勒索攻擊猖獗，在云上如何應(yīng)對(duì)這位“破壞分子”？
更新：2020/1/4    點(diǎn)擊數(shù)：3883

借助比特幣等數(shù)字貨幣的匿名性，勒索攻擊在近年來(lái)快速興起，給企業(yè)和個(gè)人帶來(lái)了嚴(yán)重的威脅。阿里云安全中心發(fā)現(xiàn)，近期云上勒索攻擊事件持續(xù)發(fā)生，勒索攻擊正逐漸成為主流的黑客變現(xiàn)方式。

一、近期勒索行為數(shù)據(jù)分析

1.云主機(jī)被勒索事件上漲

阿里云安全中心發(fā)現(xiàn)，近期被勒索病毒攻擊成功的受害主機(jī)數(shù)持續(xù)上漲。造成勒索事件上漲趨勢(shì)的原因主要有以下三個(gè)方面：

· 越來(lái)越多的勒索病毒集成了豐富的攻擊模塊，不再只是傳統(tǒng)地爆破弱口令，而是具備了自傳播、跨平臺(tái)和蠕蟲(chóng)的功能，如Lucky、Satan勒索病毒等。

· 云環(huán)境租戶業(yè)務(wù)的多樣性，不斷出現(xiàn)的業(yè)務(wù)場(chǎng)景日趨復(fù)雜，使得用戶展示給黑客的基礎(chǔ)攻擊面不斷放大，持續(xù)面臨漏洞的威脅。

· 企業(yè)安全意識(shí)不足，未做好口令管理和訪問(wèn)控制，因此給了黑客可乘之機(jī)。

下圖展示了近半年來(lái)勒索病毒攻擊成功的趨勢(shì)：

主流的勒索家族，如Crysis、GrandCrab和Lucky等非�；钴S，并且其他的勒索家族也逐漸形成規(guī)模，導(dǎo)致勒索病毒感染量有所上漲。下圖是云上捕獲到的勒索家族占比：

2.勒索攻擊可做到有跡可循

阿里云安全中心基于近期的入侵?jǐn)?shù)據(jù)分析發(fā)現(xiàn)，攻擊者以通過(guò)云主機(jī)的安全配置缺陷和漏洞利用為主，進(jìn)行入侵并植入勒索病毒，目前暫未發(fā)現(xiàn)新的入侵方式。

1）弱口令爆破。通過(guò)爆破22、445、135、139 、3389、1433等弱口令，獲取服務(wù)權(quán)限。

SSH/RDP暴力破解持續(xù)活躍。SSH與RDP服務(wù)為L(zhǎng)inux/Windows云上兩種主要服務(wù)器操作系統(tǒng)的遠(yuǎn)程管理入口，長(zhǎng)期受到黑客以及僵尸網(wǎng)絡(luò)的關(guān)注，其攻擊面主要在弱口令，攻擊方法為暴力破解。

下圖為高危用戶名統(tǒng)計(jì)數(shù)據(jù)：

勒索攻擊猖獗，在云上如何應(yīng)對(duì)這位“破壞分子”？

統(tǒng)計(jì)結(jié)果表明，root/administrator是暴力破解最重要的兩大用戶名，這兩個(gè)用戶名對(duì)各種linux/windows系統(tǒng)而言無(wú)疑覆蓋面最廣，對(duì)其進(jìn)行弱口令嘗試破解性價(jià)比較高。

勒索病毒常使用的暴力破解密碼字典如下：

PASSWORD_DIC = [ 
 '', 
 '123456', 
 '12345678', 
 '123456789', 
 'admin123', 
 'admin', 
 'admin888', 
 '123123', 
 'qwe123', 
 'qweasd', 
 'admin1', 
 '88888888', 
 '123123456', 
 'manager', 
 'tomcat', 
 'apache', 
 'root', 
 'toor', 
 'guest' 
] 

2）漏洞利用

由于云環(huán)境租戶業(yè)務(wù)的特殊性，Web服務(wù)長(zhǎng)期成為公有云威脅的主要受力點(diǎn)，攻擊次數(shù)占據(jù)基礎(chǔ)攻防的47%左右，這些Web漏洞迅速被僵尸網(wǎng)絡(luò)以及勒索病毒集成到武器庫(kù)中，并在互聯(lián)網(wǎng)中傳播。阿里云安全中心通過(guò)統(tǒng)計(jì)云上脆弱的Web服務(wù)，分析出用戶需要重點(diǎn)做安全加固的Web服務(wù)。

近期在云上持續(xù)活躍的Lucky勒索病毒就集成了大量的CVE攻擊組件，使其橫向傳播的能力十分強(qiáng)大。主要利用以下漏洞進(jìn)行攻擊：

• JBoss反序列化漏洞(CVE-2017-12149)
• JBoss默認(rèn)配置漏洞(CVE-2010-0738)
• Tomcat任意文件上傳漏洞(CVE-2017-12615)
• Tomcat Web管理控制臺(tái)后臺(tái)弱密碼暴力攻擊
• WebLogic任意文件上傳漏洞(CVE-2018-2894)
• WebLogic WLS組件漏洞(CVE-2017-10271)
• Apache Struts2 遠(yuǎn)程代碼執(zhí)行漏洞(S2-045、S2-057等)
• Spring Data Commons遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2018-1273)
• Nexus Repository Manager 3遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2019-7238)
• Spring Data Commons組件遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2018-1273)

3.數(shù)據(jù)庫(kù)也能被勒索

值得特別注意的是，阿里云安全中心在3月份發(fā)現(xiàn)了一起成功的數(shù)據(jù)庫(kù)勒索事件，攻擊者通過(guò)爆破phpmyadmin入侵?jǐn)?shù)據(jù)庫(kù)，并刪掉數(shù)據(jù)庫(kù)中數(shù)據(jù)進(jìn)行勒索。

攻擊者刪掉所有的數(shù)據(jù)，留下勒索信息，要求受害者支付贖金來(lái)交換丟失的數(shù)據(jù)：

SET SQL_MODE = "NO_AUTO_VALUE_ON_ZERO";  
SET time_zone = "+00:00";CREATE DATABASE IF NOT EXISTS `PLEASE_READ_ME_XMG`  
DEFAULT CHARACTER SET utf8 COLLATE utf8_unicode_ci;  
USE `PLEASE_READ_ME_XMG`;  
  
CREATE TABLE `WARNING` (  
`id` int(11) NOT NULL,  
`warning` text COLLATE utf8_unicode_ci, 
`Bitcoin_Address` text COLLATE utf8_unicode_ci,  
`Email` text COLLATE utf8_unicode_ci  
) ENGINE=InnoDB DEFAULT CHARSET=utf8 COLLATE=utf8_unicode_ci;  
INSERT INTO `WARNING` (`id`, `warning`,  
`Bitcoin_Address`, `Email`)  
VALUES (1, 'To recover your lost data : Send 0.045 BTC to our BitCoin Address and Contact us by eMail with your server IP Address or Domain Name and a Proof of Payment. Any eMail without your server IP Address or Domain Name and a Proof of Payment together will be ignored. Your File and DataBase is downloaded and backed up on our servers. If we dont receive your payment,we will delete your databases.', '1666666vT5Y5bPXPAk4jWqJ9Gr26SLFq8P', 'muhstik@protonmail.com');  
ALTER TABLE `WARNING` ADD PRIMARY KEY (`id`); 

如果遭遇刪庫(kù)勒索，在支付贖金之前，云安全中心強(qiáng)烈建議受害用戶驗(yàn)證攻擊者是否真正擁有您的數(shù)據(jù)并且可以恢復(fù)。在我們監(jiān)控的攻擊中，我們無(wú)法找到任何轉(zhuǎn)儲(chǔ)操作或數(shù)據(jù)泄漏的證據(jù)。

二、云安全中心：讓勒索攻擊無(wú)所遁形

勒索攻擊猖獗，在云上如何應(yīng)對(duì)這位“破壞分子”？

為了應(yīng)對(duì)棘手的勒索病毒攻擊，保障企業(yè)和個(gè)人在云上的資產(chǎn)安全，阿里云安全中心通過(guò)構(gòu)建多維安全防線，形成安全閉環(huán)，讓一切攻擊都有跡可循，讓威脅無(wú)縫可鉆。

1.安全預(yù)防和檢測(cè)

在黑客還沒(méi)有入侵之前，阿里云安全中心通過(guò)漏洞管理，主動(dòng)發(fā)現(xiàn)潛在的漏洞風(fēng)險(xiǎn)，通過(guò)基線檢查，一鍵核查弱口令等安全合規(guī)配置。

在黑客入侵過(guò)程中，云安全中心通過(guò)威脅建模和數(shù)據(jù)分析，主動(dòng)發(fā)現(xiàn)并記錄黑客的攻擊鏈路，及時(shí)提醒用戶進(jìn)行安全加固和漏洞修復(fù)。因此建議用戶從漏洞、基線的角度構(gòu)建安全防線。

2.主動(dòng)防御

在黑客入侵成功之后，并嘗試進(jìn)行勒索行為時(shí)，阿里云安全中心基于強(qiáng)大的病毒查殺引擎，實(shí)現(xiàn)主動(dòng)防御，在網(wǎng)絡(luò)中阻斷勒索病毒的下載，在服務(wù)器端阻止勒索病毒的啟動(dòng)，并對(duì)其隔離阻斷，在黑客成功攻擊受害者主機(jī)的情況下，也能免于勒索病毒的侵害，保障業(yè)務(wù)正常運(yùn)行。

3.調(diào)查溯源 

阿里云安全中心基于多維度的威脅攻擊檢測(cè)、威脅情報(bào)等數(shù)據(jù)，可以自動(dòng)化溯源黑客對(duì)服務(wù)器的整個(gè)入侵鏈路，輔助用戶加固自己的資產(chǎn)，讓用戶擁有安全運(yùn)營(yíng)能力。

三、安全建議

1. 借助阿里云安全中心排查已知的漏洞和脆弱性風(fēng)險(xiǎn)，及時(shí)修復(fù)和加固，避免被勒索病毒襲擊。

2. 加強(qiáng)自身安全意識(shí)，確保服務(wù)器上的所有軟件已更新和安裝了最新補(bǔ)丁，不存在弱口令的風(fēng)險(xiǎn)，定時(shí)備份有價(jià)值的數(shù)據(jù)，關(guān)注最新的漏洞警報(bào)，并立即掃描其系統(tǒng)以查找可能被利用的已知CVE，并且在不影響業(yè)務(wù)的情況下，禁用Powershell、SMB等服務(wù)。

3. 建議您不要支付贖金。支付贖金只會(huì)讓網(wǎng)絡(luò)犯罪分子確認(rèn)勒索行為是有效的，并不能保證您會(huì)得到所需的解鎖密鑰。

4. 如果您不幸被勒索病毒感染，可以等待獲取最新的免費(fèi)解密工具，獲取鏈接如下：https://www.nomoreransom.org/zh/decryption-tools.html