“獅子”瑞星:對抗勒索病毒防禦才是解決之道
對於“瑞星人”來說,獅子圖案可能是最能引起共鳴的了。
不久前編輯見到瑞星副總裁唐威時候,他興奮地向我分享了一張圖片:同事無意間在街上拍到的一位身著獅子圖的少年。唐威看著圖片上的獅子和旁邊的1991,默默淘寶了一百次,找到了同款。
“真的很酷,我已經下單了。”
唐威朋友圈
1991對瑞星來說是個有紀念意義的數字,這年幼獅出生,沒多久趕上大規模爆發的巨集病毒和 CIH 病毒,靠著征戰殺軟市場登上鼎盛期,卻又因免殺鋪天蓋地而來被迫放棄個人收費殺軟。隨後瑞星轉戰企業市場,相比起來這頭青年獅子低調了許多。
雷鋒網曾在去年年底對這頭鮮少露面的“獅子”進行過採訪(甚少在媒體露面的瑞星,如今過得怎麼樣?),當時瑞星的迴應是:在鼎盛時期面對的是個人使用者,一款產品面世後如果反響不錯坐著就能掙錢的狀態,確實不利於瑞星往前走,而現在服務企業使用者時,則是一種戰戰兢兢的狀態,活要幹得精細、認真,這種態度的轉變,也許能爆發出不一樣的力量。
這份不一樣的力量是什麼?
似乎可以從瑞星主頁上大大的紅叉窺得一二。
根據瑞星不久前釋出的《2018勒索病毒全面分析報告》捕獲資料,2018年1至10月中國勒索病毒樣本約有42.82萬個,勒索病毒感染次數約為344萬次。
一但電腦資料被勒索病毒加密,幾乎沒有任何辦法破解。使用者要麼放棄這些資料,要麼支付贖金來獲得解金鑰匙。更有甚者,有些病毒團伙“不講信用”,拿到贖金並不提供金鑰,可謂是“亡羊補牢,為時已晚”。
勒索病毒不可怕,可怕的是企業缺乏安全意識和防禦措施,資訊保安處於極其脆弱的狀況卻不自知。而獅子瑞星提出:對抗勒索病毒防禦才是解決之道。
感染情況
勒索病毒對我們來說並不陌生,由於加密手段複雜,解密成本高以及使用電子貨幣支付贖金,變現快追蹤難等原因,其成為企業環境的隱藏炸彈。
而Ransomware-as-a-server,即勒索服務化的出現(開發者提供整套勒索軟體解決方案,從勒索軟體的開發、傳播到贖金收取都提供完整的服務。攻擊者不需要任何知識,只要支付少量的租金就可以開展勒索軟體的非法勾當。),更是大大降低了勒索軟體的門檻,推動了勒索軟體大規模爆發。
至於具體爆發情況,綜合瑞星“雲安全”系統、瑞星威脅情報平臺的研究資料,2018年1至10月,瑞星“雲安全”系統共截獲勒索軟體樣本42.82萬個,感染共計344萬次,其中廣東省感染94萬次,位列全國第一,其次為北京市48萬次,浙江省20萬次及上海市18萬次。
2018年1至10月中國勒索病毒感染狀況
通過對瑞星捕獲的勒索樣本分析發現,一月為勒索病毒高發期,感染共計62萬次,位列第一,其次為三月48萬次,以及6月與7月45萬次。
2018年1至10月勒索病毒各月感染數量
通過對瑞星捕獲的勒索樣本按家族分析發現,WannaCry家族佔比39%,位列第一,其次為Cerber家族與Locky家族佔比24%。時隔一年,WannaCry勒索病毒依然影響最大,由此可以看出,很多企業網際網路中仍然存在很多未打“永恆之藍”漏洞補丁的機器,導致其危害至今仍在持續。
2018年1至10月各個勒索家族感染樣本佔比
趨勢分析
賽博世界的攻防對抗永遠處於道高一尺魔高一丈的你來我往間,躲在暗處的黑客們早就布好了無數陷阱,等著大魚小魚落網。
比如針對個人使用者的攻擊方式主要是攻擊者將病毒偽裝為盜版軟體、外掛軟體、色情播放器等,誘導受害者下載執行病毒,執行後加密受害者機器。此外勒索病毒也會通過釣魚郵件和系統漏洞進行傳播;
勒索病毒針對企業使用者常見的攻擊方式包括系統漏洞攻擊、遠端訪問弱口令攻擊、釣魚郵件攻擊、web服務漏洞和弱口令攻擊、資料庫漏洞和弱口令攻擊等。其中,釣魚郵件攻擊包括通過漏洞下載執行病毒、通過office機制下載執行病毒、偽裝office、PDF圖示的exe程式等。
在數次交手期間,瑞星的安全專家也發現了勒索病毒的發展趨勢。
其一,利用漏洞和弱口令植入勒索增多。
傳統的勒索病毒,一般通過垃圾郵件、釣魚郵件、水坑網站等方式傳播,受害者需要下載執行勒索病毒才會中毒。而通過漏洞和弱口令掃描網際網路中的計算機,直接植入病毒並執行,效率要高很多。
GandCrab、Crysis、GlobeImposter 等勒索病毒主要就是通過弱口令傳播,GandCrab內部雖然不含漏洞攻擊的部分,但是有證據表明攻擊者已經開始使用web漏洞植入此病毒。Satan更是凶狠,不僅使用永恆之藍漏洞攻擊,還包含了web漏洞和資料庫漏洞,包括CVE-2017-10271 WebLogic WLS元件漏洞、CVE-2017-12149 JBOOS 反序列化漏洞、tomcat弱口令等,從而增加攻擊成功的概率。
其二,攻擊者入侵後人工投毒增多
攻擊者通過弱口令或者漏洞,入侵一臺可以訪問網際網路的計算機後,遠端操作這臺機器,攻擊區域網中的其它機器,這些機器雖然沒有連線網際網路,但是和被攻擊的機器相連,因此攻擊者可以通過這臺機器攻擊區域網的其它機器。
攻擊者一旦遠端登陸一臺機器,就會通過工具手工關閉殺軟,植入並執行勒索病毒,並繼續掃描攻擊區域網中的其它機器。
其三,勒索病毒持續更新迭代對抗查殺
GandCrab勒索(字尾GDCB、CRAB、GRAB、KRAB)、Satan勒索(字尾Satan、dbger、sicck)、Crysis勒索(字尾arena、bip)、GlobeImposter勒索(字尾reserver、Dragon444)等勒索持續更新,每隔一段時間就會出現一個新變種,有的修改加密演算法,增加了加密速度,有的為了對抗查殺,做了免殺、反除錯、反沙箱,並且字尾也會隨之改變。此外有的勒索病毒新版本開始使用隨機字尾,從而增加受害者查詢所中勒索型別的難度,迫使受害者只能聯絡攻擊者留下的郵箱來進行解密。
其四,針對有價值目標發起定向攻擊逐漸增多
相對於廣撒網方式,定向攻擊植入勒索病毒的事件逐漸增多。攻擊者一般會選擇更有勒索價值的目標進行定向攻擊,包括醫院、學校、防護不足的中小企業等,這些企業通常防護不足,資料非常重要,如學生資料、患者醫療資料、公司業務檔案等,一旦此類資料被加密,受害者支付贖金的可能性就會更高。
其五,勒索病毒開發門檻進一步降低
一方面由於各種程式語言指令碼都可以被用來編寫勒索軟體,大大降低了勒索軟體的開發門檻,有不少剛接觸計算機的未成年人也開始製作勒索軟體。
從近期捕獲的勒索病毒樣本來看,有使用python編寫勒索軟體,偽裝為office文件圖示的。有使用Autoit指令碼編寫勒索軟體,偽裝為windows更新程式的。還有使用易語言編寫勒索軟體,通過設定開機密碼,或者鎖定MBR來勒索的。知名的勒索病毒有PyCrypt勒索、hc勒索、Halloware勒索、Xiaoba勒索等。
另一方面暗網和黑市上存在不少勒索病毒生成器,攻擊者輸入自己的郵箱和勒索資訊,一鍵生成勒索軟體等業務,使不少盜號、DDOS、詐騙等其它犯罪領域的攻擊者,也投入到勒索領域,加劇了勒索病毒的泛濫。
其六,勒索軟體在世界範圍內造成的損失逐漸增大
很多公司為了及時恢復資料,平時會儲存一定量的比特幣等虛擬貨幣,以防被勒索時支付贖金。但是更多的情況是,即使支付贖金,對業務也已經造成了非常大的損失。
永恆之藍WannaCry,攻擊世界最大的晶片代工廠“臺積電”,導致臺積電停工三天,損失十幾億元人民幣。Petya勒索病毒造成全球最大的集裝箱航運公司馬士基損失數億美元、全球最大語音識別公司 Nuance 損失超過9,000萬美元,此外受到該勒索病毒攻擊的還有烏克蘭中央銀行、俄羅斯石油巨頭 Rosneft、廣告企業 WPP、律師事務所 DLA Piper等。
以上資料還僅僅是冰山一角,還有很多不知名的公司和個人,由於遭受勒索病毒攻擊,造成大量的經濟損失,重要資料丟失。
反勒索措施
當然,對於戰戰兢兢網上衝浪的各位來說,似乎更加關注的是如何反勒索。
作為個人使用者,瀏覽網頁時提高警惕,不下載可疑檔案,警惕偽裝為瀏覽器更新或者flash更新的病毒以及及時備份重要檔案就可以了。
對於擺在明處的企業情況則更為複雜。
比如面對系統漏洞攻擊可以及時更新系統補丁,防止攻擊者通過漏洞入侵系統。安裝補丁不方便的企業,可安裝網路版安全軟體,對區域網中的機器統一打補丁。另外,在不影響業務的前提下,將危險性較高的,容易被漏洞利用的埠修改為其它埠號。如139、445埠。如果不使用,可直接關閉高危埠,降低被漏洞攻擊的風險;
面對遠端訪問弱口令攻擊可以使用複雜密碼,或更改遠端訪問的預設埠號,改為其它埠號。另外,禁用系統預設遠端訪問,使用其它遠端管理軟體;
面對釣魚郵件攻擊需要安裝防毒軟體,保持監控開啟,及時更新病毒庫。如果業務不需要,建議關閉office巨集,powershell指令碼等,還可以開啟顯示副檔名,不開啟可疑的郵件附件或可疑連結;
面對web服務漏洞和弱口令攻擊需要及時更新web伺服器元件,及時安裝軟體補丁,另外,web服務不要使用弱口令和預設密碼;
面對資料庫漏洞和弱口令攻擊可更改資料庫軟體預設埠並限制遠端訪問資料庫。除此之外,資料庫管理密碼不要使用弱口令,及時更新資料庫管理軟體補丁。
這些種種對瑞星來說,化成了一把劍和一堵牆。
劍是“瑞星之劍”,牆是“瑞星防毒牆”。
瑞星之劍採用了智慧誘餌、基於機器學習的檔案格式判定規則、智慧勒索程式碼行為監測等技術,可以對未知與已知勒索病毒進行防禦,也可進一步阻止勒索病毒破壞檔案。
而瑞星防毒牆可以在閘道器處對病毒進行初次攔截,配合瑞星病毒庫上億條記錄,可將絕大多數病毒徹底剿滅在企業網路之外,幫助企業將病毒威脅降至最低。
至於應用虛擬化技術的企業,瑞星則打包提供了一套系統安全軟體,由管理中心、升級中心、日誌中心、掃描伺服器、安全虛擬裝置、安全終端Linux防毒和安全防護終端等子系統組成,各個子系統均包括若干不同的模組,除承擔各自的任務外,還與其它子系統通訊,協同工作,共同完成企業內部的安全防護。
事實上,一手持劍一手持盾的瑞星獅子還挺精神的,只不過原來的它爪牙張揚,現在的它沉默低調。
可能,不變的是這隻獅子想守護安全的心。