腾讯安全应对勒索病毒,有解!
星期四, 五月 13, 2021
据外媒报道,名为DarkSide的勒索软件攻击了美国主要的燃料管道商佐治亚州殖民地管道公司(Colonial Pipeline),该公司的燃油管道系统已被迫关闭,该事件成为近年来勒索病毒团伙引发的一起最严重的威胁到社会公共服务的安全事件。腾讯安全专家指出,勒索病毒团伙攻击日趋针对高价值目标,勒索黑客在瘫痪目标网络前,通常已提前控制该网络核心系统,并窃取受害企业重要信息资料。
报道称,Colonial Pipeline公司负责美国东海岸45%的燃料供应,该公司在周日的一份声明中表示,该公司主线仍处于下线状态。上周六,Colonial Pipeline将网络攻击归咎于DarkSide勒索软件,并表示其某些信息技术系统受到了影响。
根据以往掌握的资料,DarkSide勒索黑客的攻击动辄索要数百万美元。
图1
据外媒报道,本次攻击由DarkSide勒索黑客发起,该组织于2020年8月被发现,主要针对英语国家,该团伙声称:“只想从富人那里偷东西,不攻击医院、学校、非营利组织或政府机构。”
DarkSide团伙会尝试通过RDP会话攻击入侵,当获取到目标服务器权限后,DarkSide会将窃取数据上传到他们控制的服务器上。随后该组织会加密目标公司的文件,并将部分信息上传至其暗网博客。并声称若不交付赎金,将公布目标公司的敏感数据。该团伙使用CobaltStrike进行远程控制操作,会使用多个内网渗透工具横向扩散,包括advanced_ip_scanner.exe、psexec、Mimikatz等。
DarkSide勒索软件针对Windows、Linux双平台攻击。腾讯安全团队分析历史捕获的DarkSide勒索软件样本发现,DarkSide勒索软件加密过程使用异步IO读写方式(完成端口模型),从而达到效率更高、加密更快。DarkSide勒索软件使用的加密算法为RSA-1024 + Salsa20,未获取私钥的情况下,无法解密。
腾讯安全专家指出,上述分析表明,DarkSide勒索黑客的攻击行为,与其他勒索团伙攻击手法大致相同。其作案过程通常包括四个步骤:
第一步,入侵
惯用手法:RDP爆破、SQL弱口令爆破,网络钓鱼,恶意电子邮件(包括垃圾邮件广撒网与精准定向投放 )及恶意附件投递(包括Office漏洞、Flash漏洞、PDF阅读器漏洞等),高危漏洞利用,无文件攻击等。也有部分勒索黑客会利用僵尸网络控制的肉鸡渠道分发。
第二步,扩散
勒索黑客入侵某一台主机之后,往往并不立即运行勒索病毒,而是尽可能的利用各种攻击手法在目标网络横向扩散以增加受控主机数量。勒索黑客在此阶段会通过下载各种攻击工具包,包括流行漏洞利用工具、密码提取工具、远程控制木马或后门、下载密码字典继续使用爆破入侵等等。
第三步,盗窃
攻击者会遍历已攻陷主机数据,筛选最有价值的攻击对象,窃取受控主机数据。
勒索病毒团伙在利用多种技术手段入侵目标系统后,会留置后门、安装多种远程控制软件(如TeamView破解版、RemoteUtilities商业远控软件破解版、RemcosRAT、AgentTesla、SnakeKeylogger、AsyncRAT、Nanocore等商业木马),勒索黑客会使用此类工具将失陷网络的机密数据上传到该团伙控制的服务器上。
第四步,勒索
下载一种或多种勒索病毒运行,瘫痪目标网络,留下勒索信件,在暗网渠道发布失陷企业机密数据,实施勒索。对于大目标,勒索金额在数百万至数千万美元不等。
腾讯安全专家建议企业高度重视勒索病毒团伙的攻击活动,特别是事关公共服务的要害单位,一旦被勒索黑客攻陷,造成的损失可能难以估计。企业安全运维人员做好事前预防,提前部署网络安全应急响应预案,在灾难事件发生时,能够迅速切换或恢复备份系统,尽最大努力减少服务中断的可能性。
我们建议企业关键业务系统配置完善的数据备份方案,在企业内网部署腾讯安全高级威胁检测系统,7*24小时对网络安全状态进行检测分析,及时发现告警黑客入侵、横向扩散等危险行为。企业内网终端与服务器系统,可配置腾讯零信任无边界访问控制系统,管理员通过配置全网安全策略具体管理员工在终端电脑的操作行为,通过4T可信认证(身份、设备、应用、链路)机制,确保即使发生黑客入侵事件,也能及时有效地控制损害范围,从而避免影响全局的灾难事件发生。
附一:勒索病毒简单历史演变过程
在2017年WannaCry大爆发之前,勒索病毒多为散在发生,影响很小,普遍当作恶作剧处理。
2017年,WannaCry打开潘多拉魔盒
WannaCry、Petya等勒索病毒让人印象深刻,此类病毒勒索更侧重破坏性,赎金并不算高。但由于WannaCry借助永恒之蓝在该年度的全球席卷攻击活动,使得勒索攻击事件制造了空前的影响力。WannaCry病毒成为一枚种子,引爆了隐藏在黑暗中的贪欲,勒索攻击从此日益流行。
2018年,勒索病毒快速增长,完整的勒索产业链形成
勒索病毒在迅速发展的过程中,进一步催生出完整的勒索产业链。其中勒索代理角色颇有新意,从业者利用国内用户不方便购买数字货币,不了解支付方式以及较低的代理价格,吸引受害者联系解密,在整个过程中赚取差价。根据某解密公司官网上公开的记录,一家解密公司靠做勒索中间代理一个月收入可达300W人民币。曾经一段时间,使用搜索引擎检索“勒索病毒”相关关键字,能发现较多商业公司公开从事勒索病毒解密代理业务。
2019年,勒索病毒Raas化运营
小打小闹的勒索攻击者在面对法律和技术双重打击下已销声匿迹,而反过来,专业勒索家族团伙则越做越大,还采用了分级代理,RaaS化运营(勒索即服务),更多的不法分子卷入这个行业。实施攻击的门槛进一步降低,更多的流量参与者加入到勒索病毒产业链中。
这一时期突出的案例为GandCrab勒索团伙,该团伙在短短1年左右的时间,通过勒索病毒敛财20亿美元,之后宣布金盆洗手退出勒索江湖,当时有众多赚眼球的自媒体将其称为“侠盗”。但很快,安全厂商就观察到,原本属于GandCrab的多个勒索传播渠道,被新的勒索团伙Sodinokibi接管。所谓金盆洗手,只怕是一场骗局。
2020年,精准打击高价值目标,勒索金额屡创新高
针对大型知名企业目标的打击行动十分频繁,例如:2020年6月,本田集团遭受SNAKE勒索团伙打击,全球范围内众多业务受影响,该案例中就发现攻击团伙在病毒代码中硬编码了本田集团相关的系统名、公网IP、域名信息。这意味着该团伙的攻击行动是精心策划、蓄谋已久,针对本田集团量身定制。
2021年,勒索团伙之间的合作更加常见,新攻击工具应用越来越快
例如:名为obloy的攻击者,就在同一时间分发Medusalocker与GlobeImposter两款勒索病毒,这代表着攻击者已经开始和多个勒索病毒开发运营团队合作,通过该方式来增加企业受灾解密成本,增强病毒攻击时的加密能力,多个勒索病毒团伙之间共享传播渠道。
微软在2021年3月2日公开修复的Microsoft Exchange Server多个高危漏洞,当月就被监测到有勒索攻击者开始纳入武器库,并对企业邮件服务器发起了加密攻击。
附二:勒索病毒防护方案
腾讯安全专家推荐企业客户采用腾讯安全解决方案全面应对勒索病毒威胁。
私有云网络:
推荐采用腾讯零信任iOA系统保护桌面终端及服务器;
推荐部署腾讯高级威胁检测系统(NTA,御界)对网络出入流量、网络间流量进行7*24小时监测分析,以对黑客入侵活动进行及时告警。
安全管理建议:
A、定期进行安全培训,日常安全管理可参考“三不三要”思路:
1.不上钩:标题吸引人的未知邮件不要点开
2.不打开:不随便打开电子邮件附件
3.不点击:不随意点击电子邮件中附带网址
4.要备份:重要资料要备份
5.要确认:开启电子邮件前确认发件人可信
6.要更新:系统补丁/安全软件病毒库保持实时更新
B、全网安装专业的终端安全管理软件,由管理员批量杀毒和安装补丁,后续定期更新各类系统高危补丁;
C、部署流量监控/阻断类设备/软件,便于事前发现,事中阻断和事后回溯;
D、建议由于其他原因不能及时安装补丁的系统,考虑在网络边界、路由器、防火墙上设置严格的访问控制策略,以保证网络的动态安全;
E、建议对于存在弱口令的系统,需在加强使用者安全意识的前提下,督促其修改密码,或者使用策略来强制限制密码长度和复杂性;
F、建议对于存在弱口令或是空口令的服务,在一些关键服务上,应加强口令强度,同时需使用加密传输方式,对于一些可关闭的服务来说,建议关闭不要的服务端口以达到安全目的。不使用相同口令管理多台关键服务器;
G、建议网络管理员、系统管理员、安全管理员关注安全信息、安全动态及最新的严重漏洞,攻与防的循环,伴随每个主流操作系统、应用服务的生命周期;
H、建议对数据库账户密码策略建议进行配置,对最大错误登录次数、超过有效次数进行锁定、密码有效期、到期后的宽限时间、密码重用等策略进行加固设置;
I、建议对数据库的管理访问节点地址进行严格限制,只允许特定管理主机IP进行远程登录数据库;
J、关键应用系统定期进行安全测试和加固。
重要数据备份
做好安全灾备方案,可按数据备份321原则来指导实施:
A、至少准备三份;
B、两种不同形式:将数据备份在两种不同的存储类型,如服务器/移动硬盘/云端/光盘等;
C、一份异地备份:至少一份备份存储在异地,当发生意外时保证有一份备份数据安全。
公有云租户
建议公有云用户采用腾讯云原生安全产品(腾讯主机安全、腾讯云防火墙、腾讯Web应用防火墙等)保护云上资产。日常运维中通过漏洞管理、基线检查主动发现潜在风险。
建议:
1.做好基础安全防护,执行基线安全检查和修复加固工作;
2.高度关注安全漏洞信息,及时修补高危组件漏洞;
3.任何时候要避免使用弱口令;对重要服务配置必要的访问权限,只允许经过认证的可信ID登录或连接;
4.针对内部业务、运维操作等开展定期日志审计;
5.重视异常事件监测分析及处置;
6.从数据安全角度,做好日常数据备份,采用云端镜像和数据容灾备份方案,确保灾难发生时,可以快速恢复。