勒索病毒概述
勒索病毒,是一种新型电脑病毒,该类型病毒的目标性强,主要以邮件为传播方式。勒索病毒文件一旦被用户点击打开,会利用连接至黑客的C&C服务器,进而上传本机信息并下载加密公钥。然后,将加密公钥写入到注册表中,遍历本地所 有磁盘中的Office 文档、图片等文件,对这些文件进行格式篡改和加密;加密完成后,还会在桌面等明显位置生成勒索提示文件,指导用户去缴纳赎金。该类型病毒可以导致重要文件无法读取,关键数据被损坏,给用户的正常工作带来了极为严重的影响。
勒索病毒的类型
- 文件加密类勒索病毒
该类勒索病毒以RSA、AES等多种加密算法对用户文件进行加密,并以此索要赎金,一旦感染,极难恢复文件。
- 数据窃取类勒索病毒
该类勒索病毒与文件加密类勒索病毒类似,通常采用多种加密算法加密用户数据,一旦感染,同样极难进行数据恢复,但在勒索环节,攻击者通过甄别和窃取用户重要数据,以公开重要数据胁迫用户支付勒索赎金。
- 系统加密类勒索病毒
该类勒索病毒同样通过各类加密算法对系统磁盘主引导记录、卷引导记录等进行加密,阻止用户访问磁盘,影响用户设备的正常启动和使用,并向用户勒索赎金,甚至对全部磁盘数据进行加密,一旦感染,同样难以进行数据恢复。
- 屏幕锁定类勒索病毒
该类勒索病毒对用户设备屏幕进行锁定,通常以全屏形式呈现涵盖勒索信息的图像,导致用户无法登录和使用设备,或伪装成系统出现蓝屏错误等,进而勒索赎金,但该类勒索病毒未对用户数据进行加密,具备数据恢复的可能。
传播方式
-
利用安全漏洞传播
攻击者利用弱口令、远程代码执行等网络产品安全漏洞,攻击入侵用户内部网络,获取管理员权限,进而主动传播勒索病毒。目前,攻击者通常利用已公开且已发布补丁的漏洞,通过扫描发现未及时修补漏洞的设备,利用漏洞攻击入侵并部署勒索病毒,实施勒索行为。
-
利用钓鱼邮件传播
攻击者将勒索病毒内嵌至钓鱼邮件的文档、图片等附件中,或将勒索病毒恶意链接写入钓鱼邮件正文中,通过网络钓鱼攻击传播勒索病毒。一旦用户打开邮件附件,或点击恶意链接,勒索病毒将自动加载、安装和运行,实现实施勒索病毒攻击的目的。
-
利用网站挂马传播
攻击者通过网络攻击网站,以在网站植入恶意代码的方式挂马,或通过主动搭建包含恶意代码的网站,诱导用户访问网站并触发恶意代码,劫持用户当前访问页至勒索病毒下载链接并执行,进而向用户设备植入勒索病毒。
-
利用移动介质传播
攻击者通过隐藏U盘、移动硬盘等移动介质原有文件,创建与移动存储介质盘符、图标等相同的快捷方式,一旦用户点击,自动运行勒索病毒,或运行专门用于收集和回传设备信息的木马程序,便于未来实施针对性的勒索病毒攻击行为。
-
利用软件供应链传播
攻击者利用软件供应商与软件用户间的信任关系,通过攻击入侵软件供应商相关服务器设备,利用软件供应链分发、更新等机制,在合法软件正常传播、升级等过程中,对合法软件进行劫持或篡改,规避用户网络安全防护机制,传播勒索病毒。
-
利用远程桌面入侵传播
攻击者通常利用弱口令、暴力破解等方式获取攻击目标服务器远程登录用户名和密码,进而通过远程桌面协议登录服务器并植入勒索病毒。同时,攻击者一旦成功登录服务器,获得服务器控制权限,可以服务器为攻击跳板,在用户内部网络进一步传播勒索病毒。
攻击流程
- 探测侦察阶段
(1)收集基础信息。攻击者通过主动扫描、网络钓鱼以及在暗网黑市购买等方式,收集攻击目标的网络信息、身份信息、主机信息、组织信息等,为实施针对性、定向化的勒索病毒攻击打下基础。(2)发现攻击入口。攻击者通过漏洞扫描、网络嗅探等方式,发现攻击目标网络和系统存在的安全隐患,形成网络攻击的突破口。此外,参照勒索病毒典型传播方式,攻击者同样可利用网站挂马、钓鱼邮件等方式传播勒索病毒。
- 攻击入侵阶段
(1)部署攻击资源。根据发现的远程桌面弱口令、在网信息系统漏洞等网络攻击突破口,部署相应的网络攻击资源,如MetaSploit、CobaltStrike、RDP Over Tor等网络攻击工具。(2)获取访问权限。采用合适的网络攻击工具,通过软件供应链攻击、远程桌面入侵等方式,获取攻击目标网络和系统的访问权限,并通过使用特权账户、修改域策略设置等方式提升自身权限,攻击入侵组织内部网络。
- 病毒植入阶段
(1)植入勒索病毒。攻击者通过恶意脚本、动态链接库 DLL 等部署勒索病毒,并劫持系统执行流程、修改注册表、混淆文件信息等方式规避安全软件检测功能,确保勒索病毒成功植入并发挥作用。(2)扩大感染范围。攻击者在已经入侵内部网络的情况下,通过实施内部鱼叉式网络钓鱼、利用文件共享协议等方式在攻击目标内部网络横向移动,或利用勒索病毒本身类蠕虫的功能,进一步扩大勒索病毒感染范围和攻击影响。
- 实施勒索阶段
(1)加密窃取数据。攻击者通过运行勒索病毒,加密图像 、视频、音频、文本等文件以及关键系统文件、磁盘引导记录等,同时根据攻击目标类型,回传发现的敏感、重要的文件和数据,便于对攻击目标进行勒索。(2)加载勒索信息。攻击者通过加载勒索信息,胁迫攻击目标支付勒索赎金。通常勒索信息包括通过暗网论坛与攻击者的联系方式、以加密货币支付赎金的钱包地址、支付赎金获取解密工具的方式等。
为什么windows系统相对linux系统更容易遭受攻击
- windows 本身漏洞多
- Windows 使用者多,且用户大部分为非技术人员
- Windows 管理员权限滥用
典型案例
- 起亚美国遭 DoppelPaymer 勒索病毒攻击,导致长时间 IT 系统中断
2021年2月,起亚汽车美国公司(KMA)遭 DoppelPaymer 勒索病毒攻击,要求起亚在两到三周内支付 2000 万美元的比特币赎金(约合人民币1.29亿元),一旦延期支付,赎金将达到约 3000 万美元(约合1.93亿元)。攻击者在其数据泄露网站称,已经窃取起亚美国大量数据,起亚美国若未与之谈判,将在两到三周内公布数据。此次,勒索病毒攻击导致起亚美国长时间 IT 系统中断,影响其应用程序、电话服务、支付系统等。
- 宏碁遭 REvil 勒索病毒攻击,攻击团伙索要高额赎金
2021 年 3 月,中国台湾计算机制造商宏碁(Acer)遭 REvil 勒索病毒攻击。REvil 勒索病毒团伙在其数据泄露网站公布遭窃取文件的图片作为证据,包括财务电子表格、银行余额和银行通信等,索要赎金 5000 万美元(约合人民币3.25亿元),经谈判如提前支付赎金,勒索病毒团伙可提供20%的赎金折扣,提供解密工具、漏洞报告,并删除窃取到的文件。
- 美最大成品油管道运营商科洛尼尔遭暗面组织勒索病毒攻击,严重影响美东海岸成品油供应
2021 年 5 月,美国最大成品油管道运营商科洛尼尔(Colonial Pipeline)公司遭暗面(arkside)勒索病毒攻击,导致美国东部沿海主要城市输送油气的管道系统被迫下线,成品油供应中断。科洛尼尔支付约500万美元(约合人民币3200万元)的加密货币勒索赎金,获得暗面组织提供的勒索病毒解密工具,但由于该工具恢复数据速度缓慢,科洛尼尔已采用备份数据进行系统恢复。
如何避免勒索
- 全面摸清资产家底
- 收敛互联网暴露面
- 开展风险隐患排查
- 严格访问控制
- 备份重要数据
- 提升安全意识
全面摸清资产家底
全面梳理本单位资产情况,建立完善、定期更新本单位资产台账,明确资产归属责任主体,摸清资产底数。云安全中心 > 资产中心
- **资产总览:**清楚的查看到阿里云账号现有的资产分布情况
- **主机资产:**通过资产指纹服务,获取ECS信息,包括进程、中间件等
- **容器资产:**容器资产收集,并标注是否存在风险
收敛互联网暴露面
及时下线停用系统,按照最小化原则,减少资产在互联网上暴露,特别是避免重要业务系统、数据库等核心信息系统在互联网上暴露。云安全中心 > 资产暴露分析资产暴露分析支持自动分析您的ECS服务器在互联网上的暴露情况,可视化呈现ECS与互联网的通信链路,并集中展示暴露在公网的ECS的漏洞信息,帮助您快速定位资产在互联网上的异常暴露情况并提供相应漏洞的修复建议。
可以通过点击【操作】列的【暴露详情】查看资产暴露情况拓扑图,针对暴露风险等级分为绿(无)、灰(低)、橙(中)、红(高),且单击【连接线】之后,右侧会显示详细的风险情况,您可以依据建议去手动处理该风险。
开展风险隐患排查
定期开展漏洞隐患排查,针对采用的网络产品,及时进行版本升级,第一时间修补漏洞,采用漏洞扫描设备和产品的,对漏洞扫描设备进行集中管理,建立完整、持续的漏洞发现和管理手段,定期开展巡检,将供应链厂商产品,驻场人员等纳入网络安全管理范畴,定期开展供应链安全风险隐患排查。
漏洞管理
系统默认是每天/两天自动扫描一遍,也可以通过点击【一键扫描】手动对服务进行漏洞扫描。扫描之后,单击【操作】列的【修复】可一键进行修复,若修复按钮为灰色(官方不再维护),则需要登录系统进行手动修复。
基线检查
病毒和黑客会利用服务器存在的安全配置缺陷入侵服务器盗取数据或是植入后门。基线检查功能针对服务器操作系统、数据库、软件和容器的配置进行安全检测,可以帮您加固系统安全,降低入侵风险并满足等保安全合规要求。
基线检查的策略分为标准策略、默认策略、自定义策略,可通过右上角的【策略管理】进行添加、修改、删除等操作。选择对应的策略,点击【立即检查】,则会对服务器进行基线检。
检查完成之后,可直接查看检查的结果,点击【基线名称】可以查看该检查项的详细信息,并且根据处理意见进行处理。处理完之后,可点击【验证】,查看是否处理成功,若处理完之后,业务存在异常,则可点击【回滚】将数据恢复至处理前状态。
病毒查杀
用阿里云机器学习病毒查杀引擎和实时更新的病毒库,提供丰富的系统扫描项,覆盖持久化启动项、活动进程、内核模块、敏感目录、SSH后门公钥等系统薄弱模块,可有效清理服务器的各类恶意威胁。
- 病毒类型:勒索病毒、挖矿程序、DDoS木马、木马程序、后门程序、恶意程序、高危程序、蠕虫病毒、可疑程序及自变异木马。
- 扫描项:活动进程、隐藏进程、Docker进程、内核模块、已安装程序、动态库劫持、服务、计划任务、开机自启动项及敏感目录。
应用防护
应用防护主要针对HTTP/HTTPS的攻击、跨站攻击和SQL注入攻击。使用RASP技术,在应用程序内部通过钩子(Hook)关键函数,实时监测应用在运行时与其他系统的交互过程。当应用出现可疑行为时,应用防护会根据当前上下文环境识别并阻断攻击,有效地为您主机上的Web业务进程提供应用漏洞、0day漏洞和内存马攻击等防护能力。应用防护目前仅支持接入Java应用。当应用接入之后,可以通过登录云安全中心控制台 > 【防护配置】> 【应用防护】查看到对应的应用行为分析,对于一些不正常的应用行为,会进行告警。针对与web应用的防护,可以通过【web 应用防火墙】产品进行防护,可以有效的对web应用进行保护。
其他检查
- **云平台配置检查:**针对云产品的配置进行检查,比如bucket防盗链配置、主账号配置等。
- **AK泄露检查:**AK是及其重要的,若AK泄露,那么将直接威胁到云资源的安全,因AK可直接对云资源进行管理。
- **恶意文件检查SDK:**通过调用SDK,针对服务器内文件进行扫描,也可以针对oss进行扫描
- **云蜜罐:**通过真实的攻击,从而对系统的漏洞进行分析处理
防勒索
云安全中心针对勒索病毒提供服务器防勒索和数据库防勒索两大功能,解决服务器、数据库被勒索病毒入侵的后顾之忧。云安全中心为提供逐层递进的纵深式防御体系。
- 实时防御已知勒索病毒
基于阿里云的病毒库,云安全中心实时防御已知的勒索病毒,避免文件被加密。
- 诱捕、拦截新型未知勒索病毒(需开启【防勒索(诱饵捕获)】功能)
通过设置目录陷阱的方式放置诱饵,实时监控是否存在勒索病毒,针对于不正常的加密行为,会立刻拦截,并进行通知管理者处理。
防勒索支持地域
| 功能名称 | 区域 | 支持的地域 |
|---|---|---|
| 服务器防勒索 | 中国内地 | 华东1(杭州)、华东2(上海)、华东2金融云(上海)华北1(青岛)、华北2阿里政务云1(北京)、华北2(北京)、华北3(张家口)、华北5(呼和浩特)华南1(深圳)、华南1金融云(深圳)西南1(成都) |
| 亚太 | 印度尼西亚(雅加达)、澳大利亚(悉尼)、日本(东京)、印度(孟买)、马来西亚(吉隆坡)、中国香港、新加坡、菲律宾(马尼拉) | |
| 欧洲与美洲 | 美国(硅谷)、美国(弗吉尼亚)、德国(法兰克福)、英国(伦敦) | |
| 中东 | 沙特(利雅得) | |
| 数据库防勒索 | 中国内地 | 华东1(杭州)、华东2(上海)华北2(北京)、华北3(张家口)、华北5(呼和浩特)华南1(深圳)西南1(成都) |
| 亚太 | 中国香港 |
严格访问控制
在软件层面,应用程序可能需要访问云上资源,应用程序访问云上资源施通过AK进行访问的,此时,建议使用ram的AK,且对ram用户授予指定的权限,当ak泄露时,可缩小资源被损害的范围。在运维层面,对于运维对服务器的管理,建议通过统一的堡垒机登录,这样保证了入口的唯一性及安全性。对于服务器需要合理的配置安全组(云防火墙),建议只放开需要的端口,对于常用的端口建议修改成其他的,比如,3389,22,3306,1521,1433等常见默认端口。
备份重要数据
云盘快照
可以手动对整块云盘进行创建快照的方式进行备份,也可以通过自定义快照策略,从而让系统进行自动备份。
登录【云服务器管理控制台】,在左侧点击【快照】,在【快照】页签点击【自动快照策略】,然后创建快照策略。在创建页面,可以指定创建周期及时间(建议在业务低峰期)。创建完成之后,再关联上需要按照此策略备份的云盘即可。
oss
可以使用oss对服务器内重要目录/文件进行备份。
- 通过常用工具备份数据您可以使用OSS的ossutil工具的cp命令将ECS实例的数据上传到OSS。
- 通过SDK上传文件您可以通过SDK代码上传文件到OSS。
- 通过API上传文件您可以调用PutObject接口上传文件到OSS。
- 通过在线迁移服务备份数据
云安全中心 > 防勒索
可以通过创建防护策略,从而对服务器进行自动备份,防勒索主要是分为两部分,服务器防勒索和数据库防勒索。
服务器防勒索
登录【云安全中心管理控制台】>【主机防护】>【防勒索】,在【服务器防勒索】页面下点击【创建防护策略】,选择对应的地域(防勒索接入点所在区域,要保证ecs和防勒索互通)和资产(ecs)
在进行策略配置时,可以指定防护的目录,且指定防护周期(0.5、1、3、7),备份保留时长等相关信息。
服务器防勒索支持的操作系统版本
| 系统 | 支持的版本 |
|---|---|
| Windows | 7、8、10 |
| Windows Server | 2008 R2、2012、2012 R2、2016、2019、2022 |
| RHEL | 7.0、7.2、7.4、7.5、7.6、7.7、7.8、8.0、8.1、8.2 |
| CentOS | 6.5、6.9、7.2、7.3、7.4、7.5、7.6、7.7、7.8、7.9、8.2、8.3 |
| Ubuntu | 14.04、16.04、18.04、20.04 |
| SUSE Linux Enterprise Server | 11、12、15 |
数据库防勒索
登录【云安全中心管理控制台】>【主机防护】>【防勒索】,在【数据库防勒索】页面下点击【创建防护策略】,填写好数据库相关信息即可。全量备份和增量备份可以同时存在。
数据库防勒索支持的数据库版本和操作系统版本
| 数据库类型 | 支持的数据库的版本 | 支持的操作系统的版本 |
|---|---|---|
| Oracle | 9i | SUSE 9.3、SLES 9、CentOS 4.5 |
| 10g | RHEL 9、CentOS 4.6、SUSE 11 SP4、RHEL 6.5 | |
| 11g | RHEL 6、CentOs 6.4、RHEL 6.5、CentOS 6.5、Oracle Enterprise Linux6.7、RHEL 7、Windows 2008 R2、Windows 2012 R2 | |
| 12c | Windows 2008 R2、RHEL 6.5、RHEL 6.5、RHEL 7.5 | |
| 18c | RHEL 7.0、Windows 2008 R2 | |
| 19c | Oracle Enterprise Linux7.0 | |
| Oracle RAC | 9i | SUSE 9.3、RHEL |
| 10g | Windows 2008 R2 | |
| 11g | Windows 2008 R2、Oracle Linux 6.4、RHEL 6.5、iSoft Server 3.0 | |
| 12c | CentOS 6、RHEL 6.5、Windows 2008 R2、CentOS 6.7、Oracle Enterprise Linux6 | |
| 18c | Windows 2008 R2 | |
| 19c | RHEL 7.6 | |
| Oracle Data Guard | 11g | CentOS 6.4、CentOS 6.5、RHEL 6、Windows 2008 R2 |
| 12c | Oracle Enterprise Linux6 | |
| MySQL | 5.0 | RHEL 6.0 、RHEL 6.5 、Ubuntu 12.10、SLES 10、SUSE 11 SP4、Ubuntu 11.10、Neokylin 6.0 |
| 5.1 | RHEL 6.5、SUSE 11 SP4、RHEL 6.5、RHEL 6.0 | |
| 5.4 | RHEL 6.5、SUSE 11 SP4 | |
| 5.5 | Ubuntu 12.04、Ubuntu 14.04、Debian 7.8、Debian 8.3 、CentOS 6.0、RHEL 6.5 | |
| 5.6 | RHEL 6.0、RHEL 6.5、Ubuntu 14.04 、CentOS 6.0、CentOS 7.2 | |
| 5.7 | RHEL 6.0、RHEL 7.0 、CentOS 7.0、RHEL 6.5、Ubuntu 16.04、CentOS 7.2、RHEL 7.0、Neokylin 7.0 | |
| SQL Server | 2005 | Windows 2008 R2 SP1 |
| 2008 | Windows 2008 R2、Windows 2008 R2 SP1 | |
| 2008 R2 | Windows 2008 R2 | |
| 2012 | Windows 2012 RC | |
| 2014 | Windows 2008 R2 SP1、Windows 2016 | |
| 2016(RTM) | Windows 2012 R2 | |
| 2017 | Windows 2012、Windows 2016 | |
| 2019 | Windows 2016 | |
| SQL Server Always On | 2012、2016、2017 | Windows 2012 R2 |
提升安全意识
- 以培训、演练等形式提升勒索攻击风险防范意识。
- 如:不点击来源不明的邮件附件;打开邮件附件前进行安全查杀;不从不明网站下载软件;不轻易运行脚本文件和可执行程序;不混用工作和私人外接设备;在工作设备与移动存储设备外接时,关闭移动存储设备自动播放功能并定期进行安全查杀。
如何应对勒索病毒
- 利用备份数据恢复数据
根据遭受勒索攻击影响相关设备数据备份的情况,综合衡量恢复数据的时间成本和重要程度等因素,确认数据恢复范围、顺序及备份数据版本,利用备份数据进行数据恢复。若存在防勒索服务,则可以通过创建恢复任务,对已加密数据进行恢复。
- 及时处理
在发现已经中了勒索病毒之后,首先先使用病毒查杀、漏洞检查、基线检查等相关行为,对系统进行全面的检查、修复、处理。使用【云安全中心 -攻击分析 | 事件调查】功能,对这次“中毒”行为进行分析,从而加强最资产的防护
- **攻击分析:**具备实时感知网络中对资产的攻击情况的能力,实时呈现攻击者IP、来源、频度、攻击手段、被攻击资产等信息,助力安全运营未雨绸缪,做好提前防御。
- **事件调查:**入侵调查的工作平台,以可视化调查黑客攻击过程,定位攻击源IP,分析入侵原因,助力您快速掌控入侵影响面,进行安全加固。
常用免费的安全软件
现在阿里云出了一个防勒索托管服务,有兴趣的小伙伴可以到其官网查看。
- AVG AntiVirus Free
- Avast
- AntiRansomware
- kaspersky
问题反馈
若对文中有任何的疑问,或者需要帮助可以通过以下方式进行反馈
- 直接进行评论或者单独私聊
- 发送邮件到:mr_xuansu@163.com
更多内容请关注微信公众号:萱蘇的运维日常
258
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
