2024年1月9日发(作者:)
防勒索解决方案
目录
1勒索病毒概述 ............................................................................................................ 1
1.1勒索病毒简介 ................................................................................................................................ 1
1.2勒索病毒日益猖獗 ........................................................................................................................ 2
1.3勒索病毒趋势分析 ........................................................................................................................ 3
2国内防勒索病毒防护现状 ........................................................................................ 4
2.1攻击原理分析 ................................................................................................................................ 4
2.2技术生态分析 ................................................................................................................................ 5
2.2.1主机系统安全防御技术 ......................................................................................................... 5
2.2.2网络安全防御技术 ................................................................................................................. 7
2.2.3数据恢复与备份技术 ............................................................................................................. 8
2.3分析总结 ........................................................................................................................................ 9
3解决方案设计 .......................................................................................................... 10
3.1总体设计 ...................................................................................................................................... 10
3.2解决方案 ...................................................................................................................................... 11
3.3客户价值 ...................................................................................................................................... 12
3.4优势分析 ...................................................................................................................................... 12
4配置清单 .................................................................................................................. 13
防勒索解决方案
1勒索病毒概述
1.1勒索病毒简介
勒索病毒,是一种新型电脑病毒,主要以邮件、程序木马、网页挂马等形式进行传播,利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。该类型病毒可以导致重要文件无法读取,关键数据被损坏,黑客以解密数据为条件勒索用户钱财,给用户的正常工作带来了极为严重的影响。
2017年开始勒索病毒呈现爆发式增长趋势,影响最大的是WannaCry勒索病毒事件。5月12日晚,勒索病毒WannaCry(中文名称魔窟)爆发席卷全球,在短短一个月的时间内就席卷全球150多个国家,造成损失高达80亿美元,领域包括政府部门、医疗服务、公共交通、邮政、通信和汽车制造业,如下图所示勒索病毒导致业务中断。
图:WannaCry病毒爆发导致业务系统瘫痪
事件回顾如下:
2017年3月,微软发布了月度安全补丁,其中包括了后续被WannyCry蠕虫利用的MS17-010漏洞。
2017年4月14日黑客组织ShadowBrokers(影子经纪人)公布的EquationGroup(方程式组织)使用的“网络军火”中包含了该漏洞的利用程序。
1
防勒索解决方案
2017年5月12日全球爆发大规模勒索软件感染事件,利用了基于445端口传播扩散的SMB漏洞MS17-010,我国大量用户被感染。
1.2勒索病毒日益猖獗
根据2018年CrowdStrike全球威胁报告显示:通过分析176个国家每天1000亿件事件的综合威胁数据发现,勒索和数据武器化已成为网络犯罪分子的主流,严重影响了政府、医疗以及其他行业。
2017年5月12日,WannaCry病毒全球大规模爆发,到现在有将近一年的时间了,目前仍有很多客户系统感染WannaCry病毒及变种。
2017年6月27日,欧洲、北美地区多个国家遭到“Petya”勒索病毒攻击,乌克兰受害严重,其政府部门、国有企业相继“中招”。这次的Petya病毒就像是WannaCry的升级版,与WannaCry相比,该病毒会加密NTFS分区和磁盘主引导记录(MBR),导致系统被锁死无法正常启动,然后在电脑屏幕上显示勒索提示。
图:Petya病毒全球爆发
2017年10月24日,俄罗斯、乌克兰等国遭到勒索病毒“坏兔子”攻击。乌克兰敖德萨国际机场、首都基辅的地铁支付系统及俄罗斯三家媒体中招,德国、土耳其等国随后也发现此病毒。
2018年2月,多家互联网安全企业截获了MindLost勒索病毒。MindLost不再要求“中招”用户使用比特币等数字货币支付赎金,而是要求受害者使用信用卡或借记卡支付赎金,以此来套取银行卡信息,进而将此信息出售给不法分子牟取更大利益。
2018年2月,研究发现一款勒索达世币(DASH)的勒索软件GandCrab,这2
防勒索解决方案
是首个勒索比特币以外的虚拟货币的勒索软件。加密文件会以.GDCB为新的扩展名,加密完成后,样本调用默认浏览器弹出勒索信息页面,勒索1.5个达世币,价值约1200美元,在限定日期内没有交付相应的达世币,赎金会翻倍。近段时间通过网页挂马在国内大肆蔓延,被黑页面涉及景区、交通等社会服务网点,影响极广。
1.3勒索病毒趋势分析
勒索病毒发展趋势分析如下:
勒索病毒技术不断演进:
目前最新发现的GandCrab勒索软件,采用了新兴的虚拟货币,同时在技术上使用了大量动态解密方式,并且若网络不连通则不会进入加密阶段,也无法看到加密的扩展名与流程,从中我们可以看出,勒索病毒技术不断发展与演进,病毒的防护也需要与时俱进。
从个人电脑转型企业服务器:
自从WannaCry爆发以后,勒索病毒的攻击重心已逐渐由个人电脑用户转向企业服务器,尤其是以弱口令爆破远程登录服务器再植入勒索病毒的攻击方式最为常见。
今年2月23日,湖北襄阳南漳县人民医院系统被植入GlobeImposter勒索病毒后瘫痪,黑客要求支付比特币才能恢复正常。
2月24日,湖南省儿童医院全院所有医疗系统均无法正常使用。经查实,该院多台服务器感染GlobeImposter勒索病毒,数据库文件被病毒加密破坏,医院内部系统已瘫痪,同时数据库文件被加密破坏,正常就医秩序受到严重影响。由于GlobeImposter家族使用了RSA2048算法加密,解密极其困难,据了解目前该勒索软件暂无解密工具。
3
防勒索解决方案
图:医疗信息系统疑中勒索病毒业务瘫痪
2国内防勒索病毒防护现状
2.1攻击原理分析
勒索病毒本质是对数字资产的攻击,包括文档、邮件、数据库、源代码、图片、压缩文件等多种文件,一旦勒索病毒攻击成功,用户重要文件将无法读取,关键数据被损毁,业务瘫痪。
勒索病毒通常有如下感染方式:
邮件传播:攻击者以广撒网的方式大量传播垃圾邮件、钓鱼邮件,一旦收件人打开邮件附件或者点击邮件中的链接地址,勒索软件会以用户看不见的形式在后台静默安装,实施勒索;
漏洞传播:当用户正常访问网站时,攻击者利用页面上的恶意广告验证用户的浏览器是否有可利用的漏洞。如果存在,则利用漏洞将勒索软件下载到用户的主机;
捆绑传播:与其他恶意软件捆绑传播;
僵尸网络传播:一方面僵尸网络可以发送大量的垃圾邮件,另一方面僵尸网络为勒索软件即服务(RaaS)的发展起到了支撑作用;
可移动存储介质、本地和远程的驱动器(如C盘和挂载的磁盘)传播:恶意软件会自我复制到所有本地驱动器的根目录中,并成为具有隐藏属性和系统属性的可执行文件;
4
防勒索解决方案
文件共享网站传播:勒索软件存储在一些小众的文件共享网站,等待用户点击链接下载文件;
网页挂马传播:当用户不小心访问恶意网站时,勒索软件会被浏览器自动下载并在后台运行;
社交网络传播:勒索软件以社交网络中的.JPG图片或者其他恶意文件载体传播。
从病毒攻击原理分析,典型勒索软件包括以下几部分:
蠕虫病毒传播模块,寻找漏洞目标传播和释放病毒。
蠕虫病毒是一种常见的计算机病毒,通过网络和电子邮件等方式进行传播,具有自我复制和传播迅速等特点。WannaCry病毒制造者正是利用了美国国家安全局(NSA)泄漏的WindowsSMB远程漏洞利用工具“永恒之蓝”来进行传播的。
勒索病毒加密模块,对数据进行非法加密。
勒索病毒文件一旦进入本地,就会自动运行,同时删除勒索软件样本,以躲避查杀和分析。除了病毒开发者本人,其他人是几乎不可能解密,且变种类型非常快,对常规的杀毒软件都具有免疫性。攻击的样本以exe、js、wsf、vbe等类型为主,对常规依靠特征检测的安全产品是一个极大的挑战。
其他模块,更改桌面,索取赎金。
2.2技术生态分析
从技术维度分析,目前国内安全技术生态有三类防护方式:
2.2.1主机系统安全防御技术
主机系统安全防御技术主要有:终端杀毒软件、终端管控软件、操作系统补丁升级三种典型防护方式。
终端杀毒软件:
使用基于特征码的杀毒软件,是目前应用最广发的终端防护方式之一,这种方式存在两个约束条件:
(1)、从病毒爆发到厂商勒索病毒特征码学习,需要一定时间。
(2)、传统防病毒软件本地特征库加载量不足的问题。安装杀毒软件的主机5
防勒索解决方案
处理速度严重下降,所以受本地资源的限制,业界通常本地加载的病毒特征库低于总库1%。
所以,很多杀毒软件采取云查杀的方式,弥补这两种不足。
图:某杀毒软件扫描结果
终端安全管控软件:
终端安全管理软件可以关闭系统漏洞、端口,这种管控方式针对已知病毒和服务有很好的拦截作用,但很多终端安全工具对未知漏洞利用程序和恶意软件的封堵能力不足,依赖于特征库持续更新。
图:终端管控软件
操作系统补丁升级:
操作系统补丁升级是非常重要的防护手段,但受限于操作系统版本、升级对业务影响及升级操作复杂度等因素影响,升级率和及时率较低。知名杀毒软件卡巴斯基实验室日前表示,下载安装最新的系统补丁,启用最新的防护软件,可阻止病毒入侵。新型“蠕虫式”勒索软件WannaCry通过MS17-010漏洞(1day/Nday)6
防勒索解决方案
传播,而微软在17年3月发布了该漏洞的补丁,但仍有大量用户未安装补丁,导致医院、企业、机构以及个人的大量计算机在这次网络攻击中被感染。
2.2.2网络安全防御技术
网络安全防御体系包括:网络出口病毒过滤、核心网络层安全防护、交换机关闭端口等方式。
网络出口病毒过滤:
从下图所示,这是一个典型的局域网网络拓扑,一般在网络出口处会部署防火墙或IPS等边界安全设备,对勒索病毒进行过滤,这种方式对已知病毒有较好效果,可以抵御病毒于网络之外;但防御效果主要依赖于厂商病毒库的发布和更新,因为病毒库主要是基于特征的,在病毒未规模爆发之前,很难生成病毒库。另外,大量的攻击来自于内网和主机存储介质,这种防护方式无法防御这些攻击。
终端终端终端终端
图:典型局域网网络结构
核心网络层防护技术,如防火墙/IPS/沙箱/蜜罐等:
大部分客户在网络出口部署安全设备,而在内网很少部署安全产品;对于跨核心交换机的勒索病毒攻击,一些网络可能会在核心层部署防火墙、IDS、堡垒机、沙箱等设备;防火墙和IDS主要依赖于特征库的发布与更新;堡垒机主要功能是监控,不能防御;沙箱和蜜罐等可以发现未知病毒,但需要专业人员投入。
交换机关闭服务端口:
病毒在终端运行之后,就会内网中大量扩散,可能会在接入交换机内部或者跨交换机之间进行扩散;对于在接入交换机内部攻击,现实网络中几乎是不可能7
防勒索解决方案
部署安全产品的,所以,防护措施只能是在交换机手工封病毒端口;当勒索病毒爆发时,很多客户采取全网交换机封端口的操作,防止病毒扩散。这种方式依赖于人工操作,费时费力、且只能事后处理。
2.2.3数据恢复与备份技术
卡巴斯基宣称,勒索病毒使用的加密算法目前无解,不要使用网站流传的工具程序去解密,下载来路不明的工具程序可能会有其它危害,甚至加速病毒传播。
当遭受到勒索病毒攻击,数据被非法加密后,业内大多采用数据恢复技术进行恢复,主流数据恢复技术有:
在线恢复技术:
研究发现,对于感染了勒索软件WannaCry的操作系统,在没有重新启动的前提下,勒索软件的加密私钥仍可以在内存获取,从而实现解密文件。
但这种恢复技术的前提条件是:对于已感染WannaCry勒索软件的操作系统不能重启,如果系统已重启或关机,可能将无法恢复文件数据。
磁盘数据恢复技术:
当删除一个文件时,为了提高执行效率并减少磁盘损耗,操作系统只是在文件分配表中标记该位置被释放,但并没有对磁盘上对应区域的数据重写,这就是为什么数据恢复软件可以找到已经删除的文件并且恢复出来。
从上述原理分析,这种技术也存在概率:按WannaCry勒索蠕虫的执行逻辑,加密后生成的文件不会覆盖掉原文件本身,但是下一个或第N个被加密的文件,有可能会覆盖之前已经被删除的其他原文件,造成该文件部分损坏或完全不可恢复。
8
防勒索解决方案
图:某数据恢复工具
另外,一些厂商推出数据备份方案,一但主系统遭受攻击,保障备份业务系统可以立即启用。备份系统造价较高,需要做好备份系统与主系统的安全隔离工作,辟免主系统和备份系统同时被感染、被攻击。
2.3分析总结
综上所述,目前主流的网络安全技术体系在某一方面发挥着重要作用,同时也存在其技术局限性,总结如下:
(1)面向网络攻击对抗的防护体系:主要防止病毒“攻进来”,攻击一旦突破边界,防御体系则无能为力。
(2)基于特征码“补丁”升级的防护体系:目前病毒库大多基于“先验”,先出现病毒事件,防守方需要分析病毒特征,提炼出特征库,升级设备和软件的特征库,这种打“补丁”的技术体系决定了从攻击到防守存在时间差,“补丁”永远滞后病毒变种。
(3)事后数据恢复技术:当数据被非法加密后,数据恢复技术是仅有的一种处理方式,不能事前防范;数据恢复效果取决于终端是否掉电、磁盘数据是否被覆盖等条件。
总结:网络安全防御体系主要解决“进不来”的问题,而对病毒进来之后,病毒对数据“防破坏”的关注较少。所以,针对勒索病毒及快速变种,现有网络安全技术体系需要与数据安全技术优势互补,才能更有效的解决勒索病毒问题。
9
防勒索解决方案
3解决方案设计
3.1总体设计
方案设计需要考虑如下问题:
勒索病毒本身是对数据的非法损毁,属于数据安全范畴,单一的网络安全技术无法彻底解决问题。
勒索病毒包括病毒传播的蠕虫病毒和对数据非法加密的勒索病毒,防勒索方案设计要从这两种攻击方式入手,方案才能更加有效。
解决未知病毒爆发到有效防御的时间差难题。
本方案整体设计理念:以数据为核心,融合网络安全、主机安全、数据安全、智能算法等技术,打造安全可控的防勒索防御体系。
图:防勒索解决方案典型拓扑图
如上图所示,本方案包括四大安全组件:
1、服务器防勒索软件:
部署在服务器上,对数据库文件和共享文件进行保护,防止勒索病毒对数据文件的破坏;对关键服务(数据库服务、WEB应用服务、业务系统服务等)的程序和文件进行保护,防止因攻击导致的服务中断,保证业务的连续性和可靠性;高可靠性设计,保障业务的稳定和流畅;高强度自我保护能力,防止自身被攻击。
10
防勒索解决方案
2、防勒索基础平台:
部署在服务器前,支持串接部署和旁路部署,对访问服务器的网络请求进行安全保护,防止已知漏洞攻击服务器;基于AI智能算法技术,通过攻击行为画像、病毒防控深度学习系统对已知和未知病毒进行识别、告警、阻断;作为整个防勒索系统的大脑,计算并下发安全策略;提供WEB管理服务,以及统计分析报表帮助决策,实现安全可视化;独立自主硬件设计,防止自身被攻击。
3、PC防勒索软件:
部署在用户终端计算机中(包括业务终端和维护终端),可灵活设置对磁盘、目录、甚至是文件类型的保护,防止勒索病毒对数据文件的破坏;提供陌生进程删除受保护文件时自动备份的功能;对访问用户终端的网络请求进行安全保护,防止已知漏洞攻击用户终端;高强度自我保护能力,防止自身被攻击。
4、防勒索预警平台:
旁路部署于网络核心处,与防勒索基础平台及全网软件系统联动,实现可视化和预警,在病毒爆发前,提供预警服务。
3.2解决方案
防勒索解决方案包括如下4大核心功能:
1、数据防损毁防加密:
通过计算机运行控制技术,对信息系统数据库、文件服务器上的数据及用户终端数据进行勒索病毒免疫防护,构筑数据保险柜,让勒索病毒无法加密、破坏数据,提供数据免疫功能;覆盖文件类型包括:数据库服务器、文件服务器、其他重要服务器系统及终端上的照片、图片、文档、压缩包、音频、视频文件、可执行程序等文件;支持windows、linux、分布式文件等系统。
2、主机勒索病毒管控:
系统可以识别、告警、阻断已知勒索病毒,如Wannacry、坏兔子、NotPetya、Mindlost等。通过预置策略,防止被感染主机向本机传播勒索病毒,禁止勒索病毒启动,使病毒无法入侵;基于数据免疫功能,发现疑似勒索病毒进程,通过AI智能行为画像技术,有效识别和管控未知勒索病毒,最终实现全网统一布控,让勒索病毒无处可逃。
11
防勒索解决方案
3、防病毒内网扩散:
通过由硬件设备和软件配合联动,基于基础平台安全策略和计算机运行控制技术,实现服务器之间、服务器和终端之间、以及终端之间的网络访问控制,针对勒索病毒的网络传播扩散攻击进行阻断。
4、实时监控提前预警:
通过对全网攻击日志采集,基于全网勒索病毒相关统计数据分析,如已知病毒攻击统计、疑似攻击统计、被攻击服务器及客户端列表等信息,实时可视化展示,便于管理员及时快速发现问题,方便定位解决问题;定期发布防勒索报表,便于企业主管及时了解网络状态;通过AI智能画像技术,在勒索病毒爆发前,病毒攻击处于“萌芽”状态时,提前预警,杜绝业务损失。
3.3客户价值
防勒索解决方案,为客户提供的业务价值:
1、【终身免疫】基于操作系统内核级安全管控技术,有效防止勒索病毒对数据的
非法加密、非法删除,杜绝业务损失。
2、【无惧0-day攻击】基于AI行为画像技术,而非“特征库” ,有效应对已知和未知勒索病毒,无惧0-day攻击。。
3、【三层防御】构建网络、数据、主机三层防御体系,全网设备智能联动;构建服务器、PC端全网防御体系,更高级别更全面的安全防护。
4、【实时预警】勒索病毒刚开始“露头”,实时预警,指导快速处理,避免业务损失。
5、【透明防护】不改变客户使用习惯。
3.4优势分析
业内主流防勒索方案优势分析:
解决方案
传统防勒索方案
产品
交换机/沙箱/FW/IPS/UTM防护手段
网络层关闭文件共享服务;防火墙可过滤传播病毒;沙箱由防护效果
网络层隔离技术,属于事后防护,依赖于手工配置,防火墙等依赖病毒库12
防勒索解决方案
等 专业安全技术人员配合可发现未知病毒。
更新,无法实时应对病毒变种。
杀毒软件/终端管控软件
防勒索方案 防勒索方案
通过升级病毒库或云查杀方式,对病毒进行查杀。
基于计算机运行控制及数据免疫技术,融合AI智能行为画像技术,识别和阻断勒索病毒。
对成熟病毒效果显著,依赖于病毒库更新的速度,对病毒变种反应较慢。
提供网络、数据、主机三层防护,无需升级即可应对病毒变种,提供防勒索终身免疫功能。
表:防勒索方案优势分析
结论:传统防勒索解决方案,以网络攻防为核心进行防护,重点在网络层过滤和终端层病毒查杀;防勒索解决方案,以数据为核心的防护,避免勒索病毒对数据进行非法加密、损毁,提供数据全流程防护,可与传统技术互相融合,优势互补,实现勒索病毒。
4配置清单
典型配置清单,参考如下:
产品名称 组件名称 部署说明 组件数量
部署于服务器前端,支持主路部署及策略路由方式旁路部署;
防勒索基础平台 典型场景部署1台,双机备份需要部署2台;
根据网络情况调整平台数量;
防勒索解决方案
整个系统部署一套;(如需短信、邮件防勒索预警平台
等外购件需单独下单)
服务器防勒索软件
PC防勒索软件
4G远程维护
每个操作系统部署一套服务器防勒索软件
每台PC部署一套PC防勒索软件
整个系统部署一套,与防勒索基础平台配合使用
X个
X个
X个
X个
X个
13
发布评论