勒索攻擊為什么成為了黑產“財富密碼”?
2021年剛剛過半,勒索病毒的爆發量已超過去年全年總和。7月19日,厄瓜多爾最大的國營電信公司被勒索,導致運營出現大面積故障,勒索病毒再次出現在公眾面前。就連最近備受關注的日本東京奧運會,其奧委會稱在去年4月的時候也曾遭網絡攻擊,導致無法訪問。
勒索病毒的危害已不言而喻,但為何企業機構仍然頻頻中招,難以防范?
我們邀請到騰訊安全玄武實驗室負責人于旸、騰訊安全反病毒實驗室負責人馬勁松、翼盾(上海)智能科技有限公司及上海第五空間信息科技研究院創始人朱易翔三位資深安全專家,從勒索病毒的攻擊偏好、攻擊手段、趨勢變化、攻擊誤區及解決方案5個緯度解讀勒索病毒的攻防之道。
勒索病毒有攻擊偏好嗎?
Q:最近厄瓜多爾等的運營商企業遭到攻擊,去年法國運營商也遭遇過勒索攻擊,是否意味著勒索病毒在選擇攻擊對象的時候偏好運營商?對比5月份美國燃油管道公司被勒索的事件,此次攻擊有什么不同?
馬勁松:勒索病毒的攻擊對象確實是有一定針對性的,犯罪分子會更傾向于選擇本身信息化程度較高,對計算機系統,網絡的依賴度較高的大中型企業下手。而這些企業一旦被勒索病毒攻擊得逞以后,造成的影響也會非常大。
朱易翔:勒索病毒確實偏愛基礎設施類的企業或組織,具體特征包括:一、一般這類企業對信息化的依賴程度比較高;二、一旦出現問題,影響面會比較大,影響程度也較深;三、(攻擊者認為這樣的組織)支付能力強;四、(攻擊者認為這樣的組織)網絡安全能力,尤其是追溯能力相對偏弱。
于旸:美國燃油管道被勒索事件和此次攻擊相比,首先,從目標看這兩者都是為了錢。其次,在操作細節上有分別,主要體現在根據被攻擊目標本身的IT資產的情況不同,攻擊者采取的攻擊方式也不同。但歸根到底,在操作路線,操作思路上都是一致的。
勒索病毒的攻擊手段
Q:勒索軟件的攻擊越來越多,從技術角度來看是什么原因?企業被攻擊之后,能夠破解的概率有多高?
于旸:以前的網絡犯罪,套現是很復雜的,而且成功率也不高。早些年的安全事件,主流是偷數據然后販賣,類似偷了東西銷贓。但數據有其特殊性,一方面對特定數據感興趣的買家可能非常少,其次是有需求的買家,犯罪的意愿可能非常低。所以這個模式對于犯罪分子來說不是特別理想。
而勒索病毒,其實很多年前就有人嘗試,但是那時只能通過銀行轉賬,所以很容易通過線索被抓住。現在網絡犯罪者發現了加密貨幣,它的匿名性和難以追溯性與網絡攻擊和勒索結合起來之后,形成了一個完美的網絡犯罪模式。他們意識到這一點之后,就開始紛紛投身于這個模式。
馬勁松:一旦被勒索病毒擊中,破解的難度會非常高。因為勒索病毒使用的加密算法,秘鑰長度非常長,很難反向破解,在一些報道中,也有破解勒索病毒的案例,主要包括兩種情況:一、極個別勒索病毒的作者出于各種各樣的原因,泄露了資料;二、在勒索病毒的威脅過程中,有些漏洞可以被利用,讓破解的難度降低,但這種情況越來越少。
整個勒索病毒的演進已經非常標準化,甚至專業化,有成套完整的代碼可以參考。所以靠勒索病毒本身的漏洞進行破解的可能性也越來越低了。
勒索病毒的趨勢變化
Q:現在勒索攻擊在逐漸的APT化嗎?
于旸:是的,最初,勒索病毒就是攻擊者給惡意軟件加入勒索功能,放出去基本上就完成了操作,接下來勒索病毒就會像傳統病毒一樣去造成危害,比如大家非常熟悉的WannaCry。最初這一招確實收割了不少目標,但這種模式的問題是——它依賴破壞力很大的漏洞。因此逐漸演變成了現在的方式——取消病毒的自動攻擊模式,采用傳統網絡入侵的思路,即有針對性的手動操作,在入侵完成之后再植入病毒進行勒索。嚴謹地說,勒索攻擊從幾年前的病毒模式轉向了今天的APT模式。
Q:之前受勒索病毒攻擊影響的主要是Windows系統,但現在macOS、安卓等其他系統上也陸續出現了,這方面有沒有需要額外注意的事項?
朱易翔:從發展趨勢來說是肯定的,不光這些,還出現了針對移動環境的勒索攻擊。只要有利可圖,犯罪分子都不會放過,關于防護,總體思想和策略是一致的,無非是具體環境或者系統有所區別而已。
關于勒索攻擊的誤區
Q:在病毒防御方面,目前還存在哪些誤區?為什么很多雄厚財力的企業或者機構會頻頻受到勒索病毒的攻擊?
馬勁松:站在攻擊者的角度看,勒索攻擊是有明確的目的性和利益驅動的,他們會用一切辦法來達到目的,所以不會輕易地停手。
從被攻擊者角度看,隨著信息化建設進程的發展,網站、郵件、社交網絡……都會大大增加被攻擊者的暴露面、攻擊面,防守方的系統必然變得越來越復雜,這就從另一個方面增加了被攻擊可能性,以及被攻擊后的影響。
至于誤區,很多企業的第一個誤區是“銀彈思想”,也是很多企業目前最大的問題,他們認為存在一種辦法或系統,能徹底解決安全問題,但這實際上不存在。因為安全問題永遠是一個動態演進的過程,它需要持續的投入、運營、升級和關注,不可能有一勞永逸的手段。
第二個誤區是企業認為買了殺毒軟件,買了邊界防護設備,請了一些安全人員就沒問題了,但并非如此。對員工的培訓,對日常行為不斷的管理都是很重要的。目前看,現在企事業單位中,這種軟性的工作相對薄弱。
第三個誤區是很多企業把勒索病毒或網絡安全定義為IT技術層面的問題,但其實它更大程度上是安全生產運營方面的問題。
于旸:首先,勒索攻擊已經進入了人工入侵和病毒勒索結合的時代,這是一個非常復雜、非常高級、難以防御的高級入侵狀態,需要相應的高級防御才能抗衡。
其次,很多企業或者機構在防御上不夠,攻防不是靜態的,而是一個動態、不斷波動、進化的,每個月都有新的攻擊技術,新的漏洞。
朱易翔:攻防雙方是不對稱的。一是時間上的不對稱,防,要無時無刻地做好;攻,任何時間點上都可以。二是防御攻擊面的不對稱,防要密不透風,算無遺策;而攻往往只需要找到一個精確的打擊點。
關于勒索病毒的解決方案
Q:企業應該怎樣降低被勒索病毒綁架的風險?
馬勁松:首先,對于重要的數據、關鍵數據及時的備份。其次,在信息化日常建設當中,要非常重視對漏洞的管理和補丁的及時更新。第三,要重視從業人員的安全教育和安全素養的培訓,如可疑郵件、可疑鏈接,可疑優盤等情況的處理判斷,是非常長期而細致的工作。
于旸:第一,從技術上,需要有一些認知的更新,在大量遠程辦公導致企業安全邊界已經模糊的今天,不能只局限于防御外部威脅,做邊界防御,更要在企業內部做好如零信任、內網密罐、SOC之類安全措施。第二,要警惕另一種勒索,攻擊者不是單純的加密你的數據,而是威脅進行數據公開。
朱易翔:一般建議做好從0到123——0是指常規的隔離、加固、監控、響應等基本功一定要做好;1是指要部署至少一款惡意代碼的防護軟件系統;2是指建議至少對重要數據和文件保留兩個離線的備份副本;3是指建議對重要數據和文件進行三種以上形式的儲存,也包括對重要數據的加密保存,加密可以從一定程度上防范“威脅公開隱私和保密文件”形式的勒索。
Q:零信任能夠徹底解決勒索病毒嗎?
于旸:零信任是一個相對較新的防守武器,但它和其他武器一樣,都不是萬能的。零信任可以解決我們之前防御思想里面的一些盲區,彌補之前防御體系的一些縫隙。但是它也只是一種技術,根本上還是要和整個安全體系,包括技術更新、管理強化的一系列措施結合在一起才能發揮作用。
Q:業務上云階段,在面對勒索軟件或其他攻擊時有沒有比較好的防范措施或者解決方案?
馬勁松:業務上云,是一個比較好的手段。業務上云后,能更好的集中管控,結合騰訊安全多年積累的能力,能第一時間發現包括勒索病毒在內的各種攻擊,保護客戶數據安全。另外,可以方便地進行數據備份、加密,進一步保護客戶數據。
朱易翔:近兩年上云的企業用戶比較多,我們已經見到有些云廠商基于云環境實現了基于磁盤塊掃描和變化量復制的數據備份以及災備技術,傳輸數據少,占用帶寬小,但可以較好地實現異地的磁盤多份快照和鏡像。這種技術恢復數據非常快,可以應對多種災備場景,同樣也可以較好地對應目前主流的勒索攻擊。
