勒索病毒安全防护手册.pdf
《勒索病毒安全防护手册.pdf》由会员分享,可在线阅读,更多相关《勒索病毒安全防护手册.pdf(39页珍藏版)》请在咨信网上搜索。
1、勒索病毒安全防护手册 中国信息通信研究院 2021 年 9 月前 言 勒索病毒是一种极具传播性、破坏性的恶意软件,主要利用多种密码算法加密用户数据,恐吓、胁迫、勒索用户高额赎金。近期,勒索病毒攻击形势更加严峻,已经对全球能源、金融等领域重要企业造成严重影响。由于勒索病毒加密信息难以恢复、攻击来源难以追踪,攻击直接影响与生产生活相关信息系统的正常运转,勒索病毒对现实世界威胁加剧,已成为全球广泛关注的网络安全难题。为加强勒索病毒攻击防范应对,在工业和信息化部网络安全管理局指导下,中国信息通信研究院联合中国电信集团有限公司、中国移动通信集团有限公司、中国联合网络通信集团有限公司、安天科技集团股份有限
2、公司、杭州安恒信息技术股份有限公司、奇安信科技集团股份有限公司、绿盟科技集团股份有限公司1等单位编制勒索病毒安全防护手册,梳理勒索病毒主要类型、传播方式,分析勒索病毒攻击特点,聚焦事前预防,事中应急、事后加固三个环节,研提勒索病毒安全防护框架和实操参考,以期与公众共享,共同防范化解攻击风险。本手册版权属于中国信息通信研究院,并受法律保护。1 注:编制单位按首字笔画排序,排名不分先后 目 录 一、相关背景.1(一)勒索病毒攻击事件数量保持高位.1(二)勒索病毒攻击风险传导趋势明显.1二、勒索病毒概述.2(一)勒索病毒主要类型.2(二)勒索病毒典型传播方式.4三、勒索病毒攻击现状.5(一)近期勒索
3、病毒攻击特点.5(二)典型勒索病毒攻击流程.7四、勒索病毒攻击安全防护举措.9(一)勒索病毒攻击安全防护框架.9(二)勒索病毒攻击安全防护实操参考.11附录一 近期勒索病毒攻击事件.28附录二 典型勒索病毒.32 勒索病毒安全防护手册 1 一、相关背景 勒索病毒是一种极具破坏性、传播性的恶意软件,主要利用多种密码算法加密用户数据,恐吓、胁迫、勒索用户高额赎金。近期,勒索病毒攻击事件频发,一系列攻击严重影响金融、能源、交通等领域服务于生产生活的信息系统正常运转,勒索病毒对现实世界威胁加剧。(一)勒索病毒攻击事件数量(一)勒索病毒攻击事件数量持续走高持续走高2021 年上半年,国际方面,统计全球公
4、开披露的勒索病毒攻击事件 1200 余起,与 2020 年全年披露的勒索病毒攻击事件数量基本持平;国内方面,国家工业互联网安全态势感知与风险预警平台监测发现勒索病毒恶意域名的访问量5.05 万次,同比增长超过 10 倍,其中,近一年来,勒索病毒恶意域名访问量如图 1.1 所示。图 1.1 近一年勒索病毒恶意域名访问量(二)勒索病毒攻击风险传导趋势明显(二)勒索病毒攻击风险传导趋势明显 勒索病毒安全防护手册 2 近期,全球医疗、教育、金融、科技等重点行业企业相继遭受勒索病毒攻击,引发企业业务停滞、工厂停产等严重后果,如对英国北方铁路公司自助售票系统的攻击导致企业售票网络瘫痪、对巴西肉类加工巨头
5、JBS 的攻击导致企业在澳全部肉类加工厂停运等。2021 年上半年影响生产生活的典型勒索病毒攻击事件如图 1.2 所示。图 1.2 2021 年上半年影响生产生活的典型勒索病毒攻击事件 二、勒索病毒概述 典型勒索病毒包括文件加密、数据窃取、磁盘加密等类型,攻击者主要通过钓鱼邮件、网页挂马等形式传播勒索病毒,或利用漏洞、远程桌面入侵等发起攻击,植入勒索病毒并实施勒索行为。(一)勒索病毒主要类型(一)勒索病毒主要类型1.文件加密类勒索病毒。该类勒索病毒以 RS A、AES 等多种加密算法对用户文件进行加密,并以此索要赎金,一旦感染,极难恢复文件。该类勒索病毒以 WannaCry 为代表,自2017
6、 年全球大规模爆发以来,其通过加密算法加密文件,并 勒索病毒安全防护手册 3 利用暗网通信回传解密密钥、要求支付加密货币赎金等隐蔽真实身份的勒索病毒攻击模式引起攻击者的广泛模仿,文件加密类已经成为当前勒索病毒的主要类型。2.数据窃取类勒索病毒。该类勒索病毒与文件加密类勒索病毒类似,通常采用多种加密算法加密用户数据,一旦感染,同样极难进行数据恢复,但在勒索环节,攻击者通过甄别和窃取用户重要数据,以公开重要数据胁迫用户支付勒索赎金。据统计,截至 2021 年 5 月,疑似 Conti 勒索病毒已经攻击并感染全球政府部门、重点企业等 300 余家单位,窃取并公开大量数据。3.系统加密类勒索病毒。该类
7、勒索病毒同样通过各类加密算法对系统磁盘主引导记录、卷引导记录等进行加密,阻止用户访问磁盘,影响用户设备的正常启动和使用,并向用户勒索赎金,甚至对全部磁盘数据进行加密,一旦感染,同样难以进行数据恢复。例如,2016 年首次发现的 Petya 勒索病毒,对攻击对象全部数据进行加密的同时,以病毒内嵌的主引导记录代码覆盖磁盘扇区,直接导致设备无法正常启动。4.屏幕锁定类勒索病毒。该类勒索病毒对用户设备屏幕进行锁定,通常以全屏形式呈现涵盖勒索信息的图像,导致用户无法登录和使用设备,或伪装成系统出现蓝屏错误等,进而勒索赎金,但该类勒索病毒未对用户数据进行加密,具备数据恢复的可能。例如,WinLock 勒索
8、病毒通过禁用 Windows 系 勒索病毒安全防护手册 4 统关键组件,锁定用户设备屏幕,要求用户通过短信付费的方式支付勒索赎金。(二)勒索病毒典型传播方式(二)勒索病毒典型传播方式1.利用安全漏洞传播。攻击者利用弱口令、远程代码执行等网络产品安全漏洞,攻击入侵用户内部网络,获取管理员权限,进而主动传播勒索病毒。目前,攻击者通常利用已公开且已发布补丁的漏洞,通过扫描发现未及时修补漏洞的设备,利用漏洞攻击入侵并部署勒索病毒,实施勒索行为。2.利用钓鱼邮件传播。攻击者将勒索病毒内嵌至钓鱼邮件的文档、图片等附件中,或将勒索病毒恶意链接写入钓鱼邮件正文中,通过网络钓鱼攻击传播勒索病毒。一旦用户打开邮件
9、附件,或点击恶意链接,勒索病毒将自动加载、安装和运行,实现实施勒索病毒攻击的目的。3.利用网站挂马传播。攻击者通过网络攻击网站,以在网站植入恶意代码的方式挂马,或通过主动搭建包含恶意代码的网站,诱导用户访问网站并触发恶意代码,劫持用户当前访问页面至勒索病毒下载链接并执行,进而向用户设备植入勒索病毒。4.利用移动介质传播。攻击者通过隐藏 U 盘、移动硬盘等移动存储介质原有文件,创建与移动存储介质盘符、图标等相同的快捷方式,一旦用户点击,自动运行勒索病毒,或运行专门用于收集和回传设备信息的木马程序,便于未来实 勒索病毒安全防护手册 5 施针对性的勒索病毒攻击行为。5.利用软件供应链传播。攻击者利用
10、软件供应商与软件用户间的信任关系,通过攻击入侵软件供应商相关服务器设备,利用软件供应链分发、更新等机制,在合法软件正常传播、升级等过程中,对合法软件进行劫持或篡改,规避用户网络安全防护机制,传播勒索病毒。6.利用远程桌面入侵传播。攻击者通常利用弱口令、暴力破解等方式获取攻击目标服务器远程登录用户名和密码,进而通过远程桌面协议登录服务器并植入勒索病毒。同时,攻击者一旦成功登录服务器,获得服务器控制权限,可以服务器为攻击跳板,在用户内部网络进一步传播勒索病毒。三、勒索病毒攻击现状 结合近期攻击事件,勒索病毒攻击主要在攻击目标、攻击手段等方面呈现新特点,同时攻击者开始构建精准复杂的攻击链,发起勒索病
11、毒攻击。(一)(一)近期近期勒索病毒攻击勒索病毒攻击特点特点1.瞄准行业重要信息系统,定向实施勒索病毒攻击。攻击者瞄准能源、医疗等承载重要数据资源的行业信息系统作为勒索病毒攻击“高价值”目标,摒弃传统利用钓鱼邮件、网页挂马等“广散网”无特定目标的勒索病毒传播模式,向涵盖探测侦察、攻击入侵、病毒植入等的精准化勒索病毒攻击链转变,如嗅探网络发现攻击入口、利用漏洞攻击入侵等,针 勒索病毒安全防护手册 6 对行业重要信息系统发起定向攻击,植入勒索病毒并勒索超高额赎金。2.佯装勒索病毒攻击,掩盖真实网络攻击意图。攻击者通过甄别重点攻击目标,假装加密数据文件并实施勒索,利用勒索病毒遍历系统文件、覆盖系统引
12、导目录,以及类后门木马的功能,佯装实施勒索病毒攻击,隐藏其窃取敏感信息、破坏信息系统等的真实攻击意图。据披露,在 Agrius、Pay2Key等黑客组织的攻击活动中,被认为假装加密数据并勒索赎金,掩盖其直接破坏信息系统的攻击行为。3.针对工控系统专门开发勒索病毒,工业企业面临攻击风险加剧。攻击者通过集成工控系统软硬件漏洞,或内嵌强制中止实时监控、数据采集等工业领域常用系统的恶意功能,开发和升级形成 Cring、EKANS 等具备专门感染工控系统能力的勒索病毒,针对工业企业实施攻击,引发企业生产线、业务线停工停产的严重影响。此外,通过攻击入侵投递和植入 REvil、DarkSide 等典型勒索病
13、毒,同样存在利用勒索病毒攻击工业企业的可能。4.漏洞利用仍是攻击主要手段,引发勒索病毒传播一点突破、全面扩散。攻击者主要利用已公布漏洞,通过漏洞扫描、端口扫描等方式主动发现未及时修补漏洞的设备,利用漏洞“一点突破”网络安全防线,实施远程攻击入侵,并在攻击目标内部网络横向移动,扩大勒索病毒感染范围,实施 勒索病毒安全防护手册 7 勒索行为。2021 年上半年,网络安全威胁和漏洞信息共享平台监测发现网络产品安全漏洞 1.7 万个,其中,可能遭到攻击者综合利用、传播病毒的高危漏洞 5400 余个。5.以虚拟化环境作为攻击跳板,双向渗透传播勒索病毒。勒索病毒攻击开始以虚拟化环境为通道,通过感染虚拟机、
14、虚拟云服务器等,强制中止虚拟化进程,或利用虚拟化产品漏洞、虚拟云服务器配置缺陷等,实现虚拟化环境的“逃逸”,进而向用户和网络“双向渗透”传播勒索病毒。据披露,名为 Hello Kitty 的勒索病毒近期主要攻击 VMWare 虚拟云服务器,感染在其上运行的虚拟机,并向用户设备传播。6 经济利益驱动运作模式升级,初步形成勒索病毒黑产链条。部分勒索病毒攻击团伙开发形成“勒索病毒即服务”,面向团伙“会员”提供“开箱即用”的勒索病毒攻击服务,如购买勒索病毒程序、靶标系统访问权限,或订购针对特定目标的勒索病毒攻击服务等。同时,在病毒开发、攻击入侵等环节招募“合作伙伴”,“分工协作”增加勒索病毒攻击成功率
15、。据披露,REvil 勒索病毒攻击团伙负责开发病毒、勒索谈判、赎金分成等,其“合作伙伴”负责入侵目标网络等。(二二)典型勒索病毒攻击流程典型勒索病毒攻击流程聚焦勒索病毒攻击链,近期勒索病毒攻击团伙在成功实施网络攻击入侵的基础上,植入勒索病毒并实施勒索行为,其典型攻击流程主要包括探测侦察、攻击入侵、病毒 勒索病毒安全防护手册 8 植入、实施勒索 4 个阶段。1.探测侦察阶段(1 1)收集基础信息。)收集基础信息。攻击者通过主动扫描、网络钓鱼以及在暗网黑市购买等方式,收集攻击目标的网络信息、身份信息、主机信息、组织信息等,为实施针对性、定向化的勒索病毒攻击打下基础。(2 2)发现攻击入口。)发现攻
16、击入口。攻击者通过漏洞扫描、网络嗅探等方式,发现攻击目标网络和系统存在的安全隐患,形成网络攻击的突破口。此外,参照勒索病毒典型传播方式,攻击者同样可利用网站挂马、钓鱼邮件等方式传播勒索病毒。2.攻击入侵阶段(1 1)部署攻击资源。)部署攻击资源。根据发现的远程桌面弱口令、在网信息系统漏洞等网络攻击突破口,部署相应的网络攻击资源,如 MetaSploit、CobaltStrike、RDP Over Tor 等网络攻击工具。(2 2)获取访问权限。)获取访问权限。采用合适的网络攻击工具,通过软件供应链攻击、远程桌面入侵等方式,获取攻击目标网络和系统的访问权限,并通过使用特权账户、修改域策略设置等方
17、式提升自身权限,攻击入侵组织内部网络。3.病毒植入阶段(1 1)植入勒索病毒。)植入勒索病毒。攻击者通过恶意脚本、动态链接库 DLL 等部署勒索病毒,并劫持系统执行流程、修改注册 勒索病毒安全防护手册 9 表、混淆文件信息等方式规避安全软件检测功能,确保勒索病毒成功植入并发挥作用。(2 2)扩大感染范围。)扩大感染范围。攻击者在已经入侵内部网络的情况下,通过实施内部鱼叉式网络钓鱼、利用文件共享协议等方式在攻击目标内部网络横向移动,或利用勒索病毒本身类蠕虫的功能,进一步扩大勒索病毒感染范围和攻击影响。4.实施勒索阶段(1 1)加密窃取数据。加密窃取数据。攻击者通过运行勒索病毒,加密图像、视频、音
18、频、文本等文件以及关键系统文件、磁盘引导记录等,同时根据攻击目标类型,回传发现的敏感、重要的文件和数据,便于对攻击目标进行勒索。(2 2)加载勒索信息。加载勒索信息。攻击者通过加载勒索信息,胁迫攻击目标支付勒索赎金。通常勒索信息包括通过暗网论坛与攻击者的联系方式、以加密货币支付赎金的钱包地址、支付赎金获取解密工具的方式等。四、勒索病毒攻击安全防护举措(一一)勒索病毒攻击安全防护框架)勒索病毒攻击安全防护框架由于不同的安全防护措施在勒索病毒攻击的不同阶段发挥不同程度的作用,通过梳理勒索病毒典型安全防护措施,按照核心防护措施()、重要防护措施()、一般防护措施(),与勒索病毒攻击的 4 个阶段形成
19、映射关系,构建形成勒索病毒攻击安全防护框架。建议用户根据自身情 勒索病毒安全防护手册 10 况,选择恰当的防护措施,防范化解勒索病毒攻击风险。1.核心防护措施。该类措施在特定勒索病毒攻击阶段发挥核心防护作用,有效阻断勒索病毒攻击行为或全面消除勒索病毒攻击引发的特定影响等。例如,数据备份、数据恢复主要针对勒索病毒攻击实施勒索的阶段,通过攻击前备份数据、攻击后恢复数据,消除由于勒索病毒加密、窃取数据,引发数据丢失,甚至是业务中断等方面的攻击影响。2.重要防护措施。该类措施在特定勒索病毒攻击阶段发挥重要防护作用,但与核心防护措施相比,未能发挥全面防范应对勒索病毒攻击的效果。例如,采取恰当的安全管理措
20、施,如严格的网络隔离、访问控制等,在攻击者获取访问权限实施攻击入侵方面发挥核心防护作用,但在侦察探测的收集基础信息攻击阶段,攻击者可能采取主动网络探测、暗网黑市购买等多种方式,安全管理在该阶段未能发挥全面防范应对的效果,发挥重要防护作用。3.一般防护措施。该类措施在特定勒索病毒攻击阶段发挥一般的防护作用,但与核心防护措施和重要防护措施相比,仅能在一定程度上发挥防范应对勒索病毒攻击的效果。例如,制定应急预案主要针对攻击者已经开始实施勒索病毒攻击,明确应急处置机制、流程等,在已经发现遭受勒索病毒攻击的情况,启动预案并采取措施应对攻击风险,但在勒索病毒攻击发生前,安全防护措施主要以事前防范为 勒索病
21、毒安全防护手册 11 主,因此制定应急预案在攻击者正式实施攻击前发挥一般防护作用。勒索病毒安全防护手册 12 攻击阶段 防护措施 勒索病毒攻击阶段 探测探测侦察侦察 攻击入侵攻击入侵 病毒植入病毒植入 实施勒索实施勒索 收集基础信息 发现攻击入口 部署攻击资源 获取访问权限 植入勒索病毒 扩大感染范围 加密窃取数据 加载勒索信息 典型防护举措 事事前前预预防防 应急预案 安全管理 产品部署 数据备份 安全意识 事事中中应应急急 隔离设备 排查范围 事件研判 病毒破解 事事后后加加固固 数据恢复 加强管理 修补隐患 设备恢复 图例:核心防护措施()、重要防护措施()、一般防护措施()图 3.1
22、勒索病毒安全防护框架 勒索病毒安全防护手册 11(二二)勒索病毒攻击安全防护实操参考)勒索病毒攻击安全防护实操参考按照勒索病毒攻击“事前、事中、事后”三个阶段,从管理、技术两个方面防范化解攻击风险,典型勒索病毒攻击安全防护措施和实操主要包括以下几个方面。1.事前:夯实防范基础(1 1)制定网络安全应急预案。)制定网络安全应急预案。建立内部涵盖勒索病毒攻击等网络安全突发事件的应急组织体系和管理机制,加强勒索病毒攻击应对统筹管理,明确工作原则、职责分工、应急流程、关键措施等。一旦发生勒索病毒攻击事件,立即启动内部网络安全应急预案,并按照预案要求及时开展应急处置工作,确保有效控制、减轻、消除勒索病毒
23、攻击影响。职责分工:明确组织内部网络安全应急预案中的具体职责及分工,建立涵盖勒索病毒攻击等网络安全突发事件的应急组织体系,通常由组织特定部门牵头,高度协调内部相关部门,识别风险、加强防范、做好应急,从组织安全、个人安全等层面防范化解网络安全突发事件。应急流程:明确涵盖勒索病毒攻击等在内的网络安全突发事件应急流程和主要工作内容,其中,针对勒索病毒攻击的应急流程通常包括但不限于立即隔离感染勒索病毒的设备、排查主要业务系统的感染范围、利用备份数据进行数据恢复等。关键措施:明确涵盖勒索病毒攻击等在内的网络安 勒索病毒安全防护手册 12 全突发事件应急响应关键措施,包括但不限于定期组织网络安全演习、建立
24、网络安全监测处置专业技术手段、加强网络安全应急响应技术支撑队伍建设、储备漏洞检测和网络扫描等网络安全应急装备、开展网络安全应急培训等。(2 2)加强组织内部网络安全管理。)加强组织内部网络安全管理。在网络隔离、资产管理等方面采取措施,如进行物理和逻辑的网络隔离、及时更新杀毒软件和漏洞补丁、避免关键信息系统在互联网上暴露、与供应商签订协议明确安全责任和义务、评审供应商提供服务情况等。网络隔离:采用合理的网络分区,限制勒索病毒的入侵和传播。如根据不同业务需要将网络分为隔离区、内网区、外来接入区、内网服务器区等,并限制不同分区间的网络访问。在同一分区内,采用虚拟局域网技术隔离不同部门资产,降低由于单
25、一设备感染勒索病毒,导致勒索病毒在内部网络进一步传播的可能。访问控制:对组织关键业务系统设置严格的访问权限,如按照权限最小化原则开放必要的访问权限、根据访问控制策略设置访问控制规则等。及时对访问控制规则进行更新,删除多余或无效的访问控制规则,如定期对开放的访问权限进行梳理,及时删除因人员离职、资产 IP 变更后存留的访问权限。资产管理:排查组织资产暴露情况,梳理暴露资产 勒索病毒安全防护手册 13 真实范围,梳理范围涵盖组织分公司、下级机构等相关资产,梳理时间根据自身实际情况如每周、月、半年等进行资产梳理。同时,按照最小化原则,尽可能减少在资产互联网上暴露,特别是避免重要业务系统、数据库等核心
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 勒索 病毒 安全 防护 手册
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【宇***】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【宇***】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。