勒索軟體2.0時代，美創科技諾亞防勒索如何構建主動防禦體系？

導讀：經過多年變種演進，勒索軟體加密手段多元化、傳播媒介多樣化、勒索流程產業化，勒索軟體2.0時代呈現新的發展趨勢。如何構建主動安全防禦體系？美創諾亞防勒索系統從資產、入侵和風險三個視角出發，基於底層驅動技術，提供主動防禦，並結合底層防禦和安全保險，構建完整的安全防禦體系。

 

近日，美國最大成品油管道公司Colonial Pipeline因遭勒索攻擊，輸送業務被迫暫停。為了最大程度減輕輸油管道持續關閉帶來的影響，美國多州進入國家緊急狀態，放寬陸路石油運輸限制，以保障地方的燃油供應。數小時後，該公司支付了近500萬美元贖金，以期儘快恢復業務系統。

近年來，隨著網路和資訊科技的迅猛發展，大資料、雲端計算和移動網際網路的廣泛應用以及各類加密數字貨幣的持續火爆，勒索病毒迎來“大爆發”，給各行各業帶來巨大的威脅和恐慌，其已然成為全球網路安全的主要威脅之一。

 

勒索病毒行為技術的原理分析

為了方便大家對勒索病毒有一個全面、系統的認知，我們首先對勒索行為技術原理進行簡單分析，整體來說，一個勒索病毒至少包含3個不同的模組，分別應用於勒索過程的不同階段，攻擊模組，前勒索階段；加密模組，中勒索階段；勒索模組，後勒索階段。

1)      攻擊模組，前勒索階段

勒索病毒攻擊模組主要透過攜帶各類漏洞exploit、密碼字典等形式，對攻擊目標進行漏洞檢測以及服務口令爆po等。2020年起勒索病毒的攻擊手段全線“開花”，弱口令攻擊、橫向滲透、釣魚郵件、漏洞利用、網站掛馬、破解或啟用工具、殭屍網路、供應鏈攻擊等手段悉數登場。

2)      加密模組，中勒索階段

當攻擊模組成功獲取本地許可權後，加密模組將開始執行，透過公鑰加密或對稱金鑰加密等形式進行本地檔案加密操作。具有竊密行為的勒索病毒還會在該環節進行特定格式檔案竊取上傳。在該階段勒索病毒將對檔案造成真實損害，因故稱之為中勒索階段，勒索病毒執行加密模組後會加密特定型別的檔案，不同的勒索病毒會加密幾十到幾百種型別的檔案，基本都會包括常見的文件、圖片、資料庫檔案。

3)      勒索模組，後勒索階段

一旦勒索病毒加密完成，其往往將進行部分模組自毀，以防止自身加密邏輯或記憶體殘留資訊被利用於解密，並釋放勒索模組向受害者使用者提供勒索資訊，要求受害者使用者透過特定渠道支付贖金。在該階段，主要勒索過程均已完成，只剩餘提示勒索資訊，因故稱之為後勒索階段。同時具有二次投毒功能的勒索病毒在該環節還會根據當前作業系統植入不同型別的持久化後門渠道用於後續人工操作二次勒索或擴大攻擊面。

 

勒索軟體1.0時代加密讓資料無法使用

事實上，最早被記錄的勒索病毒可追溯到1989年-AIDS木馬，這款木馬的傳輸方式和加密手段包括支付贖金的方式都相對簡單，且無特定目標。17年後，另一款勒索軟體Archievus木馬釋出，這是首款使用非對稱加密的勒索軟體，Archievus木馬會將系統中“我的文件”裡面的所有檔案都加密，需要使用者從指定網站購買金鑰才可以解密檔案。

從2013年的CryptoLocker開始，駭客團伙開始利用比特幣作為贖金；2015年，全球首例安卓勒索軟體LockerPin出現，這也是第一款能真正重置（修改）手機PIN碼，永久鎖定裝置的惡意軟體。當時，LockerPin要求500美元才幫受害者解鎖。同年，勒索軟體即服務(RaaS)也開始出現。總的來說，從1989到2016十餘年間，勒索病毒攻擊事件僅零星發生，影響很小，並未形成規模。

 

勒索軟體2.0時代加密之上的手段多元化

經過多年變種演進，勒索病毒開始產業化發展，迅速催生出完整的勒索產業鏈，專業的勒索家族團伙開始做大。同時，勒索病毒開始不講武德，不再只是單純的加密資料，而且還會在網際網路上釋出被盜資料，並呈現出新的發展趨勢：

1)      雙重勒索成為新常態，不給錢就洩密。企業為應對勒索病毒攻擊，通常會採用多套備份方案，當遭遇勒索病毒加密系統時，一般會選擇自行恢復，拒絕繳納贖金。駭客團伙為避免勒索失敗，開始採取新的策略：先竊取敏感資料，之後再對企業資產進行加密。如果企業拒絕繳納贖金解密，就在暗網上公開企業部門敏感資料，如果企業依然拒絕繳納贖金，攻擊者就會直接公開所竊取的企業敏感資料，或將竊取的資料進行出售，進行二次獲利。

2)      傳播媒介開始多樣化，勒索病毒1.0時代，其主要透過釣魚郵件、網路共享檔案、惡意內部人員、社交網路、彈窗和可移動儲存介質等進行傳播，隨著駭客團伙不斷對其攻擊媒介進行改進，現在勒索病毒更多利用曝出的各種技術漏洞，以及人員的漏洞、魚叉式攻擊，或水坑攻擊等非常專業的駭客攻擊方式傳播，乃至透過軟體供應鏈傳播，都大大加大了入侵成功率和病毒影響面。同時勒索病毒開始引入持久化後門，進行後期人工後門入侵投毒的二次傷害情況

3)      定向攻擊特點愈發明顯，相比之前“廣撒網”，近年來針對性的攻開始井噴，勒索軟體團伙針對高價值的大型政企機構攻擊行為越來越頻繁。為了追求利益最大化，多數情況下，攻擊者並不滿足於加密企業內的一臺機器。攻擊者往往在攻陷企業一臺網路資產之後，會利用該資產持續滲透攻陷更多資產，之後大量植入檔案加密模組，從而迫使企業在系統大面積癱瘓的情況下繳納贖金。

4)      在勒索病毒2.0時代，出現了RaaS之上的橫向產業鏈合作，即在產業鏈同一維度中的勒索病毒團伙間開始了商業合作模式，彼此將勒索的使用者資料共享，共享相同的資料洩露服務渠道，多團伙多次向同一目標持續勒索等。

 

勒索軟體2.0時代防禦體系

當前，勒索病毒解決方案仍然以防毒軟體為主，但勒索病毒的變異特徵較為明顯，會透過更新/修改自身程式碼以繞過防毒軟體的查殺，因此，傳統以黑名單為主的勒索病毒防護產品需要頻繁地更新特徵庫，以適應病毒的變化，其被動防禦的缺陷已無法滿足政企使用者對勒索病毒防護的最新需求。

主動防護

美創科技透過對大量勒索軟體分析，發現勒索病毒無論如何變化，最終都需要修改檔案來達到加密目的，這其中包括讀取檔案、寫入檔案、刪除檔案、複製檔案等操作，美創諾亞防勒索系統從資產、入侵和風險三個視角出發，結合底層驅動技術，監控所有核心應用程式，基於多個認證因子實現核心可信應用程式判斷，對非認證授權範圍內的程式讀寫操作直接阻斷。

針對當前政企使用者複雜的防護場景，諾亞防勒索全面滿足文件、資料庫、啞終端等防護需求，適配相容包括Windows、Ubuntu、RedHat、CentOS、Oracle Linux等作業系統。

美創諾亞防勒索系統

1)      文件防勒索

針對員工PC、伺服器的文件進行防護，如：核心機密文件、日常辦公文件、高價值檔案、各類隱私文件。

2)      資料庫防勒索

針對Oracle、Sql Server、Mysql、DB2、DM、人大金倉、達夢、優炫等主流資料庫、國產資料庫，指定資料庫型別或新增資料庫可執行程式，允許只有資料庫本身才能對資料檔案進行修改等操作。

3)      啞終端防勒索

針對廣泛使用啞終端的關鍵性行業，如銀行的ATM機、加油站自助機、醫院自助查詢機等。在堡壘模式下，任何新的軟體都無法執行，勒索軟體執行失敗，從而無法破壞檔案。

底線防禦

資料備份與災難恢復，是針對勒索病毒攻擊事件進行風險規避的重要組成部分，美創科技執行安全業務聚焦使用者業務連續性和資料完整性，可提供資料級容災、資料複製、全業務容災、CDP災備一體機、災備集中管控等產品，透過離線備份、異地實時備份，以及建立異地容災站點等服務保證生產庫和備份庫分離，確保二者不被同時勒索，即使勒索後依然有資料可以恢復，最大程度減少對業務的影響。

安全保險

安全保險

網路勒索保險是低機率、高損失風險轉移的重要手段，美創科技為進一步消除廣大企業對勒索病毒入侵造成的損失，做好風險兜底，聯合國任保險、源堡科技公司，推出“網路勒索損失保險”風險解決方案，以 “勒索風險評估+諾亞防勒索防護+保險兜底”形式，幫助使用者有效轉嫁潛在的安全風險與經濟損失。

此外，購買勒索軟體防護保險也是一種有效的組織風險控制手段，如：承保前的風險評估；在保期間的風險預防管理，勒索威脅情報、意識培訓等，都能從一定程度提升組織對於潛在安全風險的識別能力、突發安全事件的應對能力和事後的恢復能力。

 

透過“諾亞防勒索+容災備份+勒索軟體防護保險”三位一體構建的勒索病毒防禦體系，可有效幫助各行業使用者有效降低潛在的安全風險與經濟損失，提高突發安全事件的應對能力。截止目前，美創科技已成功為醫療、政府、能源、物流交通等行業近百家客戶抵禦勒索病毒攻擊。