安全研究 >> 安全研究详情

该以何种姿态防勒索-观《2018年中国互联网网络安全报告》后的感想

作者: 美创科技安全实验室发布日期: 07月26日

截止7月,勒索病毒的活跃度依旧高居不下,相较于刚进入大众视野时的“蠕虫式”爆发,如今的勒索病毒攻击活动越发具有目标性、隐蔽性,黑客为了提高勒索软件的传播效率,也在不断更新攻击方式。曾经主要以通过钓鱼邮件传播勒索病毒的方式已经不足4%,远程桌面弱口令攻击方式传播的勒索病毒在所有传播方式中异军突起,并且是绝对主力的传播方式。其次则是由共享文件夹权限设置问题导致文件被加密。

数据来源:360反勒索服务数据


通过我们日常处理勒索病毒攻击事件的总结,勒索病毒传播感染的一般流程是:首先扫描某个网络段的公网机器,在获得一台机器的登录口令或权限后,再利用这台机器做跳板,继续寻找内网内其他易受攻击的机器,在内网中进一步扩散。


由于近年来勒索病毒与漏洞传播有更紧密的结合,入侵方向更明确,而扫描作为目前70%勒索病毒入侵手段的先决行为,为勒索病毒快速传播寻找目标提供了不可替代的条件因素。


而目前通过“恶意探测”,通常也可理解为踩点扫描寻找目标进行传播的勒索病毒传播方式是以下几种:


1 、系统和应用漏洞攻击

系统漏洞是指操作系统在逻辑设计上的缺陷或错误,而应用如数据库应用、web应用,这些应用程序也经常会出现漏洞。如果不及时修补相关漏洞,攻击者就可以利用漏洞上传运行勒索病毒,窃取电脑中的重要资料和信息,甚至破坏系统,并迅速传播。

图二 通过系统漏洞扫描网络中的计算机


席卷全球的 Wannacry 勒索病毒就是利用了永恒之蓝漏洞(445端口)在网络中迅速传播。


2、 远程访问弱口令攻击

由于企业机器很多需要远程维护,所以很多机器都开启了远程访问功能。如果密码过于简单,就会给攻击者可乘之机。很多用户存在侥幸心理,总觉得网络上的机器这么多,自己被攻击的概率很低,然而事实上,在全世界范围内,成千上万的攻击者不停的使用工具扫描网络中存在弱口令的机器。

图三 弱口令扫描网络中的计算机


以Crysis家族为代表的勒索软件主要采用此类攻击方式。黑客首先通过RDP爆破获取用户名和密码,再远程登录服务器,一旦登录成功,黑客就可以在服务器上为所欲为,例如:卸载服务器上的安全软件并手动运行勒索软件。所以,在这种攻击方式中,一旦服务器被入侵,安全软件一般是不起作用的。

图四 勒索病毒的攻击流程


传统的勒索病毒,受害者需要下载运行勒索病毒才会中毒。而通过漏洞和弱口令扫描互联网中的计算机,直接植入病毒并运行,效率要高很多。GandCrab、Crysis、GlobeImposter 等勒索病毒主要就是通过扫描弱口令传播,而Satan更是凶狠,不仅使用永恒之蓝漏洞攻击,还包含了web漏洞和数据库漏洞,从而增加攻击成功的概率。


勒索病毒从等待受害者上钩到通过扫描主动寻找受害者虽更具进攻性,但无论那种方式,都必先探测到具有安全缺陷的设备,才能发起攻击。


近日,国家计算机网络应急技术处理协调中心(以下简称 “CNCERT”)编写的《2018年中国互联网网络安全报告》发布。首次新增《2018年网络扫描行为专题分析》版块。网络扫描专题的加入,也为勒索病毒防范分析提供新的思路和角度。


网络扫描是基于端口探测或者爬虫的底层技术,结合漏洞研究与检测策略积累,形成的自动化扫描技术。因该技术具备高并发、自动检测的特点,有效降低了对安全技能的要求与精力的投入,被大量的安全公司用于提供扫描产品与服务,也同样被黑客利用,进行初步的扫描探测。


常见的两款轻量级的扫描工具:


zmap

   --13年曾以44分钟扫描完全部互联网


Masscan

   --号称是最快的互联网端口扫描器,最快可以在六分钟内扫遍互联网


报告指出,针对我国重要行业扫描态势分析得出:


▻重要行业面临的三大网络扫描类型为黑客恶意扫描0day/Nday漏洞扫描探测扫描和安全监测扫描;

▻流量对比显示:扫描流量占比71.0%,攻击流量占比29.0%;

▻黑客通常采取广撒网持续作战的形式,大量扫描不同网站;

▻针对性漏洞扫描探测愈演愈烈,2018年较2017年呈几何级增长


从而可以看出,网络扫描被广泛地用在黑客攻击与防御上,危害大、受用广的漏洞更受黑客们青睐几乎成了扫描的首选内容,而因为网络扫描的低门槛、高效率等特点,广撒网和持续作战则成为了黑客进攻的普遍形式,可想而知针对性扫描具有弱口令及0Day/Nday的脆弱设备实施入侵相较于其他方式更加行之有效。


因此,为降低受勒索病毒攻击的可能性,从勒索病毒的攻击流程出发,可以通过防扫描的方式阻止“恶意探测”,让用户在第一时间发现安全威胁并阻止黑客扫描行为,从而提升黑客攻击成本,为自身赢得宝贵的应对时间,大幅度降低黑客侵入企业内网的风险。这又让我们拥有了两种想法:


1、使用WAF来阻止扫描

目前,虽然市场上大多数的防火墙产品都具有防扫描功能,用户可通过在应用服务器和黑客扫描器之间部署WAF来有效阻止扫描软件的肆意窥探。但是很多WAF的防扫描功能基于User-Agent的不同制定相应规则,而随着扫描器版本的升级,User-Agent特征会越来越少,WAF产品后续可能根本就无法识别扫描器,防御效果也将大打折扣。


基于《2018年中国互联网网络安全报告》中的结论,扫描行为基本用于黑客及病毒的攻击,我们完全可以制定更苛刻的WAF规则来防范:


  1. 开放特定时段允许扫描(比如用于安全测试、运维资产稽查时)。

  2. 允许指定几个IP扫描。


2、使用“低交互性蜜罐”来迷惑扫描

低交互蜜罐结构简单,易于安装部署,由于模拟程度低功能较少,该类蜜罐通常只提供少量的交互功能,但能在特定端口监听连接并记录数据包,可以用来实现端口扫描和暴力破解的检测 。部分低交互性蜜罐能够使单个主机拥有多达65536 个虚假IP,每个IP开放尽量多的虚假端口,大大加大攻击者扫描成本,再通过提供对威胁探测和评估的机制,增强了计算机的安全性,隐藏真实的系统在虚拟的系统中,达到了阻止敌手的目的。


但是事实以上两种猜想并不好实施,首先防护WAF是存在缺陷的,通过分布式扫描、针对waf识别扫描的规则做特定性的绕过,都可以轻易的突破waf的防御。并且在保证业务正常运行的前提下使用waf判断是否为攻击者,有可能出现误拦截的情况,影响用户体验甚至业务正常运行。其次,“蜜罐”本身是一种检测系统,并不是防护系统,若使用不当,伪装的服务器则不将再是蜜罐,而是肉鸡。


2019年上半年,所有安全公司对于勒索病毒的防御重点,已经由对病毒的识别、查杀、拦截,转为了对病毒传播渠道的封堵,对主机的安全加固探索上来。


从源头阻止黑客的攻击固然是一种方法,但是若想彻底做到数据的安全,这也变得仅仅是一种防御渠道。因为勒索病毒制作团伙也在尝试更多样的攻击方式,勒索病毒不断变种更新,危害不断升级。但是勒索病毒真正不变的是使其对文件进行操作的加密这一行为!


基于勒索病毒这一不变的特征,美创科技“诺亚”防勒索病毒从保护数据的角度对应用主体、操作对象及其操作行为边界进行控制。通过自名单机制,监控所有进程,精准识别文件的操作行为,确保只有被允许的合法操作才能被执行,避免任何已知或未知的勒索病毒对文件进行加密和修改。即使业务系统未及时安装补丁,也可防止漏洞被利用进行勒索加密!目前在医疗、港口等多个行业进行部署防御,防御效果获得一致好评。



服务热线:400-711-8011
Copyright ©2005-2018 杭州美创科技有限公司. All Rights Reserved. 浙ICP备12021012号-1