安全419瞭解到,國內老牌安全廠商——瑞星公司日前正式釋出《勒索軟體綜合報告》,報告內容涵蓋了勒索軟體歷史發展、勒索軟體分類及加密技術分類、主要攻擊手法、典型家族等內容,並在如何防範勒索軟體攻擊方面提供了相關建議,同時對未來的趨勢也做了分析,對於企業瞭解勒索軟體攻擊有著一定的參考意義和價值。
首個勒索軟體距今已有33年曆史 2016年被認為是勒索軟體元年
報告指出,勒索軟體攻擊雖然在近些年來極受關注,但其歷史卻可以追溯至上個世紀80年代。據瞭解,第一個已知的勒索軟體——AIDS(PC Cybog)於1989年由哈佛大學畢業的Joseph Popp建立,是一種替換Autoexe。bat檔案的特洛伊木馬。2005年,開始i出現加密使用者檔案的木馬程式,並能夠在加密檔案目錄下用於勒索的txt檔案,要求受害者購買解密程式,當時能夠加密的檔案種類還不算非常豐富,主要包括。doc、。xls、。html、。jpg等,同時還可以對zip以及rar檔案進行加密;2006年,名為Archievus的勒索軟體出現,這是首個使用RSA加密演算法的勒索軟體。在同一年,中國也出現了首個勒索軟體木馬程式Redplus。
第一個已知的勒索軟體——AIDS
當時間進入到21世紀的第二個十年,勒索軟體的發展速度明顯加快。2013年,Cryptolocker出現,並支援透過比特幣的方式支付贖金;2015年,勒索軟體即服務(RaaS)出現,勒索軟體成為一種所謂“商業化”服務的形式開始出現;2016年,報告稱這一年被認為是勒索軟體元年,也是勒索軟體在整個全球範圍內極為活躍的首個鼎盛時期,由多個勒索軟體導致的損失超過了10億美元;2017年,一個里程碑級別的勒索軟體WannaCry影響了多達150個國家,包括英、美等在內的99個國家遭到了直接攻擊。
在具體的勒索軟體家族方面,報告列出了比較典型的12個,除了較早出現的CrySiS、WannaCry之外,還包括Globelmposter、Phobos、GrandCrab,其餘的則是近年來經常登上各媒體安全頭條的名字,如LockBit、Maze、DarkSide、Makop、BlackCat、Hive以及BlackBasta。
RDP弱口令攻擊是最常用攻擊手法之一
報告指出,RDP爆破、釣魚郵件以及漏洞攻擊是勒索軟體攻擊的三大常用手法。其中RDP弱口令攻擊由於其簡便以及對開放遠端埠的弱密碼裝置攻擊成功率高,而成為攻擊者最為熱衷使用的方式之一。
RDP弱口令攻擊是攻擊者最為熱衷使用的方式之一
在防範應對此類攻擊手法方面,瑞星強調了最小化授權以及多因素認證的重要性。報告指出,需限制可使用RDP的使用者,遠端訪問的授權應僅限於必須依靠其來執行工作的人員,而多因素認證也是進一步提升安全性的保障。
此外,報告還提出了以下幾點防護建議:
1、限制遠端桌面的訪問, 禁止非特定的 IP 地址訪問;
2、設定訪問鎖定的策略,如調整賬戶鎖定閾值與持續時間等,此舉目的在於防範攻擊者在一定時間內高頻使用暴破攻擊,同時登入RDP需要高強度的密碼,降低弱口令攻擊成功的可能性;
3、減少不必要的RDP埠。確認RDP和業務的相關性,如果不需要則關閉,或限制在某些特定時間開啟埠;
4、將預設的RDP埠更改為非標準的埠號,此舉可以減少部分惡意軟體對預設的特定埠發起直接攻擊;
5、定期的檢查RDP相關漏洞,並對於已知漏洞進行及時修復。
釣魚郵件攻擊可危及企業內部所有裝置
報告指出,透過釣魚郵件發起勒索軟體攻擊也較為常見,尤其是針對那些員工安全意識薄弱的企業,攻擊成功的機率很高,一旦勒索軟體在任意員工的主機上成功啟動,將會進一步危及企業網路下的所有計算機,其後果不堪想象。
偽裝成韓國公平交易委員會向企業投遞釣魚郵件
針對此類攻擊手法的防範建議,瑞星給出的比較常規,如安裝防毒軟體,關閉和業務無關的Office宏以及PowerShell指令碼等,同時建議企業使用者的裝置都開啟“顯示副檔名”的功能,以讓員工可以快速識別檔案的類別。另外兩條建議則比較寬泛,就是不開啟可疑郵件附件以及郵件中的可疑連結。
事實上,釣魚郵件的防範難度對於有經驗的安全人員而言並不高,但其最大的問題在於並不是所有的員工都可以達到安全人員的水平和能力。因此我們認為,對於有能力的企業,應建立防範釣魚郵件的相關制度,如指定安全責任人,在員工發現疑似釣魚郵件時可以及時反饋給相關責任人,以避免釣魚郵件攻擊或降低遭受進一步攻擊的可能性,將影響壓至儘可能低的水平。為了保證相關制度的有效性,還需提高員工的整體防範意識,如定期進行針對釣魚郵件相關的安全意識培訓,並應當考慮將其納入到新員工的入職培訓當中去。同時,為了進一步加強員工在面對真實釣魚郵件時的辨別能力,應酌情定期進行演練,以接近實戰的方式,讓員工切身體會釣魚郵件的形態及相關的攻擊方式,在提升員工實際應對能力的同時,也能檢驗整個企業在應對釣魚郵件時的能力。
透過漏洞發起勒索軟體攻擊或可引發軟體供應鏈安全危機
至於漏洞攻擊,報告認為其傳播方式相比較RDP要更為複雜,並強調其需要穩定的0day或1day漏洞。比如近段時間在國內爆發出了某知名財務軟體爆發的大規模勒索軟體攻擊事件,由於其受影響軟體的使用者數量龐大,導致其部分使用者受該事件影響而遭受攻擊,這種透過利用0day漏洞發起的勒索攻擊在攻擊的廣度、深度方面普遍更強,影響深遠。
值得警惕的是,由於作業系統和應用軟體的數量眾多,而版本數量更是龐大,在它們之中,難免存有漏洞。根據美安全託管運營服務商此前釋出的研究報告顯示,2022年一季度勒索軟體相關漏洞數量增加7。6%,這一數字表明,透過漏洞發起勒索軟體攻擊的趨勢並不容樂觀。
而在防範此類攻擊手法方面,瑞星也給出了自己的建議,主要有以下幾點:
1、及時更新系統補丁;
2、部署網路版安全軟體,實現對區域網中的裝置統一安裝修復補丁;
3、在不影響業務的前提下,將危險性較高且容易被漏洞利用的埠修改為其他埠號,如139、445 埠等。如果不使用,可直接關閉高危埠以降低被攻擊的風險。
另外,報告還特別針對上述三種攻擊手法進行了案例展示,可供企業使用者參考。
談及未來趨勢,瑞星在報告中表示,近勒索軟體攻擊呈現出從以往單純加密使用者資料、勒索贖金解密進化為在攻擊過程中竊取企業隱私資料和商業資訊,並以威脅公開企業內部資料的方式進行威脅的方式索取高額贖金。這種以釋出企業隱私資料和商業資訊的勒索方式造成的危害巨大,企業不僅要面臨資料洩露問題,還要面臨相關法規、財務和聲譽受損的影響,這大大增加了攻擊者勒索的成功率。
隨著數字化轉型程序的不斷推進以及雲計算的廣泛應用和普及,勒索軟體攻擊組織、團伙也將會將目光轉移到這一領域,也將會成為未來勒索軟體攻擊的重要目標領域。
