12月7日,对于吃瓜群众而言,可能是某个人的生日,或者就是个平常的日子。但对由中国人开设的富帝银行(列支敦士登)的大量客户而言,包括德国和其他地方的政治人物、演员和有钱人,这是一个交付赎金的最后通牒日期。
“要么给钱,要么撕票。”这是绑匪的常用语,不要问雷锋网怎么知道,电视剧都是这么演的。
但是,对于特殊的“银行劫匪”——黑客,尤其是使用“勒索软件”大招的黑客而言,下面这招有点狠——“要么给钱,要么我就把你们这些客户中偷税、漏税的信息告诉媒体和政府了。”更狠的是,“绑匪”要求中招的账户支付的金额是帐户余额的10%,当然还是老规矩,用比特币!
这意味着,越有钱,被宰得越狠。
虽然,目前并没有获得其中一些银行客户的反馈,不过可以肯定的是,肯定有人不声不响地就把赎金交了。
关于勒索软件,一旦中招,FBI 和国内的网络安全专家都曾说过:你只能乖乖认输,要么就去交钱,要么就不要这些数据或文件了。最惨的结果是,就算你交了钱,数据和钱都没了(有没有点绑匪的职业道德)。
遭遇勒索软件,除了交赎金,还能怎么办?
在探索这个终极目标前,先来聊点关于勒索软件你可能不知道的事儿。
轻轻的,我走了,正如我轻轻的来。
勒索软件也有这么“浪漫”。
勒索软件专门以用户文件为攻击目标,同时会避免破坏系统文件。你以为它这么好心是因为黑客还残存一丝善良?图样图森破。
赤裸裸的现实是,黑客这么做的原因,一方面是为了确保用户会收到相关的通知,以告知他们的文件所遭到的攻击,另一方面,用户也能够通过一定的方法支付赎金以取回他们的文件。
对文件进行加密后,此类恶意软件通常会自我删除,并留下某种形式的文档 —— 这个文档会指示受害者如何支付赎金,并重新获得对加密文件的访问权限。某些“变体”还会向受害者设定支付时限,并威胁如果在此时限之前未收到付款,则将删除密钥/解密工具,否则则会增加赎金的价格。
勒索软件怎么入侵你的电脑?此前,雷锋网的读者表示,就是一脸懵x地打开了电脑,就发现着了勒索木马的道,没有一丝丝防备,后来发现,是因为登陆了有挂马的仿冒网站。
除了打开挂马的网站会中招,还有哪些坑不要踩?雷锋网宅客频道向阿里云安全专家正禾打听到以下信息:勒索软件还可能通过漏洞攻击包、水坑式攻击、恶意广告,或者大规模的网络钓鱼活动找到你。
一旦发送成功,勒索软件一般通过某种嵌入式文件扩展名列表来识别用户文件和数据。勒索软件还会通过编程,避免影响某些系统目录(例如 Windows 系统目录或某些程序文件目录),以确保负载运行结束后,系统仍然保持稳定,以使客户能够支付赎金。
中招之后,大部分主流格式的文件都会被“袭击”。
回溯一下,方法好像都懂,但勒索软件如何做到没有一丝防备,悄无声息地潜进来?正禾揭秘,
一组熟练的、以获取赎金为目标的攻击者,一直在收集一家大型公司的相关信息,准备对其发动攻击。机会出现了,攻击者获得了对其网络的初始访问权限。攻击者现在需要升级其授权,并确定网络中的关键目标,他们需要取得对这些目标的控制,这样一来,受害者支付赎金的可能性就会增加。
如上图所示,攻击者正在尝试利用系统中的本地功能以在目标网络里逐步渗透,同时降低被发现的风险。在许多操作系统里,攻击者可以利用很多的远程访问工具,从而在系统间逐步渗透。使用本地工具进行逐步渗透,不会向磁盘引入任何内容,并且也不会被视为异常操作,这就降低了人们发现攻击者的可能性。
一旦勒索软件发动攻击,并攻击成功,损失几乎是无法阻挡的。
但是,到底要不要支付赎金,这是一个问题。
正禾告诉雷锋网,如果不支付赎金,那么恢复数据就需要很高的成本。安全和 IT 员工需要全天候进行工作,将系统恢复至运行状态,这个过程中需要支出设备、运营成本等。
如果数据恢复成本大于赎金成本,那么受害组织很有可能会付钱。 否则攻击者会“撕票”,然而这里面也可能会有支付完赎金被骗的情况发生。
看上去好像都很悲剧。
比较简便的方式是,正禾给了一个流程图,让你判断是否需要支付赎金。
当然,土豪可以毫不犹豫地“视金钱如粪土”,直接选择付款。
除了缴纳赎金,还能怎么办?
一个有意思的比喻是——
就像是打仗时,士兵攻城一样。勒索软件的攻击者,会最先攻陷那些没有坚实外壳的系统,完成初始访问。当第一步攻陷行动完成,如果“城墙”内没有安全策略,威胁就会逐渐渗透到内部,以入侵重要的资产或数据,这是攻击的第二步。如果受害者还不留神,“允许”了权限升级,攻击就会最终得逞,造成无法挽回的危害。
正禾认为,“纵深防御”或许可以把危机挡在门外,而不是引狼入室,让恶意软件对你或者企业造成实际损失。以下为正禾提出的具体建议:
数据备份和恢复措施是发生被勒索事件挽回损失的重要工作,因此,将此关键措施放在第一位。面对攻击者的赎金勒索,需要清晰的了解并考虑以下点:
当系统遭到彻底破坏的时候,受害组织在多大程度上能够接受数据的丢失?
本地备份是否可用,或者异地备份的内容是否都被删除或以其他的方式导致不可用?
如果本地备份介质的内容被删除或不可使用,异地的备份是否可用? 异地备份频率如何?每周一次?每半个每月一次?每月一次?
是否定期验证过备份内容的有效性?数据是否可以正常使用?
是否数据应急恢复流程或手册?
备份恢复是企业的最后一道防线,在最坏的情况下,它将是最后的堡垒,而企业需要建不定期地进行数据备份策略,以确保在最坏的情况有备份措施。
如果企业的业务在云上,可以使用不同方式的备份方法来解决数据备份问题,以确保在发生勒索事件后,尽可能的挽回损失。
云上针对租户账号提供账号登录双因素验证机制 (MFA) 、密码安全策略、和审计功能,企业可以方便地在自己的云上界面中启用和关闭,以确保云服务账号的安全性。
针对组织内部多角色场景,企业需要使用 RAM 服务为不同角色合理分配账号并授权,以防止在运维管理活动中,出现意外操作而导致的安全风险。
企业可以采用如下两种方式,来阻止攻击进入系统的“第一道门”:
发现并修复业务系统存在的漏洞;
或者拒绝点击网络钓鱼等不明恶意链接和邮件/社交工程。如果攻击者在目标网络无法轻易地建立初始访问,那么攻击者更可能转向其他较为容易进攻的目标。攻击者也希望花费尽可能少的代价来取得相应的收益。如果无法轻易地建立初始访问,这会增加他们寻找其他更容易进攻目标的可能性。
高性能、具有冗余的基础架构能力是保障业务强固的基础条件,在云环境下,可以通过 SLB 集群的方式搭建高可用架构,当出现某一个节点发生紧急问题时,可以有效避免单点故障问题,防止业务中断的前提下,也可以防止数据丢失。
在资源允许的条件下,企业或组织可以搭建同城或异地容灾备份系统,当主系统出现发生勒索事件后,可以快速切换到备份系统,从而保证业务的连续性。
对于大部分企业网络而言,它们的网络安全架构是“一马平川”的,在业务块之前,很少有业务分区分段。但随着业务的增长和扩容,一旦发生入侵,影响面会是全局的。在这种情况下,通过有效的安全区域划分、访问控制和准入机制可以防止或减缓渗透范围,可以阻止不必要的人员进入业务环境。
例如:可以限制 ssh、RDP 业务管理源地址、对数据库连接源IP进行访问控制,实现最小化访问范围,仅允许授信人员访问,并对出口网络行为实时分析和审计。具体可以从以下几个方面实施:
推荐使用更安全的VPC网络;
通过VPC和安全组划分不同安全等级的业务区域,让不同的业务处在不同的隔离空间;
配置入口/出口过滤防火墙策略,再次强调 -入口和出口均需进行过滤。主机彼此之间应当不能通过 SMB(139/tcp、445/tcp) 进行通信。如果设置了文件服务器,实际上就不需要进行这种通信。如果企业可以有效地禁用主机间的 SMB 通信,企业就可以防止攻击者使用“通过散列表”所进行的逐步渗透。SMB 通讯应仅限于应用分发平台,文件共享和/或域控制器。
端口扫描可以用来检验企业的弱点暴露情况。
如果企业有一些服务连接到互联网,需要确定哪些业务是必须要发布到互联网上,哪些是仅内部访问,当公共互联网的服务数量越少,攻击者的攻击范围就越窄,从而遭受的安全风险就越小。
企业公司 IT 管理人员需要定期对业务软件资产进行安全漏洞探测,一旦确定有公开暴露的服务,应使用漏洞扫描工具对其进行扫描。尽快修复扫描漏洞,同时日常也应该不定期关注软件厂商发布的安全漏洞信息和补丁信息,及时做好漏洞修复管理工作。
制定并遵循实施IT软件安全配置,对操作系统和软件初始化安全加固,同时并定期核查其有效性;
为Windows操作系统云服务器安装防病毒软件,并定期更新病毒库;
确保定期更新补丁;
确保开启日志记录功能,并集中进行管理和审计分析;
确保合理的分配账号、授权和审计功能,例如:为服务器、RDS数据库建立不同权限账号并启用审计功能,如果有条件,可以实施类似堡垒机、VPN等更严格的访问策略。
确保实施强密码策略,并定期更新维护,对于所有操作行为严格记录并审计;
确保对所有业务关键点进行实时监控,当发现异常时,立即介入处理。
大部分安全问题由于程序员的不谨慎或无意识的情况下埋下了安全隐患,代码的安全直接影响到业务的风险,根据经验来看,代码层的安全需要程序员从一开始就需要将安全架构设计纳入到整体软件工程内,按照标准的软件开发流程,在每个环节内关联安全因素。以下是基于软件开发流程将安全管控点落实到流程中的最佳实践:
[SDL流程]
对于一般的企业来说,需要重点关注开发人员或软件服务提供上的安全编码和安全测试结果,尤其是对开发完毕的业务代码安全要进行代码审计评估和上线后的黑盒测试(也可以不定期的进行黑盒渗透测试)。
Ubuntu是一个以桌面应用为主的Linux操作系统。它是一个开放源代码的自由软件,提供了一个健壮、功能丰富的计算环境,既适合家庭使用又适用于商业环境。Ubuntu将为全球数百个公司提供商业支持。 ...
查看全文Docker采取了一种保守的方法来清理未使用的对象(通常称为“垃圾收集”),例如图像,容器,卷和网络:除非您明确要求Docker这样做,否则通常不会删除这些对象。这可能会导致Docker使用额外的磁盘空...
查看全文新浪科技讯 北京时间5月27日晚间消息,据报道,四位知情人士今日透露,亚马逊、微软和谷歌这三大云计算服务提供商,正在竞争波音公司(Boeing)价值10亿美元的云服务合同。 这些...
查看全文新浪科技讯 北京时间5月27日晚间消息,据报道,多位知情人士今日称,继加州、纽约州和华盛顿州之后,马萨诸塞州和宾夕法尼亚州的总检察长也加入到对亚马逊的反垄断调查中。 如今,越来越...
查看全文
您好!请登录