牟春旭 仇必青 张嘉欢
摘要:随着5G、云计算、大数据、人工智能等新技术的快速普及和应用,勒索病毒带来的信息安全威胁和风险也迅速增加。文章围绕勒索病毒,并结合2022年典型的勒索病毒攻击事件,分析了针对我国勒索病毒攻击的趋势和特点,提出了提升我国勒索防护能力的方法及建议。
关键词:勒索病毒;漏洞;网络安全;攻击与防御
中图法分类号:TP393 文献标识码:A
1 勒索病毒攻击概述
1.1 勒索病毒攻击新特点
随着5G、云计算、大数据、人工智能等新技术的快速普及和应用,传统企业通过上云用智,正式迈入数字化、数智化转型时代。同时,将新兴技术应用到传统IT 中也增加了组织数字环境的复杂性,给企业带来的信息安全威胁和风险也快速增加,尤其是当前全球肆虐的勒索病毒。据SonicWall 发布的《2022 年年中网络威胁报告》显示,仅2022 年上半年全球遭遇勒索病毒攻击次数已达2.361 亿次,2/3 以上的企业至少经历过一次勒索病毒攻击。随着全球地缘冲突、经贸冲突的持续发酵,勒索病毒攻击不论从规模还是企业影响上都在向更深层次演进。《2022 年全球网络安全展望报告》指出,勒索病毒造成的损失预计将从2015 年的3.25 億美元暴增到2031 年的2 650 亿美元。
勒索病毒是通过加密锁定被感染者计算机、服务器的系统、文件或重要数据,并借此施以敲诈勒索的计算机程序。从攻击形式来看,勒索病毒主要通过鱼叉攻击、漏洞利用、钓鱼邮件、网页挂马、远程控制工具等形式入侵用户系统,一旦入侵成功,将通过特殊的加密算法对用户重要文件、敏感信息进行加密,受害者支付赎金才能收到密钥,否则文件无法解密使用。近年来,随着勒索病毒变种速度持续加快,勒索攻击也出现了一些新的变化,其攻击手法不断进化、攻击范围愈发广泛、攻击模式愈发多样,引发的事态持续升级,甚至需要动用国家力量方能与之抗衡,给全球组织和企业带来巨大威胁。勒索攻击整体呈现以下新的特点。
(1)加密手法由“单一全部加密”向“多元智能加密”转变。勒索攻击技术手段在不断进化发展,总体来看呈现2 个趋势:一是间歇性加密技术已成为新加密手段,与传统的完全加密相比,间歇性加密技术可根据被加密文件的大小编排加密,使加密文件的挂钟处理时间得到极大缩短,更容易绕过传统的基于统计分析检测机制;二是勒索软件可支持智能化加密模式,勒索病毒包含一些用于提升加密速度的逻辑代码,根据受害者的平台是否采用硬件加速,动态、智能地选择算法对文件进行加密,这种混淆技术更容易让勒索软件在系统中进行持久潜伏,一旦发起攻击,其破坏力更强。
(2)攻击方式由传统互联网平台向移动互联网、物联网平台等多平台转变。据有关统计数据显示,2022 年受勒索病毒影响最普遍的除了Windows,Linux,Mac 外,对移动互联网和智能终端的新型勒索攻击也呈逐年递增的态势。尤其是随着一些跨平台编程语言的出现,攻击者可以利用一份代码编译出支持Windows,Linux,Macos,Arm,Android 等多个操作系统运行的程序,大幅降低了跨平台勒索攻击的技术门槛。同时,接入网络的设备日益增加、数据快速增长,管理难度持续加大,只要有一个环节存在弱点,就会给勒索病毒可乘之机,可以预见,未来针对多平台的攻击事件将持续增多。
(3)勒索形式由普通勒索向破坏勒索转变。相较于传统勒索病毒只加密文件进行勒索的模式,新发现的勒索软件中40%采用“双重勒索”的模式,即攻击者采用“加密+窃密”的勒索形式,若受害者不支付赎金,攻击者则会将窃取的数据放到暗网上进行公开。而近期勒索模式又出现新的演化———“三重勒索”,即先加密数据,再泄露数据,最后发起DDoS 攻击的破坏勒索模式。随着经济、贸易等因素的相互交织,勒索病毒已经成为未来阻碍企业全球化商业发展的拦路虎。
(4)作战模式由小团体单兵作战向SaaS 化、APT化转变。早期的勒索病毒攻击大都通过批量扫描发现可被利用漏洞,目标分散,不具备针对性,而且一旦入侵成功立马释放病毒,此种模式下,勒索攻击者要统筹考虑病毒制作、入侵传播、勒索分销等环节,因此勒索门槛也较高。但近年来,勒索攻击呈现SaaS 化、APT 化的新特点:一是勒索组织层级分明、分工明确、全链条协作,攻击不计成本、不择手段,企业定向精准;二是勒索组织通常从企业产业链的薄弱环节入手,展开长久、持续性地渗透攻击,直到控制企业核心服务器才释放病毒。另外,勒索组织会在第一时间基于多种技术手段,实现对受害企业针对性的数据窃取,并且企业拥有的数据价值越大越容易被勒索组织攻击。
1.2 勒索病毒攻击链
通过对勒索安全事件的事前、事中、事后的分析研究发现,勒索攻击链大致可分为“初始入侵、病毒注入、内网渗透、命令控制、窃密与加密、执行勒索”6 个阶段。具体如图1 所示。
第1 阶段,初始入侵,获得用户网络访问权限。
此阶段主要通过RDP / SSH 远程桌面爆破、弱口令爆破、钓鱼邮件、高危漏洞利用以及恶意附件投递等方式入侵客户端或服务器,从而取得系统控制权。
第2 阶段,病毒注入,通过webshell、代理隧道、内存码等方式将攻击者计算机中提前写好的勒索病毒注入宿主系统中。
第3 阶段,内网渗透,首先通过域查询、网络扫描、域渗透等网络发现工具进行内网的扫描、探测,然后通过MImikatz、SAM 注册表、ntds.dlt 文件等内网渗透工具或手段横向扩张,以感染更多的服务器[1~3] 。
第4 阶段,命令控制,黑客利用命令手段获得域内FTP 服务器、云存储文件等关键存储数据的控制权,从而对其进行控制。
第5 阶段,窃密与加密,黑客一方面通过完全加密或间歇加密等方式加密磁盘文件,另一方面通过筛选最有价值的数据进行窃密,并将窃取的数据回传到自己团队的服务器,并安装远程控制软件、留置后门,以便日后发起勒索。
第6 阶段,执行勒索,在受害者设备上运行勒索病毒,使目标网络或服务瘫痪,并留下勒索信件,威胁受害者在暗网发布失陷企业敏感数据,以实施勒索。
2 2022 年勒索病毒攻击事件分析
2022 年,从国际地缘纷争到经济贸易发展以及社会生产生活,勒索病毒无处不在,SaaS 化、APT 化勒索组织频现,这些组织呈现分工明确、全链条协作、勒索专业、攻击覆盖面广、定向攻击强、勒索金额庞大的特点。
专业的勒索组织继续增加,作为攻击的一方,在攻防两端中优势更加明显。而组织和企业作为防守者,如何协同顶尖的安全力量组织有效的应变措施,以更快适应勒索变化,是组织和企业面临的重大考验。
随着我国全面进入数字化转型的新时代,业务环境的变化、新技术的广泛采用给企业带来收益的同时,也大大增加了企业数字环境的复杂性,致使我国已经成为勒索病毒攻击的重点目标。疫情防控期间,远程办公模式给人带来便利的同时,也给网络安全带来了更大的攻击面、更多的线上敏感数据被泄露等安全隐患,勒索病毒攻击范围迅速向全行业蔓延。据有关数据显示,2022 年北上广深等一二线城市及部分数字经济发达地区和人口密集地区仍是勒索病毒攻击的主要对象。从对我国的行业影响来看,受勒索病毒攻击最严重的行业分别是IT、制造业、医疗卫生、教育。同时,能源、地产、物流等行业也逐步启动上云用智,迈入数字化转型阶段,但其安全投入、安全能力建设、技术积累、人才储备等方面明显落后于其数字化转型的进程,致使安全隐患频出,这些正处于数字化转型中的行业将逐步成为勒索病毒攻击的重点目标。
3 勒索防护建议
地缘冲突、国际动荡、贸易制裁等都严重阻碍企业全球化商业发展,给全球的供应链、产业链带来了前所未有的挑战。后疫情时代,基于国家级和社会面的网络战将越演越烈,如何统筹发展与安全是摆在组织和企业面前亟待解决的核心问题。本文建议从以下几个方面入手,全面构建良性的网络安全产业循环生态。
( 1)加强国家、省份、企业三级联动,完成对勒索病毒攻击的全面感知。利用我国成型的网络安全“产、学、研”模式,以及高校、科研机构、重点实验室、行业领军企业等资源,构建国家一级、省份二级、企业三级的勒索监控检测共享平台,形成对勒索病毒攻击事前的全面感知,及时发现针对我国的勒索病毒攻击并作出响应。
(2)强化网络安全技术创新,提高勒索产品和服务供给能力。加快面向移动互联网、工业互联网、物联网、区块链、人工智能等新技术、新产品、新应用的研发及技术攻关,实现供给侧的优化升级,面向市场需求,尤其是中小企业现实需求,提供兼顾成本、效率和安全的勒索病毒安全防护的产品体系,实现事前预防、事中拦截、事后查杀的一体化防御,能够真正为企业网络安全保驾护航。
(3)增强各行业的自主网络安全意识,提升自身免疫力。摒弃“重发展、轻安全”的错误观念,增强安全意识,加大资源投入,实现安全能力前置,提高企业安全基线。同时,加大企业安全风险评估、攻防演练、应急演练等力度,做好勒索病毒应对与全员的安全培训。
( 4)监管部门积极推动勒索病毒防护标准体系建设,加大网络安全法规的检查力度。围绕移动互联网、工业互联网、物联网等关键业务场景、关键环节,从评估准备、风险识别、风险分析、风险评价等角度出台勒索病毒防护实施指南,推动重要数据和核心数据的重点保护,形成集网络安全风险发现、风险问题责任追究、考核评价于一体的企业评价体系,推动第三方测试评估认证服务的开展,加大对各行业网络安全、数据安全法规的检查力度。
(5)加强网络安全人才队伍建设,建立多层次人才培养体系。联合高校、科研院所、网络安全企业等建立多维度的网络安全人才梯队,加快推动网络安全高层次人才和紧缺人才的培养,建设网络安全特殊人才国家储备库。同时,深入推进网络安全、数据安全的全民素质教育,加快推进安全“进校园”活动,以提升大中小学生的网络安全意识。
参考文献:
[1] KINGSLEY H. Ransomware: a growing geopolitical threat[J].Network Security,2021,2021(8):11?13.
[2] ROY K C,CHEN Q.DeepRan:Attention?based BiLSTM andCRF for Ransomware Early Detection and Classification[J]. Information Systems Frontiers,2020,23:1?17.
[3] XIA T R,SUN Y Y,SHAFIQUE K,et al.Toward A Network?Assisted Approach for Effective Ransomware Detection[J]. EAI Endorsed Transactions on Security and Safety,2021,7(24):11?20.
作者简介:
牟春旭(1986—),硕士,高级信息系统项目管理师,研究方向:网络安全、数据安全。
张嘉欢(1990—),硕士,工程师,研究方向:网络和数据安全领域法律法规、安全防护、应急处置(通信作者)。