【零信任】用零信任消灭勒索病毒
2021-04-21
作者: 冀托
来源: 白话零信任
1、勒索病毒介绍
最早的勒索病毒源自美国国安局。一个叫“shadow broker”的黑客组织从美国国安局下属单位窃取数据的时候,顺手从国安局的武器库里偷出来一些黑客工具,直接就公开到了互联网上。
公开之后,有黑客基于这些工具开发勒索病毒,进行敲诈勒索。第一批人尝到甜头之后,越来越多的人开始效仿,开发变种病毒。从此,勒索病毒开始席卷全球,灾难开始爆发。
勒索病毒就长上面这样。服务器中了勒索病毒之后,服务器上的文件会被加密,无法打开。病毒完成加密之后,会在界面上弹出勒索信息:你的文件都被加密了,只有拿到私钥,才能解密。支付几个比特币的赎金,就给你解密的私钥。
这种加密的破解难度很高,所以很多公司无可奈何之下,只能选择支付赎金。
2、勒索病毒为什么能肆虐
(1)病毒变种多,难以查杀
勒索病毒变种非常多,变化很快。杀毒软件一般是根据已知的病毒库去对比特征、发现病毒的。新开发的病毒的特征没那么快进入病毒库,所以很多新病毒,杀毒软件识别不出来。
一般勒索病毒的开发者发布病毒之前,肯定也会自己测一下,常见的杀毒软件杀不了,才去展开攻击。所以,面对勒索病毒,现有防病毒手段难以奏效。
(2)传染性极强
勒索病毒可以通过漏洞传播,国内大量用户使用盗版系统,补丁更新不及时,导致漏洞广泛存在。
用户中毒后,勒索病毒会自动扫描其他设备的漏洞,所以传播性极强。
(3)病毒开发者难以追踪
勒索过程一般是用比特币结算的,比特币是去中心化的,没有一个总的服务器可以查询账户对应的个人信息,所以基本追踪不到黑客本人。世界上这么多勒索病毒,现在都没几个开发者落网。
成本低而且收益高,所以搞勒索病毒的人越来越多。
3、勒索病毒的传播原理
勒索病毒可以通过漏洞、邮件、程序木马、网页挂马等形式传播。利用漏洞进行传播是勒索病毒最常见的传播方式。
最早的勒索病毒只是一个软件,现在勒索病毒技术上越来越强大,已经变成云服务了(RaaS,Ransomware-as-a-Service勒索软件即服务)。云服务让勒索病毒更加强大。例如,加密所用的密钥是从云端获取的,勒索信息在后台可以实时编辑等等。
(1)传播目标
从操作系统方面看,传播目标中Windows和Linux都有。重灾区是Windows XP、Windows 7等老旧系统。虽然微软官方都已经不再维护了,但是国内很多的机关单位仍在大量的使用这些老旧的系统。
个人电脑和企业服务器都是勒索病毒的目标。企业服务器多暴露在公网,所以比个人电脑更容易被攻击。
(2)入侵
勒索病毒攻击一般始于网络端口扫描。找到网络内高价值服务器、数据库后,利用漏洞进入目标服务器。
著名的勒索病毒WannaCry就是利用了Windows的smb协议(文件共享)的漏洞进行传播的。扫描445端口,发现漏洞之后,就能在电脑里执行任意代码,植入后门程序,然后继续扫描传播。
WannaCry使用Doublepulsar后门程序向目标电脑传输木马和其他下一步所需的工具,远程安装并运行。
传输过程是加密的,安全设备很难检测到恶意软件的传输。
为什么第一批病毒受害者多为高校、医院等机构呢?就是因为很多勒索病毒是利用445端口进行攻击。
由于国内曾多次出现利用445端口传播的蠕虫病毒,部分运营商对个人用户封掉了445端口。但是教育网并无此限制,存在大量暴露着445端口的机器,因此成为攻击的重灾区。
(3)获取密钥
勒索病毒的加密算法几乎都比较复杂,需要获取“密钥”才能进行加密。而且要保证对每个用户使用不同的密钥。
所以,勒索病毒利用漏洞入侵目标之后,首先要从自己的服务器端获取密钥,才能开始加密。
为了隐藏自己,勒索病毒跟服务端的通信一般都是通过Tor协议进行通信,或者是经过多层代理服务器的跳转然后进行通信。这两种方式都可以防追踪,避免服务器被别人发现。
所以,WannaCry利用后门进入目标电脑之后,第一件事就是安装一个tor客户端,再通过tor客户端与自己的服务器通信。
勒索病毒会上传当前设备的信息,比如系统版本等,勒索病毒服务器根据设备信息来判断下发什么样的加密方式和密钥。
(4)收集目标文件
勒索病毒会进行一些准备工作,为下一步文件加密做好准备。
例如,勒索病毒会停掉数据库和服务器,释放其所占用的资源,以便对这些数据进行加密。
勒索病毒会使用工具破坏服务器内的安全软件,例如关闭Windows Defender。
最后勒索病毒一般会对被攻击计算机上的文件进行遍历,对比文件的扩展名,找到最有价值的数据进行加密。
不同的病毒会以不同的文件为目标,WannaCry的目标包括office文档、代码、视频、图片、程序、密钥、数据库文件、虚拟盘等等。
(5)文件加密
勒索病毒的加密过程很快。受害者的文件会被篡改文件后缀。加密后的各类文件都无法正常打开,只有支付赎金才能解密恢复。
例如,Ripid病毒对文件进行加密之后,就会添加。rapid拓展名。并在每个文件夹中创建“How Recovery Files.txt”提示文件,让受害者知道如何进行付款。
(6)勒索信息
勒索病毒的最后一步就是展示勒索信息。
例如,WannaCry会在加密文件之后,运行锁屏程序,并进行重启,用户再次进入电脑时就会看到弹出的勒索信息。
比较讽刺的是一般勒索病毒的体验会做的特别的好。
例如,一般勒索信息都支持多语言切换。
做勒索病毒的人里面还有很多营销大师。
例如,48小时内未支付,赎金翻倍。如不交赎金,则会将数据公开拍卖。企业即使在有文件备份的情况下,为了数据不被泄露,也不得不交付赎金。
(7)其他进攻手段
僵尸网络、银行木马等与勒索病毒的合作也越来越多,例如MegaCortex勒索病毒会通过Qakbot银行木马传播,Ryuk勒索病毒会通过Trickbot银行木马传播。
甚至有人会在“暗网”招收不同地区的代理进行合作,利用RDP弱口令渗透、钓鱼邮件、软件捆绑、漏洞等多种手段进行传播。
例如,STOP勒索病毒会藏匿在激活工具、下载器、破解软件内,“微信支付”勒索伪装成薅羊毛软件等。
5、如何防御勒索病毒
防御勒索病毒没法单纯依赖杀毒。因为病毒刚开发出来的时候,杀毒软件的病毒库还没收录。这时的杀毒软件是无法识别勒索病毒的。
既然没法彻底杀死,那么面对勒索病毒,最好的办法是做好防控。
“零信任”是目前最好的做访问控制的安全架构。
6、零信任怎么防御勒索病毒
(1)网络隐身,减少攻击面
暴露在互联网上的端口,如135、139、445、3389等等,都非常容易成为勒索病毒攻击的目标。一旦运行在这些端口上的服务没有及时升级,被勒索病毒找到漏洞,就很容易攻击进来。
零信任架构的网关一般都具备网络隐身的能力,可以限制这些端口的暴露面。网关上的防火墙跟用户身份绑定,端口只对合法用户开放,对其他人关闭。
零信任网关会检查流量中的身份信息,合法的流量才允许通过。
勒索病毒发出的流量中没有合法的身份信息。所以,勒索病毒的所有请求都会被拒绝。勒索病毒针对445端口发起攻击的话,会发现445端口根本无法建立连接。对勒索病毒来说,零信任网关的所有端口都是关闭的,完全无法扫描到任何漏洞。
隐身技术的更多细节可以参考我的另一篇文章《零信任里的隐身黑科技》。
(2)切断病毒的远程通信
勒索病毒一般需要连接到服务端来获取加密密钥。
零信任可以对服务器的出口做访问控制策略。服务器出口方向只开放真正需要访问的外部IP和端口,这样可以防止勒索病毒连接远端服务器下载密钥信息。
这样,就可以阻断勒索病毒与服务端的通信,勒索病毒无法获取密钥和其他工具,自然就无法进行后续的攻击了。
(3)微隔离,避免横向扩散
零信任的理念是始终假设威胁已经存在。如果有一个服务器已经中毒了,那么我们应该做的是不让这个服务器传染其他服务器。
微隔离技术是零信任架构的重要组成部分,可以实现服务器之间的访问控制。
微隔离技术能实现比普通的防火墙更细粒度的管控。利用微隔离技术,可以给每个设备建立访问规则。
默认情况下,所有连接都会被拒绝。零信任只授予完成工作所须的最小权限。只有少数服务器可以访问那些敏感端口。
这样就限制了病毒的二次传播和横向蔓延。
实施微隔离不是一蹴而就的,可以先对敏感性高的,或者风险性高的服务器进行隔离。通过建立可视化视图,可以理清服务器间的依赖关系,先对网络中的关键节点进行控制。
更多细节可以参考我的另一篇文章《用微隔离实现零信任》。
(4)用户设备的持续验证
勒索病毒可能会通过钓鱼邮件、网页挂马等方式进入用户电脑。
零信任架构中通常会有一个客户端软件,安装在用户电脑上。客户端会定期扫描。
一旦发现病毒入侵迹象,立即通知管控平台和网关,将用户变为不可信状态。零信任网关立即阻断这个用户的所有连接,并且在白名单中将用户剔除,不再允许用户访问任何资源,直到用户清理完病毒为止。
如果用户电脑上没有发现病毒,但是有其他安全漏洞,那么这个用户也会因为可信等级过低而被隔离。
例如,用户电脑上的病毒库比较老旧,或者操作系统没有升级到最新,或者开启了高危的服务端口,或者安装了没有签名的软件等等。用户有一项没有满足就扣10分。如果用户低于80分,就无法访问敏感数据。一旦信任分低于60分,那么用户就会被彻底隔离。
(5)多因子身份认证
如果用户密码过于简单,那么勒索病毒有可能通过破解密码,直接获取系统权限,进而感染、传播。
零信任包含身份认证系统,这相当于在业务系统外面又加了一层防护罩。用户必须先通过零信任的身份验证,才能获取权限连接到业务系统。
零信任的身份认证可以做统一的加强。例如,禁止用户使用弱口令,禁止不同端点使用相同或相似的密码。增加多因子认证。用户登录时要求插入Ukey,或者用户访问敏感数据前要求输入短信验证码等等。
(6)异常行为识别
中了病毒的设备跟普通用户在行为方式上有很大不同。
例如,病毒需要不停地探测身边的其他设备,寻找漏洞,进行传播。再比如,当病毒入侵到一个设备之后,必然会创建新的管理员账号,并开始复制各类攻击工具。
零信任架构中的用户行为识别系统可以检测到这种行为特征。发生异常行为时,会立即触发一次强认证。病毒必然无法通过认证。此时,网关就可以对认证失败的病毒设备进行隔离,阻断该设备一切连接。
整个事件会在后台记录,发出告警。IT团队可以及时找到异常设备,进行漏洞修复和数据恢复。
7、其他补救方式
零信任是一个逐步建设的过程,业务系统没有全部接入零信任之前,怎么避免中招?
(1)重要数据定期备份
正所谓有备无患,对用户来说,有了备份,文件被勒索病毒加密了也可以快速恢复。
但是对企业来说,单纯靠备份是不够的。因为如果勒索病毒攻进来了,业务办公肯定要受到严重影响,备份只能帮助挽回数据损失,耽误的业务宕机时间是无法弥补回来的。
备份时,要注意最好是进行远程异地的备份。或者是存在一个单写多读的存储设备上,只能写入一次,可以多次读取。避免备份本身被感染。
为了真的出问题时能快速响应,最好定期进行应急演练。做足准备,才能保证真出问题的时候,快速恢复到正常状态。
(2)系统漏洞补丁自动升级
实施零信任后,可以有效地隐藏漏洞,但其实漏洞仍然存在,企业还是应该尽可能地打补丁修复。
8、中毒后如何解除
勒索病毒重点在于防,但是已经中招的话,也可以碰碰运气。如果是很老的病毒的话,是可以解除的。
(1)去MalwareHunterTeam的官网上传病毒样本,确认病毒属于哪个家族
(2)上网搜索相应的解密工具,例如卡巴斯基等公司都出过勒索病毒解密工具集。
如果是最新的病毒,可能是解除不了的。所以重点其实还是在于预防。
9、总结
勒索病毒的变种越来越多,勒索病毒已经成为了一种常见的威胁。零信任帮你可以缩小攻击面,降低勒索病毒带来的伤害。如果你不希望有一天要靠备份文件重建系统的话,最好还是尽早实施零信任或类似架构为好。