1、勒索病毒介紹
最早的勒索病毒源自美國(guó)國(guó)安局。一個(gè)叫“shadow broker”的黑客組織從美國(guó)國(guó)安局下屬單位竊取數(shù)據(jù)的時(shí)候,順手從國(guó)安局的武器庫(kù)里偷出來(lái)一些黑客工具,直接就公開(kāi)到了互聯(lián)網(wǎng)上。
公開(kāi)之后,有黑客基于這些工具開(kāi)發(fā)勒索病毒,進(jìn)行敲詐勒索。第一批人嘗到甜頭之后,越來(lái)越多的人開(kāi)始效仿,開(kāi)發(fā)變種病毒。從此,勒索病毒開(kāi)始席卷全球,災(zāi)難開(kāi)始爆發(fā)。
勒索病毒就長(zhǎng)上面這樣。服務(wù)器中了勒索病毒之后,服務(wù)器上的文件會(huì)被加密,無(wú)法打開(kāi)。病毒完成加密之后,會(huì)在界面上彈出勒索信息:你的文件都被加密了,只有拿到私鑰,才能解密。支付幾個(gè)比特幣的贖金,就給你解密的私鑰。
這種加密的破解難度很高,所以很多公司無(wú)可奈何之下,只能選擇支付贖金。
2、勒索病毒為什么能肆虐
?。?)病毒變種多,難以查殺
勒索病毒變種非常多,變化很快。殺毒軟件一般是根據(jù)已知的病毒庫(kù)去對(duì)比特征、發(fā)現(xiàn)病毒的。新開(kāi)發(fā)的病毒的特征沒(méi)那么快進(jìn)入病毒庫(kù),所以很多新病毒,殺毒軟件識(shí)別不出來(lái)。
一般勒索病毒的開(kāi)發(fā)者發(fā)布病毒之前,肯定也會(huì)自己測(cè)一下,常見(jiàn)的殺毒軟件殺不了,才去展開(kāi)攻擊。所以,面對(duì)勒索病毒,現(xiàn)有防病毒手段難以奏效。
?。?)傳染性極強(qiáng)
勒索病毒可以通過(guò)漏洞傳播,國(guó)內(nèi)大量用戶使用盜版系統(tǒng),補(bǔ)丁更新不及時(shí),導(dǎo)致漏洞廣泛存在。
用戶中毒后,勒索病毒會(huì)自動(dòng)掃描其他設(shè)備的漏洞,所以傳播性極強(qiáng)。
(3)病毒開(kāi)發(fā)者難以追蹤
勒索過(guò)程一般是用比特幣結(jié)算的,比特幣是去中心化的,沒(méi)有一個(gè)總的服務(wù)器可以查詢賬戶對(duì)應(yīng)的個(gè)人信息,所以基本追蹤不到黑客本人。世界上這么多勒索病毒,現(xiàn)在都沒(méi)幾個(gè)開(kāi)發(fā)者落網(wǎng)。
成本低而且收益高,所以搞勒索病毒的人越來(lái)越多。
3、勒索病毒的傳播原理
勒索病毒可以通過(guò)漏洞、郵件、程序木馬、網(wǎng)頁(yè)掛馬等形式傳播。利用漏洞進(jìn)行傳播是勒索病毒最常見(jiàn)的傳播方式。
最早的勒索病毒只是一個(gè)軟件,現(xiàn)在勒索病毒技術(shù)上越來(lái)越強(qiáng)大,已經(jīng)變成云服務(wù)了(RaaS,Ransomware-as-a-Service勒索軟件即服務(wù))。云服務(wù)讓勒索病毒更加強(qiáng)大。例如,加密所用的密鑰是從云端獲取的,勒索信息在后臺(tái)可以實(shí)時(shí)編輯等等。
(1)傳播目標(biāo)
從操作系統(tǒng)方面看,傳播目標(biāo)中Windows和Linux都有。重災(zāi)區(qū)是Windows XP、Windows 7等老舊系統(tǒng)。雖然微軟官方都已經(jīng)不再維護(hù)了,但是國(guó)內(nèi)很多的機(jī)關(guān)單位仍在大量的使用這些老舊的系統(tǒng)。
個(gè)人電腦和企業(yè)服務(wù)器都是勒索病毒的目標(biāo)。企業(yè)服務(wù)器多暴露在公網(wǎng),所以比個(gè)人電腦更容易被攻擊。
(2)入侵
勒索病毒攻擊一般始于網(wǎng)絡(luò)端口掃描。找到網(wǎng)絡(luò)內(nèi)高價(jià)值服務(wù)器、數(shù)據(jù)庫(kù)后,利用漏洞進(jìn)入目標(biāo)服務(wù)器。
著名的勒索病毒W(wǎng)annaCry就是利用了Windows的smb協(xié)議(文件共享)的漏洞進(jìn)行傳播的。掃描445端口,發(fā)現(xiàn)漏洞之后,就能在電腦里執(zhí)行任意代碼,植入后門(mén)程序,然后繼續(xù)掃描傳播。
WannaCry使用Doublepulsar后門(mén)程序向目標(biāo)電腦傳輸木馬和其他下一步所需的工具,遠(yuǎn)程安裝并運(yùn)行。
傳輸過(guò)程是加密的,安全設(shè)備很難檢測(cè)到惡意軟件的傳輸。
為什么第一批病毒受害者多為高校、醫(yī)院等機(jī)構(gòu)呢?就是因?yàn)楹芏嗬账鞑《臼抢?45端口進(jìn)行攻擊。
由于國(guó)內(nèi)曾多次出現(xiàn)利用445端口傳播的蠕蟲(chóng)病毒,部分運(yùn)營(yíng)商對(duì)個(gè)人用戶封掉了445端口。但是教育網(wǎng)并無(wú)此限制,存在大量暴露著445端口的機(jī)器,因此成為攻擊的重災(zāi)區(qū)。
(3)獲取密鑰
勒索病毒的加密算法幾乎都比較復(fù)雜,需要獲取“密鑰”才能進(jìn)行加密。而且要保證對(duì)每個(gè)用戶使用不同的密鑰。
所以,勒索病毒利用漏洞入侵目標(biāo)之后,首先要從自己的服務(wù)器端獲取密鑰,才能開(kāi)始加密。
為了隱藏自己,勒索病毒跟服務(wù)端的通信一般都是通過(guò)Tor協(xié)議進(jìn)行通信,或者是經(jīng)過(guò)多層代理服務(wù)器的跳轉(zhuǎn)然后進(jìn)行通信。這兩種方式都可以防追蹤,避免服務(wù)器被別人發(fā)現(xiàn)。
所以,WannaCry利用后門(mén)進(jìn)入目標(biāo)電腦之后,第一件事就是安裝一個(gè)tor客戶端,再通過(guò)tor客戶端與自己的服務(wù)器通信。
勒索病毒會(huì)上傳當(dāng)前設(shè)備的信息,比如系統(tǒng)版本等,勒索病毒服務(wù)器根據(jù)設(shè)備信息來(lái)判斷下發(fā)什么樣的加密方式和密鑰。
?。?)收集目標(biāo)文件
勒索病毒會(huì)進(jìn)行一些準(zhǔn)備工作,為下一步文件加密做好準(zhǔn)備。
例如,勒索病毒會(huì)停掉數(shù)據(jù)庫(kù)和服務(wù)器,釋放其所占用的資源,以便對(duì)這些數(shù)據(jù)進(jìn)行加密。
勒索病毒會(huì)使用工具破壞服務(wù)器內(nèi)的安全軟件,例如關(guān)閉Windows Defender。
最后勒索病毒一般會(huì)對(duì)被攻擊計(jì)算機(jī)上的文件進(jìn)行遍歷,對(duì)比文件的擴(kuò)展名,找到最有價(jià)值的數(shù)據(jù)進(jìn)行加密。
不同的病毒會(huì)以不同的文件為目標(biāo),WannaCry的目標(biāo)包括office文檔、代碼、視頻、圖片、程序、密鑰、數(shù)據(jù)庫(kù)文件、虛擬盤(pán)等等。
(5)文件加密
勒索病毒的加密過(guò)程很快。受害者的文件會(huì)被篡改文件后綴。加密后的各類文件都無(wú)法正常打開(kāi),只有支付贖金才能解密恢復(fù)。
例如,Ripid病毒對(duì)文件進(jìn)行加密之后,就會(huì)添加。rapid拓展名。并在每個(gè)文件夾中創(chuàng)建“How Recovery Files.txt”提示文件,讓受害者知道如何進(jìn)行付款。
(6)勒索信息
勒索病毒的最后一步就是展示勒索信息。
例如,WannaCry會(huì)在加密文件之后,運(yùn)行鎖屏程序,并進(jìn)行重啟,用戶再次進(jìn)入電腦時(shí)就會(huì)看到彈出的勒索信息。
比較諷刺的是一般勒索病毒的體驗(yàn)會(huì)做的特別的好。
例如,一般勒索信息都支持多語(yǔ)言切換。
做勒索病毒的人里面還有很多營(yíng)銷大師。
例如,48小時(shí)內(nèi)未支付,贖金翻倍。如不交贖金,則會(huì)將數(shù)據(jù)公開(kāi)拍賣。企業(yè)即使在有文件備份的情況下,為了數(shù)據(jù)不被泄露,也不得不交付贖金。
?。?)其他進(jìn)攻手段
僵尸網(wǎng)絡(luò)、銀行木馬等與勒索病毒的合作也越來(lái)越多,例如MegaCortex勒索病毒會(huì)通過(guò)Qakbot銀行木馬傳播,Ryuk勒索病毒會(huì)通過(guò)Trickbot銀行木馬傳播。
甚至有人會(huì)在“暗網(wǎng)”招收不同地區(qū)的代理進(jìn)行合作,利用RDP弱口令滲透、釣魚(yú)郵件、軟件捆綁、漏洞等多種手段進(jìn)行傳播。
例如,STOP勒索病毒會(huì)藏匿在激活工具、下載器、破解軟件內(nèi),“微信支付”勒索偽裝成薅羊毛軟件等。
5、如何防御勒索病毒
防御勒索病毒沒(méi)法單純依賴殺毒。因?yàn)椴《緞傞_(kāi)發(fā)出來(lái)的時(shí)候,殺毒軟件的病毒庫(kù)還沒(méi)收錄。這時(shí)的殺毒軟件是無(wú)法識(shí)別勒索病毒的。
既然沒(méi)法徹底殺死,那么面對(duì)勒索病毒,最好的辦法是做好防控。
“零信任”是目前最好的做訪問(wèn)控制的安全架構(gòu)。
6、零信任怎么防御勒索病毒
?。?)網(wǎng)絡(luò)隱身,減少攻擊面
暴露在互聯(lián)網(wǎng)上的端口,如135、139、445、3389等等,都非常容易成為勒索病毒攻擊的目標(biāo)。一旦運(yùn)行在這些端口上的服務(wù)沒(méi)有及時(shí)升級(jí),被勒索病毒找到漏洞,就很容易攻擊進(jìn)來(lái)。
零信任架構(gòu)的網(wǎng)關(guān)一般都具備網(wǎng)絡(luò)隱身的能力,可以限制這些端口的暴露面。網(wǎng)關(guān)上的防火墻跟用戶身份綁定,端口只對(duì)合法用戶開(kāi)放,對(duì)其他人關(guān)閉。
零信任網(wǎng)關(guān)會(huì)檢查流量中的身份信息,合法的流量才允許通過(guò)。
勒索病毒發(fā)出的流量中沒(méi)有合法的身份信息。所以,勒索病毒的所有請(qǐng)求都會(huì)被拒絕。勒索病毒針對(duì)445端口發(fā)起攻擊的話,會(huì)發(fā)現(xiàn)445端口根本無(wú)法建立連接。對(duì)勒索病毒來(lái)說(shuō),零信任網(wǎng)關(guān)的所有端口都是關(guān)閉的,完全無(wú)法掃描到任何漏洞。
隱身技術(shù)的更多細(xì)節(jié)可以參考我的另一篇文章《零信任里的隱身黑科技》。
(2)切斷病毒的遠(yuǎn)程通信
勒索病毒一般需要連接到服務(wù)端來(lái)獲取加密密鑰。
零信任可以對(duì)服務(wù)器的出口做訪問(wèn)控制策略。服務(wù)器出口方向只開(kāi)放真正需要訪問(wèn)的外部IP和端口,這樣可以防止勒索病毒連接遠(yuǎn)端服務(wù)器下載密鑰信息。
這樣,就可以阻斷勒索病毒與服務(wù)端的通信,勒索病毒無(wú)法獲取密鑰和其他工具,自然就無(wú)法進(jìn)行后續(xù)的攻擊了。
(3)微隔離,避免橫向擴(kuò)散
零信任的理念是始終假設(shè)威脅已經(jīng)存在。如果有一個(gè)服務(wù)器已經(jīng)中毒了,那么我們應(yīng)該做的是不讓這個(gè)服務(wù)器傳染其他服務(wù)器。
微隔離技術(shù)是零信任架構(gòu)的重要組成部分,可以實(shí)現(xiàn)服務(wù)器之間的訪問(wèn)控制。
微隔離技術(shù)能實(shí)現(xiàn)比普通的防火墻更細(xì)粒度的管控。利用微隔離技術(shù),可以給每個(gè)設(shè)備建立訪問(wèn)規(guī)則。
默認(rèn)情況下,所有連接都會(huì)被拒絕。零信任只授予完成工作所須的最小權(quán)限。只有少數(shù)服務(wù)器可以訪問(wèn)那些敏感端口。
這樣就限制了病毒的二次傳播和橫向蔓延。
實(shí)施微隔離不是一蹴而就的,可以先對(duì)敏感性高的,或者風(fēng)險(xiǎn)性高的服務(wù)器進(jìn)行隔離。通過(guò)建立可視化視圖,可以理清服務(wù)器間的依賴關(guān)系,先對(duì)網(wǎng)絡(luò)中的關(guān)鍵節(jié)點(diǎn)進(jìn)行控制。
更多細(xì)節(jié)可以參考我的另一篇文章《用微隔離實(shí)現(xiàn)零信任》。
(4)用戶設(shè)備的持續(xù)驗(yàn)證
勒索病毒可能會(huì)通過(guò)釣魚(yú)郵件、網(wǎng)頁(yè)掛馬等方式進(jìn)入用戶電腦。
零信任架構(gòu)中通常會(huì)有一個(gè)客戶端軟件,安裝在用戶電腦上??蛻舳藭?huì)定期掃描。
一旦發(fā)現(xiàn)病毒入侵跡象,立即通知管控平臺(tái)和網(wǎng)關(guān),將用戶變?yōu)椴豢尚艩顟B(tài)。零信任網(wǎng)關(guān)立即阻斷這個(gè)用戶的所有連接,并且在白名單中將用戶剔除,不再允許用戶訪問(wèn)任何資源,直到用戶清理完病毒為止。
如果用戶電腦上沒(méi)有發(fā)現(xiàn)病毒,但是有其他安全漏洞,那么這個(gè)用戶也會(huì)因?yàn)榭尚诺燃?jí)過(guò)低而被隔離。
例如,用戶電腦上的病毒庫(kù)比較老舊,或者操作系統(tǒng)沒(méi)有升級(jí)到最新,或者開(kāi)啟了高危的服務(wù)端口,或者安裝了沒(méi)有簽名的軟件等等。用戶有一項(xiàng)沒(méi)有滿足就扣10分。如果用戶低于80分,就無(wú)法訪問(wèn)敏感數(shù)據(jù)。一旦信任分低于60分,那么用戶就會(huì)被徹底隔離。
(5)多因子身份認(rèn)證
如果用戶密碼過(guò)于簡(jiǎn)單,那么勒索病毒有可能通過(guò)破解密碼,直接獲取系統(tǒng)權(quán)限,進(jìn)而感染、傳播。
零信任包含身份認(rèn)證系統(tǒng),這相當(dāng)于在業(yè)務(wù)系統(tǒng)外面又加了一層防護(hù)罩。用戶必須先通過(guò)零信任的身份驗(yàn)證,才能獲取權(quán)限連接到業(yè)務(wù)系統(tǒng)。
零信任的身份認(rèn)證可以做統(tǒng)一的加強(qiáng)。例如,禁止用戶使用弱口令,禁止不同端點(diǎn)使用相同或相似的密碼。增加多因子認(rèn)證。用戶登錄時(shí)要求插入U(xiǎn)key,或者用戶訪問(wèn)敏感數(shù)據(jù)前要求輸入短信驗(yàn)證碼等等。
(6)異常行為識(shí)別
中了病毒的設(shè)備跟普通用戶在行為方式上有很大不同。
例如,病毒需要不停地探測(cè)身邊的其他設(shè)備,尋找漏洞,進(jìn)行傳播。再比如,當(dāng)病毒入侵到一個(gè)設(shè)備之后,必然會(huì)創(chuàng)建新的管理員賬號(hào),并開(kāi)始復(fù)制各類攻擊工具。
零信任架構(gòu)中的用戶行為識(shí)別系統(tǒng)可以檢測(cè)到這種行為特征。發(fā)生異常行為時(shí),會(huì)立即觸發(fā)一次強(qiáng)認(rèn)證。病毒必然無(wú)法通過(guò)認(rèn)證。此時(shí),網(wǎng)關(guān)就可以對(duì)認(rèn)證失敗的病毒設(shè)備進(jìn)行隔離,阻斷該設(shè)備一切連接。
整個(gè)事件會(huì)在后臺(tái)記錄,發(fā)出告警。IT團(tuán)隊(duì)可以及時(shí)找到異常設(shè)備,進(jìn)行漏洞修復(fù)和數(shù)據(jù)恢復(fù)。
7、其他補(bǔ)救方式
零信任是一個(gè)逐步建設(shè)的過(guò)程,業(yè)務(wù)系統(tǒng)沒(méi)有全部接入零信任之前,怎么避免中招?
?。?)重要數(shù)據(jù)定期備份
正所謂有備無(wú)患,對(duì)用戶來(lái)說(shuō),有了備份,文件被勒索病毒加密了也可以快速恢復(fù)。
但是對(duì)企業(yè)來(lái)說(shuō),單純靠備份是不夠的。因?yàn)槿绻账鞑《竟ミM(jìn)來(lái)了,業(yè)務(wù)辦公肯定要受到嚴(yán)重影響,備份只能幫助挽回?cái)?shù)據(jù)損失,耽誤的業(yè)務(wù)宕機(jī)時(shí)間是無(wú)法彌補(bǔ)回來(lái)的。
備份時(shí),要注意最好是進(jìn)行遠(yuǎn)程異地的備份?;蛘呤谴嬖谝粋€(gè)單寫(xiě)多讀的存儲(chǔ)設(shè)備上,只能寫(xiě)入一次,可以多次讀取。避免備份本身被感染。
為了真的出問(wèn)題時(shí)能快速響應(yīng),最好定期進(jìn)行應(yīng)急演練。做足準(zhǔn)備,才能保證真出問(wèn)題的時(shí)候,快速恢復(fù)到正常狀態(tài)。
(2)系統(tǒng)漏洞補(bǔ)丁自動(dòng)升級(jí)
實(shí)施零信任后,可以有效地隱藏漏洞,但其實(shí)漏洞仍然存在,企業(yè)還是應(yīng)該盡可能地打補(bǔ)丁修復(fù)。
8、中毒后如何解除
勒索病毒重點(diǎn)在于防,但是已經(jīng)中招的話,也可以碰碰運(yùn)氣。如果是很老的病毒的話,是可以解除的。
?。?)去MalwareHunterTeam的官網(wǎng)上傳病毒樣本,確認(rèn)病毒屬于哪個(gè)家族
?。?)上網(wǎng)搜索相應(yīng)的解密工具,例如卡巴斯基等公司都出過(guò)勒索病毒解密工具集。
如果是最新的病毒,可能是解除不了的。所以重點(diǎn)其實(shí)還是在于預(yù)防。
9、總結(jié)
勒索病毒的變種越來(lái)越多,勒索病毒已經(jīng)成為了一種常見(jiàn)的威脅。零信任幫你可以縮小攻擊面,降低勒索病毒帶來(lái)的傷害。如果你不希望有一天要靠備份文件重建系統(tǒng)的話,最好還是盡早實(shí)施零信任或類似架構(gòu)為好。