台积电台湾的三大基地被曝光遭受勒索病毒入侵,引发生产线停摆,勒索病毒再一次在公众视野中刷足了“存在感”。病毒版本快速迭代,变种层出不穷,查杀躲避检测技术也愈发狡猾……这些变化都对企业的业务产生了严重威胁。应对勒索病毒的风险迫在眉睫,基于此,安全狗针对当前面对的勒索病毒的现状进行了初步的总结,并推出一些针对性的解决方案,希望对行业和用户有所补益。
勒索病毒的分类有很多种方式,考虑到对于企业而言进行防御的便利性,我们这里以传播途径为标准进行了若干总结。
社会工程学传播
如Locky病毒,该病毒一般是通过邮件方式进行传播,黑客对目标对象发送带有附件的恶意邮件,员工或者领导一旦打开附件后,电脑、手机上的各种重要文件,包括软件源代码、Word、PPT、PDF、图片等都会被加密,无法正常使用。
漏洞传播
漏洞传播存在多种类型。
1、通过服务器弱口令传播
如Rapid勒索病毒,根据部分网友在部分论坛中的反馈发现,该病毒通过服务器弱口令方式传播。
2、永恒之蓝系列
①Wannacry及其变种可谓该系列病毒中最为臭名昭著的一类了,爆发以来造成的损失不计其数,包括安全狗在内的众多厂商均针对该系列病毒推出过解决方案。
②Petya勒索病毒的变种。使用的传播攻击形式和WannaCry类似,但该病毒除了使用了永恒之蓝(MS17-010)漏洞,还罕见的使用了黑客的横向渗透攻击技术,利用WMIC/PsExec/mimikatz等
③Satan勒索病毒。通过永恒之蓝漏洞攻击工具在局域网内横向传播,主动入侵未安装补丁的服务器
复合传播方式
1、GandCrab家族勒索病毒
传播渠道相对其他家族丰富很多,包括挂马攻击、水坑攻击、漏洞攻击和钓鱼邮件攻击,其中水坑攻击令人防不胜防。水坑攻击传播通过入侵网站后台,将网页内容篡改为乱码,并且提示需要更新字体,诱导用户下载运行“字体更新程序”,实际上用户下载到的是GandCrab2勒索病毒。GandCrab3勒索病毒还通过Bondat蠕虫下载传播。
2、Crysis勒索软件
有的厂商认为Crysis这个勒索软件主要通过垃圾邮件、钓鱼邮件、游戏修补程序、注册机、捆绑破解软件等方式传播;有的厂商则认为主要传播方式是利用服务器弱口令漏洞,爆破远程登录用户名和密码,进而通过RDP(远程桌面协议)远程登录目标服务器运行勒索病毒,黑客远程登录服务器后手动操作。
我们认为这些传播方式可能均存在,只是基于厂商的立足点不同和统计方式的区别而存在差异,如基于个人PC端统计到的传播方式社会工程学方式居多,然而对于服务器则是以服务器弱口令漏洞传播居多,故而分类为复合传播方式。
3、GlobeImposter勒索者病毒
GlobeImposter勒索者病毒可以利用电子邮件、文件传输等方式进行扩散,更主要的特点是利用系统的漏洞发起动态攻击。针对企业服务器的攻击以弱口令爆破服务器后远程登录的方式最为常见。黑客使用自动化攻击脚本,暴力破解服务器管理员账号密码,入侵后可秘密控制服务器,卸载服务器上的杀毒软件并植入勒索病毒。
根据我们的推测,大多没有发现传播模块的勒索病毒,其实并不是没有传播模块,只是,在传播过程中,传播模块并没有一起传播,部分黑客限于技术或有意控制传播范围只针对某些目标时,只进行勒索而不大范围感染传播,也有些是因为黑客防止被他人探测出传播手段,发现漏洞后手动利用漏洞释放病毒,而不使用自动传播模块,避免手段泄露。
针对多种传播类型的勒索软件,也需要多样的手段来进行防御,我们总结了这些可以进行的防御方式。
1、更新补丁
永恒之蓝系列的勒索病毒造成的影响持续到了今年,然而相关的漏洞补丁早已发布,这说明企业在补丁管理上仍然需要保持足够的重视。从企业的角度而言,陈旧应用越多,遭受威胁的可能性就越大,因此有必要建立有效机制确保及时更新相关的补丁,不可抱有侥幸的心态。
2、加强管理,不做危险行为
很多勒索病毒是藉由邮件或附件传播的,企业需要做好相关的安全教育和管理,避免因为此类行为造成感染。
3、采用综合性端点安全解决方案实现行为检测
端点(即用户计算机)往往正是勒索软件的感染重灾区,因此有必要采用专门的端点保护解决方案。安全狗可以提供相关的端点安全解决方案,不依赖于传统静态特征防护机制,让未知威胁看得见、防得住,同时为Web网站持续监控和实时干预提供了必要手段。
云眼威胁情报捕获的记录
4、部署必要的安全软硬件
勒索软件究其实质,也是病毒或木马等恶意软件的一种,因此部署杀软和类似的安全防护软件仍是必不可少的安全措施。服务器安全狗可以做到对勒索病毒的查杀,建议用户安装使用。
5、重视持续监控
尽可能选择那些提供“产品加服务”复合型方案的安全供应商。拥有市场领先的安全技术固然重要,但安全专家们24 x 7全天候监控同样是保护IT基础设施及应对勒索软件等新型威胁的关键性手段。安全狗可向用户提供7*24小时的安全服务支撑,有需要的用户可以拨打4001000221热线寻求帮助。
6、容灾备份必不可少
作为最坏情况的兜底,就是在遭受攻击之前对现有的数据资产做好备份,确保遭受勒索软件攻击时仍能实现数据访问。