美國管道襲擊總結——勒索病毒的“自救指南”
責編:gltian |2021-05-24 13:56:51
當地時間5月9日,美國政府宣布美國17個州和華盛頓特區進入緊急狀態,原因是運送約45%東海岸成品油燃料的Colonial Pipeline(殖民地)管道由于勒索軟件攻擊而在周末全線關閉。
據知情人士透露,該攻擊由DarkSide勒索軟件團伙發起,該組織在周四在兩個小時內就從Colonial公司網絡中竊取了近100 GB數據。時至今日,大家對于勒索軟件攻擊早已不感到陌生。僅在過去一年,全球勒索軟件攻擊次數就增長150%以上,能源行業因此也遭受了較大打擊。
美國管道襲擊事件,再次引發對網絡安全的探討,互聯網服務的普及,給工作和生活帶來便利的同時也不可避免的增加了個人資料和個人隱私泄密的風險。不斷頻發的勒索軟件攻擊,是時候給基礎架構安全補課了!
什么是勒索病毒?
勒索病毒是黑客圍繞鎖屏、加密文件、轉移數據等操作手法劫持用戶數據,并以此敲詐用戶使其支付贖金的惡意軟件的統稱。
勒索病毒對源文件破壞的方式有三種:
- 一是加密文件直接覆蓋源文件;
- 二是將數據加密后刪除原文件;
- 三是對原來文件重命名防止數據被恢復。
另外,被加密文件的算法多采用非對稱加密算法或者對稱與非對稱混合加密。這導致被勒索數據在沒有備份的情況下,恢復和解密都很難。
其次,勒索病毒的變種類型非常之多,而且類型變化也很快,因此常規的殺毒軟件很難發現,從近期的數據來看,比較常見的攻擊樣本有exe、js、vbe以及wsf等類型。
往常常規的傳播手段分多為以下6個方向:弱口令攻擊、U盤蠕蟲、軟件供應鏈攻擊、系統/軟件漏洞、無文件攻擊、等形式。但,近兩年我們看到RDP 爆破、郵件釣魚等手段的使用率在逐年增加。
勒索病毒攻擊對象一般分為兩種,一部分是針對企業用戶,另部分是針對所有用戶(不區分個人和企業)。由于個人用戶索取利益有限,近兩年針對企業的勒索攻擊呈上升趨勢。
據相關報告披露:上半年勒索病毒的主要特征表現為針對企業定向攻擊、以RDP爆破為主、利用漏洞進行攻擊 、攻擊工具服務化。
從攻擊過程看一般為:入侵——擴散——盜竊——勒索四個步驟。
第一步:入侵
慣用手法:RDP爆破、SQL弱口令爆破,網絡釣魚,惡意電子郵件(包括垃圾郵件廣撒網與精準定向投放)及惡意附件投遞(包括Office漏洞、Flash漏洞、PDF閱讀器漏洞等),高危漏洞利用,無文件攻擊等。也有部分勒索黑客會利用僵尸網絡控制的肉雞渠道分發。
第二步:擴散
勒索黑客入侵某一臺主機之后,往往并不立即運行勒索病毒,而是盡可能的利用各種攻擊手法在目標網絡橫向擴散以增加受控主機數量。勒索黑客在此階段會通過下載各種攻擊工具包,包括流行漏洞利用工具、密碼提取工具、遠程控制木馬或后門、下載密碼字典繼續使用爆破入侵等等。
第三步:盜竊攻擊者會遍歷已攻陷主機數據,篩選最有價值的攻擊對象,竊取受控主機數據。
第四步:勒索
下載一種或多種勒索病毒運行,癱瘓目標網絡,留下勒索信件,在暗網渠道發布失陷企業數據,實施勒索。
勒索病毒防護
勒索病毒一般需要連接到黑客的C&C服務器來進行本地信息的上傳和加密,因此建議用戶及時做好漏洞修復、采用高強度密碼、定期備份重要資料、關閉不必要的網絡端口和不必要的文件共享、訪問權限控制、安裝專業殺毒軟件并及時更新等基礎工作,這樣可以極大地降低我們的計算機被植入勒索病毒的風險。
以上為簡單的勒索病毒防護手段,以下從安全管理、系統安全防護、辦公數據防護三個層面詳細說明一些常用的勒索病毒預防措施。
安全管理
加強安全意識工作,定期進行安全培訓,日常安全管理可參考“三不三要”思路:
- 不上鉤:標題吸引人的未知郵件不要點開
- 不打開:不隨便打開電子郵件附件
- 不點擊:不隨意點擊電子郵件中附帶網址
- 要備份:重要資料要備份
- 要確認:開啟電子郵件前確認發件人可信
- 要更新:系統補丁/安全軟件病毒庫保持實時更新
系統安全防護
系統安全是做好基礎結構安全的基石,實戰化運行實現體系化、常態化運營的核心方法,要建好基石。
- 首先要盤清資產,在此基礎上,實現對資產的全面納管;
- 其次,通過資產納管,進而真正實現對資產安全的全程掌控,包括了從發現資產,到使用資產,以及資產變更等各種場景,以及在這些狀態下的風險全面掌控。
- 第三,掌控風險是為了驅動處置工作,包括系統加固、漏洞修復,以及其他各種手段,提升整個信息化系統的基礎架構安全性,形成真正的內生安全。
最后,通過盤點資產、納管資產、掌控風險、數據驅動、安全運行等層層遞進的工作,幫助客戶在數字化運營時,建立時刻保持最佳安全狀況的信息化底座。
辦公數據的安全防護
辦公數據的安全防護應按照“預防在先、備份為主、機制為輔”原則進行,做到以下幾點。
1)網絡系統安全
在條件允許條件下,建立物理隔離和完善的病毒檢測與防范安全體系是非常重要的,在辦公自動化網絡和外網之間實施物理隔離,防止互聯網用戶,特別是黑客遠程對辦公自動化數據庫非法訪問和入侵,同時也最大限度的避免了互聯網上日益泛濫的各種病毒對辦公自動化數據庫的攻擊和破壞。加強服務器、光纜、磁帶機等設備的維護和檢修,使其處于良好的狀態。
2)軟件上的預防措施
安裝適用于局域網、廣域網的全方位防殺病毒以及木馬等黑客程序的產品,包括防病毒和黑客軟件,全面監控和防殺各種途徑進人網絡的病毒、黑客。同時,防殺病毒軟件要注意及時進行升級和更新,不然很可能對病毒失效,失去對網絡的有效防護。
在服務器設置訪問密碼和身份認證措施。系統中的重要數據在數據庫中應有加密和驗證措施。有明確的授權策略,保證用戶只能打開自己權限范圍之內的文件。并通過軟件強制實現各客戶機口令的定期更換,以防止口令泄漏可能帶來的損失。
3)操作管理
通過身份識別來控制操作權限。通過超級用戶的管理,不同人員可以獲得不同的操作權限,而未經授權的無關人員不能通過網絡訪問服務器上的資源。此外還應確保閑雜人員在任何時候都不得上機操作,不允許自行安裝游戲,也不得操作未經安全檢測的外來軟盤、光盤等。
4)重要數據定期備份
對數據庫數據庫等關鍵數據進行定期的備份,最好是進行遠程異地的備份。建議設置自動定時備份或者全量備份、增量備份。
來源:安全牛