構(gòu)建多層防御應(yīng)對勒索軟件威脅-中國計算機報

1、近日,一些Linux 的 Web 服務(wù)器被一種名為 FairWare 的勒索軟件攻擊了。通常攻擊者會將服務(wù)器上 Web 服務(wù)器的內(nèi)容刪除并留下如下消息：“Hi, please view here: /raw/jtSjmJzS for information on how to obtain your files!”這個 PasteBin 的鏈接內(nèi)有更多的勒索內(nèi)容和說明，要求用戶為其指定的比特幣錢包轉(zhuǎn)賬 2 比特幣，并提供了聯(lián)系的郵件地址。新的勒索軟件已經(jīng)開始向開源系統(tǒng)滲透。 本報記者 趙明面對勒索軟件威脅，普通用戶對它的攻擊方式和破壞力不了解，因此無法進行系統(tǒng)有效且全面的防護。很多人中招后茫然

2、無措，最后只能老老實實地交付贖金或者任由自身數(shù)據(jù)或財產(chǎn)損失。這種勒索軟件威脅現(xiàn)象從上世紀80年代末就已經(jīng)出現(xiàn)，只是波及范圍較小，沒有引起大眾足夠的關(guān)注和警覺。此前，勒索軟件侵害的對象主要是一些有充裕資金的企業(yè)，但近期形勢發(fā)生了一些變化，中小企業(yè)、個人也都成為受災(zāi)群體。隨著智能移動端設(shè)備的廣泛使用，勒索軟件感染的途徑更加多樣化，并且已經(jīng)從傳統(tǒng)的PC端逐漸蔓延到手機端。在同一個商業(yè)網(wǎng)絡(luò)中，通過被勒索軟件感染的手機也有可能對網(wǎng)絡(luò)中其他設(shè)備造成不良影響，網(wǎng)絡(luò)中其他設(shè)備也可能遭受勒索軟件感染。大型企業(yè)或機構(gòu)中可能有一些專職IT管理人員會處理被勒索軟件感染的設(shè)備，但任何一位IT管理人員都不愿企業(yè)或機構(gòu)的數(shù)

3、百臺設(shè)備遭受勒索軟件感染。勒索軟件感染會致使關(guān)鍵系統(tǒng)處于離線狀態(tài)，以至于企業(yè)或機構(gòu)的全部運營活動都處于危險境地。很多安全解決方案提供商對此做出分析，運用新技術(shù)，推出了一些安全防御解決方案，并且提出了一些可行的安全防御建議，供大眾參考。持續(xù)跟蹤分析在近期的一些勒索事件中，盡管大多數(shù)的勒索軟件犯罪組織并沒有特定的攻擊目標，但是，賽門鐵克的安全團隊發(fā)現(xiàn)，一部分犯罪組織已經(jīng)將攻擊目標轉(zhuǎn)向特定企業(yè)，試圖通過破壞企業(yè)的整體運營以獲得巨額贖金。在今年年初，一家大型企業(yè)所遭受的精心策劃的勒索軟件攻擊事件正是犯罪組織針對特定企業(yè)發(fā)起攻擊的典型案例。在此類針對企業(yè)的攻擊中，攻擊者像網(wǎng)絡(luò)間諜一樣擁有高級專業(yè)知識，能

4、夠利用包含軟件漏洞和合法軟件的攻擊工具包侵入企業(yè)網(wǎng)絡(luò)。勒索軟件攻擊者與網(wǎng)絡(luò)間諜之間并無區(qū)別，他們都是利用服務(wù)器上尚未修補的漏洞，在企業(yè)網(wǎng)絡(luò)中獲得立足點。通過使用多種公開的黑客工具，網(wǎng)絡(luò)攻擊者能夠看到企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)，并使用未知的勒索軟件變種盡可能多地感染企業(yè)內(nèi)的計算機。此前，卡巴斯基也對勒索攻擊事件進行過持續(xù)的跟蹤分析。卡巴斯基發(fā)現(xiàn)，這種勒索軟件感染事件并非僅出現(xiàn)在局部地區(qū)，而是全球性的。因此，卡巴斯基提出了打擊勒索軟件的倡議，表示“打擊這種全球威脅需要國際間合作”。不斷爆發(fā)的勒索軟件攻擊對企業(yè)造成了相當嚴重的影響，所幸企業(yè)的關(guān)鍵系統(tǒng)和大部分被勒索軟件加密的數(shù)據(jù)可以通過備份恢復過來。未來，我們可

5、能會看到更多針對資金雄厚的企業(yè)發(fā)起的勒索軟件攻擊，以索要巨額贖金。令人擔憂的趨勢賽門鐵克最新發(fā)布的勒索軟件與企業(yè)2016調(diào)查報告中指出，勒索軟件已經(jīng)成為當今企業(yè)和消費者面臨的最大網(wǎng)絡(luò)安全威脅之一。在2015 年，賽門鐵克共發(fā)現(xiàn)100種新型勒索軟件，創(chuàng)下歷史新高。在被發(fā)現(xiàn)的新型勒索軟件中，大多數(shù)為更危險的“加密勒索軟件”，這類惡意軟件可以通過強效加密鎖定目標的文件。無獨有偶，卡巴斯基也發(fā)現(xiàn)，最近幾年，勒索軟件正在成為一個非常嚴重的問題。歐盟執(zhí)法機關(guān)將其視為一種頭號威脅，約三分之二的歐盟成員國正在對這種形式的惡意軟件攻擊進行調(diào)查。同2014年4月至2015年3月這段時間相比，在2015年4月至20

6、16年3月遭遇所有類型勒索軟件攻擊的用戶總數(shù)增長了17.7%，全球受攻擊用戶從196.7784萬個增長到231.5931萬個；遭遇加密勒索軟件攻擊的用戶數(shù)量增長了5.5倍，從2014年2015年的13.1111萬個增加到2015年2016年的71.8536萬個；至少遭遇一次勒索軟件攻擊的用戶占所有遭遇惡意軟件攻擊的用戶總數(shù)的比例增長了0.7個百分點，從2014年2015年的3.63%增長到2015年2016年的4.34%；遭遇加密勒索軟件的用戶占所有遭遇勒索軟件攻擊的用戶數(shù)量比例顯著上升，上升了25個百分點，從2014年2015年的6.6%上升到2015年2016年間的31.6%；遭遇鎖定軟件

7、（鎖定用戶屏幕的勒索軟件）的用戶數(shù)量下降了13.03%，從2014年2015年的183.6673萬個減少到2015年2016年間的159.7395萬個；德國、意大利和美國的用戶遭遇加密勒索軟件的比例最高。再來看一看遭受勒索軟件感染后，用戶交付贖金的數(shù)額變化情況。賽門鐵克的勒索軟件與企業(yè)2016報告中指出，從2015年年末至今，勒索軟件的平均贖金增長超過2倍，從294美元增長至679美元。2016年，一種名為7ev3n-HONET的惡意軟件（Trojan.Cryptolocker.AD）要求每臺計算機支付13個比特幣的贖金，換算約為5083美元（根據(jù)發(fā)現(xiàn)的時間），成為最高的勒索金額。勒索軟件的影

8、響范圍根據(jù)賽門鐵克的調(diào)查報告，美國成為感染勒索軟件最嚴重的國家，占全球的28%。排名前十的國家還包括加拿大、澳大利亞、印度、日本、意大利、英國、德國、荷蘭和馬來西亞?，F(xiàn)在，個人消費者仍然是勒索軟件的主要攻擊目標（57%）。但長期趨勢表明，以企業(yè)為攻擊目標的勒索軟件攻擊次數(shù)正在緩慢且穩(wěn)步地增長?；蛟S有人會提出這樣的問題，為什么目前勒索軟件的主要攻擊目標會有57%是個人用戶，而非企業(yè)用戶，攻擊這些目標群體真會獲得很多利潤嗎？企業(yè)對于自身信息應(yīng)該更為看重，更應(yīng)該愿意支付贖金，攻擊它們應(yīng)該比攻擊個人用戶更有利可圖。賽門鐵克公司大中華區(qū)首席運營官羅少輝表示，不同的黑客發(fā)動攻擊時，所選擇的目標不盡相同。有

9、些黑客僅針對個人用戶進行攻擊，因為個人用戶的安全意識比較低、防護措施也比較薄弱，黑客通過簡單的勒索軟件就能夠輕易地實施攻擊。同時，由于黑客對個人用戶的勒索金額較小，個人用戶為了盡快獲得密鑰會更加傾向于支付贖金。所以，現(xiàn)在的勒索軟件攻擊的對象大部分針對個人用戶。而針對企業(yè)的攻擊，由于攻擊規(guī)模相對較大，因此黑客需要采用一些專業(yè)攻擊工具，花費較多的時間，因此黑客索要的贖金也是相當可觀的?！拔艺J為，正是由于勒索軟件針對企業(yè)的攻擊數(shù)量上升，企業(yè)才會更加關(guān)注安全防護，逐步增強安全防御措施?！绷_少輝補充道。賽門鐵克的勒索軟件與企業(yè)2016調(diào)查報告還指出，當前受勒索軟件影響較大的行業(yè)為服務(wù)業(yè)（38%）、制造業(yè)

10、（17%）、金融、保險和房地產(chǎn)業(yè)（10%），以及公共管理（10%）。過去，黑客攻擊的主要方式是通過電子郵件進行傳播。但如今，黑客通常不再使用單一手法進行攻擊，黑客也會在同一時間，利用電子郵件、社交媒體和短信等多種不同方式隊攻擊目標。此外，勒索軟件會出現(xiàn)很多變種。因此，即便用戶對電子郵件保持謹慎，也有可能通過其他途徑感染勒索軟件。正是由于黑客的攻擊方式更加多樣化，賽門鐵克對勒索軟件的攻擊模式和途徑進行統(tǒng)一分析與整理還存在一定困難，無法全面對其梳理，繪制一個全面的圖表。以郵件和URL傳播為主由于勒索軟件可以通過多種途徑來傳播，因此基于單一層面的防護機制都無法有效防范勒索軟件。亞信安全發(fā)布的勒索軟件

11、風險研究報告同樣顯示，在綜合部署電子郵件、URL、文件等多層防護機制之后，在防護邊界對于勒索軟件的檢測率可以達到99%。 亞信安全技術(shù)總經(jīng)理蔡昇欽指出：“勒索軟件作者會不斷改變程序代碼來繞過過濾程序，并且嘗試通過電子郵件、URL鏈接、文件等多種方式來入侵網(wǎng)絡(luò)。同樣，黑客也開始將惡意軟件目標放到服務(wù)器基礎(chǔ)設(shè)施上，與最近攻擊醫(yī)療行業(yè)的SAMSAM雷同，它們無需與 C&C 服務(wù)器聯(lián)系也能加密檔案。簡言之，并沒有萬靈丹來防止這類網(wǎng)絡(luò)威脅，企業(yè)用戶需要盡可能地降低風險，并通過多層防護機制來進行檢查和攔截?！睆膩喰虐踩?月發(fā)布的勒索軟件風險研究報告中還可以發(fā)現(xiàn)，在過去的10個月中，勒索軟件主要是通過電子郵

12、件、URL、文件這三種方式進行傳播。其中，通過電子郵件傳播的勒索軟件數(shù)量出現(xiàn)了較為顯著的增長，占比從不足5%增長到46%，僅次于通過URL傳播的比例（52%）。據(jù)亞信安全病毒監(jiān)測實驗室分析：電子郵件與URL是勒索軟件傳播者尤為喜歡的兩種傳播途徑，主要是因為這兩種方式簡單有效，通過大規(guī)模群發(fā)的方式，不僅能夠降低傳播成本，還便于利用社交工程攻擊的方式來吸引更多人點擊。而且，這兩種方式要比很多人想象的更有效果，因為黑客會利用漏洞攻擊套件（Exploit Kit）攻擊操作系統(tǒng)及應(yīng)用程序的漏洞，若用戶電腦沒有更新補丁，只是瀏覽一般網(wǎng)頁就可能會被勒索軟件感染。對此，賽門鐵克也提出了幾條建議：1. 新型勒索

13、軟件變體會定期更新，賽門鐵克建議用戶及時更新安全防護軟件，確保防御能力。2. 軟件更新通常包含最新發(fā)現(xiàn)的可被勒索軟件利用的安全漏洞補丁，用戶應(yīng)該及時更新操作系統(tǒng)和其它應(yīng)用軟件。3. 電子郵件是感染勒索軟件的主要途徑之一。賽門鐵克建議用戶及時刪除所收到的任何可疑郵件，特別是包含鏈接或附件的郵件。4. 謹慎對待任何建議啟用宏查看內(nèi)容的Microsoft Office電子郵件附件。若無法確定電子郵件的來源是否可信，不要啟用宏并立即刪除該郵件。5. 應(yīng)對勒索軟件攻擊的最有效方式是對重要數(shù)據(jù)進行備份。攻擊者通過對重要文件進行加密，使受害者無法訪問。如果受害者擁有備份副本，可以在清除感染后立刻恢復文件。與

14、此類似，卡巴斯基也提出了一些安全解決方案和建議：1. 必須進行數(shù)據(jù)備份。越早地將備份當作是日常使用計算機時必須做的事，能夠越早地對各種類型的勒索軟件免疫。這與賽門鐵克給出的第五條建議類似。2. 使用一款可靠的安全解決方案。使用安全解決方案時，不要將高級安全功能關(guān)閉。通常，這些高級功能能夠基于程序的行為檢測最新的勒索軟件。3. 保持計算機上的軟件更新。大多數(shù)常用的應(yīng)用程序（Flash、Java、Chrome、Firefox、Internet Explorer、Microsoft Office）和操作系統(tǒng)（例如Windows）都具有自動更新功能。保持自動更新功能開啟，不要忽略這些應(yīng)用程序安裝更新的

15、請求。4. 當心自己從互聯(lián)網(wǎng)上下載的文件，以及通過電子郵件收到的文件。尤其是來自不受信任來源的文件。換句話說，如果你想要下載的是一個mp3文件，但是卻得到了一個擴展名為.exe的文件，那這個文件絕對不是音頻文件，而是一個惡意軟件。要確保下載的內(nèi)容沒有問題，最好的辦法是檢查其擴展名是否正確，同時要確保其能夠通過反病毒解決方案的掃描。5. 如果某些原因?qū)е履愕奈募焕账鬈浖用?，并且要求你支付贖金，請不要支付。你付給網(wǎng)絡(luò)罪犯的每一分錢都會增強他們利用這種網(wǎng)絡(luò)犯罪形式獲利的信心，而這些錢會被用來制造新的勒索軟件。同時，很多安全解決方案提供商，每天都在為對抗勒索軟件這種威脅努力工作。有時候，安全解決方

16、案提供商開發(fā)出一些針對某些特定勒索軟件的解密工具，并且通過同執(zhí)法機關(guān)合作，它們可以獲取到特定惡意軟件家族的加密密匙，可用幫助遭受勒索軟件加密的用戶來解密被加密的文件。最后一點，制造、傳播，以及索要贖金解密文件等行為，在全球大多數(shù)國家都屬于犯罪行為。如果遭遇攻擊，請向警方報案，以便開始調(diào)查。健全防御機制當企業(yè)中的一臺電腦（或智能設(shè)備）感染了勒索軟件后，如果員工將其接入其他商業(yè)或者家庭網(wǎng)絡(luò)中，是否意味著采用該網(wǎng)絡(luò)的相關(guān)設(shè)備也會陷入勒索軟件的威脅之中？對此，羅少輝表示：“部分勒索軟件會經(jīng)由感染的終端擴散傳染至局域網(wǎng)和互聯(lián)網(wǎng)上的其他設(shè)備，這主要由勒索軟件的具體行為決定。盡管無法完全確定這種情況的發(fā)生，

17、但采用該網(wǎng)絡(luò)的其他電腦或者智能設(shè)備陷入勒索軟件的威脅的可能性非常高。部分勒索軟件自身會在感染用戶電腦后進行擴散，從而使相連設(shè)備感染病毒，以此達到勒索更多贖金的目的。賽門鐵克建議，當發(fā)現(xiàn)一臺終端感染勒索軟件后，立刻將該終端與網(wǎng)絡(luò)隔離，減少大范圍感染的幾率?！痹谥袊盎ヂ?lián)網(wǎng)+”時代背景下，每個企業(yè)的發(fā)展都與互聯(lián)網(wǎng)息息相關(guān)，每個企業(yè)都參與云計算或者享受著云服務(wù)。隨著云應(yīng)用的增長，云安全也變得尤為重要。近日，賽門鐵克公司宣布與北京神州云科信息服務(wù)有限公司（以下簡稱云科）開啟全面合作，共同打造企業(yè)云安全管理服務(wù)平臺，應(yīng)對中國市場不斷激增的云和信息安全需求。如今的安全防護已經(jīng)從終端防御過渡到云端防御，賽門

18、鐵克是否有更好的架構(gòu)或技術(shù)，能夠從云端或者源頭防控勒索軟件等安全威脅呢？筆者就此詢問了賽門鐵克公司大中華區(qū)總裁陳毅威，他表示：“由于客戶的規(guī)模不同，因此采取安全防護的方法也有所不同。許多機關(guān)單位、金融機構(gòu)，或者大型企業(yè)，平時十分重視對于終端安全的維護，也會配備安全設(shè)備和人員進行全方位安全防護?！标愐阃a充道：“許多中小型用戶，在IT方面的金錢和人員投入相對較少，一旦遇到惡意程序入侵或發(fā)現(xiàn)漏洞，很難及時實現(xiàn)終端防護。因此，中小型企業(yè)便可以將終端安全防御放在云上，借助云供應(yīng)商的服務(wù)實現(xiàn)終端防護。云科擁有專業(yè)的安全團隊，能夠在云端為中小型企業(yè)提供安全服務(wù)，并對相關(guān)安全策略進行調(diào)優(yōu)，以此來為中小企業(yè)提

19、供更好的安全保障。如今，黑客攻擊的手段不斷更新，對于中小企業(yè)來講，如果僅依靠一到兩位安全人員進行安全管理，防護的效果較弱，也更容易受到黑客的攻擊。因此，云安全服務(wù)能夠為中小企業(yè)提供較為完善的安全保障，去彌補中小企業(yè)IT投入不足的問題?！痹诜烙呗陨?，很多安全解決方案提供商都認為要構(gòu)建多層防御機制。賽門鐵克的安全產(chǎn)品及解決方案采取多層防護，能夠最大限度地降低勒索軟件的感染率。亞信安全提醒企業(yè)用戶，要將勒索軟件治理擺在更重要的位置，并在電子郵件與網(wǎng)頁、終端、網(wǎng)絡(luò)、服務(wù)器等多個層面搭建完整的多層防護機制，以保護企業(yè)信息資產(chǎn)的安全不受侵犯。賽門鐵克所提供的綜合策略能夠在三個階段抵御勒索軟件的入侵：1.

20、 預(yù)防：電子郵件安全、入侵防御、下載洞察、瀏覽器保護、主動防御漏洞攻擊（PEP）。2. 控制：基于簽名的高級反病毒引擎和具有機器學習的啟發(fā)式技術(shù)，例如SONAR和Sapient。3. 響應(yīng)：專門的事件響應(yīng)小組可以協(xié)助企業(yè)應(yīng)對勒索軟件攻擊并進行恢復。亞信安全建議用戶從以下幾個維度入手，構(gòu)建深層次的防御體系：1. 文件：企業(yè)最好采取321規(guī)則，對重要文件進行備份，即至少做三個副本，用兩種不同格式保存，并將副本放在異地存儲。此外，亞信安全還推出了針對勒索軟件加密文件的解密工具，可以有效應(yīng)對CryptXXX、TeslaCrypt、SNSLocker、AutoLocky等流行的勒索軟件及其變種的加密行為

21、。2. 電子郵件和網(wǎng)頁：部署涵蓋惡意軟件掃描和文件風險評估、沙箱惡意軟件分析技術(shù)、文件漏洞攻擊碼偵測、網(wǎng)頁信譽評估技術(shù)在內(nèi)的防護技術(shù)，偵測并封堵通過電子郵件和網(wǎng)頁進行攻擊的勒索軟件。3. 終端：少部分勒索軟件可能會繞過網(wǎng)絡(luò)/電子郵件防護，這也是為什么終端安全防護十分重要的原因，終端防毒系統(tǒng)可以監(jiān)視可疑行為、配置應(yīng)用程序白名單和使用弱點防護來防止未經(jīng)修補的漏洞被勒索軟件利用。亞信安全防毒墻網(wǎng)絡(luò)版（OfficeScan）的Aegis行為檢測功能可以檢測部分的勒索軟件加密行為，并能夠?qū)ξ粗账鬈浖姆烙鸬椒e極作用。4. 網(wǎng)絡(luò)：勒索軟件也可能通過其他網(wǎng)絡(luò)協(xié)議進入企業(yè)網(wǎng)絡(luò)進行散播，因此，企業(yè)最好部署能夠?qū)λ芯W(wǎng)絡(luò)流量、端口和協(xié)議進行高級偵測的網(wǎng)絡(luò)安全防護系統(tǒng)，來阻止其滲透和蔓延。5. 服務(wù)器：通過虛擬補丁防護方案，來確保任何尚未修補漏洞的服