摘要
去年的WannCry勒索病毒,讓全社會都關(guān)注到了這類新生的惡意軟件。從去年下半年開始,勒索病毒在國內(nèi)的攻擊重點開始轉(zhuǎn)向了各類服務(wù)器,尤其以windows服務(wù)器為甚。黑客利用弱口令和各類系統(tǒng)漏洞,軟件漏洞向服務(wù)器遠程滲透投毒,經(jīng)常出現(xiàn)一個服務(wù)集群多臺主機被感染的情況,造成的影響輕則服務(wù)中斷,有嚴重的更影響到整個公司的運營,已經(jīng)成為影響企業(yè)安全的一大問題。
趨勢與攔截數(shù)據(jù)
針對服務(wù)器的爆破攻擊,一直是服務(wù)器主機面臨的一大類安全風(fēng)險,我們對過去近兩個月來的爆破攻擊攔截量進行了統(tǒng)計,雖然從數(shù)據(jù)波峰來看漲勢并不明顯,但波谷卻一直在穩(wěn)步提升,整體趨勢還是有進一步提升的風(fēng)險性。
自去年(2017年)下半年以來,服務(wù)器入侵就成為了勒索病毒傳播的主流手段。到本年度,通過入侵服務(wù)器植入勒索病毒的疫情已經(jīng)在所有勒索事件中的絕對主力,反倒是之前規(guī)模較大的個人PC用戶中招情況有所好轉(zhuǎn)。
與針對個人用戶的勒索攻擊有所不同,通過入侵服務(wù)器植入勒索病毒的方法受服務(wù)器整體數(shù)量和植入方式的影響,導(dǎo)致整體感染量級不會像個人PC一樣,動輒上千。服務(wù)器一般數(shù)據(jù)資產(chǎn)價值要大大高于個人PC,雖然感染的絕對量沒有個人PC用戶高,但造成的損失和影響范圍缺遠高于個人PC用戶。此外,值得注意的是,雖然針對服務(wù)器的入侵手段目前還是以RDP弱口令入侵為主要的入侵方案——這主要還是得益于該方案技術(shù)成熟且廣泛適用于大多數(shù)Windows服務(wù)器系統(tǒng)。但通過漏洞入侵系統(tǒng)也漸成趨勢:以目前流行的WebLogic漏洞入侵案例來說,就是利用了WebLogic的WLC組建漏洞對服務(wù)器實施滲透入侵。這主要是由于去年爆出的WLC組建CVE-2017-10271漏洞導(dǎo)致——雖然該漏洞已經(jīng)在去年10月被Oracle修復(fù),但由于服務(wù)器系統(tǒng)中運行的服務(wù)往往不能輕易中斷,更新經(jīng)常不夠及時,也有部分管理員不愿進行更新。導(dǎo)致黑客可以利用已公開的漏洞攻擊那些尚未修復(fù)漏洞的服務(wù)。此類入侵手段將會成為黑客入侵服務(wù)器勒索投毒的新突破口,也希望廣大的服務(wù)器管理員能提起重視,及時關(guān)注安全趨勢并修復(fù)有漏洞的軟件。
被攻擊用戶分析
我們對今年被攻擊用戶的情況從行業(yè)分布、地域分布、系統(tǒng)、被攻擊原因等多方面做了統(tǒng)計分析,希望能幫助廣大管理員提高安全防護效果。
1. 行業(yè)分布
我們對今年1月到4月中招反饋情況統(tǒng)計分析發(fā)現(xiàn),互聯(lián)網(wǎng),工業(yè)企業(yè),對外貿(mào)易與批發(fā)零售,政府機構(gòu)合計占比超過一半。其中尤以中小企業(yè)與中小互聯(lián)網(wǎng)企業(yè)最為突出,企業(yè)在網(wǎng)絡(luò)安全方面投入不足,而產(chǎn)品銷售維護又嚴重依賴互聯(lián)網(wǎng)信息系統(tǒng),在中招之后只能選擇支付贖金解決,這也進一步刺激了黑客的攻擊行為。對外貿(mào)易與批發(fā)零售行業(yè),由于對外交流廣泛,也容易成為境外黑客的攻擊目標。地方政府機構(gòu)服務(wù)器、網(wǎng)站,一直以來都是黑客攻擊重災(zāi)區(qū),由于缺乏專業(yè)的安全運維,漏洞修補不及時,被黑客攻擊拿下。
2. 地域分布
從地域分布看,信息產(chǎn)業(yè)發(fā)達的廣東省首當(dāng)其沖,位列第一,占比接近一半。之后是江蘇,浙江,山東,上海,北京等。地域分布情況看,主要和信息產(chǎn)業(yè)發(fā)展情況相關(guān)。
3. 系統(tǒng)分布
從操作系統(tǒng)分布來看,作為服務(wù)器使用,感染勒索病毒的機器中,windows server 2008與windows server 2008 R2是絕對的主力,很多用戶使用的還是較老版本的操作系統(tǒng),甚至有已經(jīng)停止支持多年的windows server 2003。
4. 被攻擊原因分布
我們統(tǒng)計到的攻擊原因看,第一大類是由“弱口令”造成的,遠程桌面服務(wù)被爆破,黑客遠程登錄用戶計算機投毒,占比超過一半。從我們實地調(diào)查分析情況看,很多遠程爆破并不是短時間完成的,而是持續(xù)一段時間的攻擊。用戶在攻擊過程中并未察覺異常,直至機器被拿下并投毒,再去查看日志才發(fā)現(xiàn)的問題!
而排第二位的,是共享文件夾被加密的情況,這一類情況相對比較“無辜”。被加密的是在局域網(wǎng)中共享的文件,這類一般是由于局域網(wǎng)中其它機器感染了勒索病毒,勒索病毒通過搜索局域網(wǎng)中共享文件夾,找到并加密了這些文件,共享文件的主機本身并未中木馬。
此外,如前所述,軟件漏洞和系統(tǒng)漏洞最近也常被用來投放木馬,如上文提到的WebLogic的反序列化漏洞,Apache Struts2的多個任意代碼執(zhí)行漏洞都被用做過遠程投毒,對于沒有打補丁的機器來說,這些也都是極其危險的!
攻擊來源分析
我們對勒索木馬家族進行了長期對抗和跟蹤,在對抗過程中,我們發(fā)現(xiàn)了其中的一些特點,我們做了一些整理說明,希望通過我們的分享可以提升廣大管理員應(yīng)對此類攻擊的能力。我們也將繼續(xù)關(guān)注這類攻擊的后續(xù)發(fā)展。
1. 攻擊者家族
GlobeImposter,Crysis,BTCWare三款勒索病毒,是近來針對服務(wù)器攻擊的主流,占比超過90%。這三款勒索病毒,都屬于全球爆發(fā)類的勒索病毒,其中GlobeImposter更是多次攻擊國內(nèi)醫(yī)療和公共服務(wù)機構(gòu),國內(nèi)外安全機構(gòu)多次發(fā)布過該家族的預(yù)警。
2. 使用工具情況
通過分析用戶端被攻擊情況,我們發(fā)現(xiàn)攻擊者使用工具主要有一下幾類:
1. 第一類,掃描爆破工具,此類工具配合“密碼字典”對主機實施第一波嗅探打擊,使用弱口令的機器很容易在這波掃描中被拿下!
2. 第二類是各類密碼嗅探工具,在完成第一波打擊之后,對局域網(wǎng)進行滲透時使用的。這也是經(jīng)常出現(xiàn)一個集群,多臺主機同時中招的原因。
3. 第三類常用工具是進程管理類工具。攻擊者一般在投毒時,通過這些工具結(jié)束安全防護軟件進程和一些備份程序,數(shù)據(jù)庫服務(wù)等,方便木馬的投放與效果發(fā)揮。針對此類工具,我們也做了相應(yīng)防護。
4. 第四類工具是長期駐留工具,常見的有遠控和后門程序,通過這類工具實現(xiàn)多主機的長期控制,一般會在滲透階段使用。
通過經(jīng)常被使用到的工具也可以看出,存在弱口令和嚴重系統(tǒng)漏洞或軟件漏洞的機器,最容易成為攻擊目標!攻擊者通過這些工具的組合使用,對安全防護薄弱的這類服務(wù)器實施打擊,并進行滲透和長期駐留,這對于服務(wù)器集群來說也是比較致命的,一臺存在漏洞的主機,就可能造成整個集群的淪陷。
從被攻擊時間角度看,攻擊多發(fā)生在晚上19點到次日7點這段時間,占比達到62%,而這段時間在國內(nèi)一般都是非工作時段。管理員經(jīng)常是在第二天早上來上班時才發(fā)現(xiàn)服務(wù)器出現(xiàn)故障。
從留下的勒索信息的聯(lián)系郵箱統(tǒng)計中,我們發(fā)現(xiàn),較常使用的有qq.com的郵箱和匿名郵箱cock.li,通過我們與攻擊者的聯(lián)系發(fā)現(xiàn),使用郵箱和我們交流的攻擊者大多使用了代理工具來訪問郵箱,ip地址遍布世界各地,攻擊者自身的防范意識較強。溝通使用的語言以英文為主,也有使用俄語等其它語種的聯(lián)系人。
攻擊手法與防護方案
弱口令爆破防護
針對這類最常見的攻擊方式,我們增加了遠程登錄保護,對發(fā)現(xiàn)的可疑登錄行為進行攔截,以提高這類攻擊的門檻。同時防黑加固也會對使用弱口令的機器進行提示,提醒管理員盡快修改密碼。
防黑加固被弱口令攻擊的提醒:
漏洞防護
通過系統(tǒng)或者軟件漏洞,對服務(wù)器進行攻擊,是僅次于RDP爆破的常見攻擊方式,針對此類攻擊我們提供了漏洞修復(fù),熱補丁,漏洞防護三個維度的防護。當(dāng)然最穩(wěn)妥的方式還是安裝系統(tǒng)補丁,修復(fù)漏洞。但對于一些無法安裝補丁,或者沒有補丁的機器,我們熱補丁技術(shù)與漏洞防護技術(shù),可以保護機器免收漏洞攻擊的影響,最大限度保護服務(wù)器安全。
解密工具
針對市面上出現(xiàn)的勒索病毒,我們都做了分析研究。對于其中可以解密的部分,我們制作了一鍵解密工具。360“解密大師”目前已成為全球最大最有效的勒索病毒恢復(fù)工具,可破解勒索病毒達百余種。我們也會繼續(xù)跟進勒索病毒發(fā)展趨勢,繼續(xù)不斷補充完善這一工具。
反勒索服務(wù)
我們從2016年開始,推出了反勒索服務(wù),旨在幫助已經(jīng)中招的用戶,協(xié)助解決勒索病毒的后續(xù)問題。通過反勒索服務(wù),我們協(xié)助用戶解密文件,幫助用戶查找中招原因,排查機器中存在的安全隱患,提供安全建議,到目前已經(jīng)服務(wù)數(shù)千位用戶。對之前聯(lián)系過我們的中招用戶,在解密工具發(fā)布后,我們也會推送消息給用戶協(xié)助解密。
總結(jié)
根據(jù)我們對目前情況的分析,勒索病毒在今后一段時間,仍將是企業(yè)和個人面臨的最嚴重的一類安全問題。通過積極的防護措施,可以極大地避免勒索病毒帶來的風(fēng)險,而事后補救措施往往代價高昂。針對windows服務(wù)器,我們給出以下安全建議:
1. 遵守安全規(guī)范,避免使用簡單口令,建議打開組策略中的密碼策略,強制要求使用足夠復(fù)雜度的口令,同時定期更換口令。
2. 及時更新系統(tǒng)和使用的軟件,尤其是有安全補丁放出時,更需要及時安裝更新。
3. 做好權(quán)限控制,關(guān)閉不必要的服務(wù)與端口。對于非對外提供的服務(wù),避免暴露于公網(wǎng)上,控制機器間的訪問權(quán)限。
4. 對重要數(shù)據(jù)定期備份,可以選擇離線備份。
5. 安裝專業(yè)的安全防護軟件,保護系統(tǒng)安全。
申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!