年度安全峰會(huì)RSA2017已于美國時(shí)間2月13日盛大開幕，按照慣例，RSA組委會(huì)會(huì)根據(jù)參會(huì)組織所屬領(lǐng)域及發(fā)言人提報(bào)議題內(nèi)容提煉相關(guān)的熱門詞，本屆大會(huì)也不例外。DATA、CLOUD、THREAT、INTELLIGENCE等一直是近幾年的熱點(diǎn)領(lǐng)域，從過去兩天的大會(huì)議題來看，今年又多了一個(gè)熱點(diǎn)——Ransomware(勒索軟件)。

　　為什么勒索軟件會(huì)成為今年熱點(diǎn)

　　根據(jù)FBI發(fā)布的信息來看，2016年Q1發(fā)生的網(wǎng)絡(luò)勒索事件中，被攻擊者向黑客支付的贖金就超過2億美元，而2015年一整年僅有2400萬美元?？ò退够鶎?shí)驗(yàn)室IT威脅演化2016第三季度報(bào)告顯示，遭受加密勒索軟件攻擊的互聯(lián)網(wǎng)用戶數(shù)量增長了超過2倍,達(dá)到821865人。賽門鐵克按照年份統(tǒng)計(jì)的勒索軟件，上漲趨勢也非常明顯。

(賽門鐵克按照年份統(tǒng)計(jì)的勒索軟件)

　　勒索軟件能夠如此猖獗，很大一部分原因在于它采用社交工程迷惑用戶，病毒借助惡意郵件對受害者狂轟濫炸以達(dá)到非法侵入目的。從目前來看，有99%的勒索病毒來源于電子郵件的傳播，犯罪者往往能夠抓住公眾或者目標(biāo)受眾所關(guān)心的話題，打著“最新消息”、“中獎(jiǎng)”、“緋聞探秘”、“免費(fèi)送iPhone”等旗號引誘用戶點(diǎn)擊病毒鏈接，誘使用戶下載執(zhí)行惡意程序，從而加密用戶數(shù)據(jù)、文件乃至分區(qū)等等，對受害者實(shí)施敲詐勒索，有些勒索甚至危及性命。

　　勒索軟件正在向大數(shù)據(jù)/云計(jì)算/物聯(lián)網(wǎng)等平臺(tái)擴(kuò)散

　　綜合Datto和SentinelOne的數(shù)據(jù)來看，Ransomware事件普遍發(fā)生在醫(yī)療、交通、政府、酒店等行業(yè)，并開始有向IOT、工控，以及公有云領(lǐng)域擴(kuò)散的趨勢。

　　對勒索軟件的作者而言，哪種方式能夠得到更多勒索贖，哪種方式更容易黑入，他們就會(huì)潛入。可以想象，如果有夠多的利益誘惑，他們甚至敢勒索一個(gè)國家。

　　勒索軟件大量利用漏洞進(jìn)行滲透

　　勒索軟件慣用伎倆是利用漏洞進(jìn)行惡意軟件安裝，下面這張表，列出了每年勒索軟件進(jìn)行漏洞利用的數(shù)量。出現(xiàn)新的漏洞利用時(shí)，勒索軟件的作者會(huì)立刻進(jìn)行相應(yīng)更新，這樣就能感染到更多的設(shè)備，會(huì)有更多受害者，也就有更多贖金的可能。是的，他們很“勤奮”。

　　漏洞方式不靈就用釣魚作為突破手段

　　“ GoldenEye ”是勒索軟件 Petya 的一個(gè)變種系列，惡意宏代碼可執(zhí)行、加密計(jì)算機(jī)上的文件。加密完成后，代碼會(huì)修改主引導(dǎo)記錄( MBR )，重新啟動(dòng)電腦并加密磁盤文件。此類釣魚郵件專門針對人力資源部門，HR需要大量打開陌生人的電子郵件和附件去了解求職者情況的特性就讓不法分子鉆了空子，，

　　通常，釣魚郵件中包含兩個(gè)附件，其中一個(gè)附件是正常的 PDF 求職信，目的是為了迷惑受害者讓她相信這確實(shí)是一個(gè)求職者。此后，受害者會(huì)打開另外一個(gè)帶有惡意宏功能的 Excel 文件。 Excel 會(huì)顯示一個(gè)正在加載的圖片并請求受害者啟用內(nèi)容，以便繼續(xù)加載宏文件。一旦受害者單擊“啟用內(nèi)容”宏內(nèi)的代碼將被執(zhí)行并啟動(dòng)加密文件進(jìn)程，使受害者無法訪問文件。

　　勒索軟件“ GoldenEye ”會(huì)以 8 個(gè)字符的隨機(jī)擴(kuò)展名加密文件，所有文件加密后，將會(huì)顯示一個(gè)勒索信“你的文件已被加密.txt”。

　　而用戶中招后 往往是付了贖金還被撕票

　　黑客攻破主機(jī)，通常會(huì)加密鎖定用戶的關(guān)鍵文件、文件夾等(比如Windows的用戶目錄、My Documents、相片、工作有關(guān)的docx/xlsx等)，讓受害者不能訪問，并向受害者發(fā)出或者留下勒索信息，勒索的贖金通常通過比特幣來支付，通常是半個(gè)到1個(gè)比特幣。從調(diào)研數(shù)據(jù)來看，接近一半的受害者會(huì)支付贖金想要恢復(fù)數(shù)據(jù)，但不幸的是四分之一的受害者依然得不到恢復(fù)——“付贖金，依然被撕票”。

　　所以防范勒索軟件攻擊 是個(gè)系統(tǒng)化工程

　　會(huì)議中來自于Stanford University的CISO、Datto的Chief Technology Officer、SentinelOne的Chief of Security Strategy、DataGravity的CISO等專家一致表示當(dāng)前針對勒索軟件的防護(hù)沒有“銀彈”，是一個(gè)系統(tǒng)化的工程，重點(diǎn)是：

　　1、需要從人員的安全意識培訓(xùn)入手，降低人為引入的威脅。小編：勒索軟件大多通過釣魚郵件方式撒網(wǎng)，用戶不小心接收打開后中招。所以，提高用戶的安全意識很重要。從源頭上進(jìn)行的防護(hù)。

　　2、做好數(shù)據(jù)備份與持續(xù)更新，在關(guān)鍵時(shí)刻可以發(fā)揮作用。小編：備份、備份、備份，重要的事情說三遍。另外，備份需要3-2-1的原則：至少3份拷貝，存放在2個(gè)地方(異地備份)，1個(gè)離線備份。事實(shí)上，還出現(xiàn)過這種“意外”，個(gè)別用戶做了備份，卻是在線的，結(jié)果也被勒索軟件一起給加密了，真是哭笑不得。

　　3、保證操作系統(tǒng)更新到最新的版本，降低受攻擊的可能性。

　　4、應(yīng)用防病毒、未知威脅檢測等技術(shù)對勒索軟件進(jìn)行檢測與防護(hù)。

　　提升安全意識 不僅需要培訓(xùn)更需要培養(yǎng)

　　事實(shí)上，安全意識培養(yǎng)在ISO27001信息安全管理體系標(biāo)準(zhǔn)要求中也占據(jù)一個(gè)獨(dú)立的控制項(xiàng)，，足以說明他的重要程度。

　　因?yàn)榘踩庾R不是簡單一次兩次培訓(xùn)就能提升的，它需要一個(gè)較長的時(shí)期來滲透，所以用“培養(yǎng)”更為貼切些。在安全意識培養(yǎng)方面，綠盟科技結(jié)合國內(nèi)近期大規(guī)模出現(xiàn)的勒索軟件攻擊事件(如locky勒索軟件等)，推出了“釣魚郵件測試平臺(tái)”及相關(guān)服務(wù)。

　　平臺(tái)還可以通過自定義郵件模擬最新的勒索變種，定向了解單位某部門或某部分員工的意識形態(tài);通過反復(fù)測試的方式，輔助以安全教育，提升安全警惕性和辨別能力，防患于未然。

　　當(dāng)然還需要從技術(shù)層面抵御勒索軟件

　　已知勒索軟件比較好查殺，但往往攻擊者為了躲避查殺，會(huì)繞開“已知”想盡各種“未知”招數(shù)。這個(gè)時(shí)候，動(dòng)態(tài)分析引擎就起到?jīng)Q定性作用，它會(huì)在系統(tǒng)中動(dòng)態(tài)跟蹤目標(biāo)樣本的執(zhí)行動(dòng)作，一旦“不軌”，立刻“抓獲”。

　　2016年年底，綠盟威脅分析系統(tǒng)(NSFOCUS TAC)幫助華中某大型煙草公司的客戶檢測到勒索軟件，通過部署的NSFOCUS TAC產(chǎn)品，動(dòng)態(tài)分析引擎發(fā)現(xiàn)了這個(gè)惡意軟件，工程同事在虛擬機(jī)里驗(yàn)證，分析了勒索軟件的最新趨勢，并給出解決方案。

　　用綠盟遠(yuǎn)程安全評估系統(tǒng)RSAS 應(yīng)對勒索軟件攻擊大數(shù)據(jù)平臺(tái)

　　近期，部分黑客組織針對ElasticSearch、MongoDB、Hadoop集群等大數(shù)據(jù)平臺(tái)進(jìn)行了勒索攻擊。統(tǒng)計(jì)結(jié)果顯示，已有至少34000多臺(tái)MongoDB數(shù)據(jù)庫被黑客組織入侵。超過了2711臺(tái)ElasticSearch服務(wù)器受到黑攻擊，數(shù)據(jù)庫中的數(shù)據(jù)均被黑客加密并索要贖金。緊隨這兩個(gè)攻擊事件，目前已經(jīng)有黑客將目標(biāo)指向Hadoop集群。目前綠盟遠(yuǎn)程安全評估系統(tǒng)(NSFOCUS RSAS)已開發(fā)相關(guān)原理檢測插件，即將于本周發(fā)布相關(guān)插件升級包：rsas-vulsys-V6.0R02F01.0502.dat，已采購綠盟RSAS產(chǎn)品的廣大客戶盡快升級檢測，及時(shí)發(fā)現(xiàn)安全隱患，防止您的寶貴資產(chǎn)遭受損失。

特別提醒：本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點(diǎn)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，并請自行核實(shí)相關(guān)內(nèi)容。本站不承擔(dān)此類作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請及時(shí)聯(lián)系我們，本站將會(huì)在24小時(shí)內(nèi)處理完畢。