第一(yī)階段:萌芽期
AIDS trojan是世界上第一(yī)個被載入史冊的(de)勒索病毒,從而開啓了勒索病毒的(de)時代。——1989年(nián),2萬張感染了“AIDSTrojan”病毒的(de)軟盤被分發給國(guó)際衛生組織國(guó)際艾滋病大會的(de)與會者,導緻大量文件被加密。早期的(de)勒索病毒主要通過釣魚郵件,挂馬,社交網絡方式傳播,使用轉賬等方式支付贖金,其攻擊範疇和(hé)持續攻擊能力相對有(yǒu)限,相對容易追查。
第二階段:成型期
2013下半年(nián)開始,是現代勒索病毒正式成型的(de)時期。勒索病毒使用AES和(hé)RSA對特定文件類型進行(xíng)加密,使破解幾乎不可(kě)能。同時要求用戶使用虛拟貨币支付,以防其交易過程被跟蹤。這個時期典型的(de)勒索病毒有(yǒu)CryptoLocker,CTBLocker等。大多數情況下,這些惡意軟件本身并不具有(yǒu)主動擴散的(de)能力。
第三階段
自(zì)2016年(nián)開始,然而随着漏洞利用工具包的(de)流行(xíng),尤其是“The ShadowBrokers” (影子(zǐ)經紀人)公布方程式黑客組織的(de)工具後,其中的(de)漏洞攻擊工具被黑客廣泛應用。勒索病毒也借此廣泛傳播。典型的(de)例子(zǐ),就是WannaCry勒索蠕蟲病毒的(de)大發作,兩年(nián)前的(de)這起遍布全球的(de)病毒大破壞,是破壞性病毒和(hé)蠕蟲傳播的(de)聯合行(xíng)動,其目的(de)不在于勒索錢财,而是制造影響全球的(de)大規模破壞行(xíng)動。在此階段,勒索病毒已呈現産業化、家族化持續運營。在整個鏈條中,各環節分工明确,完整的(de)一(yī)次勒索攻擊流程可(kě)能涉及勒索病毒作者,勒索實施者,傳播渠道(dào)商(shāng),代理(lǐ)。
第四階段
自(zì)2018年(nián)開始,常規的(de)勒索木馬技術日益成熟。已将攻擊目标從最初的(de)大面積撒網無差别攻擊,轉向精準攻擊高(gāo)價值目标。比如(rú)直接攻擊醫療行(xíng)業,企事業單位、政府機(jī)關服務器,包括制造業在內(nèi)的(de)傳統企業面臨着日益嚴峻的(de)安全形勢。
編程人群基數的(de)迅速增加,越來越多基于腳本語言開發出的(de)勒索病毒開始湧現,意味着将有(yǒu)更多的(de)黑産人群進入勒索産業這個領域,也意味着該病毒将持續發展泛濫。
勒索病毒攻擊原理(lǐ)分析
攻擊者通過攻陷企業郵件服務器,向企業內(nèi)部所有(yǒu)用戶發送釣魚郵件(僞裝成office圖标的(de)exe程序,帶病毒的(de)文檔、播放器等)。用戶無意中打開釣魚郵件中的(de)文件導緻被勒索。
攻擊者通過爆破等方式獲取企業內(nèi)部人員vpn賬号,在企業內(nèi)網進行(xíng)系統漏洞/弱口令掃描,一(yī)旦用戶主機(jī)未做(zuò)好必要防護便會被勒索。
攻擊者通過業務系統/服務器漏洞攻陷Web服務器,對其進行(xíng)加密并勒索。
攻擊者通過攻陷業務系統,獲取相應數據庫信息,在內(nèi)網進行(xíng)數據庫漏洞/弱口令掃描,一(yī)旦數據庫未做(zuò)好必要防護便會被勒索。
Wanna Cry攻擊原理(lǐ):
mssecsvc2.0——服務函數中執行(xíng)感染功能,對網絡中的(de)計算機(jī)進行(xíng)掃描,利用MS17-010漏洞和(hé)DOUBLEPULSAR後門,傳播勒索病毒惡意樣本。taskche.exe——設置對應的(de)注冊表項實現開機(jī)自(zì)啓動。執行(xíng)勒索軟件加密行(xíng)為(wèi)。遍曆目錄,如(rú)Program Files,Windows
(3)文件加解密(簡化版)——非對稱加密
常見勒索方式演示
流程:攻擊者通過ms17-010漏洞直接拿到目标主機(jī)系統權限,上傳病毒程序并運行(xíng),使目标主機(jī)被加密。
主機(jī):Windows 7 安裝了帶勒索病毒的(de)數據庫連接軟件plsql
流程:使用者使用帶病毒的(de)數據庫連接軟件連接數據庫服務器,導緻服務器被加密。
流程:使用者通過文件上傳等漏洞将WebShell上傳至業務系統,獲取服務器系統權限,通過蟻劍連接數據庫并執行(xíng)相關加密代碼對數據庫信息進行(xíng)加密。
勒索防護
組織層面:
1.對于計算機(jī)網絡而言,我們(men)要對網絡進行(xíng)分層分域管理(lǐ),比如(rú)根據不同的(de)職能和(hé)部門劃分安全域,對于各區域邊界進行(xíng)嚴格的(de)出入控制。在等保2.0中叫安全邊界管理(lǐ)。
2.對于網絡和(hé)主機(jī),都要有(yǒu)嚴格的(de)準入控制系統,不在白名單內(nèi)的(de)用戶和(hé)主機(jī)不允許接入網絡,不在白名單內(nèi)的(de)進程和(hé)程序不允許運行(xíng)。發現可(kě)疑主機(jī)要及時隔離(lí)處理(lǐ),發現可(kě)疑進程馬上啓動相應的(de)應急處理(lǐ)機(jī)制。3.一(yī)旦發現感染病毒,不要急于格式化重裝系統,一(yī)定要先進行(xíng)取證溯源,分析攻擊流程,尋找攻擊者以及可(kě)能的(de)被感染者,防止病毒二次傳播。這個過程是一(yī)個很重要但也很難的(de)過程,很多黑客攻擊也并不是直接入侵的(de),而是通過一(yī)些僵屍主機(jī)或者跳闆進行(xíng)。而且攻擊後并不會隻攻擊一(yī)台,往往是同時攻下了好多台電腦,隻不過隻在其中一(yī)台或幾台實施了破壞,其它沒有(yǒu)被破壞不代表就是安全的(de)。通過追溯就能發現其他被攻擊的(de)電腦有(yǒu)哪些。4. 加強宣傳,通過相應的(de)網絡安全講座,讓大家意識到網絡安全的(de)重要性,提高(gāo)安全意識,增強基本的(de)安全技能,養成良好的(de)安全習慣。這樣才能有(yǒu)效降低(dī)被病毒感染的(de)風險。
1、 沒有(yǒu)必要不要訪問外網,尤其是一(yī)些非正規網站,減少文件和(hé)目錄共享。
2、 使用U盤、打開郵件附件都要先掃描病毒再打開。
3、 不要下載和(hé)使用盜版軟件以及來路不明的(de)軟件。
4、 及時為(wèi)系統/數據庫安裝安全更新,安裝個人防火牆,對進出流量進行(xíng)控制。
5、 對于電腦端口加強防範,使用主機(jī)防火牆關閉不必要的(de)端口。
6、 發現問題要及時反饋給信息中心,不要自(zì)行(xíng)處理(lǐ)。
7、 了解必要的(de)病毒知識。
8、 要有(yǒu)安全意識,人是網絡安全中最重要也是最薄弱的(de)環節。
結合我們(men)的(de)産品