正文

【技术分享】我为什么一直在买硬盘?这真的是勒索软件最后的补救办法吗?

admin
admin V管理员 /0 评论 /13 阅读
0318
此篇文章发布距今已超过1143天,您需要注意文章的内容或图片是否可用!

http://zone.ci/wp-content/uploads/2022/03/20220318081809-56.webp

在计算机网络病毒日益严峻的今天,勒索软件和关键基础设施的信息安全建设依然是大中小企业所关注的焦点。

那么,究竟什么是勒索软件?

勒索软件到底是如何影响我们的?

我们又应该如何来防范勒索软件?

今天的内容将从以下七个方面展开:

一、悲惨案例分析

二、唯品会相关安全防护经验分享

三、吐槽一下朋友

四、风险措施总结

五、最后的补救方法

六、一点感想

七、分享一个网站

http://p3.qhimg.com/t01987915c0c2dc5c69.webp


一、悲惨案例分析

相信看完以下这则案例之后,应该会对勒索软件有一个大致的了解了。

http://p1.qhimg.com/t010618f45f4d672153.webp

这是一个悲惨的故事,在事件的最后,董事会在万般无奈之下只能向勒索软件低头,公司决定支付这笔高昂的“赎金”,以求自保。

那么这一切究竟是怎么发生的呢?让我们先回到下午5点的时候看看:

17:00 P.M.

中勒索软件之后,大部分的公司一开始都不会同意勒索者的要求,他们往往会尝试着自己破解或使用第三方软件进行破解,但最终,这些方法往往并不管用。并且非常不幸的是,面对当下流行的几大勒索软件时,大部分安全从业人员也往往束手无策。

http://p2.qhimg.com/t0189657835fc1d12c4.webp

根据勒索者要求,公司必须为每一台受影响的服务器每小时支付5000美元,而此刻公司正有上百台服务器受此勒索软件的影响!也就是说,每拖延1个小时,公司就需要向勒索者支付至少50万美元的赎金!并且如果没有解密秘钥,这些被勒索软件所影响的重要数据最后都将被摧毁!

http://p4.qhimg.com/t01d0d0dbdf6b54071c.webp

让我们再往前些,看看董事会最开始接到此次事件报告的时候又会做什么呢?时间回到下午2点:

14:00 P.M.

此刻大家正在有条不紊的召开紧急会议,商讨处理方案。经过分析发现,这次遭受影响的核心用户有200TB之多!这其中包括:用户数据、财务报告、知识产权等。为了加速客户恐慌,勒索者还声称已将全部数据做备份处理!而此时,公司的安全人员仍在尝试猜测是否可以卸载、移除或者粉碎勒索软件。

http://p5.qhimg.com/t0196cc1929a1121a0f.webp

并且通过分析还发现,这款勒索软件使用的是AES-128算法加密所有文件。这是什么概念呢?举个例子,在一万亿台,每秒可以尝试十亿个密钥的计算机上,要超过二十亿年才能破解出一个AES-128密钥! 这简直太不可思议了!那么让我们再往前看看,受害者究竟是如何中招的呢?

时间回到上午11点:

11:00 A.M.

上午11点,工作人员电脑屏幕提示电脑已中病毒!并且出现类似内容的告警不断提醒你,电脑上所有的数据已经被加密,并且不能被删除和移除,一旦尝试重启或卸载,你的数据将会被摧毁等等,瞬间,公司上下一阵恐慌。

http://p3.qhimg.com/t01367ca2155e704d1f.webp

然而这还不是根本原因,让我们来看下此次事件的最终导火索吧!时间回到早上9点:

09:00 A.M.

原来,在大约09:00的时候,攻击者先是入侵并登陆进了该公司的一台边缘服务器,但是由于边缘服务器与内网做了隔离,所以入侵者无法有更进一步的操作。与此同时,这台边缘服务器,虽然没有太多敏感信息,只是存储了一些员工的基本信息,例如门禁打卡时间,以及邮箱工号等等,但是对攻击者而言,这些信息足以被放大利用!通过仿造并稍作修改之后,攻击者已经完全模拟出了一封正常的员工邮件,于是又重新从外部,向全体员工发送大量的隐藏恶意链接的钓鱼邮件,进行广撒网,并守株待兔式的坐等上钩者即可!

http://p5.qhimg.com/t01514a8b41c7395845.webp

在社会工程学领域,认为“人”是计算机信息安全工作链最脆弱的环节。在此次事件中我们也不难发现,正是由于员工点击了邮件内不受信任的链接,才最终导致悲剧的发生!

http://p4.qhimg.com/t01b9684f65b75f6df3.webp

所以总结起来,除了常规的硬件防护,员工们日常工作要严格遵守以下2点:

1、不要点击不受信任的未知链接

http://p5.qhimg.com/t01a0cbbbdf9dccd52d.webp

2、不要打开EMAIL内未知的附件


二、唯品会相关安全防护经验分享

目前关于勒索软件的主要入口还是通过邮件为主。

唯品会相关安全团队负责人说的:“中了勒索病毒的肯定有,只要不是通过主动去下载病毒运行或U盘等外设拷贝进来的,基本不会中招。开发也有些安全意识不强的,也有去运行的”。


三、吐槽一下朋友

这里,联想到前几天我身边一个朋友中了Zepto敲诈者病毒,中病毒之后看到的界面大致就是这样:

http://p0.qhimg.com/t01865a6f3ae1666bb6.webp

最终这朋友只能选择放弃硬盘(是的,确实有点心疼他那块容量很大的硬盘)。

我身边还有一个朋友,他从来只在虚拟机里面打开邮件附件,听起来虽然麻烦了点,但是作为一个安全研究人员,这种安全意识还是要多多提倡的,不是么?


四、风险措施总结

最后,说了那么多,那么到底怎么样才能真正降低勒索软件的风险?

事实上,若要防止攻击者通过网络钓鱼或社交工程获得初始访问确实比较困难,但是,具体的可以采取下述措施来缓解相关风险:

1、建立一个公司管制的文件共享程序,组织的用户和/或公司合作伙伴之间可以通过该程序交换文件;

2、通知用户不必经常使用启用宏的 office 文档,甚至永远不要启用宏;

3、有些网络钓鱼攻击是通过传送 PDF 文件来进行的,可以考虑使用其他 PDF 阅读器并禁用额外的功能(例如 PDF 上的 JavaScript);

4、确保邮件扫描网关禁止发送和接收可执行文件(exe、dll、cpl、scr)、带有宏的JavaScript(.js文件)office 文档,以及扫描 .zip 文件的内容;

5、对 SPF 记录进行检查/验证,以减少欺骗性电子邮件;(这里的SPF不是防晒指数哦,而是指Sender Policy Framework)

6、将动态DNS 和 gTLD 默认为黑名单,并且只有在特定业务确有需要的情况下,将单个域根据需要加入白名单;

7、增加提示,提示用户即便信任也要进行验证,必要时刻建议电话确认;

8、不定期的通知用户,IT 和/或安全部门从不会要求其提供他们的密码,从而降低网络钓鱼攻击的有效性,他们在攻击的时候会尝试收集用户的凭证;

9、禁止安装USB 驱动器;

10、确保访客在前台进行登记、签名,并始终对其进行跟踪监控;

11、禁止未获授权的个人跟随已获授权的个人进入限制区;


五、最后的补救办法

如果攻击者突破了我们精心构造的初始防御,我们该如何缓解进一步的损失?

以下几个方法可供参考:

1、配置VLAN和子网分段,并在网段间配置适当的策略;

2、使用专用防火墙/网关分段;

3、配置入口/出口过滤的主机型防火墙;

4、在应用程序管制/白名单;

5、基于角色的网络共享权限(最小权限);

6、适当的凭证管理;

那么有没有最终的补救措施?

面对攻击者的赎金勒索,备份恢复将是我们最后一道防线!

在最坏的情况下,也将是我们最后的堡垒。所以平时需要养成定期备份数据的习惯。


六、一点感想

在过去几年里,全球范围内勒索软件变体及其部署呈明显的上涨趋势,插入式设备和安全解决方案只能在其力所能及的的范围内保护网络。

而如果人们没有从内心重视起来,未对网络的构建和扩展建立深度防御,那么在防止威胁方面,再多的防护手段,其作用也将变得极为有限!


七、分享一个网站

http://krebsonsecurity.com/

分享一个勒索软件自校验网站,有兴趣的朋友可以看下~


参考资料

https://en.wikipedia.org/wiki/Ransomware