安全資訊

一、勒索病毒簡(jiǎn)介與發(fā)展史

1、勒索病毒簡(jiǎn)介

2、勒索病毒發(fā)展史

二、勒索病毒分析

1、勒索病毒爆發(fā)原因

2、勒索病毒傳播方式

三、勒索病毒趨勢分析

四、勒索病毒解決方案

1、勒索病毒入侵行為分析

2、結合勒索病毒行為特征的針對性防護思路

五、方案價(jià)值

一、勒索病毒簡(jiǎn)介與發(fā)展史
1、勒索病毒簡(jiǎn)介
勒索病毒是黑客通過(guò)鎖屏、加密等方式劫持用戶(hù)設備或文件，并以此敲詐用戶(hù)錢(qián)財的惡意軟件。黑客利用系統漏洞或通過(guò)網(wǎng)絡(luò )釣魚(yú)等方式，向受害電腦或服務(wù)器植入病毒，加密硬盤(pán)上的文檔乃至整個(gè)硬盤(pán)，然后向受害者索要數額不等的贖金后才予以解密，如果用戶(hù)未在指定時(shí)間繳納黑客要求的金額，被鎖文件將無(wú)法恢復。

 2、勒索病毒發(fā)展史
勒索病毒第一階段：不加密數據，提供贖金解鎖設備

      2008年以前，勒索病毒通常不加密用戶(hù)數據，只鎖住用戶(hù)設備，阻止用戶(hù)訪(fǎng)問(wèn)，需提供贖金才能解鎖。期間以L(fǎng)ockScreen 家族占主導地位。由于它不加密用戶(hù)數據，所以只要清除病毒就不會(huì )給用戶(hù)造成任何損失。由于這種病毒帶來(lái)的危害都能被很好地解決，所以該類(lèi)型的勒索軟件只是曇花一現，很快便消失了。

勒索病毒第二階段：加密數據，提供贖金解鎖文件

2013年，以加密用戶(hù)數據為手段勒索贖金的勒索軟件逐漸出現，由于這類(lèi)勒索軟件采用了一些高強度的對稱(chēng)和非對稱(chēng)的加密算法對用戶(hù)文件加密，在無(wú)法獲取私鑰的情況下要對文件進(jìn)行解密，以目前的計算水平幾乎是不可能完成的事情。正是因為這一點(diǎn)，該類(lèi)型的勒索軟件能夠帶來(lái)很大利潤，各種家族如雨后春筍般出現，比較著(zhù)名的有CTB-Locker、TeslaCrypt、Cerber等。

勒索病毒第三階段：蠕蟲(chóng)化傳播，攻擊網(wǎng)絡(luò )中其它機器

2017年，勒索病毒已經(jīng)不僅僅滿(mǎn)足于只加密單臺設備，而是通過(guò)漏洞或弱口令等方式攻擊網(wǎng)絡(luò )中的其它機器， WannaCry就屬于此類(lèi)勒索軟件，短時(shí)間內造成全球大量計算機被加密，其影響延續至今。另一個(gè)典型代表Satan勒索病毒，該病毒不僅使用了永恒之藍漏洞傳播，還內置了多種web漏洞的攻擊功能，相比傳統的勒索病毒傳播速度更快。雖然已經(jīng)被解密，但是此病毒利用的傳播手法卻非常危險。

 二、勒索病毒分析

1、勒索病毒爆發(fā)原因
1.1.加密手段復雜，解密成本高

勒索軟件都采用成熟的密碼學(xué)算法，使用高強度的對稱(chēng)和非對稱(chēng)加密算法對文件進(jìn)行加密。除非在實(shí)現上有漏洞或密鑰泄密，不然在沒(méi)有私鑰的情況下幾乎沒(méi)有可能解密。當受害者數據非常重要又沒(méi)有備份的情況下，除了支付贖金沒(méi)有什么別的方法去恢復數據，正是因為這點(diǎn)勒索者能源源不斷的獲取高額收益，推動(dòng)了勒索軟件的爆發(fā)增長(cháng)。

互聯(lián)網(wǎng)上也流傳有一些被勒索軟件加密后的修復軟件，但這些都是利用了勒索軟件實(shí)現上的漏洞或私鑰泄露才能夠完成的。如Petya和Cryptxxx家族恢復工具利用了開(kāi)發(fā)者軟件實(shí)現上的漏洞，TeslaCrypt和CoinVault家族數據恢復工具是利用了key的泄露來(lái)實(shí)現的。

1.2.使用電子貨幣支付贖金，變現快追蹤難

幾乎所有勒索軟件支付贖金的手段都是采用比特幣來(lái)進(jìn)行的。比特幣因為他的一些特點(diǎn):匿名、變現快、追蹤困難，再加上比特幣名氣大，大眾比較熟知，支付起來(lái)困難不是很大而被攻擊者大量使用?？梢哉f(shuō)比特幣很好的幫助了勒索軟件解決贖金的問(wèn)題，進(jìn)一步推動(dòng)了勒索軟件的繁榮發(fā)展。

1.3.Ransomware-as-a-server（勒索服務(wù)化）的出現

勒索軟件服務(wù)化，開(kāi)發(fā)者提供整套勒索軟件解決方案，從勒索軟件的開(kāi)發(fā)、傳播到贖金收取都提供完整的服務(wù)。攻擊者不需要任何知識，只要支付少量的租金就可以開(kāi)展勒索軟件的非法勾當，這大大降低了勒索軟件的門(mén)檻，推動(dòng)了勒索軟件大規模爆發(fā)。

2、勒索病毒傳播方式
2.1．針對個(gè)人用戶(hù)常見(jiàn)的攻擊方式

  通過(guò)用戶(hù)瀏覽網(wǎng)頁(yè)下載勒索病毒，攻擊者將病毒偽裝為盜版軟件、外掛軟件、色情播放器等，誘導受害者下載運行病毒，運行后加密受害者機器。此外勒索病毒也會(huì )通過(guò)釣魚(yú)郵件和系統漏洞進(jìn)行傳播。針對個(gè)人用戶(hù)的攻擊流程如下圖所示：

2.2．針對企業(yè)用戶(hù)常見(jiàn)的攻擊方式

勒索病毒針對企業(yè)用戶(hù)常見(jiàn)的攻擊方式包括系統漏洞攻擊、遠程訪(fǎng)問(wèn)弱口令攻擊、釣魚(yú)郵件攻擊、web服務(wù)漏洞和弱口令攻擊、數據庫漏洞和弱口令攻擊等。其中，釣魚(yú)郵件攻擊包括通過(guò)漏洞下載運行病毒、通過(guò)office機制下載運行病毒、偽裝office、PDF圖標的exe程序等。

1）系統漏洞攻擊

系統漏洞是指操作系統在邏輯設計上的缺陷或錯誤，不法者通過(guò)網(wǎng)絡(luò )植入木馬、病毒等方式來(lái)攻擊或控制整個(gè)電腦，竊取電腦中的重要資料和信息，甚至破壞系統。同個(gè)人用戶(hù)一樣，企業(yè)用戶(hù)也會(huì )受到系統漏洞攻擊，由于企業(yè)局域網(wǎng)中機器眾多，更新補丁費時(shí)費力，有時(shí)還需要中斷業(yè)務(wù)，因此企業(yè)用戶(hù)不太及時(shí)更新補丁，給系統造成嚴重的威脅，攻擊者可以通過(guò)漏洞植入病毒，并迅速傳播。席卷全球的Wannacry勒索病毒就是利用了永恒之藍漏洞在網(wǎng)絡(luò )中迅速傳播。

  攻擊者利用系統漏洞主要有以下兩種方式，一種是通過(guò)系統漏洞掃描互聯(lián)網(wǎng)中的機器，發(fā)送漏洞攻擊數據包，入侵機器植入后門(mén)，然后上傳運行勒索病毒。

    另外一種是通過(guò)釣魚(yú)郵件、弱口令等其他方式，入侵連接了互聯(lián)網(wǎng)的一臺機器，然后再利用漏洞局域網(wǎng)橫向傳播。大部分企業(yè)的網(wǎng)絡(luò )無(wú)法做到絕對的隔離，一臺連接了外網(wǎng)的機器被入侵，內網(wǎng)中存在漏洞的機器也將受到影響。
網(wǎng)上有大量的漏洞攻擊工具，尤其是武器級別的NSA方程式組織工具的泄露，給網(wǎng)絡(luò )安全造成了巨大的影響，被廣泛用于傳播勒索病毒、挖礦病毒、木馬等。有攻擊者將這些工具，封裝為圖形化一鍵自動(dòng)攻擊工具，進(jìn)一步降低了攻擊的門(mén)檻。

2）遠程訪(fǎng)問(wèn)弱口令攻擊

由于企業(yè)機器很多需要遠程維護，所以很多機器都開(kāi)啟了遠程訪(fǎng)問(wèn)功能。如果密碼過(guò)于簡(jiǎn)單，就會(huì )給攻擊者可乘之機。很多用戶(hù)存在僥幸心理，總覺(jué)得網(wǎng)絡(luò )上的機器這么多，自己被攻擊的概率很低，然而事實(shí)上，在全世界范圍內，成千上萬(wàn)的攻擊者不停的使用工具掃描網(wǎng)絡(luò )中存在弱口令的機器。有的機由于存在弱口令，被不同的攻擊者攻擊，植入了多種病毒。這個(gè)病毒還沒(méi)刪除，又中了新病毒，導致機器卡頓，文件被加密。

3）釣魚(yú)郵件攻擊

企業(yè)用戶(hù)也會(huì )受到釣魚(yú)郵件攻擊，相對個(gè)人用戶(hù)，由于企業(yè)用戶(hù)使用郵件頻率較高，業(yè)務(wù)需要不得不打開(kāi)很多郵件，而一旦打開(kāi)的附件中含有病毒，就會(huì )導致企業(yè)整個(gè)網(wǎng)絡(luò )遭受攻擊。釣魚(yú)郵件攻擊邏輯圖：

三、勒索病毒趨勢分析
1.利用漏洞和弱口令植入勒索增多

傳統的勒索病毒，一般通過(guò)垃圾郵件、釣魚(yú)郵件、水坑網(wǎng)站等方式傳播，受害者需要下載運行勒索病毒才會(huì )中毒。而通過(guò)漏洞和弱口令掃描互聯(lián)網(wǎng)中的計算機，直接植入病毒并運行，效率要高很多。GandCrab、Crysis、GlobeImposter等勒索病毒主要就是通過(guò)弱口令傳播，GandCrab內部雖然不含漏洞攻擊的部分，但是有證據表明攻擊者已經(jīng)開(kāi)始使用web漏洞植入此病毒，而Satan更是兇狠，不僅使用永恒之藍漏洞攻擊，還包含了web漏洞和數據庫漏洞，包括CVE-2017-10271 WebLogic WLS組件漏洞、CVE-2017-12149 JBOOS 反序列化漏洞、tomcat弱口令等，從而增加攻擊成功的概率。因此防御勒索病毒也從傳統的不下載可疑文件、不打開(kāi)可疑附件，過(guò)渡到及時(shí)安裝系統和web服務(wù)的補丁，不使用弱口令密碼。

2.攻擊者入侵后人工投毒增多

攻擊者通過(guò)弱口令或者漏洞，入侵一臺可以訪(fǎng)問(wèn)互聯(lián)網(wǎng)的計算機后，遠程操作這臺機器，攻擊局域網(wǎng)中的其它機器，這些機器雖然沒(méi)有連接互聯(lián)網(wǎng)，但是和被攻擊的機器相連，因此攻擊者可以通過(guò)這臺機器攻擊局域網(wǎng)的其它機器。所以?xún)韧饩W(wǎng)隔離非常重要，否則再堅固的堡壘，一旦從內部遭受到攻擊，就會(huì )損失慘重。

攻擊者一旦遠程登陸一臺機器，就會(huì )通過(guò)工具手工關(guān)閉殺軟，植入并運行勒索病毒，并繼續掃描攻擊局域網(wǎng)中的其它機器。此外由于局域網(wǎng)中大量機器使用弱口令和相同密碼，給攻擊者提供了便利，因此及時(shí)更新補丁非常重要。

3.勒索病毒持續更新迭代對抗查殺

GandCrab勒索（后綴GDCB、CRAB、GRAB、KRAB）、Satan勒索（后綴Satan、dbger、sicck）、Crysis勒索（后綴arena、bip）、GlobeImposter勒索（后綴reserver、Dragon444）等勒索持續更新，每隔一段時(shí)間就會(huì )出現一個(gè)新變種，有的修改加密算法，增加了加密速度，有的為了對抗查殺，做了免殺、反調試、反沙箱，并且后綴也會(huì )隨之改變。此外有的勒索病毒新版本開(kāi)始使用隨機后綴，從而增加受害者查找所中勒索類(lèi)型的難度，迫使受害者只能聯(lián)系攻擊者留下的郵箱來(lái)進(jìn)行解密。

4.針對有價(jià)值目標發(fā)起定向攻擊逐漸增多

相對于廣撒網(wǎng)方式，定向攻擊植入勒索病毒的事件逐漸增多。攻擊者一般會(huì )選擇更有勒索價(jià)值的目標進(jìn)行定向攻擊，包括醫院、學(xué)校、防護不足的中小企業(yè)等，這些企業(yè)通常防護不足，數據非常重要，如學(xué)生數據、患者醫療數據、公司業(yè)務(wù)文件等，一旦此類(lèi)資料被加密，受害者支付贖金的可能性就會(huì )更高，所以攻擊者會(huì )有針對性的定向攻擊此類(lèi)企業(yè)。

5.勒索病毒開(kāi)發(fā)門(mén)檻進(jìn)一步降低

一方面由于各種編程語(yǔ)言腳本都可以被用來(lái)編寫(xiě)勒索軟件，大大降低了勒索軟件的開(kāi)發(fā)門(mén)檻，有不少剛接觸計算機的未成年人也開(kāi)始制作勒索軟件。從近期捕獲的勒索病毒樣本來(lái)看，有使用python編寫(xiě)勒索軟件，偽裝為office文檔圖標的。有使用Autoit腳本編寫(xiě)勒索軟件，偽裝為windows更新程序的。還有使用易語(yǔ)言編寫(xiě)勒索軟件，通過(guò)設置開(kāi)機密碼，或者鎖定MBR來(lái)勒索的。知名的勒索病毒有PyCrypt勒索、hc勒索、Halloware勒索、Xiaoba勒索等。

另一方面暗網(wǎng)和黑市上存在不少勒索病毒生成器，攻擊者輸入自己的郵箱和勒索信息，一鍵生成勒索軟件等業(yè)務(wù)，使不少盜號、DDOS、詐騙等其它犯罪領(lǐng)域的攻擊者，也投入到勒索領(lǐng)域，加劇了勒索病毒的泛濫。

6.勒索軟件在世界范圍內造成的損失逐漸增大

很多公司為了及時(shí)恢復數據，平時(shí)就會(huì )存儲一定量的比特幣等虛擬貨幣，以防被勒索時(shí)支付贖金。但是更多的情況是，即使支付贖金，對業(yè)務(wù)也已經(jīng)造成了非常大的損失。永恒之藍WannaCry，攻擊世界最大的芯片代工廠(chǎng)“臺積電”，導致臺積電停工三天，損失十幾億元人民幣。Petya勒索病毒造成全球最大的集裝箱航運公司馬士基損失數億美元、全球最大語(yǔ)音識別公司Nuance 損失超過(guò)9,000萬(wàn)美元，此外受到該勒索病毒攻擊的還有烏克蘭中央銀行、俄羅斯石油巨頭 Rosneft、廣告企業(yè) WPP、律師事務(wù)所 DLA Piper等。以上數據還僅僅是冰山一角，還有很多不知名的公司和個(gè)人，由于遭受勒索病毒攻擊，造成大量的經(jīng)濟損失，重要資料丟失。

四、勒索病毒解決方案
1、勒索病毒入侵行為分析
? 探測掃描：在攻擊前期，黑客會(huì )對用戶(hù)的互聯(lián)網(wǎng)出口及對外業(yè)務(wù)發(fā)起踩點(diǎn)掃描，尋求防護漏洞，以利用發(fā)起攻擊；

? 入侵突破：黑客發(fā)現可利用漏洞或風(fēng)險后，發(fā)起針對性利用攻擊，突破邊界防護，并侵入主機終端，上傳勒索病毒；

? C&C通信：勒索病毒一般都存在遠程控制端，病毒需要與控制端進(jìn)行遠程通信，實(shí)現黑客遠程控制的目的；

? 加密勒索：在拿到大量資產(chǎn)后，勒索病毒會(huì )集中式全面爆發(fā)，對系統目錄所有文件進(jìn)行快速加密，開(kāi)始勒索。

2、結合勒索病毒行為特征的針對性防護思路
? 預防：在攻擊發(fā)生前，需要整體梳理實(shí)時(shí)定位內網(wǎng)風(fēng)險，對風(fēng)險進(jìn)行針對解決，如風(fēng)險端口、漏洞、授權、備份等；

? 防御：對掃描、風(fēng)險利用攻擊、病毒、暴力破解等多種非法攻擊手段進(jìn)行全面防護，阻止病毒進(jìn)入內網(wǎng)；

? 檢測：結合沙箱、人工智能病毒查殺引擎、流量行為分析等方式對.上傳文件、異常通信、文件非 法操作行為進(jìn)行檢測；

? 響應：一體化響應模型，在各個(gè)流程一旦發(fā)現勒索病毒，能智能化的自動(dòng)進(jìn)行如告警、隔離、查殺等響應動(dòng)作；

?恢復：建立完善的數據備份恢復機制，采用增量備份的方式，可恢復至病毒爆發(fā)前一周任意時(shí)間點(diǎn)的數據。

網(wǎng)絡(luò )邊界安全防護：使用下一代防火墻（AF），構建邊界L2一7的完整防御體系，提供各類(lèi)漏洞檢測與防護，風(fēng)險端口檢測、惡意軟件的過(guò)濾，僵尸網(wǎng)絡(luò )和DDOS攻擊檢測，為用戶(hù)網(wǎng)絡(luò ) 邊界提供全面的安全防護。

終端的安全防護：終端檢測響應平臺（EDR），可提供終端的病毒查殺、入侵防御、漏洞 管理、快速響應等多種防護功能，平臺集成基因檢測、沙箱檢測、機器學(xué)習與預測等多種新型檢測引擎，實(shí)現勒索病毒的高檢出和準確率。

相比傳統殺毒引擎，SAVE引擎采用了人工智能無(wú)特征技術(shù)，對不在病毒庫里的未知病毒或變種，也能有效地鑒定。

創(chuàng )新微隔離技術(shù)，有效應對高級威脅快速傳播，將病毒遏制在指定范圍之內，使信息系統環(huán)境可控性大大提高。

全網(wǎng)安全運營(yíng)：安全態(tài)勢感知平臺采用大數據分析架構，通過(guò)采集全網(wǎng)安全流量、設備安全日志融合聯(lián)動(dòng)分析，結合人工智能、機器學(xué)習、UEBA分析技術(shù)，對全網(wǎng)安全態(tài)勢集中分析 展示，輔助用戶(hù)定位安全風(fēng)險、安全事件、失陷主機及反向溯源，構建集團和分支單位全網(wǎng)安全運營(yíng)中心，讓勒索病毒無(wú)處遁形。

      安全感知平臺定位為客戶(hù)的安全大腦，是一個(gè)檢測、預警、響應處置的大數據安全分析平臺。其以全流量分析為核心，結合威脅情報、行為分析建模、UEBA、失陷主機檢測、圖關(guān)聯(lián)分析、機器學(xué)習、大數據關(guān)聯(lián)分析、可視化等技術(shù)，對全網(wǎng)流量實(shí)現全網(wǎng)業(yè)務(wù)可視化、威脅可視化、攻擊與可疑流量可視化等，幫助客戶(hù)在高級威脅入侵之后，損失發(fā)生之前及時(shí)發(fā)現威脅。

聯(lián)動(dòng)響應防護體系：態(tài)勢感知除了采集全網(wǎng)流量日志做集中運營(yíng)分析，在發(fā)現問(wèn)題后，還可智能聯(lián)動(dòng)如防火墻、行為管理、EDR等安全設備進(jìn)行自動(dòng)化安全事件處置及阻斷、隔離等， 真正實(shí)現安全智能免疫體系。

終端誘餌與全網(wǎng)肅殺： EDR針對勒索病毒，特意開(kāi)發(fā)了針對性的解決功能，通過(guò)在內網(wǎng)資 產(chǎn)操作系統的文件目錄中插入誘餌文件，捕獲勒索病毒加密行為，一旦發(fā)現誘餌文件被加密，立即終止所有文件操作，反向定位勒索病毒，并進(jìn)行全網(wǎng)針對性查殺，是勒索病毒防護的最后 一道防護屏障，可保障業(yè)務(wù)系統數據不被加密。

CDP持續數據保護：全面支持主流操作系統、數據庫級應用系統，可提供文件、數據庫、操作系統、虛擬機、卷等數據備份與應用容災，提供數據零丟失（RPO等于0），True CDP能夠持續監控并記錄所有生產(chǎn)業(yè)務(wù)數據變化，確保病毒發(fā)生時(shí)數據零丟失，同時(shí)可以實(shí)現任意時(shí)間點(diǎn)數據回退，從而能夠有效應對軟件故障、病毒入侵（列如WannaCry勒索病毒）、認為操作（誤操作、惡意破壞）等邏輯故障。

快速回退到中勒索病毒前一秒狀態(tài)告別勒索風(fēng)險

五、方案價(jià)值
（一）全面封鎖勒索病毒、黑客攻擊的傳播渠道、系統漏洞。

（二）能能夠檢測出病毒和黑客攻擊全過(guò)程，形成全攻擊鏈檢出能力。

（三）可發(fā)現ATP攻擊行為、勒索軟件行為、僵尸網(wǎng)絡(luò )等異常的網(wǎng)絡(luò )行為。

（四）構建“邊界+流量+端點(diǎn)+CDP”的立體聯(lián)動(dòng)防護與恢復能力，提升響應速度與風(fēng)險應對能力。

（五）可檢測自助終端的安全合規態(tài)勢，并可以對仿冒接入等異常行為和APT攻擊等惡意行為進(jìn)行預警和控制，從原來(lái)的被動(dòng)防御轉為主動(dòng)防御

（六）等保合規，符合國家對等保建設的需求。

（七）確保重要數據在被加密鎖定的情況下最大限度的恢復受攻擊前1秒狀態(tài)。