國內制藥業遭多次勒索病毒攻擊,請按此方法防范!
1事件概述
國內某藥業集團股份有限公司是一家集藥品研制、開發、生產、銷售于一體的國際化制藥企業集團,該企業自2018年第一次遭受勒索病毒攻擊后,嘗試采用了多種防護手段避免再次遭受類似經濟損失,但均收效甚微。
近日該公司BCS(生物藥劑學分類系統)在裝有殺毒軟件的基礎上再次遭受勒索攻擊。生物藥劑學分類系統(簡稱:BCS):是按照藥物的水溶性和腸道滲透性將藥品分類的系統,一旦癱瘓將對藥企生產造成重大影響,從而帶來嚴重的經濟損失甚至是負面社會影響。
圖1 裝有殺毒軟件的BCS(生物藥劑學分類系統)被勒索
圖2 BCS(生物藥劑學分類系統)被加密自動生成未知文件
圖3 BCS(生物藥劑學分類系統)被加密文件
2事件處理與恢復
威努特在得知客戶狀況后,立即成立應急專家小組,第一時間通過電話、遠程會議等方式了解客戶現場信息,并開展該事件的應急處置工作:
現場情況梳理:
(1)梳理用戶生產網絡環境,重要系統為財務系統和業務系統(BCS),網絡部署部分網絡安全產品,同時BCS(生物藥劑學分類系統)安裝有殺毒軟件并定期更新病毒庫,但系統仍被勒索加密,且持續加密文件。
(2)識別、查看BCS(生物藥劑學分類系統)內中毒設備異常進程或其他底層執行文件,均無法有效執行。勒索病毒已影響系統底層命令執行,無法進行正常操作。
現場處置動作:
(1)為防止勒索病毒可能通過網絡繼續傳播影響其它重要業務系統,優先將此系統隔離現網,并嘗試離線進行分析;
- 嘗試運行cmd、powershell、任務管理器等,運行失敗;
- 通過PE模式嘗試運行cmd、powershell等可正常運行,但未發現異常進程,判斷勒索進程PE下停止運行;
- PE模式下排查自啟動注冊表HKLM/Software/Microsoft/Windows/Current Version/Run,備份DLL后計劃進行自啟動逐項排查;
圖4 BCS(生物藥劑學分類系統)自啟動注冊表文件
(2)為防止網內仍存在未發現勒索病毒二次感染財務系統,離線財務系統并檢查財務系統安全現狀,確認無問題,備份、部署主機防勒索系統防護后再上線。
- 主機防勒索系統部署完成后,開啟勒索行為監測、勒索病毒誘捕、關鍵業務保護、核心數據保護、文件保險箱等防護功能;
圖5 財務系統部署威努特防勒索產品并開啟防護功能
- 針對財務系統關鍵業務進行重點保護;
為確保財務系統關鍵數據安全,優先針對財務系統數據庫關鍵進程進行保護,防止業務數據被加密,再細化相關業務應用進程保護。
圖6 數據庫關鍵業務保護
- 應急處理方案:
現場BCS(生物藥劑學分類系統)已停滯運行,嚴重影響生產業務。用戶、集成商、威努特三方經溝通商定,以優先恢復業務、再加強防控為主體思路,遂停止分析轉由業務系統廠商進行系統重新部署并完成主機防勒索系統防護后再上線業務系統,減少業務停滯帶來的經濟損失。其次,同步威努特在財務系統部署主機防勒索系統加強防護,防止財務系統也受到勒索病毒攻擊。
3事件分析與復盤
本次安全事件因考慮到盡快恢復業務,減少經濟損失而未完成對病毒樣本提取分析,整個處理過程耗費3個小時的時間。此次安全事件再次印證基于病毒特征庫的殺毒軟件在面對日趨多變(變種)的勒索病毒顯得力不從心。
勒索病毒是一種極具破壞性、傳播性的惡意軟件,主要利用多種密碼算法加密用戶數據,恐嚇、脅迫、勒索用戶高額贖金。典型勒索病毒包括文件加密、數據竊取、磁盤加密等類型,攻擊者主要通過釣魚郵件、網頁掛馬等形式傳播勒索病毒,或利用漏洞、遠程桌面入侵等發起攻擊,植入勒索病毒并實施勒索行為。
快速處理病毒、快速恢復業務固然重要,但在生產業務中,如何在勒索病毒入侵前就發現,如何在勒索病毒發作時就阻止才是王道。
4主流防勒索解決方案分析
從入侵技術方式來看,與傳統網絡攻擊相比,勒索病毒并無特別之處甚至都不能被稱之為病毒。但從其影響后果來看,其簡單粗暴的攻擊方式(文件加密),讓受害者經常無法從以檢測和響應為基礎的傳統網絡安全架構中,找到合適的方式加以應對,尤其是大多數受害者目前主要還是以“人工響應”為主,事前檢測不到、事中缺少機制攔截管控、事后無恢復等問題,讓現有的機制紕漏無所遁形。
圖7 防勒索主要攻擊形勢及傳播方式
從勒索病毒入侵的角度來看,當前主流防勒索解決方案眾多,然而效果卻大相徑庭,具體現狀如下所示:
圖8 防勒索主流解決方案及效果
由圖可見基于行為監測的主動防御理念是主機防勒索的高效防護技術方向,通過檢測勒索病毒惡意行為、保護核心業務免遭中斷、再輔以備份手段恢復惡意加密的系統數據,實現事前防御、事中檢測/阻斷、事后恢復的勒索病毒防范能力。
5事前檢測、事中阻斷是關鍵
通過分析全球100多種流行勒索病毒,發現勒索病毒行為具有高度趨同性,高度符合Cyber-Kill-Chain模型,整個勒索殺傷鏈涉及感染&準備、遍歷&加密、破壞勒索三個環節,感染準備階段主要行為是漏洞利用、自身模塊釋放、進程中止和服務清除,遍歷加密階段主要行為是文件遍歷、數據加密,破壞勒索階段主要行為是刪除系統備份、彈出勒索通知。
基于勒索病毒行為特征分析結果,威努特設計的主機防勒索系統具備檢測、防護、恢復能力,對勒索Cyber-Kill-Chain完整覆蓋,檢測、防護、恢復能力形成多層次縱深防御能力,事前保護系統業務、事中發現勒索病毒并阻斷、事后基于備份數據恢復業務,多層次技術手段的綜合應用,具備強大的勒索病毒防范能力。
圖9 基于Kill-Chain的完整覆蓋
通過本次安全事件基于特征庫的勒索病毒防護手段在面對變種或未識別勒索病毒防護失效可見,傳統勒索病毒防護技術思路缺乏主動性,易造成防護失效或防護遲滯,最終防護效果不佳。本次安全事件財務系統、BCS系統采用威努特主機防勒索產品以低代價完成業務系統安全防護覆蓋事前防護、事中阻斷、事后恢復,具體實現如下:
1、靜態+動態誘捕精準識別與內核級指令調用的雙重聯動的事前保護
檢測作為勒索病毒防護的基石,其效果尤為重要,防勒索系統通過靜態誘捕文件會被勒索病毒視為系統文件,進而無差別的惡意加密,動態誘捕投遞技術確保誘捕文件第一個被勒索病毒加密,進而精準、無誤報的識別勒索病毒。
靜態誘捕:大部分勒索軟件會加密若干固定文件夾下的文件靜態誘捕是守株待兔式發現勒索軟件,當勒索程序“操作”誘捕文件時防勒索軟件會及時響應并攔截。
動態誘捕:勒索病毒遍歷系統文件會調用操作系統特定的接口或函數,防勒索系統在監測到這類調用指令時,動態生成誘捕文件第一個返回給相關進程,與此同時監測誘捕文件的狀態,勒索病毒會第一時間進行加密,進而被防勒索系統捕獲。
圖10 靜態+動態誘捕的精準識別
內核級指令調用的勒索防范:勒索病毒調用操作系統內核指令,執行中止進程、遍歷文件、加密數據等惡意行為,威努特主機防勒索系統檢測、防護、恢復功能構建于操作系統內核驅動層,對系統進程、文件操作、網絡行為進行管控,實現勒索病毒的內核級防范。
圖11 基于內核級調用的全方位行為監測
2、基于行為監測的關鍵業務與核心數據保護主動防御技術的事中阻斷
通過關鍵業務保護、核心數據保護的主動防御技術,結合不依賴勒索病毒特征庫的惡意行為監測與阻斷技術,有效防范已知或未知勒索病毒,無懼勒索病毒“變種”。
圖12 基于關鍵業務保護的主動防御
通過關鍵業務保護模塊,對BCS系統及財務系統主機常見應用、關鍵業務進程進行保護,避免應用進程被非法中止導致的業務中斷或系統崩潰,也能防范勒索軟件對應用數據的加密。
圖13 基于核心數據保護的主動防御
基于核心數據保護功能對BCS系統及財務系統主機建立系統中應用與數據間的訪問關系模型,阻斷勒索軟件對應用數據非法的讀寫刪改,保護系統中文檔、數據庫、工程文件、音頻、圖像、視頻、配置文件免遭勒索軟件惡意加密。
3、基于備份數據恢復業務的事后“風險兜底”
為防止出現極端狀況,現場BCS系統與財務系統通過文件保險箱功能實現提供應用數據動態備份,在任何可疑操作前完成數據自動備份,并對備份數據加密,勒索攻擊發生后,可基于備份數據快速恢復系統業務。
圖14 文件保險箱的“風險兜底”
6結 語
通過本次安全事件可見,業務系統一旦遭受勒索病毒攻擊直接影響到用戶業務運轉且帶來的經濟損失無法估量。業務系統通過破解恢復的可能性極低,通過數據恢復方式效率低,速度慢。這兩種都不是最優恢復業務的解決方案。威努特建議應采取兩個同步解決方案:1.隔離中毒系統,快速部署備用系統,從而快速恢復業務;2.快速在網絡可達的其它重要業務系統部署主機防勒索系統,避免其它重要業務系統受影響。選擇合適的防護方式是杜絕此類事件的關鍵點。
