索取巨額贖金成為勒索攻擊新常態 政企亟需提升四方面安全能力
2022年8月11日,有網友爆料稱某國內家電巨頭工廠多處電腦感染勒索病毒,導致所有內部系統無法登陸,所有文件無法打開,被勒索要求7天匯1000萬美金到指定賬戶;
2022年8月29日,國內多家安全廠商發布預警,稱8月28日起,國內某企業財務病毒0day漏洞可能遭到大規模勒索利用,已出現多起使用該病毒的企業勒索病毒攻擊案例,有被勒索用戶反饋,中了勒索病毒后要求是支付0.2個比特幣(約27439元人民幣);
2022年8月31日,全球最大的圖書館書籍和電子資源分銷商美國圖書館供應商Baker & Taylor公司披露,一周前曾遭到勒索病毒攻擊,目前仍在努力恢復各業務系統。 ……
僅僅是8月份,國內外有關勒索攻擊的重大事件頻頻曝出,凸顯了當前網絡安全的嚴峻形勢。
勒索病毒,緣起數字貨幣
勒索病毒,是伴隨數字貨幣興起的一種新型病毒木馬,通常以垃圾郵件、服務器入侵、網頁掛馬、捆綁病毒等多種形式進行傳播,通過劫持用戶的系統或數據資產,實現敲詐勒索的目的。
早期的勒索病毒通常通過隱藏目錄,加密C盤文件名,或者給用戶系統設置開機密碼等方式進行勒索。這種情況下,只需要顯示文件或者去掉開機密碼即可對勒索病毒破解。同時,這一階段的勒索病毒贖金通常是匯入銀行賬戶中,追蹤溯源較為方便,這也導致勒索病毒無法大規模使用。但是比特幣為代表的虛擬貨幣的出現,為勒索病毒的大規模擴散提供了基礎。虛擬貨幣的匿名性特征保證了勒索犯罪無法通過支付上進行追溯,因此犯罪分子開始重拾勒索病毒這一犯罪手段。
此時,勒索病毒已不再是通過隱藏目錄這么簡單的手段進行勒索了。主流的勒索方式已經變為通過加密數據或鎖定系統的方式進行勒索。而近期發生的多起勒索攻擊事件,則是明顯帶有針對性的商業攻擊,勒索者在加密系統的同時,又宣布公開重要數據,這讓受害者承受巨大的數據泄露壓力,使得受害者被迫支付贖金的可能性大幅提高。且受害者在承受著支付贖金后的數據仍有可能被公開的不確定性的同時,又面臨監管機構對其數據泄露進行處罰的的壓力,這在未來將會成為政府或企業面對勒索病毒攻擊的“新常態”。
勒索病毒攻擊案例剖析
案例一:某日,奇安信應急響應團隊接到某客戶應急響應請求,內網數百臺機器被勒索,要求進行溯源分析。通過攻擊溯源分析發現攻擊路徑如下:
① 終端A (x.x.x.60)使用者從非官方渠道下載帶有病毒的惡意程序,導致終端A (x.x.x.60)被攻擊者控制;
② 攻擊者利用終端A(x.x.x.60)向內網終端B(x.x.x.44)上傳遠控木馬及端口掃描工具,獲取終端B(x.x.x.44) 權限;
③ 終端B(x.x.x.44)對域控服務器C(x.x.x.52)進行SMB暴力破解,成功獲取域控服務器C(x.x.x.52)權限;
④ 攻擊者繼續利用域控服務器C(x.x.x.52)為跳板,對域控服務器D(x.x.x.208)進行SMB暴力破解并成功后,利用CVE-2021-42287域服務權限提升漏洞獲取管理員權限;
⑤ 攻擊者利用域控服務器D(x.x.x.208)管理員權限向內網下發勒索病毒文件,最終導致大量機器被加密。
從這起勒索攻擊過程分析看,終端可隨意下載軟件而不受限制,域控服務器作為重要集權類設備,但是安全監控和保護不到位,安全運行過程中,安全監控、設備維護、分析研判等崗位未設置或未發揮作用,最終導致內網被勒索失陷。
案例二:某單位突然發現內部生產網業務系統癱瘓,通過撥打95015應急響應電話請求支援,經過應急團隊排查發現企業遭受勒索病毒攻擊,通過分析攻擊路徑如下:
① 該公司員工身份證、常用密碼及工作郵箱等關鍵敏感信息泄露于多個社交網站,被某國外惡意組織發現,攻擊組織利用員工郵箱和常用密碼,成功登錄該公司互聯網邊界云桌面;
② 攻擊組織通過公司云桌面,獲取到多個域賬號信息,并對多個辦公服務器、虛擬化平臺進行遠程登錄,在成功定位到域控服務器后,攻擊組織利用域控漏洞以及社工密碼等方式,獲取到域控服務器賬戶憑證和密碼;
③ 攻擊組織對域控服務器配置計劃任務,以定時執行加密任務的方式向全國域環境中機器投放Hive勒索病毒,同時,攻擊組織通過對ESXI平臺進行SSH爆破,在獲取到ESXI平臺權限后,進行人工投毒,最終,該企業內部上千臺服務器被加密,業務癱瘓。
從這起勒索攻擊過程分析看,員工敏感信息遭到泄露,密碼重用或復用情況嚴重,域控服務器安全監控和保護不到位,安全運行未發揮有效作用,最終導致業務癱瘓。
勒索病毒排查思路
通過分析勒索病毒已知的攻擊手段和攻擊方式,并采取措施進行專項排查并整改,能夠有效避免已知勒索病毒攻擊事件的發生。
① 開展重點排查,通過對互聯網入口暴露面梳理、賬號生命周期管理、域控安全、集權平臺安全、特權賬號及訪問管理、安全監測記錄與分析、應急恢復能力驗證等方面,開展重點排查;
② 開展紅隊評估,針對重要系統、人員、軟件、硬件、設備、數據等執行模擬攻擊,發現系統、技術、人員、基礎架構和數據中的存在的隱患和風險;
③ 開展專項整改,針對重點排查和紅隊評估發現的問題和隱患,通過提升人員安全意識、優化縱深防御、優化主動監測體系等手段進行重點加固和加強,提升對勒索病毒的防護能力。
④ 開展重大事件應急響應,建立單位重大事件專項演練組織和機制,并配備專項資源進行協助。
防治勒索攻擊 期待強化四方面能力建設
目前,面對日益猖狂的勒索攻擊,奇安信推出勒索攻擊防護解決方案,幫助政企單位加強自身網絡安全防護建設,建立起完善的安全防護措施,構建自適應安全防御體系,實現對勒索病毒的有效檢測和防護,保證內部網絡及信息系統的安全。
在奇安信整體的勒索攻擊解決方案中,將注重強化以下四方面的能力建設:
一、防御能力
該能力將通過一系列策略集、產品和服務,通過減少被攻擊面來提升攻擊門檻,并在受影響前攔截攻擊動作;
該能力指從網絡入口到需要防御的目標均設置防御節點的方式,具體的能力來自奇安信的智慧防火墻、終端安全管理系統、終端安全準入系統、服務器安全管理系統構成。
二、檢測能力
用于發現逃過防御網絡的攻擊,從而降低威脅造成的“停擺時間”以及其他潛在的損失;
該能力主要通過在內部網絡中部署奇安信天眼新一代安全感知系統,進行檢測能力建設。可進行自動化挖掘獲悉安全威脅,并根據專屬威脅情報提升安全性。同時,天眼還能為后期研判與溯源提供重要依據。
三、響應能力
目 標是實現高效調查和補救被檢測分析功能(或外部服務)查出的安全事件,以提供入侵認證和攻擊來源分析,并產生新的預防手段來避免未來的安全事件;
該能力將通過產品之間的聯動響應以及應急響應服務機制,實現響應能力建設。奇安信天擎&天眼、防火墻&天眼聯動響應,可構建終端、網絡層的多級深層次的安全防御能力,帶來的安全事件應急響應機制的建立,將對安全事件進行檢測、分析、協調、處理,保護資產安全屬性的活動,并協同建立有效的防御策略來抵御網絡安全威脅。
四、預測能力
通過對外部黑客行動的學習,主動鎖定對現有系統和信息具有威脅的新型攻擊,并對漏洞劃定優先級和定位。該情報將反饋到預防和檢測功能,從而構成整個處理流程的閉環。
該處能力將通過奇安信云端海量數據的分析成果定期同步至方案中涉及到產品,實現對APT攻擊、勒索病毒、新型木馬、特種免殺木馬的規則化描述。同時通過威脅情報解讀定期推送分享服務,向政企單位分享APT攻擊行為和事件情報、攻擊團伙情報、惡意代碼和漏洞利用情報、攻擊團伙活躍態勢情報等,建立預測預警能力。
奇安信解決方案中心專家認為,全面的勒索防御體系也并不是某一款單一安全產品就能完全解決的。威脅面不斷加大的今天,安全產品也需要形成聯動,并結合全面的安全服務,形成覆蓋“邊界+終端+云端”,基于威脅情報的多層次智慧檢測、防御措施,并最終形成“自動化+人工響應”的有效處置機制,才能建立更強的安全優勢。
