為了不哭著給黑客交贖金,你應(yīng)該知道這11個(gè)攻略

責(zé)任編輯:editor007

作者:李勤

2016-12-07 21:11:35

摘自:雷鋒網(wǎng)

數(shù)據(jù)備份和恢復(fù)措施是發(fā)生被勒索事件挽回?fù)p失的重要工作,因此,將此關(guān)鍵措施放在第一位。如果企業(yè)的業(yè)務(wù)在云上,可以使用不同方式的備份方法來解決數(shù)據(jù)備份問題,以確保在發(fā)生勒索事件后,盡可能的挽回?fù)p失。

12月7日,對(duì)于吃瓜群眾而言,可能是某個(gè)人的生日,或者就是個(gè)平常的日子。但對(duì)由中國(guó)人開設(shè)的富帝銀行(列支敦士登)的大量客戶而言,包括德國(guó)和其他地方的政治人物、演員和有錢人,這是一個(gè)交付贖金的最后通牒日期。

“要么給錢,要么撕票。”這是綁匪的常用語,不要問雷鋒網(wǎng)怎么知道,電視劇都是這么演的。

但是,對(duì)于特殊的“銀行劫匪”——黑客,尤其是使用“勒索軟件”大招的黑客而言,下面這招有點(diǎn)狠——“要么給錢,要么我就把你們這些客戶中偷稅、漏稅的信息告訴媒體和政府了。”更狠的是,“綁匪”要求中招的賬戶支付的金額是帳戶余額的10%,當(dāng)然還是老規(guī)矩,用比特幣!

這意味著,越有錢,被宰得越狠。

雖然,目前并沒有獲得其中一些銀行客戶的反饋,不過可以肯定的是,肯定有人不聲不響地就把贖金交了。

關(guān)于勒索軟件,一旦中招,F(xiàn)BI 和國(guó)內(nèi)的網(wǎng)絡(luò)安全專家都曾說過:你只能乖乖認(rèn)輸,要么就去交錢,要么就不要這些數(shù)據(jù)或文件了。最慘的結(jié)果是,就算你交了錢,數(shù)據(jù)和錢都沒了(有沒有點(diǎn)綁匪的職業(yè)道德)。

為了不哭著給黑客交贖金,你應(yīng)該知道這11個(gè)攻略|深度干貨

  遭遇勒索軟件,除了交贖金,還能怎么辦?

在探索這個(gè)終極目標(biāo)前,先來聊點(diǎn)關(guān)于勒索軟件你可能不知道的事兒。

勒索軟件套路太深

輕輕的,我走了,正如我輕輕的來。

勒索軟件也有這么“浪漫”。

勒索軟件專門以用戶文件為攻擊目標(biāo),同時(shí)會(huì)避免破壞系統(tǒng)文件。你以為它這么好心是因?yàn)楹诳瓦€殘存一絲善良?圖樣圖森破。

赤裸裸的現(xiàn)實(shí)是,黑客這么做的原因,一方面是為了確保用戶會(huì)收到相關(guān)的通知,以告知他們的文件所遭到的攻擊,另一方面,用戶也能夠通過一定的方法支付贖金以取回他們的文件。

對(duì)文件進(jìn)行加密后,此類惡意軟件通常會(huì)自我刪除,并留下某種形式的文檔 —— 這個(gè)文檔會(huì)指示受害者如何支付贖金,并重新獲得對(duì)加密文件的訪問權(quán)限。某些“變體”還會(huì)向受害者設(shè)定支付時(shí)限,并威脅如果在此時(shí)限之前未收到付款,則將刪除密鑰/解密工具,否則則會(huì)增加贖金的價(jià)格。

為了不哭著給黑客交贖金,你應(yīng)該知道這11個(gè)攻略|深度干貨

勒索軟件怎么入侵你的電腦?此前,雷鋒網(wǎng)的讀者表示,就是一臉懵x地打開了電腦,就發(fā)現(xiàn)著了勒索木馬的道,沒有一絲絲防備,后來發(fā)現(xiàn),是因?yàn)榈顷懥擞袙祚R的仿冒網(wǎng)站。

除了打開掛馬的網(wǎng)站會(huì)中招,還有哪些坑不要踩?雷鋒網(wǎng)宅客頻道向阿里云安全專家正禾打聽到以下信息:勒索軟件還可能通過漏洞攻擊包、水坑式攻擊、惡意廣告,或者大規(guī)模的網(wǎng)絡(luò)釣魚活動(dòng)找到你。

一旦發(fā)送成功,勒索軟件一般通過某種嵌入式文件擴(kuò)展名列表來識(shí)別用戶文件和數(shù)據(jù)。勒索軟件還會(huì)通過編程,避免影響某些系統(tǒng)目錄(例如 Windows 系統(tǒng)目錄或某些程序文件目錄),以確保負(fù)載運(yùn)行結(jié)束后,系統(tǒng)仍然保持穩(wěn)定,以使客戶能夠支付贖金。

中招之后,大部分主流格式的文件都會(huì)被“襲擊”。

為了不哭著給黑客交贖金,你應(yīng)該知道這11個(gè)攻略|深度干貨

回溯一下,方法好像都懂,但勒索軟件如何做到?jīng)]有一絲防備,悄無聲息地潛進(jìn)來?正禾揭秘,

一組熟練的、以獲取贖金為目標(biāo)的攻擊者,一直在收集一家大型公司的相關(guān)信息,準(zhǔn)備對(duì)其發(fā)動(dòng)攻擊。機(jī)會(huì)出現(xiàn)了,攻擊者獲得了對(duì)其網(wǎng)絡(luò)的初始訪問權(quán)限。攻擊者現(xiàn)在需要升級(jí)其授權(quán),并確定網(wǎng)絡(luò)中的關(guān)鍵目標(biāo),他們需要取得對(duì)這些目標(biāo)的控制,這樣一來,受害者支付贖金的可能性就會(huì)增加。

為了不哭著給黑客交贖金,你應(yīng)該知道這11個(gè)攻略|深度干貨

為了不哭著給黑客交贖金,你應(yīng)該知道這11個(gè)攻略|深度干貨

如上圖所示,攻擊者正在嘗試?yán)孟到y(tǒng)中的本地功能以在目標(biāo)網(wǎng)絡(luò)里逐步滲透,同時(shí)降低被發(fā)現(xiàn)的風(fēng)險(xiǎn)。在許多操作系統(tǒng)里,攻擊者可以利用很多的遠(yuǎn)程訪問工具,從而在系統(tǒng)間逐步滲透。使用本地工具進(jìn)行逐步滲透,不會(huì)向磁盤引入任何內(nèi)容,并且也不會(huì)被視為異常操作,這就降低了人們發(fā)現(xiàn)攻擊者的可能性。

付,還是不付,這是一個(gè)問題

一旦勒索軟件發(fā)動(dòng)攻擊,并攻擊成功,損失幾乎是無法阻擋的。

但是,到底要不要支付贖金,這是一個(gè)問題。

正禾告訴雷鋒網(wǎng)(公眾號(hào):雷鋒網(wǎng)),如果不支付贖金,那么恢復(fù)數(shù)據(jù)就需要很高的成本。安全和 IT 員工需要全天候進(jìn)行工作,將系統(tǒng)恢復(fù)至運(yùn)行狀態(tài),這個(gè)過程中需要支出設(shè)備、運(yùn)營(yíng)成本等。

如果數(shù)據(jù)恢復(fù)成本大于贖金成本,那么受害組織很有可能會(huì)付錢。 否則攻擊者會(huì)“撕票”,然而這里面也可能會(huì)有支付完贖金被騙的情況發(fā)生。

看上去好像都很悲劇。

為了不哭著給黑客交贖金,你應(yīng)該知道這11個(gè)攻略|深度干貨

  比較簡(jiǎn)便的方式是,正禾給了一個(gè)流程圖,讓你判斷是否需要支付贖金。

當(dāng)然,土豪可以毫不猶豫地“視金錢如糞土”,直接選擇付款。

為了不哭著給黑客交贖金,你應(yīng)該知道這11個(gè)攻略|深度干貨

  除了繳納贖金,還能怎么辦?

一個(gè)有意思的比喻是——

就像是打仗時(shí),士兵攻城一樣。勒索軟件的攻擊者,會(huì)最先攻陷那些沒有堅(jiān)實(shí)外殼的系統(tǒng),完成初始訪問。當(dāng)?shù)谝徊焦ハ菪袆?dòng)完成,如果“城墻”內(nèi)沒有安全策略,威脅就會(huì)逐漸滲透到內(nèi)部,以入侵重要的資產(chǎn)或數(shù)據(jù),這是攻擊的第二步。如果受害者還不留神,“允許”了權(quán)限升級(jí),攻擊就會(huì)最終得逞,造成無法挽回的危害。

正禾認(rèn)為,“縱深防御”或許可以把危機(jī)擋在門外,而不是引狼入室,讓惡意軟件對(duì)你或者企業(yè)造成實(shí)際損失。以下為正禾提出的具體建議:

1.備份,備份,再備份。重要的事情說三遍!

數(shù)據(jù)備份和恢復(fù)措施是發(fā)生被勒索事件挽回?fù)p失的重要工作,因此,將此關(guān)鍵措施放在第一位。面對(duì)攻擊者的贖金勒索,需要清晰的了解并考慮以下點(diǎn):

當(dāng)系統(tǒng)遭到徹底破壞的時(shí)候,受害組織在多大程度上能夠接受數(shù)據(jù)的丟失?

本地備份是否可用,或者異地備份的內(nèi)容是否都被刪除或以其他的方式導(dǎo)致不可用?

如果本地備份介質(zhì)的內(nèi)容被刪除或不可使用,異地的備份是否可用? 異地備份頻率如何?每周一次?每半個(gè)每月一次?每月一次?

是否定期驗(yàn)證過備份內(nèi)容的有效性?數(shù)據(jù)是否可以正常使用?

是否數(shù)據(jù)應(yīng)急恢復(fù)流程或手冊(cè)?

備份恢復(fù)是企業(yè)的最后一道防線,在最壞的情況下,它將是最后的堡壘,而企業(yè)需要建不定期地進(jìn)行數(shù)據(jù)備份策略,以確保在最壞的情況有備份措施。

如果企業(yè)的業(yè)務(wù)在云上,可以使用不同方式的備份方法來解決數(shù)據(jù)備份問題,以確保在發(fā)生勒索事件后,盡可能的挽回?fù)p失。

2.不得不看云上的帳戶

云上針對(duì)租戶賬號(hào)提供賬號(hào)登錄雙因素驗(yàn)證機(jī)制 (MFA) 、密碼安全策略、和審計(jì)功能,企業(yè)可以方便地在自己的云上界面中啟用和關(guān)閉,以確保云服務(wù)賬號(hào)的安全性。

針對(duì)組織內(nèi)部多角色場(chǎng)景,企業(yè)需要使用 RAM 服務(wù)為不同角色合理分配賬號(hào)并授權(quán),以防止在運(yùn)維管理活動(dòng)中,出現(xiàn)意外操作而導(dǎo)致的安全風(fēng)險(xiǎn)。

3. 構(gòu)建“第一道門”

企業(yè)可以采用如下兩種方式,來阻止攻擊進(jìn)入系統(tǒng)的“第一道門”:

發(fā)現(xiàn)并修復(fù)業(yè)務(wù)系統(tǒng)存在的漏洞;

或者拒絕點(diǎn)擊網(wǎng)絡(luò)釣魚等不明惡意鏈接和郵件/社交工程。如果攻擊者在目標(biāo)網(wǎng)絡(luò)無法輕易地建立初始訪問,那么攻擊者更可能轉(zhuǎn)向其他較為容易進(jìn)攻的目標(biāo)。攻擊者也希望花費(fèi)盡可能少的代價(jià)來取得相應(yīng)的收益。如果無法輕易地建立初始訪問,這會(huì)增加他們尋找其他更容易進(jìn)攻目標(biāo)的可能性。

4. 對(duì)沒有容災(zāi)能力的基礎(chǔ)架構(gòu)說“NO”

高性能、具有冗余的基礎(chǔ)架構(gòu)能力是保障業(yè)務(wù)強(qiáng)固的基礎(chǔ)條件,在云環(huán)境下,可以通過 SLB 集群的方式搭建高可用架構(gòu),當(dāng)出現(xiàn)某一個(gè)節(jié)點(diǎn)發(fā)生緊急問題時(shí),可以有效避免單點(diǎn)故障問題,防止業(yè)務(wù)中斷的前提下,也可以防止數(shù)據(jù)丟失。

在資源允許的條件下,企業(yè)或組織可以搭建同城或異地容災(zāi)備份系統(tǒng),當(dāng)主系統(tǒng)出現(xiàn)發(fā)生勒索事件后,可以快速切換到備份系統(tǒng),從而保證業(yè)務(wù)的連續(xù)性。

5. 網(wǎng)絡(luò)訪問要有門檻:不是誰都能進(jìn)來啊喂!

精細(xì)化的網(wǎng)絡(luò)管理是業(yè)務(wù)的第一道屏障。

對(duì)于大部分企業(yè)網(wǎng)絡(luò)而言,它們的網(wǎng)絡(luò)安全架構(gòu)是“一馬平川”的,在業(yè)務(wù)塊之前,很少有業(yè)務(wù)分區(qū)分段。但隨著業(yè)務(wù)的增長(zhǎng)和擴(kuò)容,一旦發(fā)生入侵,影響面會(huì)是全局的。在這種情況下,通過有效的安全區(qū)域劃分、訪問控制和準(zhǔn)入機(jī)制可以防止或減緩滲透范圍,可以阻止不必要的人員進(jìn)入業(yè)務(wù)環(huán)境。

例如:可以限制 ssh、RDP 業(yè)務(wù)管理源地址、對(duì)數(shù)據(jù)庫連接源IP進(jìn)行訪問控制,實(shí)現(xiàn)最小化訪問范圍,僅允許授信人員訪問,并對(duì)出口網(wǎng)絡(luò)行為實(shí)時(shí)分析和審計(jì)。具體可以從以下幾個(gè)方面實(shí)施:

推薦使用更安全的VPC網(wǎng)絡(luò);

通過VPC和安全組劃分不同安全等級(jí)的業(yè)務(wù)區(qū)域,讓不同的業(yè)務(wù)處在不同的隔離空間;

配置入口/出口過濾防火墻策略,再次強(qiáng)調(diào) -入口和出口均需進(jìn)行過濾。主機(jī)彼此之間應(yīng)當(dāng)不能通過 SMB(139/tcp、445/tcp) 進(jìn)行通信。如果設(shè)置了文件服務(wù)器,實(shí)際上就不需要進(jìn)行這種通信。如果企業(yè)可以有效地禁用主機(jī)間的 SMB 通信,企業(yè)就可以防止攻擊者使用“通過散列表”所進(jìn)行的逐步滲透。SMB 通訊應(yīng)僅限于應(yīng)用分發(fā)平臺(tái),文件共享和/或域控制器。

6. 有鎧甲,也有軟肋

端口掃描可以用來檢驗(yàn)企業(yè)的弱點(diǎn)暴露情況。

如果企業(yè)有一些服務(wù)連接到互聯(lián)網(wǎng),需要確定哪些業(yè)務(wù)是必須要發(fā)布到互聯(lián)網(wǎng)上,哪些是僅內(nèi)部訪問,當(dāng)公共互聯(lián)網(wǎng)的服務(wù)數(shù)量越少,攻擊者的攻擊范圍就越窄,從而遭受的安全風(fēng)險(xiǎn)就越小。

7. 每個(gè)月總要有那么幾天……定期進(jìn)行漏掃

企業(yè)公司 IT 管理人員需要定期對(duì)業(yè)務(wù)軟件資產(chǎn)進(jìn)行安全漏洞探測(cè),一旦確定有公開暴露的服務(wù),應(yīng)使用漏洞掃描工具對(duì)其進(jìn)行掃描。盡快修復(fù)掃描漏洞,同時(shí)日常也應(yīng)該不定期關(guān)注軟件廠商發(fā)布的安全漏洞信息和補(bǔ)丁信息,及時(shí)做好漏洞修復(fù)管理工作。

8. 系統(tǒng)維護(hù)深深印在腦海里

制定并遵循實(shí)施IT軟件安全配置,對(duì)操作系統(tǒng)和軟件初始化安全加固,同時(shí)并定期核查其有效性;

為Windows操作系統(tǒng)云服務(wù)器安裝防病毒軟件,并定期更新病毒庫;

確保定期更新補(bǔ)?。?/p>

確保開啟日志記錄功能,并集中進(jìn)行管理和審計(jì)分析;

確保合理的分配賬號(hào)、授權(quán)和審計(jì)功能,例如:為服務(wù)器、RDS數(shù)據(jù)庫建立不同權(quán)限賬號(hào)并啟用審計(jì)功能,如果有條件,可以實(shí)施類似堡壘機(jī)、VPN等更嚴(yán)格的訪問策略。

確保實(shí)施強(qiáng)密碼策略,并定期更新維護(hù),對(duì)于所有操作行為嚴(yán)格記錄并審計(jì);

確保對(duì)所有業(yè)務(wù)關(guān)鍵點(diǎn)進(jìn)行實(shí)時(shí)監(jiān)控,當(dāng)發(fā)現(xiàn)異常時(shí),立即介入處理。

9. 業(yè)務(wù)代碼安全也要說三遍

大部分安全問題由于程序員的不謹(jǐn)慎或無意識(shí)的情況下埋下了安全隱患,代碼的安全直接影響到業(yè)務(wù)的風(fēng)險(xiǎn),根據(jù)經(jīng)驗(yàn)來看,代碼層的安全需要程序員從一開始就需要將安全架構(gòu)設(shè)計(jì)納入到整體軟件工程內(nèi),按照標(biāo)準(zhǔn)的軟件開發(fā)流程,在每個(gè)環(huán)節(jié)內(nèi)關(guān)聯(lián)安全因素。以下是基于軟件開發(fā)流程將安全管控點(diǎn)落實(shí)到流程中的最佳實(shí)踐:

為了不哭著給黑客交贖金,你應(yīng)該知道這11個(gè)攻略|深度干貨

 ?。跾DL流程]

對(duì)于一般的企業(yè)來說,需要重點(diǎn)關(guān)注開發(fā)人員或軟件服務(wù)提供上的安全編碼和安全測(cè)試結(jié)果,尤其是對(duì)開發(fā)完畢的業(yè)務(wù)代碼安全要進(jìn)行代碼審計(jì)評(píng)估和上線后的黑盒測(cè)試(也可以不定期的進(jìn)行黑盒滲透測(cè)試)。

10. 再敏感一些:建立全局的外部威脅和情報(bào)感知能力

安全是動(dòng)態(tài)的對(duì)抗的過程,就跟打仗一樣,在安全事件發(fā)生之前,要時(shí)刻了解和識(shí)別外部不同各類風(fēng)險(xiǎn),所以做安全的思路應(yīng)該從防止安全入侵這種不可能的任務(wù)轉(zhuǎn)到了防止損失這一系列的關(guān)鍵任務(wù)上。

防范措施必不可少,但是基于預(yù)警、響應(yīng)的時(shí)間差也同樣關(guān)鍵。而實(shí)現(xiàn)這種快速精準(zhǔn)的預(yù)警能力需要對(duì)外面的信息了如指掌,切記“盲人摸象”,所以建立有效的監(jiān)控和感知體系是實(shí)現(xiàn)安全管控措施是不可少的環(huán)節(jié),更是安全防護(hù)體系策略落地的基礎(chǔ)條件。

11. 防火防盜,防緊急事件

就像前面說的一樣,在安全攻防動(dòng)態(tài)的過程中,可能很難100%的防御住所有的安全事件,也就是說,要為可能突發(fā)的安全事件準(zhǔn)備好應(yīng)急策略,在安全事件發(fā)生后,要通過組織快速響應(yīng)、標(biāo)準(zhǔn)化的應(yīng)急響應(yīng)流程、規(guī)范的事件處置規(guī)范來降低安全事件發(fā)生的損失。

最后,由于此前雷鋒網(wǎng)曾從某安全企業(yè)獲悉:他們預(yù)測(cè),在2017年,由于大量企業(yè)轉(zhuǎn)向基于云的存儲(chǔ)和服務(wù),云正在成為網(wǎng)絡(luò)攻擊者獲利的攻擊目標(biāo),勒索軟件將對(duì)云實(shí)施攻擊。阿里云怎么看待這種趨勢(shì)?

正禾認(rèn)為,不同的勒索軟件攻擊方式不一樣,從目前掌握的勒索樣本來看,跟勒索個(gè)人PC的方式不同的是,云上儲(chǔ)存的主要是為企業(yè)服務(wù)端的應(yīng)用數(shù)據(jù),大部分入侵還是利用弱口令、軟件程序漏洞實(shí)現(xiàn)獲取操作系統(tǒng)最高權(quán)限,然后成功運(yùn)行勒索程序并上傳私鑰到遠(yuǎn)端服務(wù)器端(上傳協(xié)議主要為 http),成功對(duì)文件進(jìn)行全盤加密。

云端和非云端都會(huì)有一樣的機(jī)率被勒索,一個(gè)企業(yè)或用戶是否被勒索跟云和非云環(huán)境沒有必然聯(lián)系,只要在互聯(lián)網(wǎng)的環(huán)境下,且滿足勒索攻擊者的攻擊條件,就會(huì)有被勒索的可能性。

不過,云計(jì)算服務(wù)提供商相比傳統(tǒng)IDC廠商,提供了基礎(chǔ)防御能力。但是,從效果來考慮,仍然需要進(jìn)一步強(qiáng)化不同層面的防護(hù)能力,以應(yīng)對(duì)復(fù)雜多變的外部安全威脅,從業(yè)界來看,短時(shí)間內(nèi),隨著業(yè)務(wù)的遷移,勒索事件可能會(huì)有一定程度的上升或轉(zhuǎn)移,但隨著對(duì)安全的重視程度和資源投入,勒索事件將會(huì)被控制。

那么,如果用戶數(shù)據(jù)備份在云端,勒索軟件同時(shí)云平臺(tái)進(jìn)行攻擊,用戶的數(shù)據(jù)會(huì)遭殃嗎?云上、線下同時(shí)備份會(huì)更加有效防止數(shù)據(jù)丟失嗎?

正禾說:

在云上備份數(shù)據(jù)有很多方式,例如:可以備份在OSS、NAS,這些云服務(wù)器不提供惡意軟件運(yùn)行環(huán)境,所以也就無法被再次利用,能夠確保用戶備份數(shù)據(jù)的安全性。事實(shí)上,多重的備份方式會(huì)增加更高的可靠性,我們也是建議用戶使用本地備份和異地本分方式相結(jié)合,防止備份單點(diǎn)。

同時(shí),需要指出的是——現(xiàn)在很多安全公司和專家對(duì)勒索軟件提出的防范建議都是以預(yù)防為主,包括正禾提出的建議。萬一不幸沒防住。有沒有一些“事后”措施,比如攻防對(duì)抗,迅速解密勒索軟件?

正禾對(duì)雷鋒網(wǎng)強(qiáng)調(diào)的是:

目前已經(jīng)支持對(duì)部分類型勒索軟件的數(shù)據(jù)進(jìn)行解密。但還是需要建立牢固的安全防御體系,提高攻擊者門檻。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)