根據(jù)“火絨在線支持和響應(yīng)中心”平臺數(shù)據(jù)顯示����,2019年中,國內(nèi)遭受勒索病毒攻擊的政企逐漸增加�����,勒索病毒依舊是企業(yè)網(wǎng)絡(luò)安全的嚴重威脅之一���。
犯罪組織的運營方式越發(fā)正規(guī)��,通過RaaS(Ransomware-as-a-Service勒索軟件即服務(wù))方式運營的勒索病毒愈來愈多,通過在“暗網(wǎng)”招收不同地區(qū)的代理進行合作�,利用RDP弱口令滲透、釣魚郵件�����、軟件捆綁����、漏洞等多種手段進行傳播。
除加密文件勒索贖金外�,如Maze勒索還增加了盜取企業(yè)數(shù)據(jù)的行為,如不交付贖金將泄露被盜取的數(shù)據(jù),逼迫企業(yè)即使在有文件備份的情況下�����,為了數(shù)據(jù)不被泄露不得不交付贖金�,并且此行為得到其他勒索病毒運營者的認同,未來盜取數(shù)據(jù)可能成為勒索病毒的主流行為����。
本文會以火絨2019年處理的勒索病毒事件內(nèi),所處理的病毒種類��、數(shù)量���、易受攻擊用戶等進行說明�,并介紹火絨企業(yè)版對勒索病毒的防護方式與使用火絨后的安全建議��。
二���、2019年勒索病毒攻擊數(shù)據(jù)
根據(jù)“火絨在線支持和響應(yīng)中心”平臺統(tǒng)計�,2019年勒索病毒攻擊事件呈現(xiàn)以下三大特點:
病毒數(shù)量不斷上升�����。在2019年內(nèi),火絨攔截到的勒索病毒的種類�����、家族(包含變種)復(fù)雜多樣�����,且數(shù)量巨大�,與往年相比依舊呈現(xiàn)上升現(xiàn)象。其中��,活躍度前三的勒索病毒為:GlobeImposter��、Crysis(Dharma)����、Sodinokibi���。(如下圖)
以政企單位為主����。根據(jù)火絨全年內(nèi)對客戶提供的技術(shù)支持得出���,遭遇勒索攻擊的多為企業(yè)用戶�。分析原因是由于企業(yè)用戶的網(wǎng)絡(luò)(如服務(wù)器)多暴露在公共網(wǎng)絡(luò),加上企業(yè)多使用老舊系統(tǒng)存在未修復(fù)的漏洞��,以及管理人員安全意識薄弱等各類因素��,共同造成企業(yè)用戶較個人用戶而言��,更容易被勒索病毒識別攻擊的結(jié)果���。
僅以火絨提供數(shù)據(jù)顯示�,典型的如制造業(yè)�、電子與互聯(lián)網(wǎng)、醫(yī)療����、政府單位以及教育行業(yè)等,在2019年內(nèi)均受到較為嚴重的勒索攻擊��。(如下圖)
傳播方式多樣�����。火絨安全2019年內(nèi)處理的勒索事件中�,RDP弱口令滲透依舊是勒索病毒最常見的傳播方式���,占總攻擊次數(shù)的6成以上。其次為釣魚郵件傳播�����,通過海量釣魚郵件傳播勒索病毒�。其余的攻擊方式有利用僵尸網(wǎng)絡(luò)傳播、利用高危漏洞傳播��、使用激活工具傳播與利用下載器傳播等����。(如下圖)
除了RDP弱口令滲透以外,犯罪組織還會通過釣魚郵件�、僵尸網(wǎng)絡(luò)、激活工具��、高危漏洞等方式傳播勒索病毒:
釣魚郵件會通過構(gòu)造迷惑性內(nèi)容�,如偽裝成政府機構(gòu)或快遞信息,欺騙用戶下載郵件內(nèi)附件或點擊郵件內(nèi)連接���,使病毒成功運行。
僵尸網(wǎng)絡(luò)��、銀行木馬等與勒索病毒的合作也越來越多,例如MegaCortex勒索病毒會通過Qakbot銀行木馬傳播�����,Ryuk勒索病毒會通過Trickbot銀行木馬傳播�����。
此外���,個人用戶常會遇到以激活工具�、破解軟件�����、下載器方式進行傳播的勒索病毒���,如計算機并未安裝安全軟件��,即有文件被加密的可能�����。例如STOP勒索會藏匿在激活工具����、下載器、破解軟件內(nèi)����,”微信支付”勒索偽裝成薅羊毛軟件等。
1�����、RDP弱口令如何成為勒索病毒的“幫手”
遠程桌面協(xié)議RDP���,此協(xié)議為”遠程桌面”類工具常用協(xié)議�����,Windows內(nèi)的'遠程桌面'�����,Linux內(nèi)的'rdesktop'��,第三方軟件'wfreerdp'均使用此協(xié)議����。只需主機的賬戶與密碼�,即可訪問主機內(nèi)資源,多用于遠程協(xié)助與遠程運維��。
犯罪組織通過RDP暴破�����,或于黑市上購買RDP憑證(最低只需6美元)�����,通過有管理員權(quán)限的賬戶進行登錄���。在成功登錄后����,黑客會使用Mimikatz類憑據(jù)獲取工具��,獲取本機或域內(nèi)憑據(jù)����,用作內(nèi)網(wǎng)滲透�,同時使用內(nèi)網(wǎng)掃描工具���,尋找網(wǎng)絡(luò)內(nèi)高價值服務(wù)器(OA���、文件服務(wù)器、數(shù)據(jù)庫服務(wù)器)等���,在進行文件加密前�����,會使用工具破壞服務(wù)器內(nèi)的安全環(huán)境(關(guān)閉Windows Defender��,破壞安全軟件)�,以上操作成功后���,運行勒索病毒加密文件�。
2�、RDP弱口令傳播成為勒索病毒入侵主要方式原因
在火絨2019年處理的勒索事件中,勒索病毒多選擇使用RDP進行傳播���,占全部勒索事件的61%�。
火絨工程師分析,出現(xiàn)此類問題�����,多為企業(yè)內(nèi)存在密碼強度弱���、密碼復(fù)用等安全問題,除RDP外��,無論是遠程控制使用的VNC��,還是Sql Server�����、Tomcat�、FTP,都有因弱口令����,被暴破成功后入侵的可能。
值得一提的是���,在本文統(tǒng)計的2019年8款高危勒索病毒一覽(見后附錄部分)中�,有6類均是以RDP弱口令滲透傳播為主。
犯罪組織攻擊渠道不斷轉(zhuǎn)變����。在過去的2019年里,勒索病毒的攻擊方式從漏洞�����、郵件���、激活工具等大比例轉(zhuǎn)變?yōu)镽DP弱口令滲透��,讓安全防御難度增大���。
病毒攻擊次數(shù)呈現(xiàn)遞增形式。雖然在過去的幾年內(nèi)����,安全廠商不斷研發(fā)技術(shù),并向用戶普及勒索病毒的危害��、基礎(chǔ)防御方法,但在利益的驅(qū)使下�,勒索病毒攻擊依舊高漲,甚至形成了完整的產(chǎn)業(yè)鏈��。
對病毒的破解手段單一�。目前,絕大多數(shù)的勒索病毒使用的是非對稱的加密手段���,幾乎無法破解���。只有極少數(shù)的勒索病毒在使用對稱加密或主動留下密鑰�����,才有機會破解�。
2、安全防御由單一的對抗(攔截�、查殺)轉(zhuǎn)為對傳播渠道的主動封堵。
對終端進行全面加固����。高危漏洞、暴露在外網(wǎng)的服務(wù)器���、各類程序軟件的漏洞成為勒索病毒入侵終端的一大方式�,因此,對系統(tǒng)�、軟件的漏洞防御,對服務(wù)器的保護成為過去的一年中重要防御方向��。
對傳播渠道的遏制���。上述RDP弱口令滲透愈演愈烈����,讓勒索病毒借助并大肆傳播��。如何遏制此類攻擊���,成為2019年后�����,安全領(lǐng)域亟待完善和加強的防御領(lǐng)域����。
主防的進一步加強�。除了常規(guī)的病毒攔截以外�����,火絨在去年推出“漏洞攻擊攔截”功能�、“應(yīng)用加固”以及“僵尸網(wǎng)絡(luò)防護”、“Web服務(wù)保護”等功能都是針對終端脆弱點進行防護����,極大減少勒索病毒進入的風險。
RDP登錄防護��。2019年中���,火絨除了在個人版5.0上新增“遠程登錄防護”功能預(yù)防弱口令滲透外,火絨企業(yè)版也推出'遠程登陸防護'功能�,可通過設(shè)置IP白名單,拒絕并追蹤陌生可疑設(shè)備進行RDP登錄���。此外����,火絨也將RDP弱口令滲透作為重點防御領(lǐng)域�,未來也將制定完整的防護策略����,遏制此類攻擊���。
圖示:在開啟此功能后���,進行RDP登錄,并被火絨阻止����,并記錄日志,其中包含遠程主機IP���,與登錄使用的用戶名等信息�����。
1、部署安全軟件�����,防御以郵件、惡意捆綁���、僵尸網(wǎng)絡(luò)等方式傳播的勒索病毒��,對其查殺或阻止其運行���,提高終端安全性。
2���、使用復(fù)雜密碼����,Windows賬戶所用密碼需符合密碼復(fù)雜度要求(密碼長度需大于等于8位�����,至少含有大/小寫字母����、數(shù)字�����、特殊字符中的三種)。
3��、對無相關(guān)業(yè)務(wù)的端口進行限制���,例如禁用445��,修改RDP默認端口3389等���。如無法禁用,可對此類端口進行限制���,例如對共享目錄設(shè)置相關(guān)ACL權(quán)限����,在組策略內(nèi)對遠程桌面登錄進行限制等�����。
4���、及時安裝補丁��,對存在漏洞的服務(wù)進行升級����,防止勒索病毒通過漏洞進行傳播。
5���、對重要業(yè)務(wù)����、文件進行異地備份���。
6����、提高員工安全意識��,對激活工具��、可疑郵件����、未知來源軟件等,謹慎打開和使用��,使用陌生可移動設(shè)備前�,先進行查殺。
7�、火絨使用過程中,您可按照火絨官網(wǎng)內(nèi)的《部署火絨后的安全加固建議》����,對火絨進行設(shè)置,以提高安全性���。
該病毒根據(jù)不同版本���,又名'十二生肖勒索'、'十二主神勒索'等��,該勒索常見后綴為'.(動物����、希臘主神)+4444\666\865qqz',勒索信名稱為'HOW TO BACK YOUR FILES.exe'����。
GlobeImposter自進入國內(nèi)以來,主要的攻擊目標為醫(yī)療行業(yè)。主要傳播方式為RDP弱口令�,在成功登陸后繼續(xù)進行內(nèi)網(wǎng)滲透,同時加密多臺服務(wù)器內(nèi)的文件�����,造成較大損失����。由于使用RSA+AES算法對文件進行加密,被加密的文件如沒有相應(yīng)的RSA私鑰基本無法解密�����。
Crysis勒索病毒多通過RDP弱口令傳播���,Dharma為Crysis勒索病毒變種�,該勒索病毒使用RSA+AES或RSA+DES算法加密文件���,在沒有相應(yīng)RSA私鑰的情況下無法解密�。文件后綴為此格式:'id-XXXXXXXX.[郵箱].文件后綴',勒索信名稱為'FILES ENCRYPTED.txt'����、'Info.hta'��。
Phobos勒索病毒復(fù)用了Crysis的部分代碼��,與Crysis高度相似(文件后綴與勒索信)��,該勒索病毒多通過RDP弱口令進行傳播��,使用RSA+AES算法加密文件��,在沒有相應(yīng)RSA私鑰的情況下無法解密�,文件后綴為此格式'.id[XXXXXXXX-XXXX].[郵箱].后綴名'或'id-XXXXXXXX.[郵箱].后綴名',勒索信名稱為'info.txt'�����、'info.hta'�。
據(jù)傳����,該勒索病毒繼承了部分GandCrab勒索病毒的代碼與傳播渠道,在GandCrab停止運營后�,此勒索病毒活躍度逐漸提升����。該勒索多通過RDP弱口令����、釣魚郵件、Oracle WebLogic CVE-2019-2725漏洞進行傳播���,其中釣魚郵件多偽裝成海關(guān)����、公安�����、法院�、DHL快遞等內(nèi)容。
該病毒使用Salsa20算法加密文件����,目前無法解密。被加密文件后綴為5-10個隨機字符��,勒索信名稱為'隨機字符-readme.txt'�,在文件加密結(jié)束后�,會修改桌面壁紙為藍色����,并提示您文件已被加密,閱讀勒索信�。
STOP勒索,又名STOP-Djvu勒索��,該勒索多偽裝成激活工具���、軟件下載器�、破解軟件進行傳播�����。最初該勒索使用AES-256對文件進行加密���,后期使用salsa20與RSA算法��。該勒索較老的版本��,如果加密環(huán)境不能連接黑客服務(wù)器�����,會選擇使用離線密鑰加密文件�����,此種情況下可以解密文件����,如在線獲取密鑰或被新版本STOP勒索病毒加密的情況下,無法解密文件����。經(jīng)國外安全研究人員統(tǒng)計,該勒索病毒根據(jù)變種不同��,文件被加密后所使用過的不同文件后綴有上百個���,勒索信也根據(jù)版本有不同名稱���。
RYUK勒索�,攻擊目標多為大型企業(yè)與政府機構(gòu),通過Emotet渠道下發(fā)的Trickbot銀行木馬進行傳播��。此勒索病毒多根據(jù)企業(yè)規(guī)模進行定制性攻擊,攻擊成功后索要贖金數(shù)額巨大�。該勒索使用RSA+AES算法對文件進行加密,在沒有相應(yīng)RSA私鑰的情況下無法解密�。被加密文件后綴多為.RYK,勒索信名稱多為'RyukReadMe.html'或'RyukReadMe.txt'����。
MedusaLocker勒索多通過RDP弱口令傳播��,早期勒索信與GlobeImposter非常相似�,曾被認為是GlobeImposter的變種����。該勒索病毒使用RSA+AES算法對文件進行加密,在沒有相應(yīng)RSA私鑰的情況下無法解密��。近期出現(xiàn)較多的文件后綴為'.ReadTheInstructions'和'.READINSTRUCTIONS'���,勒索信名稱多為'RECOVER_INSTRUCTIONS.html'和'INSTRUCTIONS.html'
CryptON勒索,又名X3M�、Cry9等等����,該勒索多通過RDP弱口令進行傳播���,使用3DES和RC4算法加密文件����,因加密后����,密鑰文件會保存在本地(temp000000.txt),所以該勒索可以解密�����。但目前發(fā)現(xiàn)的用戶現(xiàn)場內(nèi)��,該文件多被黑客取走���,導(dǎo)致無法解密��。目前常見的����,被加密文件后綴多為'X3M'、'firex3m'����、'WECANHELP'、'YOU_LAST_CHANCE'��,勒索信名稱為'!!!DECRYPT MY FILES!!!.txt'����、'_RESTORE FILES_.txt'。
