借助比特币等數字貨币的匿名性,勒索攻擊在近年來快速興起,給企業和個人帶來了嚴重的威脅。阿裡雲安全中心發現,近期雲上勒索攻擊事件持續發生,勒索攻擊正逐漸成為主流的黑客變現方式。
一、近期勒索行為資料分析
1.雲主機被勒索事件上漲
阿裡雲安全中心發現,近期被勒索病毒攻擊成功的受害主機數持續上漲。造成勒索事件上漲趨勢的原因主要有以下三個方面:
- 越來越多的勒索病毒內建了豐富的攻擊子產品,不再隻是傳統地爆破弱密碼,而是具備了自傳播、跨平台和蠕蟲的功能,如Lucky、Satan勒索病毒等。
- 雲環境租戶業務的多樣性,不斷出現的業務場景日趨複雜,使得使用者展示給黑客的基礎攻擊面不斷放大,持續面臨漏洞的威脅。
- 企業安全意識不足,未做好密碼管理和通路控制,是以給了黑客可乘之機。
下圖展示了近半年來勒索病毒攻擊成功的趨勢:
主流的勒索家族,如Crysis、GrandCrab和Lucky等非常活躍,并且其他的勒索家族也逐漸形成規模,導緻勒索病毒感染量有所上漲。下圖是雲上捕獲到的勒索家族占比:
2.勒索攻擊可做到有迹可循
阿裡雲安全中心基于近期的入侵資料分析發現,攻擊者以通過雲主機的安全配置缺陷和漏洞利用為主,進行入侵并植入勒索病毒,目前暫未發現新的入侵方式。
1)弱密碼爆破。通過爆破22、445、135、139 、3389、1433等弱密碼,擷取服務權限。
SSH/RDP暴力破解持續活躍。SSH與RDP服務為Linux/Windows雲上兩種主要伺服器作業系統的遠端管理入口,長期受到黑客以及僵屍網絡的關注,其攻擊面主要在弱密碼,攻擊方法為暴力破解。
下圖為高危使用者名統計資料:
統計結果表明,root/administrator是暴力破解最重要的兩大使用者名,這兩個使用者名對各種linux/windows系統而言無疑覆寫面最廣,對其進行弱密碼嘗試破解成本效益較高。
勒索病毒常使用的暴力破解密碼字典如下:
PASSWORD_DIC = [
'',
'123456',
'12345678',
'123456789',
'admin123',
'admin',
'admin888',
'123123',
'qwe123',
'qweasd',
'admin1',
'88888888',
'123123456',
'manager',
'tomcat',
'apache',
'root',
'toor',
'guest'
]
2)漏洞利用
由于雲環境租戶業務的特殊性,Web服務長期成為公有雲威脅的主要受力點,攻擊次數占據基礎攻防的47%左右,這些Web漏洞迅速被僵屍網絡以及勒索病毒內建到武器庫中,并在網際網路中傳播。阿裡雲安全中心通過統計雲上脆弱的Web服務,分析出使用者需要重點做安全加強的Web服務。
近期在雲上持續活躍的Lucky勒索病毒就內建了大量的CVE攻擊元件,使其橫向傳播的能力十分強大。主要利用以下漏洞進行攻擊:
JBoss反序列化漏洞(CVE-2017-12149)
JBoss預設配置漏洞(CVE-2010-0738)
Tomcat任意檔案上傳漏洞(CVE-2017-12615)
Tomcat Web管理控制台背景弱密碼暴力攻擊
WebLogic任意檔案上傳漏洞(CVE-2018-2894)
WebLogic WLS元件漏洞(CVE-2017-10271)
Apache Struts2 遠端代碼執行漏洞(S2-045、S2-057等)
Spring Data Commons遠端代碼執行漏洞(CVE-2018-1273)
Nexus Repository Manager 3遠端代碼執行漏洞(CVE-2019-7238)
Spring Data Commons元件遠端代碼執行漏洞(CVE-2018-1273)
3.資料庫也能被勒索
值得特别注意的是,阿裡雲安全中心在3月份發現了一起成功的資料庫勒索事件,攻擊者通過爆破phpmyadmin入侵資料庫,并删掉資料庫中資料進行勒索。
攻擊者删掉所有的資料,留下勒索資訊,要求受害者支付贖金來交換丢失的資料:
SET SQL_MODE = "NO_AUTO_VALUE_ON_ZERO";
SET time_zone = "+00:00";
CREATE DATABASE IF NOT EXISTS `PLEASE_READ_ME_XMG` DEFAULT CHARACTER SET utf8 COLLATE utf8_unicode_ci;
USE `PLEASE_READ_ME_XMG`;
CREATE TABLE `WARNING` (
`id` int(11) NOT NULL,
`warning` text COLLATE utf8_unicode_ci,
`Bitcoin_Address` text COLLATE utf8_unicode_ci,
`Email` text COLLATE utf8_unicode_ci
) ENGINE=InnoDB DEFAULT CHARSET=utf8 COLLATE=utf8_unicode_ci;
INSERT INTO `WARNING` (`id`, `warning`, `Bitcoin_Address`, `Email`)
VALUES (1, 'To recover your lost data : Send 0.045 BTC to our BitCoin Address and Contact us by eMail with your server IP Address or Domain Name and a Proof of Payment. Any eMail without your server IP Address or Domain Name and a Proof of Payment together will be ignored. Your File and DataBase is downloaded and backed up on our servers. If we dont receive your payment,we will delete your databases.', '1666666vT5Y5bPXPAk4jWqJ9Gr26SLFq8P', '[email protected]');
ALTER TABLE `WARNING`
ADD PRIMARY KEY (`id`); 如果遭遇删庫勒索,在支付贖金之前,雲安全中心強烈建議受害使用者驗證攻擊者是否真正擁有您的資料并且可以恢複。在我們監控的攻擊中,我們無法找到任何轉儲操作或資料洩漏的證據。
二、雲安全中心:讓勒索攻擊無所遁形
為了應對棘手的勒索病毒攻擊,保障企業和個人在雲上的資産安全,阿裡雲安全中心通過建構多元安全防線,形成安全閉環,讓一切攻擊都有迹可循,讓威脅無縫可鑽。
1.安全預防和檢測
在黑客還沒有入侵之前,阿裡雲安全中心通過漏洞管理,主動發現潛在的漏洞風險,通過基線檢查,一鍵核查弱密碼等安全合規配置。
在黑客入侵過程中,雲安全中心通過威脅模組化和資料分析,主動發現并記錄黑客的攻擊鍊路,及時提醒使用者進行安全加強和漏洞修複。是以建議使用者從漏洞、基線的角度建構安全防線。
2.主動防禦
在黑客入侵成功之後,并嘗試進行勒索行為時,阿裡雲安全中心基于強大的病毒清除引擎,實作主動防禦,在網絡中阻斷勒索病毒的下載下傳,在伺服器端阻止勒索病毒的啟動,并對其隔離阻斷,在黑客成功攻擊受害者主機的情況下,也能免于勒索病毒的侵害,保障業務正常運作。
3.調查溯源
阿裡雲安全中心基于多元度的威脅攻擊檢測、威脅情報等資料,可以自動化溯源黑客對伺服器的整個入侵鍊路,輔助使用者加強自己的資産,讓使用者擁有安全營運能力。
三、安全建議
- 借助阿裡雲安全中心排查已知的漏洞和脆弱性風險,及時修複和加強,避免被勒索病毒襲擊。
- 加強自身安全意識,確定伺服器上的所有軟體已更新和安裝了最新更新檔,不存在弱密碼的風險,定時備份有價值的資料,關注最新的漏洞警報,并立即掃描其系統以查找可能被利用的已知CVE,并且在不影響業務的情況下,禁用Powershell、SMB等服務。
- 建議您不要支付贖金。支付贖金隻會讓網絡犯罪分子确認勒索行為是有效的,并不能保證您會得到所需的解鎖密鑰。
- 如果您不幸被勒索病毒感染,可以等待擷取最新的免費解密工具,擷取連結如下: https://www.nomoreransom.org/zh/decryption-tools.html