资讯 网络安全

“狮子”瑞星:对抗勒索病毒防御才是解决之道

作者:又田
2018/11/27 21:42

对于“瑞星人”来说,狮子图案可能是最能引起共鸣的了。

不久前编辑见到瑞星副总裁唐威时候,他兴奋地向我分享了一张图片:同事无意间在街上拍到的一位身着狮子图的少年。唐威看着图片上的狮子和旁边的1991,默默淘宝了一百次,找到了同款。

“真的很酷,我已经下单了。”

“狮子”瑞星:对抗勒索病毒防御才是解决之道

唐威朋友圈

1991对瑞星来说是个有纪念意义的数字,这年幼狮出生,没多久赶上大规模爆发的宏病毒和 CIH 病毒,靠着征战杀软市场登上鼎盛期,却又因免杀铺天盖地而来被迫放弃个人收费杀软。随后瑞星转战企业市场,相比起来这头青年狮子低调了许多。

雷锋网(公众号:雷锋网)曾在去年年底对这头鲜少露面的“狮子”进行过采访(甚少在媒体露面的瑞星,如今过得怎么样?),当时瑞星的回应是:在鼎盛时期面对的是个人用户,一款产品面世后如果反响不错坐着就能挣钱的状态,确实不利于瑞星往前走,而现在服务企业用户时,则是一种战战兢兢的状态,活要干得精细、认真,这种态度的转变,也许能爆发出不一样的力量。

这份不一样的力量是什么?

似乎可以从瑞星主页上大大的红叉窥得一二。

“狮子”瑞星:对抗勒索病毒防御才是解决之道

根据瑞星不久前发布的《2018勒索病毒全面分析报告》捕获数据,2018年1至10月中国勒索病毒样本约有42.82万个,勒索病毒感染次数约为344万次。

一但电脑数据被勒索病毒加密,几乎没有任何办法破解。用户要么放弃这些资料,要么支付赎金来获得解密钥匙。更有甚者,有些病毒团伙“不讲信用”,拿到赎金并不提供密钥,可谓是“亡羊补牢,为时已晚”。

勒索病毒不可怕,可怕的是企业缺乏安全意识和防御措施,信息安全处于极其脆弱的状况却不自知。而狮子瑞星提出:对抗勒索病毒防御才是解决之道。

感染情况

勒索病毒对我们来说并不陌生,由于加密手段复杂,解密成本高以及使用电子货币支付赎金,变现快追踪难等原因,其成为企业环境的隐藏炸弹。

而Ransomware-as-a-server,即勒索服务化的出现(开发者提供整套勒索软件解决方案,从勒索软件的开发、传播到赎金收取都提供完整的服务。攻击者不需要任何知识,只要支付少量的租金就可以开展勒索软件的非法勾当。),更是大大降低了勒索软件的门槛,推动了勒索软件大规模爆发。

至于具体爆发情况,综合瑞星“云安全”系统、瑞星威胁情报平台的研究数据,2018年1至10月,瑞星“云安全”系统共截获勒索软件样本42.82万个,感染共计344万次,其中广东省感染94万次,位列全国第一,其次为北京市48万次,浙江省20万次及上海市18万次。  “狮子”瑞星:对抗勒索病毒防御才是解决之道

2018年1至10月中国勒索病毒感染状况

通过对瑞星捕获的勒索样本分析发现,一月为勒索病毒高发期,感染共计62万次,位列第一,其次为三月48万次,以及6月与7月45万次。

“狮子”瑞星:对抗勒索病毒防御才是解决之道

2018年1至10月勒索病毒各月感染数量

通过对瑞星捕获的勒索样本按家族分析发现,WannaCry家族占比39%,位列第一,其次为Cerber家族与Locky家族占比24%。时隔一年,WannaCry勒索病毒依然影响最大,由此可以看出,很多企业互联网中仍然存在很多未打“永恒之蓝”漏洞补丁的机器,导致其危害至今仍在持续。

  “狮子”瑞星:对抗勒索病毒防御才是解决之道

2018年1至10月各个勒索家族感染样本占比

趋势分析

赛博世界的攻防对抗永远处于道高一尺魔高一丈的你来我往间,躲在暗处的黑客们早就布好了无数陷阱,等着大鱼小鱼落网。

比如针对个人用户的攻击方式主要是攻击者将病毒伪装为盗版软件、外挂软件、色情播放器等,诱导受害者下载运行病毒,运行后加密受害者机器。此外勒索病毒也会通过钓鱼邮件和系统漏洞进行传播;

勒索病毒针对企业用户常见的攻击方式包括系统漏洞攻击、远程访问弱口令攻击、钓鱼邮件攻击、web服务漏洞和弱口令攻击、数据库漏洞和弱口令攻击等。其中,钓鱼邮件攻击包括通过漏洞下载运行病毒、通过office机制下载运行病毒、伪装office、PDF图标的exe程序等。

在数次交手期间,瑞星的安全专家也发现了勒索病毒的发展趋势。

其一,利用漏洞和弱口令植入勒索增多。

传统的勒索病毒,一般通过垃圾邮件、钓鱼邮件、水坑网站等方式传播,受害者需要下载运行勒索病毒才会中毒。而通过漏洞和弱口令扫描互联网中的计算机,直接植入病毒并运行,效率要高很多。

GandCrab、Crysis、GlobeImposter 等勒索病毒主要就是通过弱口令传播,GandCrab内部虽然不含漏洞攻击的部分,但是有证据表明攻击者已经开始使用web漏洞植入此病毒。Satan更是凶狠,不仅使用永恒之蓝漏洞攻击,还包含了web漏洞和数据库漏洞,包括CVE-2017-10271 WebLogic WLS组件漏洞、CVE-2017-12149 JBOOS 反序列化漏洞、tomcat弱口令等,从而增加攻击成功的概率。

其二,攻击者入侵后人工投毒增多

攻击者通过弱口令或者漏洞,入侵一台可以访问互联网的计算机后,远程操作这台机器,攻击局域网中的其它机器,这些机器虽然没有连接互联网,但是和被攻击的机器相连,因此攻击者可以通过这台机器攻击局域网的其它机器。

攻击者一旦远程登陆一台机器,就会通过工具手工关闭杀软,植入并运行勒索病毒,并继续扫描攻击局域网中的其它机器。

其三,勒索病毒持续更新迭代对抗查杀

GandCrab勒索(后缀GDCB、CRAB、GRAB、KRAB)、Satan勒索(后缀Satan、dbger、sicck)、Crysis勒索(后缀arena、bip)、GlobeImposter勒索(后缀reserver、Dragon444)等勒索持续更新,每隔一段时间就会出现一个新变种,有的修改加密算法,增加了加密速度,有的为了对抗查杀,做了免杀、反调试、反沙箱,并且后缀也会随之改变。此外有的勒索病毒新版本开始使用随机后缀,从而增加受害者查找所中勒索类型的难度,迫使受害者只能联系攻击者留下的邮箱来进行解密。

其四,针对有价值目标发起定向攻击逐渐增多

相对于广撒网方式,定向攻击植入勒索病毒的事件逐渐增多。攻击者一般会选择更有勒索价值的目标进行定向攻击,包括医院、学校、防护不足的中小企业等,这些企业通常防护不足,数据非常重要,如学生数据、患者医疗数据、公司业务文件等,一旦此类资料被加密,受害者支付赎金的可能性就会更高。

其五,勒索病毒开发门槛进一步降低

一方面由于各种编程语言脚本都可以被用来编写勒索软件,大大降低了勒索软件的开发门槛,有不少刚接触计算机的未成年人也开始制作勒索软件。

从近期捕获的勒索病毒样本来看,有使用python编写勒索软件,伪装为office文档图标的。有使用Autoit脚本编写勒索软件,伪装为windows更新程序的。还有使用易语言编写勒索软件,通过设置开机密码,或者锁定MBR来勒索的。知名的勒索病毒有PyCrypt勒索、hc勒索、Halloware勒索、Xiaoba勒索等。

另一方面暗网和黑市上存在不少勒索病毒生成器,攻击者输入自己的邮箱和勒索信息,一键生成勒索软件等业务,使不少盗号、DDOS、诈骗等其它犯罪领域的攻击者,也投入到勒索领域,加剧了勒索病毒的泛滥。

其六,勒索软件在世界范围内造成的损失逐渐增大

很多公司为了及时恢复数据,平时会存储一定量的比特币等虚拟货币,以防被勒索时支付赎金。但是更多的情况是,即使支付赎金,对业务也已经造成了非常大的损失。

永恒之蓝WannaCry,攻击世界最大的芯片代工厂“台积电”,导致台积电停工三天,损失十几亿元人民币。Petya勒索病毒造成全球最大的集装箱航运公司马士基损失数亿美元、全球最大语音识别公司 Nuance 损失超过9,000万美元,此外受到该勒索病毒攻击的还有乌克兰中央银行、俄罗斯石油巨头 Rosneft、广告企业 WPP、律师事务所 DLA Piper等。

以上数据还仅仅是冰山一角,还有很多不知名的公司和个人,由于遭受勒索病毒攻击,造成大量的经济损失,重要资料丢失。

反勒索措施

当然,对于战战兢兢网上冲浪的各位来说,似乎更加关注的是如何反勒索。

作为个人用户,浏览网页时提高警惕,不下载可疑文件,警惕伪装为浏览器更新或者flash更新的病毒以及及时备份重要文件就可以了。

对于摆在明处的企业情况则更为复杂。

比如面对系统漏洞攻击可以及时更新系统补丁,防止攻击者通过漏洞入侵系统。安装补丁不方便的企业,可安装网络版安全软件,对局域网中的机器统一打补丁。另外,在不影响业务的前提下,将危险性较高的,容易被漏洞利用的端口修改为其它端口号。如139、445端口。如果不使用,可直接关闭高危端口,降低被漏洞攻击的风险;

面对远程访问弱口令攻击可以使用复杂密码,或更改远程访问的默认端口号,改为其它端口号。另外,禁用系统默认远程访问,使用其它远程管理软件;

面对钓鱼邮件攻击需要安装杀毒软件,保持监控开启,及时更新病毒库。如果业务不需要,建议关闭office宏,powershell脚本等,还可以开启显示文件扩展名,不打开可疑的邮件附件或可疑链接;

面对web服务漏洞和弱口令攻击需要及时更新web服务器组件,及时安装软件补丁,另外,web服务不要使用弱口令和默认密码;

面对数据库漏洞和弱口令攻击可更改数据库软件默认端口并限制远程访问数据库。除此之外,数据库管理密码不要使用弱口令,及时更新数据库管理软件补丁。

这些种种对瑞星来说,化成了一把剑和一堵墙。

剑是“瑞星之剑”,墙是“瑞星防毒墙”。

瑞星之剑采用了智能诱饵、基于机器学习的文件格式判定规则、智能勒索代码行为监测等技术,可以对未知与已知勒索病毒进行防御,也可进一步阻止勒索病毒破坏文件。

而瑞星防毒墙可以在网关处对病毒进行初次拦截,配合瑞星病毒库上亿条记录,可将绝大多数病毒彻底剿灭在企业网络之外,帮助企业将病毒威胁降至最低。

至于应用虚拟化技术的企业,瑞星则打包提供了一套系统安全软件,由管理中心、升级中心、日志中心、扫描服务器、安全虚拟设备、安全终端Linux杀毒和安全防护终端等子系统组成,各个子系统均包括若干不同的模块,除承担各自的任务外,还与其它子系统通讯,协同工作,共同完成企业内部的安全防护。

事实上,一手持剑一手持盾的瑞星狮子还挺精神的,只不过原来的它爪牙张扬,现在的它沉默低调。

可能,不变的是这只狮子想守护安全的心。

雷锋网宅客频道(微信公众号:letshome),专注先锋科技,讲述黑客背后的故事,欢迎关注雷锋网宅客频道。

“狮子”瑞星:对抗勒索病毒防御才是解决之道

文章点评
相关文章