首页> 技术观点 > 勒索病毒防范分析(爱加密原创)

勒索病毒防范分析(爱加密原创)

发布时间:2017-05-31

一、背景

5月12日晚,一款名为“WannaCry”的勒索病毒突然爆发,初步统计已有100多个国家和地区受害,造成全球7.5万台计算机被感染。根据360威胁情报中心的统计,从5月12日WannaCrypt(永恒之蓝)爆发的一天之内,该勒索蠕虫已经攻击了近百个国家的超过10万家企业和公共组织,其中包括1600家美国组织,11200家俄罗斯组织。国内被感染的组织和机构已经覆盖了几乎所有地区,影响范围遍布高校、火车站、自助终端、邮政、加油站、医院、政府办事终端等多个领域,被感染的电脑数字还在不断增长中。

勒索病毒由来已久,勒索病毒本质上来说和以前肆虐过的‘冲击波’和‘震荡波’病毒并无区别,都是利用系统漏洞结合远程控制服务器进行自动传播的蠕虫病毒。近年来,由于互联网经济的兴起,在巨大经济利益的驱使下,勒索病毒发展呈不断上升趋势。安全机构的统计数据:勒索病毒今年在全球的攻击量疯长了3倍,平均每40秒就有一家企业被感染,个人端的情况更糟,平均每10秒就有一个无辜者中招。仅在2016年一年的时间里,就先后爆发了KeRanger、Petya、Maktub、Locky、CryptXXX等数起勒索病毒爆发事件,对大量的机构与个人造成了重大的损失。

勒索软件有多种传播途径与方式,大部分传播都伴随着社交工程学(比如带有诱惑性附件等)来进行。一般包括以下几种:

Ø  通过电子邮件附带已感染文件进行传播。

Ø  通过用户访问受感染的网页链接的方式传播。

Ø  通过用户使用的社交媒体、即时通信工具进行传播。

Ø  通过用户使用U盘、移动硬盘等移动介质进行传播。

Ø  通过利用操作系统或应用软件自身的漏洞进行传播。

Ø  通过被感染的软件(如带有病毒的Downloader)进行传播。

不管采取哪种传播方式,勒索软件都需要寻找一个薄弱环节进行突破,只要稍有不慎就可能中招,真是防不胜防。

二、风险分析

2.1.敲诈勒索软件大量涌现

近年,各类敲诈勒索软件在我国大量涌现、肆虐传播,成为近两年增长最快的网络威胁之一。数据泄露事件频繁发生,由网络攻击引发的数据泄露事件依旧猖獗,造成了巨大经济损失。网络攻击目标从政府机构扩大到民众社会生活各个方面,涉及电信、金融、能源等多个领域。

勒索病毒WannaCry,事件反映了公共信息安全乃至全球信息安全治理的欠缺。组织机构在大力发展新型安全防护的同时,传统安全的防护不可轻视,我们在考虑移动互联网和物联网的防护体系时,必须与传统的信息安全防护体系无缝融合,只有同时保障传统和新型IT架构的安全才是正确的发展方向。

2.2.安全威胁向移动终端转移

勒索软件除了在PC端猖獗之外,在移动端也已经形成产业规模。勒索病毒在智能手机端也有类似病毒持续活跃。2016高峰时期全球半月感染用户数高达40万,而国内也是此类病毒的重灾区。2016年,360共截获Android平台勒索软件新增恶意程序样本17万个,从感染量看,2016年共170万台手机遭到攻击。在给用户造成财产损失方面,制马人通过勒索软件的日收益在100到300元不等,整个黑色产业在16年已达到千万级别。且随着用户时间从PC向手机迁移,有继续增长的趋势。

移动设备已经取代传统个人电脑成为主流上网工具,智能手机等移动终端,实时在线率高,联系人之间的信任强度更大。加之移动终端与传统PC存储的信息具有差异性,如电话簿、短信息、地理位置信息等都是从传统PC端无法获取的。因此,各类安全威胁纷纷向移动终端转移,移动安全已经成为安全领域的焦点话题。智能终端的操作系统存在安全漏洞、防病毒软件功能还不够完善,加之用户防范意识不足,受攻击的概率大大高于传统PC机。近年移动终端网络钓鱼事件大幅度上涨、勒索软件大量涌现。基于安卓系统的恶意应用和恶意软件数量急剧增加,IOS也走下神坛,不再是坚不可摧。

三、安全防御机制

勒索病毒WannaCry,通过windows操作系统漏洞发起攻击。很多受害者没有及时安装补丁,导致被病毒攻击,计算机中的文件被加密。预防此类事件,其最好的防范手段就是最好事前防护,各机构组织应加强内部安全基线建设,加强安全巡检,落实安全策略,建立动态有效的、多维度的信息安全保障体系。

3.1.安全基线管理

本次勒索病毒利用windows操作系统漏洞发起攻击,由此可见组织内信息安全风险漏洞危害越来越严重,由于病毒木马扩散,黑客入侵等导致的数据丢失、机密信息泄露、服务器瘫痪日益频繁;由于管理人员产生的安全配置漏洞频出,已成为网络安全要面对的严重威胁。组织内安全基线建立与落实做不好,其薄弱环节被突破后都会造成很大的影响。信息安全基线是信息系统的最小安全保证,是组织信息安全总体水平的量化,信息安全基线管理是保证信息系统正常稳定运行的前提和基础,对提高组织网络与信息系统的安全起到了至关重要的作用。

为降低组织网络安全风险,提高信息安全保证水平,爱加密咨询团队主要运用系统工程法和IT治理理念,结合各组织安全现状,协助组织从安全配置、安全漏洞两个层面建立符合自身业务发展的信息安全基线;针对组织内不同的操作系统、数据库,建立统一的服务器、网络设备、数据库、引用系统安全配置规范,并确保其落地执行;通过安全基线来量化组织内信息安全总体水平,有效管理组织信息安全状态,跟踪未达标的信息安全要求或存在的信息安全隐患,控制组织安全变更对其安全保障水平的影响。协助组织通过常态化的推进运行机制,确保组织信息安全保障水平在一个安全可控层次,并为组织信息安全管理提供依据。

3.2.安全技术防护体系加固

此次病毒事件,对传统安全防护敲响了警钟,组织内传统安全技术防护需全面展开,应确保基本的安全防护措施(如防火墙、IPS、防病毒、防垃圾邮件、网络准入、终端安全防护等)部署到位,并有效落地发挥作用。

爱加密基于组织信安全现状,对组织安全防护情况进行检查,识别组织内系统运行信息安全风险,提供安全整改建议,为组织的各种操作系统、网络设备、数据库和应用系统、安全设备进行安全加固,在满足组织实用的基础上增加其安全性。

3.2.1.网络架构调整

协助组织调整网络性能,对网络进行合理优化。在切实可行的方案下帮助组织提高整个网络的性能,组织通过合理的调整网络结构建立良好的安全区域划分。

3.2.2.安全策略加固

安全策略加固主要指根据前期风险评估的结果对组织已有的策略其中不适合当前实际工作状况以及未有效落实的部分进行相应的调整,以期望在技术和管理两个层面上对用户的安全策略进行一次综合的调整。

3.2.3.网络设备加固

根据安全策略中相关的网络安全策略,对已有的网络设备做加固措施。确认组织现有安全策略,在组织相关人员协同下制定相应的加固方案。其主要包括:

Ø 访问控制加固。

Ø 反入侵加固。

Ø 防火墙设备加固。

Ø 灾难恢复及审计加固。

3.2.4.主机加固

主机系统加固是根据专业安全评估结果,制定相应的系统加固方案,针对不同目标系统,通过打补丁、修改安全配置、增加安全机制等方法,合理进行安全性加强。服务主要内容:

Ø  微软操作系统:补丁、文件系统、帐号管理、网络及服务、注册表、共享、应用软件、审计/日志,其它(包括紧急恢复、数字签名等)。

Ø  UNIX操作系统:补丁、文件系统、配置文件、帐号管理、网络及服务、NFS系统、应用软件、审计/日志,其它(包括专用安全软件、加密通信,及数字签名等)。

3.2.5.数据库加固

根据组织安全策略中相关的数据库安全策略,对已有的网络数据库系统做加固措施其策略的主要依据是根据前期安全策略的定制结果。主要内容包括主流数据库系统(包括Oracle、SQL Server、Sybase、MySQL、Informix)的补丁、账号管理、口令强度和有效期检查、远程登陆和远程服务、存储过程、审核层次、备份过程、角色和权限审核、并发事件资源限制、访问时间限制、审核跟踪、特洛依木马等。

3.2.6.安全产品优化

根据安全策略中相关的安全产品策略,对已有的安全产品做加固措施,提升安全产品性能及其安全功能。主要内容包括:

Ø  防火墙产品访问控制策略优化。

Ø  入侵检测产品策略库优化。

Ø  日志审计系统的优化。

3.3.移动端安全防护

WannaCrypt病毒利用的是微软Windows的系统漏洞,因此手机不会受到影响,除非你的手机使用的是Windows操作系统。但相关安全专家预测未来移动端也有可能爆发大规模的勒索病毒事件,将会影响到数十亿部智能手机。勒索病毒也一直在困扰着广大智能手机用户。手机勒索软件是一种通过锁住用户移动设备,使用户无法正常使用设备,并以此胁迫用户支付解锁费用的恶意软件。其表现为手机触摸区域不响应触摸事件,频繁地强制置顶页面无法切换程序和设置手机PIN码。手机勒索软件的危害除了勒索用户钱财,还会破坏用户数据和手机系统。很多用户反映,自己从某网站下载软件后,手机被强制锁屏,页面上显示“解锁联系XXX”。如果不主动交赎金的话,就要承担手机重要资料丢失的风险。据此前发布的《锁机病毒报告》显示,2017年1-3月份手机锁屏勒索类病毒日均影响用户量超过4万。这次WannaCrypt病毒不影响手机,并不意味着手机用户就可以高枕无忧。在PC端,勒索软件可以利用开放端口,自发传播和主动感染,而在移动端,勒索软件通常需要诱导用户下载文件,用户所下载文件及应用的安全性,对移动端安全具有决定作用。

3.3.1.移动应用MSOC平台

爱加密MSOC平台可以完成安全检测、安全加固、问题跟踪、数据展示,无需通过多套系统去实现不同的功能。检测发现的问题实时、自动提交到MSOC平台的问题跟踪模块,在MSOC平台即可实现对问题进行跟踪处理。安全检测与安全加固深度结合后更能防止不安全的应用流入到应用市场,从根源上确保移动端应用安全,降低勒索病毒感染风险。

爱加密MSOC平台可以为金融、运营商、政府、能源、大型企业等提供移动应用安全管控功能。通过对移动应用的深入检测和分析,给用户提供移动应用安全风险信息,辅助用户对安全风险进行跟踪处理,同时对有安全风险的应用进行安全加固。主要针对移动应用的相关安全风险提供以下服务:

l  安全检测:检测移动应用出现的安全风险,提供可靠的安全解决建议。

l  安全加固:针对检测出来的安全风险,提供移动应用安全加固服务。

l  问题跟踪:对安全检测发现的安全风险进行跟踪管理。

l  数据展示:查看应用的安全风险数据。

3.3.2.移动应用安全态势感知

在传统安全终端部署威胁情报、网络流量分析、APT防御、态势感知这些新型安全防御系统,可对勒索软件进行防御、检测。爱加密移动应用安全态势感知平台可为移动端应用安全保驾护航。

爱加密通过服务的7亿移动终端数量与1000多个应用市场,形成国内最大规模的移动安全大数据基础。安全态势感知平台依据不同行业的移动业务特性与监管要求,形成不同行业的数据感知群。平台以数据为核心驱动安全业务变革,将难以预测转变为可以预测,化被动防御为主动防御,建立企业智能安全防护体系。

快速提高企业移动安全防护能力。移动应安全态势感知平台可快速建立企业移动业务整体防御战线,通过平台管理与安全资源调配,让安全能力较低的移动业务与较高的移动业务共享安全资源与安全策略,对区域业务影响较大的问题和风险,可进行统一调度,同步解决。

与传统安全业务相互融合相互促进。移动应安全态势感知平台可以融合传统安全产品,渗透检测、基线检测、漏洞扫描和移动应用加固等移动业务产品。融合后的平台同时支持威胁预警、态势感知、大数据分析、任务流管理等大型业务运营管理功能需求。

安全量化与集中展示。移动应安全态势感知平台可综合且直观的效果来体现移动安全整体安全系数。体现的内容包括:整体业务安全态势展示,威胁态势展示、外部开发商安全质量展示等。整体展示,可直观了解企业整体移动安全状态;应用系统综合展示,以安全漏洞数、危害性、漏洞整改状态以及安全红线;外外部开发商安全质量展示,涉及开发商项目的安全能力展现,包括总体安全质量、问题数以及问题整改状态。对生产,运营的各环节中的移动安全任务流程化。

勒索病毒确实给全球信息安全敲响了警钟,更是全球化时代的网络安全缩影。此次WannaCrypt的爆发让我们警醒的不该是及时升级,而是对于安全的思考,安全问题并不是某一个层面问题,安全应该是深入的、全面的。此处事件同时也说明了守护互联网信息安全是每个人的职责。面对网络安全,只要一次的疏忽,就有可能造成巨大的损失。这一次全球范围的攻击,应该让大家警醒,不光是电脑病毒,移动端网络安全更应该不被忽视!

加入收藏