猫宁!!!
参考链接:http://zt.360.cn/1101061855.php?dtid=1101062360&did=210646167
这不是全文,而是重点摘要部分。
2017年5月,影响全球的永恒之蓝勒索蠕虫(Wannacry)大规模爆发后,有两个重要问题一直让很多我国政企机构管理者和安全从业者感到困惑:一个是内网穿透问题,一个是同业差距问题。
1) 内网穿透问题
WannaCry传播和攻击的一个明显的特点,就是内网设备遭感染的情况要比互联网设备遭感染的情况严重得多。虽然说,未打补丁是内网设备中招的根本原因,但WannaCry究竟是如何穿透的企业网络隔离环境,特别是如何穿透了物理隔离的网络环境,一直是令业界困惑的问题。
2) 同业差距问题
WannaCry传播和攻击的另外一个重要特点,就是有些机构大面中招,而有些机构则几乎无一中招。而且,即便是在同行业、同规模、同级别,甚至是安全措施都差不太多的大型政企机构中,也是有的机构全面沦陷,有的机构却安然无事。究竟是什么原因导致这种天差地别的结果呢?
为能深入研究上述两个问题,寻找国内政企机构安全问题的症结所在及有效的解决途径,360威胁情报中心联合360安全监测与响应中心,对5月12日-5月16日间,国内1700余家大中型政企机构的网络安全应急响应情况进行了抽样调研。并对上述问题得出了一些初步结论。
此次调研显示,在大量感染WannaCry的机构案例中,病毒能够成功入侵政企机构内部网络,主要原因有以下几类:
1) 一机双网缺乏有效管理
一机双网或一机多网问题,是此次WannaCry能够成功入侵物理隔离网络的首要原因。一机双网问题是指一台电脑设备既连接在物理隔离的网络中,同时又直接与互联网或其他网络相连。病毒首先通过互联网感染某台设备,随后再通过这台染毒设备攻击内网系统中的其他设备。
2) 缺陷设备被带出办公区
将未打补丁或有安全缺陷的设备带出办公场所,并与互联网相连,是此次WannaCry感染内网设备的第二大主要原因。WannaCry爆发初期,时逢“一带一路”大会前夕。很多机构在此期间进行了联合集中办公,其中就不乏有机构将内部办公网上电脑设备被搬到了集中办公地点使用。这些电脑日常缺乏有效维护,未打补丁,结果不慎与互联网相连时就感染了WannaCry。而这些被带出办公区的缺欠电脑,又由于工作需要,持续的,或不时的会通过VPN、专线等方式与机构内网相连,于是又将WannaCry感染到了机构的内网设备中。
3) 协同办公网络未全隔离
这是一类比较特殊的问题,但在某些政企机构中比较突出。即,某些机构在其办公系统或生产系统中,同时使用了多个功能相互独立,但又需要协同运作的网络系统;而这些协同工作的网络系统中至少有一个是可以与互联网相连的,从而导致其他那些被“物理隔离”的网络,在协同工作过程中,因网络通信而被病毒感染。
4) 防火墙未关闭445端口
这一问题主要发生在政企机构内部的不同子网之间。大型政企机构,或存在跨地域管理的政企机构之中,发生此类问题的较多。一般来说,企业使用的防火墙设备,大多会对互联网访问关闭445端口。但很多企业在内部多个子网系统之间的防火墙(内部防火墙)上,却没有关闭445端口。从而导致这些政企机构内部的某个子网中一旦有一台设备感染了WannaCry(可能是前述任何一种原因),病毒就会穿透不同子网之间防火墙,直接对其他子网系统中的设备发动攻击,最终导致那些看起来相互隔离的多个子网系统全部沦陷,甚至有个别企业的共享服务器被感染后,直接导致其在各地分支机构的网络设备全部中招。
5) 办公网与生活网未隔离
这一问题在某些超大型政企机构中比较突出。受到历史、地理等复杂因素的影响,这些机构大多自行建设了规模非常庞大的内部网络,而且这些网络本身并未进行非常有效的功能隔离。特别是这些企业在办公区附近自建的家属楼、饭店、网吧,及其他一些娱乐场所,其网络也往往是直接接入了企业的内部网络,而没有与办公区的网络进行有效隔离。这也就进一步加剧了不同功能区电脑设备之间的交叉感染情况。
6) 外网设备分散无人管理
这也是一类比较特殊,但在某些政企机构中比较突出的问题。产生这一问题的主要原因是:某些政企机构,出于管辖、服务等目的,需要将自己的电脑设备放在关联第三方的办公环境中使用;但这些关联第三方可能是多家其他的政企机构,办公网点也可能分散在全国各地,甚至是一个城市中的多处不同地点;由此就导致了这些设备虽然被经常使用,但却长期无人进行安全管理和维护,电脑系统长期不打补丁,也不杀毒的情况,所以也有相当数量的电脑中招。
其他暴露出来的问题简析
(一) 意识问题
员工甚至IT管理者的安全意识差,轻视安全问题,不能对突发安全事件做出正确的判断,是本次永恒之蓝勒索蠕虫在某些机构中未能做到第一时间有效处理的重要原因。具体表现在以下几个主要方面:
1) 病毒预警不在乎:很多企业员工或管理者根本不相信会有严重的病毒爆发,即便是看到国家有关部门的预警公告后,也毫不在意。这种倾向在越低层的员工中越明显。
2) 管理规定不遵守:政企机构中普遍存在上班时间上网购物,上色情网站的情况;还有很多私自搭建WiFi热点,造成了机构内网暴露。而这些行为,在绝大多数机构中都是明文禁止的。
3) 应急方案不执行:看到企业紧急下发的安全须知、应急办法和开机操作规范等材料,很多机构员工仍然我行我素,不按要求操作。
4) 风险提示不满意:有很多员工看到安全软件进行风险提示,仍然选择放行相关程序或网页;甚至有人反馈要求安全厂商不要对某些恶意软件或恶意网站进行风险提示。
(二) 管理问题
从永恒之蓝勒索蠕虫事件来看,凡是出现较大问题的政企机构,其内部的安全管理也普遍存在非常明显的问题。具体也表现在以下几个方面:
1) 业务优先忽视安全:很多政企机构非常强调业务优先,并要求任何安全措施的部署都不得影响或减缓业务工作的开展;甚至有个别机构在明知自身网络系统及电脑设备存在重大安全漏洞或已大量感染病毒的情况,仍然要求业务系统带毒运行,拒绝安全排查和治理。更有个别机构为保证信息传达的及时,上级部门领导即便收到了带毒邮件,看到了安全软件的风险提示后,仍然会坚持向下级部门进行转发。
2) 安全监管地位较低:政企机构中的安全监管机构,安全监管领导的行政级别较低,缺乏话语权和推动力,难以推动落实网络安全规范,无法及时有效应对实时威胁,也是大规模中招企业普遍存在的一个典型特征。
3) 管理措施无法落实:由于安全监管部门在机构内的地位较低,日常的安全教育和培训又十分缺乏,从而导致了很多政企机构内部的安全管理措施无法落实。
(三) 技术问题
客观的说,通过员工教育来提高整体安全意识,在实践中往往是难以实现的。采用必要的技术手段还是十分必须的。从永恒之蓝勒索蠕虫的应急过程来看,政企机构内网设备遭大规模感染的主要技术原因有以下几个方面:
1) 物理隔离网络缺乏外联检测控制:很多采用物理隔离网络的机构,仅仅是在网络建设方面搭建了一张与互联网物理隔离的网络,而对联网设备本身是否真的会连接到互联网上,则没有采取任何实际有效的技术检测或管理方法。
2) 逻辑隔离网络缺乏内网分隔管理:采取逻辑隔离的网络,很多都存在内部子网之间边界不清的问题。这一方面表现为很多不同功能的网络设备完全没有任何隔离措施——如前述的某些大型政企机构自建的家属区、饭店、网吧等的网络与办公网没有隔离;另一方面则表现为尽管子网之间有相互隔离,但由于配置不当导致措施不够有效。
3) 隔离网内电脑不打补丁情况严重:电脑不打补丁,是永恒之蓝勒索蠕虫能够大范围攻击内网设备的根本原因。而政企单位内部隔离网络中的设备不打补丁的情况实际上非常普遍,但原因却是多种多样的。
我们不妨先来看看永恒之蓝相关的几个关键时间点:
| 时间点 |
事项 |
| 2017.3.14 |
微软发布安全补丁MS17-010 |
| 2017.4.14 |
NSA“永恒之蓝”黑客工具泄漏 |
| 2017.5.12 |
永恒之蓝勒索蠕虫爆发 |
表1 永恒之蓝关键事件对应的时间点
也就是说,永恒之蓝勒索蠕虫在爆发之前,我们是有58天的时间可以布防的,但因为很多政企单位在意识、管理、技术方面存在一些问题,导致平时的安全运营工作没有做到位,才会在永恒之蓝来临之际手忙脚乱。
对于为何有大量的政企机构不给内网电脑打补丁这个具体问题,我们也一并在这里进行一个归纳总结。具体如下:
1) 认为隔离措施足够安全
很多机构管理者想当然的认为隔离的网络是安全的,特别是物理隔离可以100%的保证内网设备安全,因此不必增加打补丁、安全管控和病毒查杀等配置。
2) 认为每月打补丁太麻烦
在那些缺乏补丁集中管理措施的机构,业务系统过于复杂的机构,或者是打补丁后很容易出现异常的机构中,此类观点非常普遍。
3) 打补丁影响业务占带宽
很多带宽资源紧张或是内网设备数量众多的机构都持这一观点。有些机构即便是采用了内网统一下发补丁的方式,仍然会由于内网带宽有限、防火墙速率过低,或补丁服务器性能不足等原因,导致内部网络拥塞,进而影响正常业务。
4) 打补丁影响系统兼容性
因为很多机构内部的办公系统或业务系统都是自行研发或多年前研发的,很多系统早已多年无人维护升级,如果给内网电脑全面打补丁,就有可能导致某些办公系统无法再正常使用。
5) 打补丁可能致电脑蓝屏
这主要是因为某些机构内部电脑的软硬件环境复杂,容易出现系统冲突。如主板型号过老,长期未更新的软件或企业自用软件可能与微软补丁冲突等,都有可能导致电脑打补丁后出现蓝屏等异常情况。
综上所述,很多政企机构不给隔离网环境下的电脑打补丁,也并不都是因为缺乏安全意识或怕麻烦,也确实有很多现实的技术困难。但从更深的层次来看,绝大多数政企机构在给电脑打补丁过程中所遇到的问题,本质上来说都是信息化建设与业务发展不相称造成的,进而导致了必要的安全措施无法实施的问题。所以,企业在不断加强网络安全建设的同时,也必须不断提高信息化建设的整体水平,逐步淘汰老旧设备,老旧系统,老旧软件。否则,再好的安全技术与安全系统,也未必能发挥出最好的,甚至是必要的作用。
勒索软件的攻击特点
2017年以来,勒索软件的攻击主要呈现出以下六个明显的特点:无C2服务器加密技术流行、攻击目标转向政企机构、攻击目的开始多样化、勒索软件平台化运营、影响大的家族赎金相对少、境外攻击者多于境内攻击者。
一、 无C2服务器加密技术流行
2017年以来,我们发现黑客在对文件加密的过程中,一般不再使用C2服务器了,也就是说现在的勒索软件加密过程中不需要回传私钥了。
这种技术的加密过程大致如下:
1) 在加密前随机生成新的加密密钥对(非对称公、私钥)
2) 使用该新生成新的公钥对文件进行加密
3) 把新生成的私钥采用黑客预埋的公钥进行加密保存在一个ID文件或嵌入在加密文件里
解密过程大致如下:
1) 通过邮件或在线提交的方式,提交ID串或加密文件里的加密私钥(该私钥一般黑客会提供工具提取);
2) 黑客使用保留的预埋公钥对应的私钥解密受害者提交过来的私钥;
3) 把解密私钥或解密工具交付给受害者进行解密。
通过以上过程可以实现每个受害者的解密私钥都不相同,同时可以避免联网回传私钥。这也就意味着不需要联网,勒索病毒也可以对终端完成加密,甚至是在隔离网环境下,依然可以对文件和数据进行加密。显然 ,这种技术是针对采用了各种隔离措施的政企机构所设计的。
二、 攻击目标转向政企机构
2017年以来,勒索软件的攻击进一步聚焦在高利润目标上,特别是针对中小企业网络服务器的攻击急剧增长。据不完全统计,2017年,约15%的勒索软件攻击是针对中小企业服务器发起的定向攻击,尤以Crysis、xtbl、wallet、arena、Cobra等家族为代表。而到了2018年1-4月,被勒索软件感染的电脑中,75.2%为Windows Server服务器,受害者多为中小企业。可见,勒索软件攻击者将主要攻击目标从高价值个人转向了企业服务器的趋势更加明显,而且目标转移的速度非常之快。
客观的说,中小企业往往安全架构单一,相对容易被攻破。同时,勒索软件以企业服务器为攻击目标,往往也更容易获得高额赎金。例如:针对Linux服务器的勒索软件Rrebus,虽然名气不大,却轻松从韩国Web托管公司Nayana收取了100万美元赎金,是震惊全球的永恒之蓝全部收入的7倍之多。Nayana所以屈服,是因为超150台服务器受到攻击,上面托管着3400多家中小企业客户的站点。这款勒索病毒的覆盖面有限,韩国几乎是唯一的重灾区。
三、 针对关键信息基础设施的攻击
传统的勒索软件攻击,大多是以高价值个人为攻击目标。而2017年以来,以WannaCry、类Petya为代表的勒索软件,则是将关键信息基础设施作为了主要攻击目标,这在以往是从未出现过的严峻情况。关键基础设施为社会生产和居民生活提供公共服务,保证国家或地区社会经济活动正常进行,其一旦被攻击将严重影响人们的日常生活,危害巨大。
四、 攻击目的开始多样化
顾名思义,勒索软件自然就是要勒索钱财。但这种传统认知已经在2017年被打破。以网络破坏、组织破坏为目的的勒索软件已经出现并开始流行。其中最为典型的代表就是类Petya。与大多数勒索软件攻击不同,类Petya的代码不是为了向受害者勒索金钱,而是要摧毁一切。类Petya病毒的主要攻击目的就是为了破坏数据而不是获得金钱。此外,以Spora为代表的窃密型勒索软件在加密用户文档时,还会窃取用户账号密码和键盘输入等信息,属于功能复合型勒索软件。
这些不仅以“勒索”为目的的“勒索软件”,实际上只是结合了传统勒索软件对文件进行加密的技术方法来实现其数据破坏、信息窃取等其他攻击目的。相比于勒索金钱,这种攻击将给对手带来更大的破坏和更大的威胁。这不仅会引发网络犯罪“商业模式”的新变种,而且会反过来刺激网络保险市场的进一步扩张。
五、 勒索软件平台化运营
2017年以来,勒索软件已经不再是黑客单打独斗的产物,而是做成平台化的上市服务,形成了一个完整的产业链条。在勒索软件服务平台上,勒索软件的核心技术已经直接打包封装好了,小黑客直接购买调用其服务,即可得到一个完整的勒索软件。这种勒索软件的生成模式我们称其为RaaS服务,而黑市中一般用“Satan Ransomware(撒旦勒索软件)”来指代由RaaS服务生成的勒索软件。
RaaS服务允许任何犯罪者注册一个帐户,并创建自己定制版本的撒旦勒索软件。一旦勒索软件被创建,那么犯罪分子将决定如何分发勒索软件,而RaaS服务平台将处理赎金支付和增加新功能。对于这项服务,RaaS服务平台的开发者将收取受害者所支付赎金的30%,购买RaaS服务者将获取剩余70%的赎金。
六、 境外攻击者多于境内攻击者
2017年,勒索软件的攻击源头以境外为主。绝大多数的勒索软件攻击者基本都是境外攻击者,国内攻击者较少,而且国内攻击者技术水平也相对较低,制作水平也不高。有些国内攻击者编写的勒索软件程序甚至存在很多漏洞,因此也比较容易被破解。比如:MCR勒索病毒,我们可以直接获取到密钥从而恢复文件。
勒索软件趋势预测
2017年以来,勒索软件的攻击形式和攻击目标都已经发生了很大的变化。本章将给出我们对未来勒索软件攻击趋势的预测。
一、 整体态势
(一) 勒索软件的质量和数量将不断攀升
2017年勒索软件在暗网上获得规模性增长,相关产品销售额高达623万美元,是2016年的25倍,而一款DIY勒索软件售价从50美分到3000美元不等,中间价格一般在10.5美元左右。2017年7月,根据谷歌、加州大学圣地亚哥分校和纽约大学坦登工程学院的研究人员联合发布的一份报告显示,在过去两年,勒索软件已迫使全球受害者累计支付了超过2500万美元的赎金。
无论对制作者还是使用者而言,影响广泛、物美价廉、门槛低获利快的勒索软件都是当前比较“靠谱”的获利方式,因此,制作者会不断采用新的技术来提升勒索软件的质量,使用者则会通过使用更多数量的勒索软件来广开财路。
(二) 勒索软件会越来越多的使用免杀技术
成功进驻系统并运行是敲诈勒索的前提。因此,为了获得更大的经济利益,在勒索软件的制作、传播过程中,首先要做的就是“自我保护”,即躲避杀毒软件的查杀。以Petrwrap为例,它在2017年6月底在欧洲引发大面积感染,俄罗斯、乌克兰、波兰、法国、意大利、英国及德国也被其感染。但根据《黑客新闻》6月27日报道,最近的VirusTotal扫描显示,61款杀毒软件当中只有16款能够成功检测到该病毒。
在各界充分认识到勒索软件引发的可怕后果的前提下,攻击者必然会在2018年趁热打铁,充分利用这种担心和恐慌获取更多的赎金,不断使用更新的技术和更多的变种来突破杀毒软件的防线将成为必然。
二、 攻击特点
(一) 勒索软件的传播手段将更加多样化
相比于个人受害者,组织机构更有可能支付大额赎金,而感染更多设备从而给组织机构造成更大的损失是提升赎金支付可能性的重要手段。因此,除了通过更多的漏洞、更隐蔽的通道进行原始传播,勒索软件的自我传播能力也将会被无限的利用起来,类似WannaCry、类Petya、坏兔子等以感染的设备为跳板,然后利用漏洞进行横向移动,攻击局域网内的其他电脑,形成“一台中招,一片遭殃”的情况将会在2018年愈演愈烈。针对各企业对于软件供应链的管理弱点,通过软件供应链通道进行原始传播在未来一年有很大概率被再次利用。
(二) 勒索软件的静默期会不断延长
震惊全球的WannaCry的大规模爆发开始于5月12日(星期五)下午,周末正好是组织机构使用电脑的低峰期,这给安全厂商和组织机构应急处置以免蠕虫快速扩散提供了足够的缓冲时间,也让攻击者失去了获得更多赎金的可能。
为了避免“亏本”,获得更多的赎金,未来的勒索软件会在获得更多“勒索筹码”之前尽可能隐蔽自己,一边延长自己的生命周期,一边选择合适的时间发作,让安全厂商合组织机构“措手不及”。
三、 攻击目标
(一) 勒索软件攻击的操作系统类型将越来越多
目前,绝大多数勒索软件攻击的都是Windows操作系统,但针对MacOS的勒索软件MacRansom已经出现在暗网中;针对Linux服务器的勒索软件Rrebus也已经造成了巨大的损失;针对安卓系统的勒索软件也在国内网络中出现。但这也许只是开始,越自认为“安全”、越小众的系统,防护能力可能越弱,一旦被攻破,支付赎金的可能性也就越大,因此,勒索软件不会放过任何一个系统。
(二) 勒索软件定向攻击能力将更加突出
2017年影响面最大的两个勒索软件,WannaCry(永恒之蓝)攻击者收到的赎金可能不足15万美元,类Petya的攻击者更是只拿到可怜的11181美元赎金,但针对Linux服务器的勒索软件Rrebus看似名不见经传,却轻松从韩国Web托管公司Nayana收取100万美元赎金,仅此一家缴纳的赎金就是永恒之蓝从全球获得赎金的7倍之多。
由此可见,针对特定行业、关键业务系统的敲诈勒索更容易成功,更容易获得高额赎金,这将让以敲诈勒索为核心目的的攻击者逐渐舍弃华而不实的广撒网式攻击,将重心转移到发动更有针对性的定向攻击。
四、 造成损失
(一) 经济损失与赎金支付都将持续升高
安全意识培训公司KnowBe4曾估测:WannaCry的大规模爆发,在其前4天里,就已经造成了10亿美元的经济损失。而随着勒索软件技术的进一步成熟和平台化,勒索软件的攻击也将会更加频繁,攻击范围更加广泛,造成的经济损失也会不断攀升。
美国网络安全机构Cybersecurity Ventures在2017年5月发布的报告中预测,2017年勒索软件攻击在全球造成的实际损失成本将达到 50 亿美元,预计2019年的攻击损失可能升至115亿美元。而相关数据还显示,勒索软件在2015年给全球造成的实际损失仅为3.25亿美元。
以类Petya勒索病毒为例,根据全球各地媒体的相关报道,仅仅是它给4家全球知名公司造成的经济损失就已经远超10亿美金,如下表所示。
| 公司名称 |
造成损失 |
影响范围 |
| 默克集团 (美国医药巨头) |
3.1亿美元 |
全球营销、研发以及销售持续一周受到影响,邮件处于瘫痪状态,7万名员工被禁用电脑。 |
| Maersk集团 (全球最大航运公司) |
3亿美元 |
集团下属航运公司、集装箱码头公司和德高货运受到严重影响。 |
| FedEx公司 (全球最大快递运输公司之一) |
3亿美元 |
TNT配送网络系统遭受重创。 |
| 利洁时集团 (全球最大家用清洁用品公司) |
1亿英镑 |
破坏公司多个市场的产品生产与发售,世界各地工厂的订单、支付和货运受到影响。 |
表格 2 知名企业遭到的重大损失情况
经济损失的不断提高也将促使更多的政企机构向攻击者支付赎金。预计到2018年,攻击者在不断提升勒索软件自身能力的同时,也将进一步锁定风险承受能力较差的攻击目标实施攻击,并在加密数据基础上使用更多的威胁方式,例如不支付赎金就将关键信息公开在互联网上等,迫使组织机构不得不缴纳高额的赎金。
所以,未来迫不得已支付赎金的政企机构中招者会越来越多,也会出现更多类似韩国Web托管公司Nayana支付100万美元赎金的大户,攻击者获得的赎金总额必将持续升高。
(二) 通过支付赎金恢复文件的成功率将大幅下降
对于中招的组织机构而言,在尝试各种方式解密被勒索软件加密的数据无果后,即便想要通过支付赎金的方式来解决问题,其成功率也将大幅下降。其主要原因倒不是勒索者的信用会快速下降,而是很多现实的网络因素可能会大大限制你支付赎金恢复文件的成功率。
首先,你可能“没钱可付”,绝大多数的勒索软件均以比特币为赎金支付方式,但9月底比特币在中国已经全面停止交易了。
其次,你也可能“来不及付”,交纳赎金一般是有时间限制的,一般为1-2天,但国产勒索病毒Xiaoba只给了200秒的反应时间。
第三,你即便通过各种方式支付了赎金,也可能“无法提供付款证明”给攻击者,因为很多勒索软件要求受害者向特定邮箱发送支付证明,黑客才会为其解锁,但越来越多的邮件供应方无法忍受攻击者通过其平台非法获利,而会第一时间将其邮箱关停。