断勒索软件攻击行为或全面消除勒索软件攻击引发的特定影响等。例如，数据备份、数据恢复主要针对勒索软件攻击实施勒索的阶段，通过攻击前备份数据、攻击后恢复数据，消除由于勒索软件加密、窃取数据，引发数据丢失，甚至是业务中断等方面的攻击影响。

重要防护措施

重要防护措施在特定勒索软件攻击阶段发挥重要防护作用，但与核心防护措施相比，未能发挥全面防范应对勒索软件攻击的效果。例如，采取恰当的安全管理措施，如严格的网络隔离、访问控制等，在攻击者获取访问权限实施攻击入侵方面发挥核心防护作用，但在侦察探测的收集基础信息攻击阶段，攻击者可能采取主动网络探测、暗网黑市购买等多种方式，安全管理在该阶段未能发挥全面防范应对的效果，发挥重要防护作用。

一般防护措施

一般防护措施在特定勒索软件攻击阶段发挥一般的防护作用，但与核心防护措施和重要防护措施相比，仅能在一定程度上发挥防范应对勒索软件攻击的效果。例如，制定应急预案主要针对攻击者已经开始实施勒索软件攻击，明确应急处置机制、流程等，在已经发现遭受勒索软件攻击的情况，启动预案并采取措施应对攻击风险，但在勒索软件攻击发生前，安全防护措施主要以事前防范为主，因此制定应急预案在攻击者正式实施攻击前发挥一般防护作用。

防范勒索攻击建议与思考

由于勒索攻击具有高强度加密算法的难破解性,勒索赎金数字货币交易方式的隐蔽性无论是政府机构还是企业，一旦遭遇网络勒索攻击，其损失和后果则都是不可预知的，因此，防范勒索攻击的重点应在事前防御环节而不是放在遭受攻击后的解密环节。从企业和个人层面看，防范勒索攻击需要提升网络安全能力、进行数据备份、提高人员意识等多个方面，从总体上不断提升安全防护能力，不给勒索攻击以可乘之机。

聚焦安全前沿技术，提高防护能力

从技术层面讲，网络安全的前沿技术，如云原生安全、零信任等，可以及时检测到风险、更早识别勒索攻击。

构建云上安全，提升安全防御能力

产业互联网时代，企业在应对勒索攻击时，数据备份和恢复的重要性进一步凸显。云原生安全所具备的开箱即用、自适应等显著优势，将成为保障云平台和云上业务安全的重要基础。

通过零信任，降低被攻击风险

零信任假定所有身份、设备和行为都是不安全的，即使曾经有过被“信任”的经历，也要一视同仁，在接入时需要进行全程安全验证和检查。攻击者使用窃取到的账号信息登录VPN 或其他内部业务平台时，由于零信任采用多因子用户验证(即只有账号密码还不够，需要配合短信验证码、token、人脸识别等)，即使攻陷了企业的一台服务器，也无法致使勒索攻击扩散到其他服务器。零信任体系还能有效阻止黑客入侵后在内网扩散。攻击者可能控制某些脆弱的单点，当其通过已攻击的终端向网络内部更重要系统渗透时，零信任的安全机制可以及时检测到风险，从而帮助企业将风险控制在最小限度，不至于发生全网崩溃的严重后果。