2023年中國企業(yè)勒索病毒攻擊態(tài)勢分析報告

2023年中國企業(yè)勒索病毒2023年中國企業(yè)勒索病毒攻擊態(tài)勢分析報告摘要全國發(fā)生的勒索攻擊重大事件中，49.5%的勒索攻擊事件明確2主要觀點(diǎn)有多少特別的“新花招”，極少有使用0da絕大多數(shù)的勒索病毒攻擊，在攻擊早期就會暴露出比較明顯的“攻擊信號”。從早期34研究背景 1 2一、月度分布 2 2 3 4 6一、勒索病毒家族分布 6 7 7 8五、TELLYOUTHEPASS勒索病毒 9 9 10 11 13一、攻擊手法綜述 13二、暴力破解與弱口令 14 15 165 17 19一、安全建設(shè)基礎(chǔ)薄弱，溯源分析能力缺失 19二、安全運(yùn)營能力低下，應(yīng)急響應(yīng)措施不足 19三、端口暴露問題嚴(yán)重，打開入侵綠色通道 20四、身份驗證機(jī)制不全，暴力破解大行其道 22五、安全漏洞缺乏管理，供應(yīng)鏈風(fēng)險不受重視 22 24A.1解密手段 25A.2安全建議 25 27 28 291研究背景連續(xù)多年排名惡意程序攻擊類型的榜首。由于95015平臺會對每一起應(yīng)急響應(yīng)事件做出詳出了206起造成重大破壞或嚴(yán)重?fù)p失的勒索病毒攻擊典型事件的應(yīng)急響應(yīng)分析報告為研究2第一章勒索病毒攻擊態(tài)勢綜述3絡(luò)安全基礎(chǔ)建設(shè)過于薄弱，沒有采取任何針對網(wǎng)絡(luò)攻擊的監(jiān)測或留痕措施，致使內(nèi)部因，是相關(guān)機(jī)構(gòu)對于來自互聯(lián)網(wǎng)的訪問信息沒有進(jìn)行必要日志存儲，更沒有對外部小部分中招機(jī)構(gòu)，是因為網(wǎng)絡(luò)日志遭到了攻擊者的破壞從而無法進(jìn)行外部溯源。相4網(wǎng)/局域網(wǎng)溯源的事件，不計入排行。由圖下圖給出了勒索病毒攻擊事件導(dǎo)致的勒索病毒感染設(shè)備數(shù)量的分通個人主機(jī)終端、工業(yè)系統(tǒng)終端、服務(wù)器、或虛擬機(jī)等。具體來看，35.4%的攻擊事件感56第二章勒索病毒家族分析索攻擊事件中，排名前十的事件涉及勒索病毒/家族占所有勒索攻擊事件的51.0%下文整理了近一年來奇安信95015應(yīng)急響應(yīng)團(tuán)隊處理的勒索事件中，較頻繁7此新變種勒索信內(nèi)容與以往的Phobos勒8傳播方式包括RDP傳播、利用郵件引導(dǎo)受害者下載第三方軟件、程序和“破解”程序等。Makop勒索軟件使用的該惡意軟件會加密每個文件夾中的所有文件，并為每者會在暴露的鏈接上找到具有弱口令的管理員帳戶，并使用程登錄目標(biāo)機(jī)器，獲取更多內(nèi)網(wǎng)中的設(shè)備權(quán)限，從而部署勒索病9魚郵件、僵尸網(wǎng)絡(luò)、漏洞利用等。加密文件后綴通常TellYouThePass勒索病毒攻擊者的一系列工具中，包含永恒之藍(lán)漏洞高危漏洞MS17-Magniber勒索病毒常利用的漏洞：CVE-2021-40444、CVE-2021-34527第三章攻擊時長與生存曲線擊溯源，無法回溯完整的攻擊過程和攻擊起止足見其防御手段有名無實(shí)，嚴(yán)重缺乏基本的網(wǎng)絡(luò)安全運(yùn)營能力與安全事件勒索病毒的攻擊是一個過程，而不是一個瞬時動作。有效的安全監(jiān)測和實(shí)戰(zhàn)化的擊開始計算，受害機(jī)構(gòu)系統(tǒng)能夠生存的時間長度（即尚未被加密的時間長度而縱坐標(biāo)為系統(tǒng)生存率仍在90%以上。即如果系統(tǒng)運(yùn)營者在發(fā)現(xiàn)諸如爆破、遠(yuǎn)第四章勒索病毒的攻擊手法注，也是幫助政企單位防范勒索病毒攻擊的重要參考在本次報告分析的206起典型案例中，共有97起案例能夠明確擊手法。其中，52.6%的攻擊事件使用了暴力破解，存在違規(guī)操作或使用必須知道被攻擊終端的登錄密碼，所以常規(guī)方式攻擊者的口令庫中已經(jīng)存在的口令。在對206起典型勒索病毒攻擊事件的分析中，我們發(fā)是否Phobos、Mollox、Makop、掛馬頁面，誘騙郵箱用戶打開附件或頁面，從而實(shí)在通過這些惡意程序?qū)崿F(xiàn)內(nèi)網(wǎng)滲透并最終完成勒索病毒的投員工不慎點(diǎn)開郵件的惡意附件后觸發(fā)了Magniber勒索病毒。該勒索病毒在攻擊中會利用下圖為該事件中，釣魚郵件正文里給出掛馬網(wǎng)頁鏈接排查分析，發(fā)現(xiàn)攻擊者是利用某知名信息化服務(wù)商提供的信息化辦公系統(tǒng)的已知Log4j漏第五章網(wǎng)絡(luò)安全建設(shè)薄弱點(diǎn)分析索病毒攻擊事件仍頻繁發(fā)生，恰恰說明了相關(guān)機(jī)構(gòu)網(wǎng)絡(luò)安全建設(shè)與運(yùn)營能力設(shè)異地備份系統(tǒng)，條件不足的單位應(yīng)積極建設(shè)有效的本地備份機(jī)制和數(shù)據(jù)安全/遠(yuǎn)程過程調(diào)用）服務(wù)。它常用于網(wǎng)絡(luò)上的進(jìn)程間通信和遠(yuǎn)程管理。在進(jìn)行一些網(wǎng)絡(luò)滲透測試或安全審計時，可能需要掃描該端口來查看系統(tǒng)的開放3306端口：MySql數(shù)據(jù)庫系統(tǒng)服務(wù)立內(nèi)部系統(tǒng)的漏洞管理平臺，知曉漏洞的位置和安全現(xiàn)狀，還需要建立漏洞情報收集能力附錄1流行勒索病毒加密算法介紹及安全建議A.1解密手段加密公鑰加密后的對稱加密密鑰。進(jìn)而解密4.暴力破解私鑰A.2安全建議訪問控制常用的操作方法是加策略和修改登錄密附錄295015網(wǎng)絡(luò)安全服務(wù)熱線全國各地政府、企業(yè)、相關(guān)機(jī)構(gòu)提供網(wǎng)絡(luò)安全應(yīng)急響應(yīng)、合作與咨詢服務(wù)的電話專線。和冬殘奧