瑞星卡卡安全论坛

导语： 针对势头依然强劲的勒索软件威胁，瑞星结合近段时间全球爆发的多起勒索攻击事件，发布《勒索软件防御指南》，内容包括近期勒索软件数据分析、勒索方式介绍、加密方式解读、三种常见勒索攻击方式详解、攻击手法与防范建议等。从瑞星“云安全”系统数据可以看出，仅5月份所截获勒索软件样本就有1.27万个，感染次数为7.96万次，由此可见，勒索软件的威胁依然严峻，因此广大用户可通过《勒索软件防御指南》加强自身防御策略。

近期重大勒索攻击事件：

事件一：

6月2日，日本富士胶片集团通过官方渠道对外发表声明，该公司服务器遭遇来自勒索软件的攻击，并关闭部分网络、断开了与外部的通信连接。

图：富士胶片集团对外表示遭受勒索软件攻击

事件二：

5月31日，全球最大肉食品加工商JBS美国分部遭到了疑似勒索软件的网络攻击，受影响的系统包括美国分部和澳大利亚分部，部分工厂暂停作业。

图：JBS公司通过电子邮件向外界表示公司服务器遭到黑客有组织的攻击

事件三：

5月7日，美国最大成品油管道运营商Colonial Pipeline公司的工业控制系统遭到黑客组织DarkSide的勒索攻击，该公司被迫中断了东部沿海主要城市输送油气的管道系统运营，并支付了500万美元的赎金。

图：国外媒体相关报道

近期勒索软件数据：

瑞星“云安全”系统在4月份截获勒索软件样本共1.56万个，感染次数为6.45万次；5月份截获勒索软件样本共1.27万个，感染次数为7.96万次。从数据来看，5月份感染次数明显呈上升势头。以勒索软件家族来看，Eris家族和GandCrab家族占比都相对较大，成为攻击者首选的勒索工具。

图：2021年4月份勒索软件家族分类

勒索方式：

自2017年5月WannaCry勒索软件在全球范围大爆发后，勒索攻击就成为了企业面临的重大网络安全风险之一，也是黑客及攻击组织最常使用的攻击手段。而近两年黑客和攻击组织对于企业的勒索方式已发生了改变，从以往单纯加密用户数据、勒索赎金解密，逐渐增加成了在攻击过程中窃取企业隐私数据和商业信息，并威胁不交付赎金则会公布企业内部私用数据的方式进行勒索。这种以发布企业隐私数据和商业信息的勒索方式造成的危害巨大，企业不仅要面临隐私数据泄露，还要面临相关法规、财务和声誉受损的影响，这大大增加了攻击者勒索的成功率。

加密方式：

勒索软件流行使用的加密算法涵盖有对称算法AES、DES、3DES、salsa20、chacha20等，非对称算法RSA、ECC等，甚有个别的勒索软件已经采用上了对抗量子计算的NTRU等未来加密算法。目前主流的加密算法仍是采用RSA+AES/salsa20的方式配合加密，通过对称算法以便于快速加密文件，再使用非对称算法加密文件秘钥。早些年，勒索软件作者由于不成熟的代码逻辑以及加密方式，使得一部分勒索软件在安全厂商的努力之下能够为用户解密文件，减少企业及个人用户受到的损失。现如今由于勒索软件与安全厂商对抗，加密技术不断完善，受害者在无法取得密钥的情况下，一旦被加密几乎无法破解。

三种常见勒索攻击方式：

利用RDP弱口令进行攻击：

GlobeImposter 勒索软件就主要是通过RDP远程桌面弱口令进行攻击，一旦密码过于简单，被攻击者暴力破解后，攻击者就会将勒索软件植入，加密电脑上的文件。此外，攻击者入侵一台机器后，还会使用工具抓取本机密码，用本机密码攻击局域网中的其它机器，进行人工投毒。不少机构就是因为，一台连接互联网的机器被攻击者远程控制，攻击者扫描内网中的其它机器进行攻击，造成内网多台机器中毒。

图：GlobeImposter勒索页面

利用钓鱼邮件进行攻击：

Makop勒索软件则是利用钓鱼邮件进行攻击的勒索软件，其曾伪装成韩国公平交易委员会向企业投递钓鱼邮件，安全意识薄弱的企业员工很可能在不做提防的情况下打开钓鱼邮件附件，导致勒索软件在用户主机上成功启动，同时危及企业网络下的所有计算机，造成不可估量的损失。

图：钓鱼邮件

利用系统漏洞进行攻击：

WannaCry作为顶级勒索软件，就是利用美国国家安全局黑客武器库所泄露的“永恒之蓝”漏洞，对所有开放445端口的Windows机器发起攻击的，WannaCry通过上传蠕虫在内部网络迅速传播勒索病毒，并导致电脑大量文件被加密，因而造成全球性的勒索病毒大爆发。据估计，WannaCry攻击已经对全球150个国家/地区的数十万个网络终端造成了影响，损失总额高达40亿美元。

图：WannaCry勒索页面

攻击手法与防范建议：

瑞星安全专家表示，勒索软件主要的攻击手法往往采用RDP爆破来达到入侵与传播的目的，除此之外还有部分勒索软件采用了邮件投递及漏洞攻击的方法。

1. RDP远程协议旨在于为运行在服务器上，并且基于Windows的应用系统提供通过网络连接实现远程显示和输入的功能，由于其本身的易用性和便捷性致使大量企业与个人用户均广泛采用，因此对RDP远程登录进行防范与管理是至关重要的环节。RPD攻击演示如下：

攻击者可通过nmap工具对IP进行3389端口扫描，若目标主机运行远程桌面服务，则以open显示该端口状态。

使用hydra工具应用配置好的字典文件对RDP端口进行弱口令爆破。

在爆破成功后hydra会展示出可登录到目标机器的用户与密码。

通过rdesktop 远程连接到目标主机, 使用在之前爆破攻击时得到的用户与密码就能够成功登录到目标机器。接下来就可以在用户主机上直接关闭杀毒产品, 上传并执行勒索病毒。

在实际过程中攻击者可以结合多种漏洞以及其他渗透方式，以达到攻击效果最优化的结果。

针对RDP弱口令攻击的防范建议：

• 限制可使用RDP的用户，仅将远程访问授权给那些必须用它来执行工作的人。
• 建立双重验证，如Windows平台下的Duo Security MFA或Linux平台下google-authenticator等认证程序。
• 设置访问锁定策略，通过配置账户锁定策略，调整账户锁定阀值与锁定持续时间等配置，可以有效抵御一定时间下高频的暴力破击。
• 审视RDP的使用需求，如果业务不需要使用它，那么可以将所有RDP端口关闭，也可以仅在特定时间之间打开端口。
• 重新分配RDP端口，可考虑将默认RDP端口更改为非标准的端口号, 可避免一部分恶意软件对特定RDP端口的直接攻击，仍需另外部署端口扫描攻击防范措施。
• 定期检查、修补已知的RDP相关漏洞。
• 创建防火墙规则限制远程桌面的访问, 以仅允许特定的IP地址。
• RDP的登陆，应使用高强度的复杂密码以降低弱口令爆破的机会。

2. 警惕钓鱼邮件也是防范勒索软件的重要方向之一，从2020年初疫情爆发开始，就不断出现以疫情为主题的钓鱼邮件攻击事件，其中不乏借助政府或权威组织名号发起的钓鱼邮件攻击。而早些时候，GandCrab勒索软件就曾伪造政务邮件向国家机关发起过钓鱼邮件攻击，因此企业应对这类勒索攻击提高警惕。

针对钓鱼邮件攻击的防范建议：

• 安装杀毒软件，保持监控开启，及时更新病毒库。
• 如果业务不需要，建议关闭Office宏，PowerShell脚本等。
• 开启显示文件扩展名。
• 不打开可疑的邮件附件。
• 不点击邮件中的可疑链接。

3. 除了最为知名的Wannacry勒索软件曾利用“永恒之蓝”漏洞直接攻击系统以外，还有部分勒索软件也是利用漏洞来进行攻击的，如CVE-2012-0158可使勒索软件藏匿于Office所支持的RTF文件内，当用户打开了带有勒索软件的文档，就可导致勒索软件在机器上自动运行，因此针对系统漏洞防御尤为重要。

针对系统漏洞攻击的防范建议：

• 及时更新系统补丁，防止攻击者通过漏洞入侵系统。
• 安装补丁不方便的组织，可安装网络版安全软件，对局域网中的机器统一打补丁。
• 在不影响业务的前提下，将危险性较高的，容易被漏洞利用的端口修改为其它端口号。如139 、445端口。如果不使用，可直接关闭高危端口，降低被漏洞攻击的风险。

4. 对于Web服务提供商，如果存在已知的暴露漏洞并且没有及时修复，则极有可能导致攻击者通过Web漏洞入侵到服务器系统并投放勒索软件，甚至可能通过横向传播的方式，进一步入侵到内部网络中。

针对Web服务漏洞和弱口令攻击的防范建议：

• 及时更新Web服务器组件，及时安装软件补丁。
• Web服务不要使用弱口令和默认密码。

5. 一直以来，勒索软件针对数据库的攻击都是采取暴力加密方式，直接将完整的数据库文件格式直接加密，部分企业可能具有良好的定期备份习惯，但从勒索软件的发展趋势来看，攻击者已经不满足于只加密文件，未来可能会有更多勒索攻击注重于窃取用户数据，以此胁迫用户交付赎金。

针对数据库漏洞和弱口令攻击的防范建议：

• 更改数据库软件默认端口。
• 限制远程访问数据库。
• 数据库管理密码不要使用弱口令。
• 及时更新数据库管理软件补丁。
• 及时备份数据库。

瑞星之剑能防吗

已知样本可以防，上述防范措施也该做，企业信息安全负责人尤其要注意

看不懂。。。像我等小白用户只能靠好的习惯和勤备份重要文件了:kaka7:

后半句无比正确，把自个儿划归小白用户是过谦了:kaka16: