企業被“勒索”遭殃,企業資料安全路在何方
勒索病毒(Ransomware)與其他病毒最大的不同在於感染手法及中毒的方式。它利用計算機的一些功能給系統上了一把“鎖“,或者對磁碟上的檔案進行加密,從而對資訊的系統的可用性造成巨大影響。然而,不同於其他的破壞性病毒,勒索病毒要求受害者繳納贖金來恢復系統。
勒索病毒在傳播和感染方面與一般的計算機病毒沒有任何區別,主要從以下幾個方向去感染目標計算機系統。
勒索病毒感染目標計算機系統的五個方向
1. 系統漏洞
與早期衝擊波病毒利用了Windows RPC/DCOM漏洞攻擊了世界範圍內絕大多數的Windows系統類似,Wannacry勒索病毒利用了永恆之藍(MS17-010)在全球範圍內迅速傳播。
2. 應用漏洞
病毒借用公開的利用程式對存在漏洞的應用系統攻擊,將自身的惡意程式碼執行在作業系統,例如Weblogic反序列化漏洞、Struts2表示式注入漏洞。另一類需要人工或者自動化的工具挖掘未公開的漏洞來攻擊應用系統,執行病毒程式。
3. 口令、令牌管理不當,應用配置不當等
例如,如果系統管理員賬號的口令強度太弱,攻擊者就可以使用自動化工具暴力猜測密碼,進而通過開放的RDP服務(遠端桌面服務)直接管理伺服器,注入惡意程式。
4. 社會工程學
利用人的弱點、習慣,結合各類工具漏洞、技術手段誘使受害者洩露某些機密或者執行某些惡意程式。
無論是基於“鎖”還是基於加密的勒索病毒,它所利用的技術和機制均是出於安全目的設計的,在不知曉金鑰/密碼資訊的前提去破譯其中的內容,均存在一定的技術和時間成本。除非攻擊者願意提供相應的敏感資訊,被勒索病毒所綁架的資料基本上無法進行恢復,從而造成嚴重的資料丟失。在缺少備份檔案的情況,它會導致整個系統完全癱瘓甚至報廢。
5. 勒索病毒對企業資料安全的衝擊
隨著資訊科技的進步,企業在運營過程中對ERP、CRM、OA等智慧辦公系統的核心資料的依賴性越來越高。所謂“三分技術、七分管理、十二分資料”,充分說明了資料在資訊化系統中的核心地位和作用。然而,肆意的勒索病毒成為企業資料安全的噩夢。
2017年,美國醫藥巨頭默克集團(Merck)遭受嚴重的勒索病毒攻擊,在銷售方面造成的損失超過1.35億美元,而其他損失超過1.75億美元,總計直接損失3.1億美元。全球最大的船運公司馬士基集團(Maersk)遭受NonPetya勒索病毒攻擊,造成超過4000臺業務伺服器、45000臺業務終端被惡意加密勒索,迫使業務一度暫停,造成超過3億美元直接損失。與此同時,全球最大的快遞運輸公司聯邦快遞(Fedex)也遭受同類勒索病毒攻擊,造成累計3億美元的直接損失。除此之外,烏克蘭航空、利潔時集團、美國印第安納州州立醫院等大量企業均遭受勒索病毒侵害,造成不同程度經濟、業務損失。
放眼國內,隨著去年WannaCry病毒爆發,勒索病毒逐步開始被人們所熟知,但是在面臨嚴重的企業資料安全挑戰的時候大家仍然無動於衷,導致遭受攻擊後追悔莫及。國內諸多企事業單位、上市公司、大中型民營企業均遭受嚴重的勒索病毒攻擊,且相應案例仍在持續上升,損失也越來越大。我們通過大量勒索病毒攻擊事件應急響應處置後,總結出如下幾點最容易感染勒索病毒的安全隱患:
- 業務便利,內部辦公系統安全措施不到位情況下直接對外開放;
- 運維方便,將內部系統的控制服務、資料庫管理埠對外開放;
- 作業系統管理、資料庫管理、應用服務、業務系統存在弱口令;
- 作業系統及應用長期不更新,不打補丁,不裝防毒軟體;
- 辦公網路與伺服器處在同網段,無任何隔離措施;
- 敏感伺服器無任何安全防護系統;
- 無資料備份措施或同機備份;
- 伺服器上U盤等介質亂插;
- 無專職網路管理員。
勒索病毒趨勢
勒索病毒自最早在1989年發現的AIDS木馬病毒已經逐步演變成大量可自我複製、主動提權、內網傳播等高階功能的病毒,尤其2012年後,相應的變種數量逐年增加,逐步形成巨大黑色產業鏈。安恆資訊研究院研究員通過大量統計分析發現,大量樣本均利用了較近爆發的Windows系統嚴重安全漏洞,能夠自動感染、傳播,對伺服器、工作終端均有嚴重危害。
專業測評機構根據近幾年全球勒索病毒對企業資料影響造成的損失測算,2019年全球因勒索病毒損失將達到115億美元,這個數字相當於一箇中等發達水平國家全年GDP,損失之大,碾壓其他計算機病毒。企業資訊化作為企業可持續性發展的基本條件,其重要的涉及生產製造、研發創新、營銷市場、財務人力、採購審計等CRM、ERP、OA等辦公系統都將是眾矢之的,一旦感染,損失會非常慘重。
勒索病毒防範措施與應急處置
首先要做的是事前的防護和預警,在勒索病毒發作之時,一切為時已晚。可以從以下幾個方面進行勒索病毒安全防範:
1. 應用程式方面
進行資料備份時,至少應該做到異機備份,避免伺服器在遭受攻擊後系統完全癱瘓無法恢復。最好能有多個備份,包括熱備註、災備等。
- 定期關注相關應用程式廠商的公告和漏洞提醒,在測試後及時更新,避免攻擊者通過Xday漏洞攻擊伺服器。
- 定期對應用程式進行滲透測試等,確保應用程式的安全性。如果是第三方軟體,可以延長測試周期。
- 對應用程式內的口令進行管理,同時做好應用程式審計資訊的儲存。
2. 作業系統方面
- 對作業系統進行加固檢查。
- 及時更新關鍵作業系統補丁。
- 定期使用漏洞掃描工具對作業系統進行檢測,發現潛在的已知或未知漏洞
- 儲存相關審計資料
- 安裝終端防護軟體
- 網路安全解決方案
- 部署防火牆、應用防火牆、入侵防護系統(IPS)等專用的安全裝置,如果有條件可以追加部署其他安全裝置和審計裝置,例如資料庫審計裝置、日誌審計裝置等。
3. 管理的角度
組織安全意識和應急響應的相關培訓,提高個人安全意識。有條件的話,對內部操作進行記錄以方便審計。
安全不是絕對的,百密總有一疏。如果真的被勒索病毒綁架,我們就需要儘可能地減少損失。
首先是將受影響的伺服器從網路上下線,避免病毒進一步擴散,控制影響範圍和損失。立即聯絡安全廠商和專業人員進行處理。
如果是處於勒索病毒發作的初期(未能加密完系統所有的資料),可以通過中斷勒索病毒程式來減少損失,比較直接簡單的方式是斷電。儘管這不可避免會產生一些額外的資料丟失風險(快取、記憶體中的資料),但是基本上可以防止勒索病毒進一步加密系統檔案,破壞整個系統。之後使用PE工具讀取磁碟、備份所有資料並嘗試恢復。另一種方式是利用一些安全工具臨時刪除執行中勒索病毒,對資料進行緊急備份,後期可以分析提取出其中有價值的資料,但是有可能會造成作業系統宕機等其他情況。
如果勒索病毒已經運行了一段時間,完成了加密加鎖,這種情況下需要儲存備份進一步分析確認病毒的加密方式、是否存在未被加密的有效資料、是否能夠恢復等。
在嘗試還原被勒索病毒綁架的資料之前,還需要儘可能的確認攻擊者的攻擊路徑,避免上線的熱備份伺服器在短時間再次遭受攻擊。