美國管道襲擊總結(jié)——勒索病毒的“自救指南”
責(zé)編:gltian |2021-05-24 13:56:51
當(dāng)?shù)貢r(shí)間5月9日,美國政府宣布美國17個(gè)州和華盛頓特區(qū)進(jìn)入緊急狀態(tài),原因是運(yùn)送約45%東海岸成品油燃料的Colonial Pipeline(殖民地)管道由于勒索軟件攻擊而在周末全線關(guān)閉。
據(jù)知情人士透露,該攻擊由DarkSide勒索軟件團(tuán)伙發(fā)起,該組織在周四在兩個(gè)小時(shí)內(nèi)就從Colonial公司網(wǎng)絡(luò)中竊取了近100 GB數(shù)據(jù)。時(shí)至今日,大家對于勒索軟件攻擊早已不感到陌生。僅在過去一年,全球勒索軟件攻擊次數(shù)就增長150%以上,能源行業(yè)因此也遭受了較大打擊。
美國管道襲擊事件,再次引發(fā)對網(wǎng)絡(luò)安全的探討,互聯(lián)網(wǎng)服務(wù)的普及,給工作和生活帶來便利的同時(shí)也不可避免的增加了個(gè)人資料和個(gè)人隱私泄密的風(fēng)險(xiǎn)。不斷頻發(fā)的勒索軟件攻擊,是時(shí)候給基礎(chǔ)架構(gòu)安全補(bǔ)課了!
什么是勒索病毒?
勒索病毒是黑客圍繞鎖屏、加密文件、轉(zhuǎn)移數(shù)據(jù)等操作手法劫持用戶數(shù)據(jù),并以此敲詐用戶使其支付贖金的惡意軟件的統(tǒng)稱。
勒索病毒對源文件破壞的方式有三種:
- 一是加密文件直接覆蓋源文件;
- 二是將數(shù)據(jù)加密后刪除原文件;
- 三是對原來文件重命名防止數(shù)據(jù)被恢復(fù)。
另外,被加密文件的算法多采用非對稱加密算法或者對稱與非對稱混合加密。這導(dǎo)致被勒索數(shù)據(jù)在沒有備份的情況下,恢復(fù)和解密都很難。
其次,勒索病毒的變種類型非常之多,而且類型變化也很快,因此常規(guī)的殺毒軟件很難發(fā)現(xiàn),從近期的數(shù)據(jù)來看,比較常見的攻擊樣本有exe、js、vbe以及wsf等類型。
往常常規(guī)的傳播手段分多為以下6個(gè)方向:弱口令攻擊、U盤蠕蟲、軟件供應(yīng)鏈攻擊、系統(tǒng)/軟件漏洞、無文件攻擊、等形式。但,近兩年我們看到RDP 爆破、郵件釣魚等手段的使用率在逐年增加。
勒索病毒攻擊對象一般分為兩種,一部分是針對企業(yè)用戶,另部分是針對所有用戶(不區(qū)分個(gè)人和企業(yè))。由于個(gè)人用戶索取利益有限,近兩年針對企業(yè)的勒索攻擊呈上升趨勢。
據(jù)相關(guān)報(bào)告披露:上半年勒索病毒的主要特征表現(xiàn)為針對企業(yè)定向攻擊、以RDP爆破為主、利用漏洞進(jìn)行攻擊 、攻擊工具服務(wù)化。
從攻擊過程看一般為:入侵——擴(kuò)散——盜竊——勒索四個(gè)步驟。
第一步:入侵
慣用手法:RDP爆破、SQL弱口令爆破,網(wǎng)絡(luò)釣魚,惡意電子郵件(包括垃圾郵件廣撒網(wǎng)與精準(zhǔn)定向投放)及惡意附件投遞(包括Office漏洞、Flash漏洞、PDF閱讀器漏洞等),高危漏洞利用,無文件攻擊等。也有部分勒索黑客會(huì)利用僵尸網(wǎng)絡(luò)控制的肉雞渠道分發(fā)。
第二步:擴(kuò)散
勒索黑客入侵某一臺主機(jī)之后,往往并不立即運(yùn)行勒索病毒,而是盡可能的利用各種攻擊手法在目標(biāo)網(wǎng)絡(luò)橫向擴(kuò)散以增加受控主機(jī)數(shù)量。勒索黑客在此階段會(huì)通過下載各種攻擊工具包,包括流行漏洞利用工具、密碼提取工具、遠(yuǎn)程控制木馬或后門、下載密碼字典繼續(xù)使用爆破入侵等等。
第三步:盜竊攻擊者會(huì)遍歷已攻陷主機(jī)數(shù)據(jù),篩選最有價(jià)值的攻擊對象,竊取受控主機(jī)數(shù)據(jù)。
第四步:勒索
下載一種或多種勒索病毒運(yùn)行,癱瘓目標(biāo)網(wǎng)絡(luò),留下勒索信件,在暗網(wǎng)渠道發(fā)布失陷企業(yè)數(shù)據(jù),實(shí)施勒索。
勒索病毒防護(hù)
勒索病毒一般需要連接到黑客的C&C服務(wù)器來進(jìn)行本地信息的上傳和加密,因此建議用戶及時(shí)做好漏洞修復(fù)、采用高強(qiáng)度密碼、定期備份重要資料、關(guān)閉不必要的網(wǎng)絡(luò)端口和不必要的文件共享、訪問權(quán)限控制、安裝專業(yè)殺毒軟件并及時(shí)更新等基礎(chǔ)工作,這樣可以極大地降低我們的計(jì)算機(jī)被植入勒索病毒的風(fēng)險(xiǎn)。
以上為簡單的勒索病毒防護(hù)手段,以下從安全管理、系統(tǒng)安全防護(hù)、辦公數(shù)據(jù)防護(hù)三個(gè)層面詳細(xì)說明一些常用的勒索病毒預(yù)防措施。
安全管理
加強(qiáng)安全意識工作,定期進(jìn)行安全培訓(xùn),日常安全管理可參考“三不三要”思路:
- 不上鉤:標(biāo)題吸引人的未知郵件不要點(diǎn)開
- 不打開:不隨便打開電子郵件附件
- 不點(diǎn)擊:不隨意點(diǎn)擊電子郵件中附帶網(wǎng)址
- 要備份:重要資料要備份
- 要確認(rèn):開啟電子郵件前確認(rèn)發(fā)件人可信
- 要更新:系統(tǒng)補(bǔ)丁/安全軟件病毒庫保持實(shí)時(shí)更新
系統(tǒng)安全防護(hù)
系統(tǒng)安全是做好基礎(chǔ)結(jié)構(gòu)安全的基石,實(shí)戰(zhàn)化運(yùn)行實(shí)現(xiàn)體系化、常態(tài)化運(yùn)營的核心方法,要建好基石。
- 首先要盤清資產(chǎn),在此基礎(chǔ)上,實(shí)現(xiàn)對資產(chǎn)的全面納管;
- 其次,通過資產(chǎn)納管,進(jìn)而真正實(shí)現(xiàn)對資產(chǎn)安全的全程掌控,包括了從發(fā)現(xiàn)資產(chǎn),到使用資產(chǎn),以及資產(chǎn)變更等各種場景,以及在這些狀態(tài)下的風(fēng)險(xiǎn)全面掌控。
- 第三,掌控風(fēng)險(xiǎn)是為了驅(qū)動(dòng)處置工作,包括系統(tǒng)加固、漏洞修復(fù),以及其他各種手段,提升整個(gè)信息化系統(tǒng)的基礎(chǔ)架構(gòu)安全性,形成真正的內(nèi)生安全。
最后,通過盤點(diǎn)資產(chǎn)、納管資產(chǎn)、掌控風(fēng)險(xiǎn)、數(shù)據(jù)驅(qū)動(dòng)、安全運(yùn)行等層層遞進(jìn)的工作,幫助客戶在數(shù)字化運(yùn)營時(shí),建立時(shí)刻保持最佳安全狀況的信息化底座。
辦公數(shù)據(jù)的安全防護(hù)
辦公數(shù)據(jù)的安全防護(hù)應(yīng)按照“預(yù)防在先、備份為主、機(jī)制為輔”原則進(jìn)行,做到以下幾點(diǎn)。
1)網(wǎng)絡(luò)系統(tǒng)安全
在條件允許條件下,建立物理隔離和完善的病毒檢測與防范安全體系是非常重要的,在辦公自動(dòng)化網(wǎng)絡(luò)和外網(wǎng)之間實(shí)施物理隔離,防止互聯(lián)網(wǎng)用戶,特別是黑客遠(yuǎn)程對辦公自動(dòng)化數(shù)據(jù)庫非法訪問和入侵,同時(shí)也最大限度的避免了互聯(lián)網(wǎng)上日益泛濫的各種病毒對辦公自動(dòng)化數(shù)據(jù)庫的攻擊和破壞。加強(qiáng)服務(wù)器、光纜、磁帶機(jī)等設(shè)備的維護(hù)和檢修,使其處于良好的狀態(tài)。
2)軟件上的預(yù)防措施
安裝適用于局域網(wǎng)、廣域網(wǎng)的全方位防殺病毒以及木馬等黑客程序的產(chǎn)品,包括防病毒和黑客軟件,全面監(jiān)控和防殺各種途徑進(jìn)人網(wǎng)絡(luò)的病毒、黑客。同時(shí),防殺病毒軟件要注意及時(shí)進(jìn)行升級和更新,不然很可能對病毒失效,失去對網(wǎng)絡(luò)的有效防護(hù)。
在服務(wù)器設(shè)置訪問密碼和身份認(rèn)證措施。系統(tǒng)中的重要數(shù)據(jù)在數(shù)據(jù)庫中應(yīng)有加密和驗(yàn)證措施。有明確的授權(quán)策略,保證用戶只能打開自己權(quán)限范圍之內(nèi)的文件。并通過軟件強(qiáng)制實(shí)現(xiàn)各客戶機(jī)口令的定期更換,以防止口令泄漏可能帶來的損失。
3)操作管理
通過身份識別來控制操作權(quán)限。通過超級用戶的管理,不同人員可以獲得不同的操作權(quán)限,而未經(jīng)授權(quán)的無關(guān)人員不能通過網(wǎng)絡(luò)訪問服務(wù)器上的資源。此外還應(yīng)確保閑雜人員在任何時(shí)候都不得上機(jī)操作,不允許自行安裝游戲,也不得操作未經(jīng)安全檢測的外來軟盤、光盤等。
4)重要數(shù)據(jù)定期備份
對數(shù)據(jù)庫數(shù)據(jù)庫等關(guān)鍵數(shù)據(jù)進(jìn)行定期的備份,最好是進(jìn)行遠(yuǎn)程異地的備份。建議設(shè)置自動(dòng)定時(shí)備份或者全量備份、增量備份。
來源:安全牛
- Pwn2Own 2025柏林黑客大賽:冠軍團(tuán)隊(duì)斬獲32萬美元
- AI驅(qū)動(dòng)時(shí)代,安全跨越鴻溝的困境和機(jī)遇
- 曝光:國內(nèi)某打印機(jī)官方軟件感染竊密木馬超半年
- 2025CSDI:大模型引領(lǐng)智能研發(fā)與IT組織變革
- 360助力“奧運(yùn)冠軍之城”七臺河,培育新質(zhì)人才
- 智能創(chuàng)新 加速前行 | Fortinet發(fā)布2025年第一季度財(cái)報(bào)
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運(yùn)”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)