國內老牌安全廠商——瑞星公司日前正式發(fā)布《勒索軟件綜合報告》,報告內容涵蓋了勒索軟件歷史發(fā)展、勒索軟件分類及加密技術分類、主要攻擊手法、典型家族等內容,并在如何防范勒索軟件攻擊方面提供了相關建議,同時對未來的趨勢也做了分析,對于企業(yè)了解勒索軟件攻擊有著一定的參考意義和價值。
首個勒索軟件距今已有33年歷史
2016年被認為是勒索軟件元年
報告指出,勒索軟件攻擊雖然在近些年來極受關注,但其歷史卻可以追溯至上個世紀80年代。據(jù)了解,第一個已知的勒索軟件——AIDS(PC Cybog)于1989年由哈佛大學畢業(yè)的Joseph Popp創(chuàng)建,是一種替換Autoexe.bat文件的特洛伊木馬。2005年,開始i出現(xiàn)加密用戶文件的木馬程序,并能夠在加密文件目錄下用于勒索的txt文件,要求受害者購買解密程序,當時能夠加密的文件種類還不算非常豐富,主要包括。doc、。xls、。html、。jpg等,同時還可以對zip以及rar文件進行加密;2006年,名為Archievus的勒索軟件出現(xiàn),這是首個使用RSA加密算法的勒索軟件。在同一年,中國也出現(xiàn)了首個勒索軟件木馬程序Redplus。
第一個已知的勒索軟件——AIDS
當時間進入到21世紀的第二個十年,勒索軟件的發(fā)展速度明顯加快。2013年,Cryptolocker出現(xiàn),并支持通過比特幣的方式支付贖金;2015年,勒索軟件即服務(RaaS)出現(xiàn),勒索軟件成為一種所謂“商業(yè)化”服務的形式開始出現(xiàn);2016年,報告稱這一年被認為是勒索軟件元年,也是勒索軟件在整個全球范圍內極為活躍的首個鼎盛時期,由多個勒索軟件導致的損失超過了10億美元;2017年,一個里程碑級別的勒索軟件WannaCry影響了多達150個國家,包括英、美等在內的99個國家遭到了直接攻擊。
在具體的勒索軟件家族方面,報告列出了比較典型的12個,除了較早出現(xiàn)的CrySiS、WannaCry之外,還包括Globelmposter、Phobos、GrandCrab,其余的則是近年來經常登上各媒體安全頭條的名字,如LockBit、Maze、DarkSide、Makop、BlackCat、Hive以及BlackBasta。
RDP弱口令攻擊是最常用攻擊手法之一
報告指出,RDP爆破、釣魚郵件以及漏洞攻擊是勒索軟件攻擊的三大常用手法。其中RDP弱口令攻擊由于其簡便以及對開放遠程端口的弱密碼設備攻擊成功率高,而成為攻擊者最為熱衷使用的方式之一。
RDP弱口令攻擊是攻擊者最為熱衷使用的方式之一
在防范應對此類攻擊手法方面,瑞星強調了最小化授權以及多因素認證的重要性。報告指出,需限制可使用RDP的用戶,遠程訪問的授權應僅限于必須依靠其來執(zhí)行工作的人員,而多因素認證也是進一步提升安全性的保障。
此外,報告還提出了以下幾點防護建議:
限制遠程桌面的訪問, 禁止非特定的 IP 地址訪問;
設置訪問鎖定的策略,如調整賬戶鎖定閾值與持續(xù)時間等,此舉目的在于防范攻擊者在一定時間內高頻使用暴破攻擊,同時登錄RDP需要高強度的密碼,降低弱口令攻擊成功的可能性;
減少不必要的RDP端口。確認RDP和業(yè)務的相關性,如果不需要則關閉,或限制在某些特定時間打開端口;
將默認的RDP端口更改為非標準的端口號,此舉可以減少部分惡意軟件對默認的特定端口發(fā)起直接攻擊;
定期的檢查RDP相關漏洞,并對于已知漏洞進行及時修復。
釣魚郵件攻擊可危及企業(yè)內部所有設備
報告指出,通過釣魚郵件發(fā)起勒索軟件攻擊也較為常見,尤其是針對那些員工安全意識薄弱的企業(yè),攻擊成功的概率很高,一旦勒索軟件在任意員工的主機上成功啟動,將會進一步危及企業(yè)網絡下的所有計算機,其后果不堪想象。
偽裝成韓國公平交易委員會向企業(yè)投遞釣魚郵件
針對此類攻擊手法的防范建議,瑞星給出的比較常規(guī),如安裝殺毒軟件,關閉和業(yè)務無關的Office宏以及PowerShell腳本等,同時建議企業(yè)用戶的設備都開啟“顯示文件擴展名”的功能,以讓員工可以快速識別文件的類別。另外兩條建議則比較寬泛,就是不打開可疑郵件附件以及郵件中的可疑鏈接。
事實上,釣魚郵件的防范難度對于有經驗的安全人員而言并不高,但其最大的問題在于并不是所有的員工都可以達到安全人員的水平和能力。因此我們認為,對于有能力的企業(yè),應建立防范釣魚郵件的相關制度,如指定安全責任人,在員工發(fā)現(xiàn)疑似釣魚郵件時可以及時反饋給相關責任人,以避免釣魚郵件攻擊或降低遭受進一步攻擊的可能性,將影響壓至盡可能低的水平。為了保證相關制度的有效性,還需提高員工的整體防范意識,如定期進行針對釣魚郵件相關的安全意識培訓,并應當考慮將其納入到新員工的入職培訓當中去。同時,為了進一步加強員工在面對真實釣魚郵件時的辨別能力,應酌情定期進行演練,以接近實戰(zhàn)的方式,讓員工切身體會釣魚郵件的形態(tài)及相關的攻擊方式,在提升員工實際應對能力的同時,也能檢驗整個企業(yè)在應對釣魚郵件時的能力。
通過漏洞發(fā)起勒索軟件攻擊
或可引發(fā)軟件供應鏈安全危機
至于漏洞攻擊,報告認為其傳播方式相比較RDP要更為復雜,并強調其需要穩(wěn)定的0day或1day漏洞。比如近段時間在國內爆發(fā)出了某知名財務軟件爆發(fā)的大規(guī)模勒索軟件攻擊事件,由于其受影響軟件的用戶數(shù)量龐大,導致其部分用戶受該事件影響而遭受攻擊,這種通過利用0day漏洞發(fā)起的勒索攻擊在攻擊的廣度、深度方面普遍更強,影響深遠。
值得警惕的是,由于操作系統(tǒng)和應用軟件的數(shù)量眾多,而版本數(shù)量更是龐大,在它們之中,難免存有漏洞。根據(jù)美安全托管運營服務商此前發(fā)布的研究報告顯示,2022年一季度勒索軟件相關漏洞數(shù)量增加7.6%,這一數(shù)字表明,通過漏洞發(fā)起勒索軟件攻擊的趨勢并不容樂觀。
而在防范此類攻擊手法方面,瑞星也給出了自己的建議,主要有以下幾點:
及時更新系統(tǒng)補丁;
部署網絡版安全軟件,實現(xiàn)對局域網中的設備統(tǒng)一安裝修復補??;
在不影響業(yè)務的前提下,將危險性較高且容易被漏洞利用的端口修改為其他端口號,如139、445 端口等。如果不使用,可直接關閉高危端口以降低被攻擊的風險。
另外,報告還特別針對上述三種攻擊手法進行了案例展示,可供企業(yè)用戶參考。
談及未來趨勢,瑞星在報告中表示,近勒索軟件攻擊呈現(xiàn)出從以往單純加密用戶數(shù)據(jù)、勒索贖金解密進化為在攻擊過程中竊取企業(yè)隱私數(shù)據(jù)和商業(yè)信息,并以威脅公開企業(yè)內部數(shù)據(jù)的方式進行威脅的方式索取高額贖金。這種以發(fā)布企業(yè)隱私數(shù)據(jù)和商業(yè)信息的勒索方式造成的危害巨大,企業(yè)不僅要面臨數(shù)據(jù)泄露問題,還要面臨相關法規(guī)、財務和聲譽受損的影響,這大大增加了攻擊者勒索的成功率。
隨著數(shù)字化轉型進程的不斷推進以及云計算的廣泛應用和普及,勒索軟件攻擊組織、團伙也將會將目光轉移到這一領域,也將會成為未來勒索軟件攻擊的重要目標領域。
更多信息可以來這里獲取==>>電子技術應用-AET<<