勒索软件全球爆发反思:完善内网纵深防御体系势在必行

2017-05-14 15:49:25光明日报客户端李政葳

光明网记者 李政葳

就在一周前,被称投资界“大神”的巴菲特在伯克希尔·哈撒韦股东大会上说:“我对大规模杀伤武器是很悲观的,但我认为发生核战争的可能性要低于生化武器与网络攻击。”没想到,巴菲特却一语成谶。

北京时间5月12日晚,新型“蠕虫式”勒索软件WannaCry在全球爆发,攻击各国政府和公共网络系统,众多学校、医院受到严重侵害;我国教育网络成黑客入侵重灾区,教学系统大面积瘫痪。新型勒索软件带来全球性“噩梦”的同时,也给我们带来哪些反思?

勒索软件全球爆发引反思:完善内网纵深防御体系势在必行

  (图片来源于网络)

国内大量行业企业内网遭遇侵害

12日,全球大量企业和组织遭受大规模的勒索软件攻击。卡巴斯基实验室的研究人员对相关数据分析显示,确认公司的保护子系统在74个国家检测到至少45000次攻击。其中,大多数的受害者位于俄罗斯。

卡巴斯基实验室大中华区总经理郑启良介绍,这种勒索软件通过利用一种Windows漏洞感染受害者,微软公司已经在微软安全公告MS17-010中修复了这一漏洞。这种名为“永恒之蓝”(Eternal Blue)的漏洞于4月14日在Shadowsbroker黑客组织的dump中被揭露。

周末,继英国多家公立医疗机构遭受网络攻击消息爆料后,我国也出现大量行业企业内网感染,尤其教育网受损严重。有数据显示,截止5月13日,国内约有50多所大学遭受感染,攻击造成了教学系统瘫痪,其中,还包括校园一卡通,还有大量企业也中招。

目前,桂林电子科技大学、贺州学院、桂林航天工业学院、大连海事大学、山东大学、江苏大学、太原理工大学等教学系统已经瘫痪,上述学校及其他一些尚未波及的高校均向师生们发出了相关预警。另外,部分医院系统无法访问。除了政府和事业单位之外,中石油系统也受到了影响。

勒索软件全球爆发引反思:完善内网纵深防御体系势在必行

(图片来源于网络)

“一旦入侵系统,攻击者会安装rootkit,下载软件对受害者数据进行加密。恶意软件加密数据后,会在桌面显示一个勒索窗口,要求受害者支付价值600美元的比特币到攻击者的比特币钱包。”郑启良还提到,不仅如此,赎金金额可能会随着时间的推移而增加。

面对现实情况,国内安天、360、启明星辰等顶尖的网络安全公司迅速对该事件做出了反应,在相关产品中升级实现对本次“勒索软件”的样本和破坏机理有效检测防御。亚信安全方面表示,虽然此次攻击是黑客利用系统漏洞发起的勒索软件攻击,只需在Web渠道通过IPS或防火墙规则拦截,但广大用户切不可掉以轻心,还有大量的勒索软件攻击通过邮件渠道发起,还需在邮件入口处加以防范,防止勒索软件卷土重来。

14日下午,国家网络与信息安全信息通报中心紧急通报:在全球范围内爆发的WannaCry 勒索病毒出现了变种:WannaCry 2.0, 与之前版本的不同是,这个变种取消了Kill Switch,不能通过注册某个域名来关闭变种勒索病毒的传播,该变种传播速度可能会更快。

为了降低被感染的风险,郑启良建议,用户可以采取以下措施:安装微软发布的官方补丁,修补攻击所利用的漏洞;确保网络中所有节点的安全解决方案保持开启状态;如果检测到MEM:Trojan.Win64.EquationDrug.gen,请重启系统;使用专门定制的威胁情报报告服务等。

匿名支付、网络赎金交易导致犯罪高隐藏性

事实上,勒索软件的历史最早可以追溯到1989年,当时出现了一种被称为PCCyborg的恶意代码,对电脑的文件名称或文件夹进行加密,或者隐藏文件夹,造成用户无法访问文件,必须支付189美元的赎金后才能被解密。

随着时间的推移,各类加密勒索软件不断出现。比如,最新的WannaCry及其变种,伴随着勒索软件防御技术的发展,攻击者从加密技术到勒索金钱的支付方式,也在不断开发更加复杂的勒索软件。

记者了解到,这些勒索软件使用的加密方式从最初的对称加密方式,发展到非对称加密,现在更多的采取了混合加密的方式,且加密强度也越来越高。例如,2013年出现的Cryptolocker和2016年出现的Locky,都采用了混合加密的方式,密钥长度达2048位。从加密原理来讲,除非拿到密钥否则无法解密。

勒索软件全球爆发引反思:完善内网纵深防御体系势在必行

  (图片来源于网络)

为了逃避追踪,攻击者从2008年开始采用数字货币的方式来索取赎金,比如,比特币。对此,业内人士分析,这样做的目的就是利用比特币难以追溯的特性,逃避执法部门的追踪,且比特币方便支付便于受害者快速支付赎金。

此外,加密勒索软件的攻击对象也在发生变化,从原来的以个人为攻击目标,开始逐渐转向企业。攻击者这样做的目的是,企业的数据的重要性,一旦被加密成功,企业迫于自身业务运营的压力,通常会更快的支付勒索金钱,而且数额也更大。

据最新报道,在北美地区有学校、医院等机构这次感染了勒索软件后,迫于业务运营的压力,不得不支付了数万美元的勒索金。

业界专家推测,在未来一段时间内,勒索软件攻击事件将会持续增长。造成这种情况的原因主要包括:勒索软件能让攻击者短时间内就获得丰厚利润,在利益驱动下将会有越来越多攻击者加入其中;攻击者通过匿名支付和匿名网络实现赎金的交易,犯罪隐藏性高难以捕获;研发勒索软件的技术水平相对较低,很多没有技术能力的人员也可以加入到这条黑产链条之中。

传统IT网络不能陷入假想的“平静”状态

目前,勒索软件已经成为发展速度快、影响恶劣的一类电脑病毒。从2016年勒索软件爆发式的增长趋势来看,勒索软件目前已泛滥成灾,呈现爆发趋势,仅在下半年内就出现了数以千计的勒索软件变种,攻击对象已由传统办公终端扩展到了服务器终端,一旦感染将成为个人与企业用户的噩梦。

值得关注的是,新型勒索软件的出现表现出了攻击者正在不断地更新传播方式、开发大量变种以及将勒索软件作为一种商业模式来开展。一旦用户受到勒索软件的感染,通常会有锁定计算机或移动终端屏幕,借杀毒软件之名假称在用户系统发现了安全威胁等表现形式,令用户感到恐慌,从而购买所谓的“杀毒软件”。

“勒索软件最大的影响就是影响用户系统的正常使用并绑架用户数据,迫使系统用户付款,以换取对系统的正常使用。” 中国网络空间安全协会副理事长,安天首席技术架构师肖新光说。

勒索软件全球爆发引反思:完善内网纵深防御体系势在必行

(图片来源于网络)

在过去的几年里,类似“红色代码”、“震荡波”、“冲击波”等大规模蠕虫感染带来的网络拥塞,系统大面积异常等事件日趋减少;而对基于PC节点的大规模僵尸网络的关注也开始不断下降,类似Mirai等IoT僵尸网络开始成为注意力的焦点。“这使传统IT网络开始陷入一种假想的“平静”当中。”肖新光说。

“由于Windows自身在DEP、ASLR等方面的改善,使一击必杀的系统漏洞确实在日趋减少,主流的攻击面也开始向应用开始转移。”肖新光表示,在这种表面上的平静之中,以窃密、预制为目的的APT攻击,由于其高度隐秘、难以为IT资产的管理者感知到的攻击,始终未能得到足够的重视;再加上,黑产犯罪的长尾化、针对性的特点,也使其并不依赖极为庞大的受害人群分布,即可获得稳定的黑色收益。

此外,未来的勒索软件会进一步复合化,与目前的黑产合流,走向更多的系统平台,攻击范围会越来越大。针对勒索软件的防御将会成为安全产品面临的巨大挑战。

损失背后昭示着内网安全的“欠账”

“长期来看,完善内网纵深防御体系和能力势在必行。”肖新光说,在过去几年,内网安全风险是围绕高度隐蔽性和定向性展开的,这种风险难以感知的特点导致内网安全未得到有效的投入和重视,也为导致了今天的大规模安全灾难形成。

很明显,勒索软件的一大特点是其威胁后果是直接可见。在肖新光看来,带来严重损失的背后昭示着内网安全的“欠账”,这也说明了长期在简单的边界防护、物理隔离的基础上经营出安全图景,带有一种“眼不见为净”式的自欺。

当前,我国在内网安全体系上的能力缺陷,一方面是安全产品未能得到全面部署和有效使用,另一方面则首先是其规划建设中没有落实“三同步”的原则,缺少基础的安全架构。肖新光解释,安全能力可以划分成架构安全、被动防御、积极防御、威胁情报等层次,各层次构成一个有机的整体,网络安全规划以基础的安全架构和可靠的被动防御手段为基础,叠加有效的积极防御和威胁情报手段。

“如果没有架构安全和被动防御的基础支撑,上层能力难以有效发挥;如果没有积极防御和威胁情报的有效引入,仅靠基础措施也无法有效的对抗深度的威胁。”肖新光说,每个安全层次解决不同的问题,有不同的价值。从网络安全投入上看,越是网络初期越要打好底层的工作,而越是保障高等级的资产,就需要在积极防御和威胁层面做出投入延展。

要实现全天候、全方位感知网络安全态势,防护的有效性最终要在与攻击者的对抗中检验。“尽管这次事件带来的损失已经是非常惨痛的,这种后果可见的大规模灾难依然是一种浅层次风险。”肖新光认为,我们需要警醒的是,相对更为深度、隐蔽的针对关键信息基础设施的攻击,有效完善纵深防御体系和能力势在必行。

责编:张秋菊
推荐阅读