作者:hacker发布时间:2022-10-25分类:破解邮箱浏览:122评论:2
安全意识培训:对员工和广大计算机用户进行持续的安全教育培训是十分必要的,应当让用户了解勒索软件的传播方式,如社交媒体、社会工程学、不可信网站、不可信下载源、垃圾邮件和钓鱼邮件等。通过案例教育使用户具备一定的风险识别能力和意识。
2. 电子邮件安全:钓鱼邮件是目前勒索软件传播的主要方式,有条件的单位和用户应该部署电子邮件防护产品,对所有的电子邮件附件进行病毒扫描。
3. 采用多层防护的网络安全策略:很多勒索软件与高级网络攻击相结合,单一的防护手段无法抵御,应该采取多种防护手段相结合方式搭建多层的网络安全防护体系,如:高级威胁防护、网关防病毒、入侵防御以及其他基于网络的安全防护手段。
4. 终端防护:由于终端的可以移动性,很容易将来自外部的威胁(包括勒索软件)带入内部网络,因此应该对包括移动终端在内的所有主机进行防护,采取的措施除了安装传统的杀毒软件外,还应包括补丁管理、Web内容过滤以及主动防护类的病毒防护产品等。
5. 网络隔离:目前勒索软件已经可以通过局域网传播,为了防止勒索软件的扩散,应该采取有效的网络隔离措施,将关键的业务服务程序、数据和设备隔离到独立的网络中,防止来自网络的感染。
6. 数据备份和恢复:可靠的数据备份可以将勒索软件带来的损失最小化,但同时也要对这些数据备份进行安全防护,避免被感染和损坏。
7. 对加密网络流量的监测:当前采用SSL/TLS加密的Web服务越来越多,如果勒索软件通过加密的Web服务传播,就能够绕过传统的防护手段。因此,必须采取支持SSL监测的防护手段,检测SSL加密会话中存在的威胁。
勒索病毒工作原理:
勒索病毒是黑客通过锁屏、加密等方式劫持用户设备或文件,并以此敲诈用户钱财的恶意软件。黑客利用系统漏洞或通过网络钓鱼等方式,向受害电脑或服务器植入病毒,加密硬盘上的文档乃至整个硬盘,然后向受害者索要数额不等的赎金后才予以解密,如果用户未在指定时间缴纳黑客要求的金额,被锁文件将无法恢复。
1、针对个人用户常见的攻击方式
通过用户浏览网页下载勒索病毒,攻击者将病毒伪装为盗版软件、外挂软件、色情播放器等,诱导受害者下载运行病毒,运行后加密受害者机器。此外勒索病毒也会通过钓鱼邮件和系统漏洞进行传播。针对个人用户的攻击流程如下图所示:
攻击流程
2、针对企业用户常见的攻击方式
勒苏病毒针对企业用户常见的攻击方式包括系统漏洞攻击、远程访问弱口令攻击、钓鱼邮件攻击、web服务漏洞和弱口令攻击、数据库漏洞和弱口令攻击等。其中,钓鱼邮件攻击包括通过漏洞下载运行病毒、通过office机制下载运行病毒、伪装office、PDF图标的exe程序等。
1)系统漏洞攻击
系统漏洞是指操作系统在逻辑设计上的缺陷或错误,不法者通过网络植入木马、病毒等方式来攻击或控制整个电脑,窃取电脑中的重要资料和信息,甚至破坏系统。同个人用户一样,企业用户也会受到系统漏洞攻击,由于企业局域网中机器众多,更新补丁费时费力,有时还需要中断业务,因此企业用户不太及时更新补丁,给系统造成严重的威胁,攻击者可以通过漏洞植入病毒,并迅速传播。席卷全球的Wannacry勒索病毒就是利用了永恒之蓝漏洞在网络中迅速传播。
攻击者利用系统漏洞主要有以下两种方式,一种是通过系统漏洞扫描互联网中的机器,发送漏洞攻击数据包,入侵机器植入后门,然后上传运行勒索病毒。
通过系统漏洞扫描网络中的计算机
另外一种是通过钓鱼邮件、弱口令等其他方式,入侵连接了互联网的一台机器,然后再利用漏洞局域网横向传播。大部分企业的网络无法做到绝对的隔离, 一台连接了外网的机器被入侵,内网中存在漏洞的机器也将受到影响。
入侵一台机器后再通过漏洞局域网横向传
网上有大量的漏洞攻击工具,尤其是武器级别的NSA方程式组织工具的泄露,给网络安全造成了巨大的影响,被广泛用于传播勒索病毒、挖矿病毒、木马等。有攻击者将这些工具,封装为图形化一键自动攻击工具,进一步降低了攻击的门槛。
2)远程访问弱口令攻击
由于企业机器很多需要远程维护,所以很多机器都开启了远程访问功能。如果密码过于简单,就会给攻击者可乘之机。很多用户存在侥幸心理,总觉得网络上的机器这么多,自己被攻击的概率很低,然而事实上,在全世界范围内,成千上万的攻击者不停的使用工具扫描网络中存在弱口令的机器。有的机器由于存在弱口令,被不同的攻击者攻击,植入了多种病毒。这个病毒还没删除,又中了新病毒,导致机器卡顿,文件被加密。
通过弱口令攻击和漏洞攻击类似,只不过通过弱口令攻击使用的是暴力破解,尝试字典中的账号密码来扫描互联网中的设备。
弱口令扫描网络中的计算机
通过弱口令攻击还有另一种方式,一台连接外网的机器被入侵,通过弱口令攻击内网中的机器。
入侵一台机器再弱口令爆破局域网机器横
3)钓鱼邮件攻击
企业用户也会受到钓鱼邮件攻击,相对个人用户,由于企业用户使用邮件频率较高,业务需要不得不打开很多邮件,而一旦打开的附件中含有病毒,就会导致企业整个网络遭受攻击。钓鱼邮件攻击逻辑图:
钓鱼邮件攻击逻辑
文章转载至:2018勒索病毒全面分析报告
目前我们正在与两种流行病毒作斗争——冠状病毒和勒索软件攻击。两者都会影响到部分经济,前者肉眼可见,后者则普通人不可遇见。然而,就网络安全而言,现在我们的安全防范意识,让黑客们有了一个轻松的方法来攫取数百万甚至更高的不法收入。
对于黑客来说,获取经济利益非常简单,即使用恶意软件访问和加密数据并将其扣为“人质”,直到受害者支付赎金为止。
现在网络攻击越来越频繁,因为黑客可以毫不费力地执行实施他们的计划。此外,支付方式现在对他们更友好。加上企业对数据越来越依赖,更多迁移到互联网办公服务,这样给了黑客更多的动机去尝试更多的漏洞,当黑客入侵获得了企业的某些数据,或者加密了某些东西的时候,企业在现有技术无法清除病毒或者修补落地,更多愿意支付赎金来临时解决现在问题,因为拖得越久企业损失越大,黑客可以拖,企业可拖不起。
更大胆的黑客们
几年前,黑客在获得银行密码,他们利用技术诀窍从人们的账户中窃取资金之前都会玩心理战术。现在他们更大胆了,因为他们很容易购买勒索软件即服务,并从在线视频分享网站学习黑客技术。一些有组织的网络黑客甚至为商业黑客提供服务,收取一定费用,通常是利润的一部分。
同样加密货币出现使得黑客更加大胆,因为他们可以去限制地敲诈受害者获取匿名支付。黑客可以通过匿名的方式从受害者那里获得更高金额的虚拟货币后转换成现金。
你也可以将网络攻击的增加归咎于一些愿意支付数百万美元加密货币的公司的行为。然而,如果公司和数据安全专家确保黑客攻击不再有利可图,攻击就会停止。
现在你会明白为什么很多国家不承认数字加密货币的真正含义了吧。
是网络攻击是越来越引人注目还是实际上在上升?
这两个问题的答案都是肯定的。 勒索软件变得越来越普遍,因为它很容易执行。黑客使用软件来绕过安全漏洞,或通过使用网络钓鱼诈骗策略欺骗网络用户,例如发送似乎来自可信来源的恶意软件。加上一些大公司的网络安全协议也比较宽松,这样让普通的黑客可以轻易得手。
以美国Colonial Pipeline的供应链攻击事件为例子,该公司首席执行官Joseph Blount承认该公司不使用多因素身份验证当用户登录。
根据美国2020年发布的互联网“犯罪”报告,“佛菠萝”在2020年收到了近2500起勒索软件报告,比2019年增加20%。2020年勒索软件袭击的总成本接近2910万美元。这相当于2019年增加了200%。
勒索软件攻击上升的另一个因素是在线用户越来越多。新冠肺炎的流行导致了全球互联网使用量的激增。许多学生和工人由线下转线上远程工作和学习,加上初次使用互联网服务,安全意识的欠缺往往成为黑客们下手的头号目标。
有网络专家预测勒索软件每年至少带来上千亿美元的损失,随着黑客改进其恶意软件攻击和勒索行为,攻击可能每两秒钟发生一次,到2031年,每年带来超过2500亿美元的损失。
勒索软件对企业的影响
我们已经知道勒索软件是如何对大小企业产生毁灭性影响的。但一次又一次的提醒是值得的,因为即使是企业也可能成为受害者。黑客继续利用网络安全系统中的漏洞。此外,许多黑客团伙正在利用勒索软件和拒绝服务攻击获取经济利益。
除了勒索软件攻击事件的增加,攻击的成本也在增加。勒索软件使公司的数字网络和相关设备瘫痪。因为敏感的商业数据被破坏或者泄露,商业运作,尤其是供应链都会会受到影响——因此,公司更愿意支付赎金。
但从理论上讲,即使公司支付赎金,也不能保证敏感数据没有被复制。同样,也不能保证攻击者将返回所有数据或解密密钥将起作用。在Colonial的案例中,黑客在收到支付赎金后给他们的解密密钥太慢了。他们不得不使用备份文件,其中损失无法评估。
防止勒索软件感染
安全专家建议被勒索公司不要向黑客们支付赎金,因为这会鼓励他们发动更多的攻击。
他们还给出一些防止此类攻击的方法包括:
与网络安全公司合作,网络安全公司提供最适合企业当前和未来需求的安全系统需求。
保持警惕是防止感染的另一种方法。如果您的系统没有明显的原因而速度减慢,请断开与internet的连接并将其关闭。然后,您可以致电您的网络安全提供商并寻求他们的帮助。
除了确保网络安全的技术层面,有时回到基础是值得的。
利用安全培训,让员工更好地了解网络安全的重要性和意义。此外,员工应学会确保保护整个公司免受网络攻击。
训练你自己和你的员工不要点击未经证实来源的链接,因为网络钓鱼链接是传播恶意软件的一种方法,使你的公司成为一个容易攻击的目标。
练习创建数据的定期备份。至少有两个数据备份,并将它们存储在不同的位置。只允许最信任的员工访问备份。
使用数据加密来保护电子邮件、文件交换和个人信息。
确保定期升级所有应用程序,以便修复漏洞。
使用密码管理器确保所有员工都有更强大的密码。指导员工使用不同的密码登录到公司中使用的其他应用程序。
总结
勒索软件攻击之所以猖獗,是因为它们的易用性和盈利能力。了解黑客团伙的活动并为员工提供网络安全培训至关重要。结合技术专长和基本的安全措施将有助于减少勒索软件的感染。但是,重要的是不要惊慌,并且知道应该遵循的安全措施。
勒索软件是一种特定类型的恶意软件,它将数据作为“人质”来勒索赎金。网络钓鱼电子邮件是其一种常见的传播方式,同时勒索软件也可以借由下载广泛传播,也就是在用户访问受到感染的网站时进行传播。随着网络攻击变得越来越复杂,企业一定要为此做好完全的准备,防止勒索软件导致系统宕机带来的经济及生产力损失。
伺机而动的攻击和数据泄露很难完全杜绝,相信没有组织愿意被迫在支付赎金和丢失重要数据之间做出选择。最好就是从一开始就避免被迫陷入这种两难境地。鉴于这一点,构建出一个分层的安全模式,支持全球威胁情报共享的的网络、端点、应用程序和数据中心。
电子邮件是威胁制造者最常用的攻击媒介之一。邮件安全网关解决方案可以提供高级多层保护,抵御各种通过电子邮件传播的威胁。 沙盒则提供了一层额外的保护。所有通过电子邮件过滤器但仍包含着未知链接、发件人或文件类型的电子邮件都会在到达您的网络或邮件服务器之前被进一步检测。
Web应用防火墙 (WAF)过滤并监控与Web服务相往来的HTTP流量来帮助保护Web应用。这是保证安全的关键要素之一,因为它是抵御网络攻击的第一道防线。一些组织在实施新的数字策划的同时也经常会扩大攻击面。加上网络服务器漏洞、服务器插件等其它问题,可能会导致新的网络应用和应用编程接口(API)暴露在危险流量中。WAF可以帮助保护这些应用程序及其访问内容的安全。
应用威胁情报技术,通过实时可执行的安全情报来帮助规避那些隐蔽的威胁。这些安全防御信息须在组织环境中的不同安全层和产品之间进行共享,从而提供主动防御。此外,共享的信息还应扩展到组织以外更广泛的安全网络社区,如计算机应急响应小组 (CERT)、信息共享和分析中心 (ISAC) 以及网络威胁联盟等行业联盟。快速共享是在攻击发生变异或传播到其它系统或组织之前迅速响应,并能打破网络杀伤链的最佳方式。
传统的防病毒技术有时难免差强人意,随着威胁态势的不断演变,传统技术越来越难以防御。保护这些端点设备需要具有终端检测和响应 (EDR) 功能的安全解决方案及其它安全防御技术。
基于当下的威胁环境,高级攻击只需几分钟或几秒钟就能破坏端点。第一代EDR工具只能靠手动分类和响应,根本无法应对。它们对于当今快如闪电般的恶意威胁来说不仅太慢,还会生成大量警报干扰,让已经超时工作的安全运营团队不堪重负。除此之外,传统的EDR安全工具还会推高安全操作成本并减缓网络流程和功能,给业务带来不必要的负面影响。
相比之下,下一代EDR解决方案提供了高级、实时的威胁情报,具有可视化、分析和管理功能,能有效保护端点在感染前和感染后遏制勒索软件。这些EDR解决方案可以实时检测并规避潜在威胁,主动减少攻击面,防止恶意软件感染,并通过可自定义的playbook自动响应和修复程序。
组织应该定期执行完整的系统和数据备份并将其存储在网络之外。这些备份同时需要进行备份测试,以确保能够正确恢复。
零信任安全模式假设任何试图连接到网络的人或事物都存在潜在威胁。这一网络安全理念认为,除非身份经过彻底检查,否则网络内部或外部的任何人都不应被信任。零信任指出网络内外的威胁无所不在。这些假设引发了网络管理员的思考,迫使他们去设计严格的零信任策略。
采用零信任方法,每个试图访问网络或应用的个人或设备在被授予访问权限之前都必须经过严格的身份验证。这种验证采用多因素身份验证 (MFA),要求用户在被授予访问权限之前提供多个凭据。零信任同时还包括网络访问控制 (NAC),用于防止未经授权的用户和设备访问公司或专用网络,帮助确保只有经过身份验证的用户和经过授权并符合安全策略的设备才能进入网络。
随着使用云环境的组织越来越多,多云和混合云等应用场景也不断出现,网络分段就变得越来越重要。通过网络分段,组织可以根据业务需求对其网络进行分区,并根据角色和当前信任状态授予访问权限。每个网络请求都会根据请求者当前的信任状态进行检查。这对于防止威胁在内网的横向移动非常有好处。
人应该是任何网络安全策略的核心。根据Verizon 2021数据违规调查报告,85%的违规行为涉及人为因素。显而易见,即使拥有世界所有的安全解决方案,一旦忽视了对员工的网络安全意识培训,也永远不会得到真正的安全。为了确保所有员工都充分接受培训,学习关于如何发现和报告可疑网络活动、维护网络卫生以及如何保护其个人设备和家庭网络安全知识。员工应在受聘入职以及整个任期内定期接受培训,从而保证他们能掌握最新的信息。同时不断更新培训内容,提供那些可能需要实施的新的安全协议。
教育每个人,尤其是远程工作者,如何保持网络距离、远离可疑请求、借由工具和协议实施基本的安全措施,这样可以帮助CISO在网络最脆弱的边缘建立防御基线,确保其关键数字资源的安全。
与此同时,公司和机构还应保持良好的基本网络卫生,检测系统是否获取正确的更新和补丁。
欺骗式防御技术也是一种可供参考的安全防御手段。尽管它不是一个主要的网络安全策略,但如果您已经采用了所有其它网络安全策略,不法分子仍能找到方法入侵,这种情况下基于欺骗技术的安全解决方案就可以用来帮助保护系统。
欺骗式防御技术通过诱饵仿真创建当前服务器、应用程序和数据,诱骗不法分子以为他们已经渗透并获得了企业重要资产的访问权,当然他们其实并未得手。使用这种方法可以最大限度地减少损害并保护组织的真实资产。不仅如此,欺骗式防御技术还可以缩短发现和遏制威胁的平均时间。
勒索软件攻击变得无处不在。对于企图从薄弱点入侵网络的犯罪分子来说,公司的规模和行业已经不再是什么问题。全球向远程工作模式的转变为不法分子打开了很多安全后门,他们正充分利用这一转变发动攻击。根据Fortinet全球威胁态势报告,截止到2020年底,每天有多达17,200台设备遭遇勒索软件侵害。
公司和机构并非无能为力应对这些威胁。但意味着他们可能不得不重新思考以及重组工作,不过现在已有保护工具能够有效防止勒索软件攻击。根据以上的九条建议,您可考虑需要采取哪些不同的措施,帮助您的组织籍此机会战胜这一重大威胁。
5月28日,卡巴斯基实验室亚太区病毒中心负责人董岩对外宣布,“卡巴斯基的检测与防御技术发展有了新的进展。在云端,卡巴斯基的恶意软件分析系统所拥有的自主虚拟化平台可以避开恶意软件对虚拟化平台的检测,而且恶意软件在虚拟分析系统中的运行速度与真实环境无异。”
他同时表示,除了对勒索软件的特定行为、代码进行检测外,卡巴斯基的分析系统还可以针对勒索软件的一般行为进行分析检测,这使得它能够检测未知的勒索软件。比如,WannaCry最初的版本就是由这种技术检测出来的。此外,卡巴斯基云端分析系统还可以对勒索软件的对抗手段进行检测,如长循环与反射加载。
卡巴斯基实验室亚太区病毒中心负责人董岩
2017年,陆续爆发的永恒之蓝(WannaCry)、坏兔子、Petya等勒索软件,使政府、教育、医院、能源、通信、制造业等众多关键信息基础设施领域遭受到了前所未有的重大损失。
正当企业下定决心将防护勒索软件攻击进行到底时,勒索软件已经开始了默默的反击。2018年以来,勒索软件复杂性和变种的速度均有所增加,并通过使用各种混淆技术、更精细的设计确保攻击的准确性。
最初WannaCry版本的朴素界面
当今网络世界,勒索软件威胁持续发生,卡巴斯基实验室对勒索软件的研究从来没有停止过,近期,卡巴斯基实验室就解析勒索软件的发展与攻防技术做了很好的诠释。
自1989年AIDS/PC Cyborg 勒索病毒开始。勒索软件通常由两种形式:一是锁屏类,即锁定用户计算机或手机,要求受害用户支付赎金解锁;二是加密类,即加密用户文件,要求受害用户支付赎金解密文件。目前我们遇到的基本都是文件加密类的勒索软件。
勒索软件感染破坏的一般过程:勒索软件作者使用对称加密算法加密用户文件,用非对称加密算法保护密钥。而密钥长度足够的话,可以说是无法破解的。
卡巴斯基对WannaCry和ExPetr的特点进行了分析。WannaCry与其前一版本并无本质区别,但因为引入了永恒之蓝漏洞利用,使其造成了短时间内爆发式的感染。通过卡巴斯基样本溯源系统,卡巴斯基研究人员发现了WannaCry的最初版本,并发现其与朝鲜Lazarus攻击孟加拉银行所用的Contopee后门有共同的代码。
GandCrab使用Nsis混淆包装自身
ExPetr在内网传播方面除了使用了永恒之蓝漏洞利用,还会利用APT攻击的手法在内网中进行横向移动。而ExPetr与2015年底攻击乌克兰电站的BlackEnergy硬盘擦除程序有相似代码,这也使研究人员认为ExPetr可以溯源至开发BlackEnergy的攻击组织——著名的俄罗斯APT攻击组织Sofacy。
对国内流行的GlobeImposter和GandCrab的特点进行了分析。两者都使用了长循环、反射加载等多种方法对抗安全软件、安全厂商的分析系统,使得没有优秀主动防御系统的安全软件无法抵御它们的攻击。
然而,对于这一切,卡巴斯基的先进反病毒技术显得游刃有余。
“在客户端,我们同样有先进的技术手段防御勒索软件。除了传统的静态文件分析和启发式分析技术外,卡巴斯基的主动防御系统可以在勒索软件运行的同时分析其行为,当发现其行为符合勒索软件行为模式时将其阻断,并回滚一切其进行的操作,恢复被勒索软件加密的文件和被勒索软件修改的注册表设置。”董岩表示,卡巴斯基还引入了基于局部敏感哈希技术的VisHash技术,这使得可以使用一个VisHash通杀一批相似的恶意软件样本,也使部分病毒采用的简单“免杀技术”无效,比如,2018年曾在国内肆虐的GlobeImposter样本其实代码彼此都很相似,而这些样本都可以被一个VisHash覆盖。
标签:勒索软件攻击技术
已有2位网友发表了看法:
访客 评论于 2022-10-25 17:34:27 回复
该对包括移动终端在内的所有主机进行防护,采取的措施除了安装传统的杀毒软件外,还应包括补丁管理、Web内容过滤以及主动防护类的病毒防护产品等。5. 网络隔离:目前勒索软件已经可以通
访客 评论于 2022-10-25 14:43:21 回复
支付赎金解密文件。目前我们遇到的基本都是文件加密类的勒索软件。 勒索软件感染破坏的一般过程:勒索软件作者使用对称加密算法加密用户文件,用非对称加密算法保护密钥。而密钥长度足够的话,可以说