國家保密局網(wǎng)站>>保密科技

近年勒索軟件威脅分析及防范策略綜述

2019年03月19日    來源:國家保密科技測評中心【字體: 打印

近年來,各類網(wǎng)絡(luò)安全事件頻出,其中,勒索軟件快速發(fā)展為網(wǎng)絡(luò)安全威脅最嚴(yán)重的惡意軟件,成為網(wǎng)絡(luò)犯罪的主要形式之一。從政府網(wǎng)絡(luò)到關(guān)鍵信息基礎(chǔ)設(shè)施,從個(gè)人到企業(yè),從電腦設(shè)備到移動(dòng)設(shè)備和服務(wù)器,勒索軟件攻擊無差別地影響著全球各個(gè)行業(yè)和領(lǐng)域、各類網(wǎng)絡(luò)用戶以及各種設(shè)備類型,給社會(huì)帶來嚴(yán)重的不利影響。本文主要探討分析了當(dāng)前勒索軟件的威脅形勢、泛濫原因和攻擊特點(diǎn),并提出一些應(yīng)對勒索攻擊的防范策略。

一、勒索軟件威脅形勢日趨嚴(yán)重

勒索軟件是惡意軟件的一種類型,能夠通過鎖定設(shè)備或加密文件來阻止受害者對系統(tǒng)或數(shù)據(jù)的正常訪問,并以此向用戶勒索錢財(cái),主要通過釣魚郵件、網(wǎng)頁掛馬、服務(wù)器入侵、系統(tǒng)漏洞、網(wǎng)絡(luò)共享文件和移動(dòng)存儲(chǔ)介質(zhì)等方式進(jìn)行傳播。勒索軟件并非新生事物,從第一個(gè)已知的勒索軟件出現(xiàn)至今,已有近30年的歷史,但近幾年勒索軟件發(fā)展迅猛,破壞性和影響力前所未有,引起全世界的廣泛關(guān)注。

(一)數(shù)量和攻擊頻次呈爆發(fā)式增長

勒索軟件出現(xiàn)以后一直在不斷變化演進(jìn)過程中,數(shù)量和質(zhì)量都在逐漸上升。2016年,勒索軟件在全球范圍內(nèi)呈爆發(fā)式增長。趨勢科技的安全報(bào)告顯示,2016年勒索軟件家族的數(shù)量從2015年的29個(gè)增長至247個(gè),上漲幅度752%。美國聯(lián)邦調(diào)查局2017年1月調(diào)查數(shù)據(jù)顯示,勒索軟件的贖金總額由2015年的2400萬美元躍升至2016年的10億美元。隨后的2017年堪稱勒索軟件史上最臭名昭著的一年,據(jù)權(quán)威機(jī)構(gòu)和知名安全企業(yè)稱,每天發(fā)生的勒索攻擊事件多達(dá)4000起,全年攻擊事件數(shù)量較上一年翻了一倍,新型勒索軟件變種增長46%。賽門鐵克2017年度在全球范圍內(nèi)攔截的WannaCry勒索攻擊多達(dá)54億次。2018 年,勒索軟件依舊肆虐,盡管整體數(shù)量增長有所放緩,但包括WannaCry、GandCrab、GlobeImposter、Satan、Crysis等在內(nèi)的勒索軟件變種層出不窮。其中,GandCrab自2018年1月被首次發(fā)現(xiàn)后,半年時(shí)間就連續(xù)出現(xiàn)了V1.0、V2.0、V2.1、V3.0、V4.0、V5.0.3等多個(gè)變種。在勒索軟件的迅猛攻勢下,中國也淪為重災(zāi)區(qū),成為亞太地區(qū)受影響最嚴(yán)重的國家之一。其中,國家互聯(lián)網(wǎng)應(yīng)急中心2017年捕獲新增勒索軟件近4萬個(gè)。360互聯(lián)網(wǎng)安全中心發(fā)現(xiàn)2017年5月至2018年 4月全國約有463.5萬臺(tái)電腦遭到勒索攻擊,且勒索軟件的質(zhì)量和數(shù)量還將不斷攀升。瑞星“云安全”系統(tǒng)2018年上半年共截獲勒索軟件樣本31.44萬個(gè),感染共計(jì)456萬次。

(二)危害程度日益嚴(yán)重

勒索軟件不僅數(shù)量增幅快,而且危害日益嚴(yán)重,特別是針對關(guān)鍵基礎(chǔ)設(shè)施和重要信息系統(tǒng)的勒索攻擊,影響更為廣泛。值得一提的是,勒索攻擊的危害遠(yuǎn)不止贖金造成的經(jīng)濟(jì)損失,更嚴(yán)重的是會(huì)給企業(yè)和組織機(jī)構(gòu)帶來額外的復(fù)雜性,造成數(shù)據(jù)損毀或遺失、生產(chǎn)力破壞、正常業(yè)務(wù)中斷、企業(yè)聲譽(yù)損害等多方面的損失。以WannaCry和NotPetya勒索軟件為例,2017年5月12日,黑客利用網(wǎng)上泄露的美國國家安全局武器庫中的“永恒之藍(lán)”攻擊工具,改造成為WannaCry系列勒索軟件,通過微軟系統(tǒng)漏洞瘋狂復(fù)制、大肆傳播,對受害主機(jī)文件實(shí)施加密勒索,其擴(kuò)散速度之快、影響范圍之廣、危害程度之大史無前例。全球超過150個(gè)國家,金融、能源、醫(yī)療、教育等多個(gè)行業(yè)受到影響,英國國家醫(yī)療體系轄下五分之一的醫(yī)療機(jī)構(gòu)被迫取消所有急診接診和手術(shù)安排,受到影響的病人數(shù)以千計(jì)。德國、法國、俄羅斯等國機(jī)場、地鐵調(diào)度系統(tǒng)不同程度受到影響。我國教育、公安系統(tǒng)網(wǎng)絡(luò)成為重災(zāi)區(qū),全國多地加油站無法進(jìn)行網(wǎng)絡(luò)支付。6月27日,依舊利用“永恒之藍(lán)”漏洞傳播的NotPetya勒索軟件再度在歐洲大規(guī)模爆發(fā),致使烏克蘭等多國的機(jī)場、銀行和大型企業(yè)網(wǎng)絡(luò)遭到破壞,甚至陷入癱瘓。據(jù)歐洲刑警組織2018年版的“互聯(lián)網(wǎng)有組織犯罪威脅評估(IOCTA)”顯示,在大多數(shù)歐盟成員國中,勒索軟件仍位列惡意軟件威脅之首,而加密挾持也變得日益普遍。2018年3月,美國亞特蘭大市政系統(tǒng)的服務(wù)器成為勒索軟件攻擊的目標(biāo),攻擊事件影響了多個(gè)部門,并導(dǎo)致處理付款和傳遞法院信息的政府網(wǎng)站癱瘓。亞特蘭大市政府雖并未支付黑客索取的5.1萬美元贖金,但此次攻擊給該市帶來了至少270萬美元的直接經(jīng)濟(jì)損失,主要是作為應(yīng)急成本,修復(fù)攻擊事件帶來的不利影響。6月,亞特蘭大市又追加950萬美元預(yù)算用以恢復(fù)受沖擊的關(guān)鍵系統(tǒng)和服務(wù)。8月,全球最大的半導(dǎo)體代工制造商臺(tái)積電生產(chǎn)工廠和營運(yùn)總部電腦遭勒索病毒入侵,導(dǎo)致竹科、中科、南科等幾大廠區(qū)生產(chǎn)線停擺,造成臺(tái)積電1.7億美元(約合人民幣11.5億元)左右的經(jīng)濟(jì)損失。9月,英國布里斯托爾機(jī)場航班信息顯示系統(tǒng)遭遇勒索軟件攻擊,導(dǎo)致機(jī)場的航班顯示屏兩天無法正常顯示信息。

二、勒索軟件全球泛濫事出有因

勒索軟件伴隨著網(wǎng)絡(luò)犯罪技術(shù)的發(fā)展而發(fā)展,它快速迭代并迅速傳播,目前網(wǎng)絡(luò)勒索已成為對攻擊者而言“錢景可觀”的優(yōu)選獲利途徑,它在全球呈現(xiàn)高發(fā)態(tài)勢和大規(guī)模泛濫絕非偶然。

(一)攻擊低成本高回報(bào)助長勒索軟件盛行

勒索軟件的制作成本較低,多數(shù)情況下不需要增加投入就可進(jìn)行持續(xù)攻擊,而被加密的往往是對企業(yè)機(jī)構(gòu)、政府部門和個(gè)人具有重要作用的系統(tǒng)和數(shù)據(jù),有些關(guān)鍵敏感數(shù)據(jù)甚至是企業(yè)的經(jīng)濟(jì)命脈,一旦泄露或損毀,將造成無法挽回的損失,支付贖金往往成為一種無奈的選擇。幾十美元甚至幾美元的制作成本有時(shí)可獲得數(shù)萬美元乃至更多的贖金。低犯罪成本和高回報(bào)率讓錢財(cái)勒索這一網(wǎng)絡(luò)犯罪行為在大數(shù)據(jù)時(shí)代具有極大的誘惑力,吸引越來越多的攻擊者參與其中。

(二)安全防護(hù)不足為勒索攻擊打開方便之門

勒索軟件雖然來勢迅猛,但并非不可防范,真正讓其屢屢得手的主因是用戶網(wǎng)絡(luò)安全意識(shí)普遍比較淡薄,缺乏必要防護(hù)策略,如重要文件的備份、病毒查殺、補(bǔ)丁更新、老舊設(shè)備淘汰換新等。360安全中心2017年接到的2000多位勒索軟件受害者求助中,絕大多數(shù)受害者都沒有正常使用安全軟件進(jìn)行防護(hù),甚至有不少受害者電腦沒有安裝任何安全軟件,導(dǎo)致勒索軟件能夠輕易入侵感染。一些政企機(jī)構(gòu)員工的安全意識(shí)也明顯不強(qiáng),內(nèi)部安全管理存在紕漏,安全措施缺位,導(dǎo)致整體安全防御能力薄弱。另外,安全監(jiān)控軟件的病毒檢測能力也存在問題,對付大量新型勒索軟件略顯乏力。在NotPetya來襲時(shí),研究人員測試的60款安全軟件中,只有2款軟件在第一時(shí)間檢測到了這種勒索病毒,這種情況間接給不法分子的攻擊行動(dòng)提供了可乘之機(jī)。

(三)網(wǎng)絡(luò)技術(shù)快速進(jìn)步促使勒索能力不斷升級(jí)

勒索軟件技術(shù)的發(fā)展使其在加密方式、傳播手段、躲避檢測等方面不斷更新。當(dāng)前最流行的加密勒索軟件早已拋棄可被破解的對稱加密算法,普遍采用非對稱的強(qiáng)加密算法,除了付費(fèi)獲得密鑰,別無其他解密方法。勒索軟件新變種層出不窮,每個(gè)變種都添加一些新技術(shù),擁有加強(qiáng)的新功能,越來越多利用組合模式的傳播手段和多種高級(jí)技術(shù)躲避查殺,致使破解難度越來越大,而且破解速度遠(yuǎn)遠(yuǎn)跟不上新病毒或變種的推出速度。新技術(shù)的更迭讓勒索軟件“如虎添翼”,得以跨越安全防線,達(dá)到感染用戶的目的。

(四)比特幣和匿名網(wǎng)絡(luò)間接充當(dāng)非法活動(dòng)“保護(hù)傘”

勒索攻擊活動(dòng)之所以如此猖獗,一部分原因是以比特幣為代表的匿名支付手段和匿名通信網(wǎng)絡(luò)被攻擊者惡意利用。比特幣是一種去中心化的虛擬數(shù)字貨幣,不受央行和任何金融機(jī)構(gòu)的控制,可有效隱藏攻擊者的身份,可以說,比特幣的出現(xiàn)為網(wǎng)絡(luò)勒索提供了低風(fēng)險(xiǎn)、易操作、便捷性強(qiáng)的贖金交易和變現(xiàn)方式,成為網(wǎng)絡(luò)犯罪活動(dòng)的主要支付形式。攻擊者對比特幣的青睞促使比特幣價(jià)格暴漲,引發(fā)了更多利用勒索軟件向用戶勒索比特幣的攻擊事件。除支付手段外,允許匿名通信的洋蔥網(wǎng)絡(luò)也協(xié)助掩蓋了攻擊的來源。病毒制作者常將勒索服務(wù)器搭建在暗網(wǎng),通過洋蔥網(wǎng)絡(luò)與受害者進(jìn)行通信。這些手段先進(jìn)實(shí)用,又唾手可得,將網(wǎng)絡(luò)勒索的非法活動(dòng)保護(hù)在“匿名”的羽翼之下,讓追蹤溯源變得異常困難。

(五)勒索服務(wù)市場繁榮為黑客斂財(cái)提供了便利

勒索軟件的利益誘惑讓無數(shù)網(wǎng)絡(luò)罪犯看到了迅速斂財(cái)?shù)臋C(jī)會(huì),也催生了勒索服務(wù)市場商業(yè)模式的興起,出現(xiàn)大量以售賣勒索軟件為主要營生的勒索軟件即服務(wù)(RaaS)暗網(wǎng)平臺(tái),并逐漸形成完整成熟的產(chǎn)業(yè)鏈。這些平臺(tái)為缺乏技能、資源和時(shí)間的黑客提供很多現(xiàn)成的解決方案和勒索服務(wù),從勒索軟件的開發(fā)、技術(shù)支持、分銷、質(zhì)保到售后,甚至包括專門的勒索咨詢服務(wù)和惡意產(chǎn)品定制服務(wù)。不具備任何專業(yè)技術(shù)知識(shí)的攻擊者也可以毫不費(fèi)力地發(fā)起網(wǎng)絡(luò)敲詐活動(dòng),從勒索產(chǎn)業(yè)中分一杯羹。

三、勒索軟件攻擊特點(diǎn)顯著

勒索軟件給網(wǎng)絡(luò)安全帶來的威脅清晰可見,但它并未隨著防御手段的升級(jí)和完善而偃旗息鼓,相反,病毒在與安全防御技術(shù)的對抗過程中不斷優(yōu)化自身,復(fù)雜性和多樣性持續(xù)增長,更新迭代速度明顯加快,試圖以更隱蔽的形式發(fā)動(dòng)更猛烈的攻勢,來獲取更大的利益。勒索軟件在發(fā)展演變過程中呈現(xiàn)出以下特點(diǎn)。

(一)攻擊目標(biāo)多樣化

一是從電腦端到移動(dòng)端。勒索軟件大多以電腦設(shè)備為攻擊目標(biāo),其中Windows操作系統(tǒng)是重災(zāi)區(qū)。數(shù)據(jù)表明,當(dāng)前電腦端的勒索軟件數(shù)量仍在上升,盡管增速有所放緩。但隨著移動(dòng)互聯(lián)網(wǎng)的普及,勒索軟件的戰(zhàn)場開始從電腦端蔓延至移動(dòng)端,并且有愈演愈烈的趨勢。俄羅斯卡巴斯基實(shí)驗(yàn)室檢測發(fā)現(xiàn),2017年有161個(gè)國家的11萬多個(gè)用戶遭到移動(dòng)勒索軟件的攻擊,移動(dòng)勒索軟件安全包多達(dá)54.4萬個(gè),是2016年的2倍,比2015年則增長了17倍。而我國移動(dòng)平臺(tái)的感染情況更為嚴(yán)峻,360烽火實(shí)驗(yàn)室2017年前9個(gè)月捕獲的惡意勒索軟件就達(dá)到50余萬個(gè),平均每月5.5萬個(gè)。目前,移動(dòng)端勒索軟件已形成超千萬的產(chǎn)業(yè)規(guī)模,威脅程度不容小覷。

二是從個(gè)人用戶到企業(yè)設(shè)備。個(gè)人設(shè)備在勒索軟件攻擊目標(biāo)中一直占據(jù)較高比例。但隨著傳統(tǒng)勒索軟件盈利能力的持續(xù)下降,對更高利潤索取的期待驅(qū)使黑客將攻擊重點(diǎn)進(jìn)一步聚焦在企業(yè)的關(guān)鍵業(yè)務(wù)系統(tǒng)和服務(wù)器上。比如勒索軟件Rrebus就通過加密153臺(tái)Linux 服務(wù)器,輕松從韓國Web托管公司Nayana收取了高達(dá)100萬美元的贖金。在被針對的企業(yè)目標(biāo)中,中小企業(yè)因安全架構(gòu)單一,更容易被攻破。震驚全球的WannaCry攻擊事件中,中小企業(yè)就是主要受害者。據(jù)不完全統(tǒng)計(jì),2017年約15%的勒索軟件攻擊是針對中小企業(yè)服務(wù)器發(fā)起的定向攻擊。

(二)攻擊目的復(fù)雜化

一是以勒索軟件為掩護(hù),實(shí)施網(wǎng)絡(luò)破壞或間諜行動(dòng)。從傳統(tǒng)角度來看,勒索攻擊不外乎是要達(dá)到向受害者索要金錢的經(jīng)濟(jì)目的。但實(shí)際案例顯示,日益猖獗的勒索軟件正在成為其他網(wǎng)絡(luò)攻擊者的利用手段,一些勒索軟件徒有“勒索”之名,本質(zhì)上只是充當(dāng)了網(wǎng)絡(luò)破壞行動(dòng)或間諜行動(dòng)的掩護(hù),以掩蓋攻擊者的真實(shí)目的。最典型的案例莫過于NotPetya事件,該軟件作者精心設(shè)計(jì)制作了傳播、破壞的功能模塊,通過竊取憑證讓病毒大肆傳播,而勒索贖金模塊卻制作粗糙、漏洞百出,受害者甚至根本無法成功支付贖金。另外,攻擊者還通過改寫硬盤的主引導(dǎo)記錄,導(dǎo)致對用戶數(shù)據(jù)的編碼不可逆。這款惡意軟件的代碼和其他證據(jù)表明,NotPetya很可能是一次精心策劃的以勒索軟件攻擊作為偽裝的故意破壞性攻擊事件。除破壞目的,攻擊者也可能借勒索之名實(shí)施網(wǎng)絡(luò)間諜活動(dòng),使事件響應(yīng)人員將工作重點(diǎn)放在文件解密上,而非集中精力調(diào)查真實(shí)的被攻擊緣由。

二是以勒索軟件為手段,實(shí)現(xiàn)多重牟利目的。盡管目前大多數(shù)勒索軟件只是對文件進(jìn)行加密,發(fā)送加密密鑰從而進(jìn)行解密,并從受害者那兒獲得贖金。但隨著勒索軟件攻擊手段的花樣翻新,勒索軟件樣本也可能會(huì)在加密數(shù)據(jù)前采取較多惡意行動(dòng),如進(jìn)行滲透操作,竊取企業(yè)服務(wù)器中的關(guān)鍵敏感數(shù)據(jù)。一方面對受害企業(yè)施加壓力,迫使其支付贖金恢復(fù)數(shù)據(jù)所有權(quán);另一方面還可以在地下暗網(wǎng)上出售這些敏感數(shù)據(jù),從而獲得更多潛在利益。這種邊勒索、邊竊取、邊倒賣敏感資料的攻擊行為越來越受到黑客青睞。

(三)攻擊范圍擴(kuò)大化

一是從地理區(qū)域看,攻擊范圍擴(kuò)展至全球。WannaCry勒索軟件攻擊潮爆發(fā)之前,攻擊者普遍傾向于攻擊信息化程度較高、網(wǎng)絡(luò)設(shè)施發(fā)達(dá)的國家和地區(qū),因?yàn)檫@些國家和地區(qū)對網(wǎng)絡(luò)的依賴程度基本決定了攻擊者更容易獲取到錢財(cái)利益。而攻擊也多是小范圍內(nèi)發(fā)生的事件,影響程度有限。但WannaCry打破了攻擊行為的針對性和本地化特征,是歷史上第一次全球范圍爆發(fā)的大規(guī)模惡意程序攻擊。隨后的NotPetya、“壞兔子”等其他勒索軟件繼續(xù)延續(xù)了WannaCry的全球影響威力。種種攻擊事件表明,“不甘寂寞”的勒索軟件已從小規(guī)模感染轉(zhuǎn)變?yōu)榇蠓秶鷤鞑,甚至擴(kuò)展到了許多信息化水平不高的國家和地區(qū),這些地區(qū)的用戶在應(yīng)對勒索軟件方面經(jīng)驗(yàn)不足,且勒索軟件攻擊者在這些地區(qū)的競爭不激烈,牟利反而容易得多。

二是從行業(yè)領(lǐng)域看,攻擊范圍拓展至全領(lǐng)域。在勒索軟件的迅猛攻勢下,金融、醫(yī)療、交通、能源、通信、制造、教育等諸多關(guān)鍵基礎(chǔ)設(shè)施和重要行業(yè)領(lǐng)域無一幸免。全球多家金融機(jī)構(gòu)、波音飛機(jī)制造公司、美國科羅拉多交通部、亞特蘭大市政府網(wǎng)絡(luò)、北卡羅來納州政府服務(wù)器、印第安納州漢考克地區(qū)醫(yī)院系統(tǒng)、烏克蘭能源和煤炭工業(yè)部等均成為勒索軟件的受害者。更令人擔(dān)憂的是,醫(yī)院遭到惡意軟件勒索的概率正在上升,而醫(yī)院受到攻擊造成的影響會(huì)遠(yuǎn)比大多數(shù)其他機(jī)構(gòu)更為可怕,甚至危及病人的生命安全。伴隨著物聯(lián)網(wǎng)、云計(jì)算等新技術(shù)熱度的持續(xù)升高,勒索軟件還將逐步向大數(shù)據(jù)、云服務(wù)、物聯(lián)網(wǎng)等新興領(lǐng)域擴(kuò)散,其中包括智能家居、智能汽車等多個(gè)方面,都會(huì)成為勒索活動(dòng)的新戰(zhàn)場。以智能家居為例,在物聯(lián)網(wǎng)上建立起來的智能家居網(wǎng)絡(luò)將是物聯(lián)網(wǎng)領(lǐng)域最具潛力的市場載體,面臨勒索軟件的攻擊危險(xiǎn)更大。2016年召開的全球頂級(jí)安全會(huì)議Def Con上,兩名白帽黑客就曾演示了勒索軟件如何成功入侵智能恒溫器。

(四)攻擊方式專業(yè)化

一是傳播加密手段更加多元。為感染更多設(shè)備,并在內(nèi)部日益激烈的競爭中脫穎而出,許多勒索軟件開始創(chuàng)新傳播手段。首先,借助更多的漏洞、更隱蔽的方式進(jìn)行初始傳播,并越來越多地利用社交媒體作為傳播方式,如通過在臉書、推特、微博等網(wǎng)站上分享的惡意內(nèi)容誘惑受害者點(diǎn)擊惡意鏈接。其次,部分勒索軟件吸收了蠕蟲病毒的特點(diǎn),自我復(fù)制能力越來越強(qiáng),比如WannaCry、NotPetya等就以感染的設(shè)備為跳板,然后利用漏洞或“管理員共享”功能在網(wǎng)絡(luò)中自動(dòng)滲透,攻擊局域網(wǎng)內(nèi)的其他電腦,形成“一臺(tái)中招,一片遭殃”的情況。再次,針對各企業(yè)對于軟件供應(yīng)鏈的管理弱點(diǎn),通過行業(yè)供應(yīng)鏈攻擊傳播勒索軟件的案例也時(shí)有發(fā)生。花樣翻新的手段已讓用戶防不勝防,同時(shí)加密能力也在升級(jí),比如2018年10月被發(fā)現(xiàn)擴(kuò)散到國內(nèi)的Satan勒索軟件最新變種V4.2就升級(jí)了加密算法,促使殺毒軟件原有的解密方案隨病毒升級(jí)而失效。該病毒利用服務(wù)器組件的漏洞進(jìn)行攻擊傳播,會(huì)對硬盤中的重要數(shù)據(jù)文件進(jìn)行全部加密。Satan依靠差異化攻擊手段,不僅使企業(yè)用戶損失慘重,而且個(gè)人用戶亦被波及。

二是偽裝躲避技能更加高超。與其他惡意軟件相比,勒索軟件的偽裝躲避技能毫不遜色,網(wǎng)絡(luò)犯罪分子越來越傾向于以不留痕跡的方式利用勒索軟件,讓防御人員措手不及。一方面是勒索軟件的靜默期會(huì)不斷延長。截至2018年3月,360烽火實(shí)驗(yàn)室捕獲的超20萬個(gè)代刷軟件中,有超半數(shù)是經(jīng)過了偽裝的惡意勒索軟件。這類軟件在首次啟動(dòng)后會(huì)自動(dòng)進(jìn)入“隱藏模式”,使得用戶日常無法感知和卸載,以此達(dá)到長期潛伏、持續(xù)作惡的目的。另一方面是采用更高級(jí)的免殺技術(shù)。例如,2017年12月研究人員剛提出Process Doppelg?nging新型代碼注入技術(shù),這種技術(shù)可繞過Windows系統(tǒng)上所有反病毒安全機(jī)制,2018年5月,研究人員就發(fā)現(xiàn)該技術(shù)被SynAck勒索軟件新變種所利用。

(五)勒索服務(wù)產(chǎn)業(yè)化

勒索軟件不斷擴(kuò)大的市場機(jī)遇催生了新的盈利模式——勒索軟件即服務(wù)(RaaS)。在這種模式下,勒索軟件正式進(jìn)入到類似于商業(yè)軟件的產(chǎn)業(yè)化發(fā)展階段,在暗網(wǎng)市場中進(jìn)行著勒索軟件整套體系服務(wù)的交易,任何想非法獲利的人士都可能利用RaaS平臺(tái)提供的現(xiàn)成解決方案。根據(jù)反病毒服務(wù)提供商Carbon Black 2017年10月發(fā)布的調(diào)查報(bào)告,全球有超過6300個(gè)暗網(wǎng)平臺(tái)提供勒索軟件交易,勒索軟件的銷售總額從2016年的25萬美元達(dá)到2017年的620萬美元,增長了約25倍(21個(gè)全球頂級(jí)暗網(wǎng)平臺(tái)監(jiān)測結(jié)果推算得出)。勒索軟件的開發(fā)人員也獲得了不少收益,一些開發(fā)者年收入能超過10萬美元,而在合法商業(yè)軟件領(lǐng)域,程序員的收入大約為7萬美元。團(tuán)體運(yùn)作模式大大提升了專業(yè)化程度,助長了易用、定制工具的出現(xiàn),開發(fā)人員不需要獨(dú)立研發(fā)整套工具包,只專注其中某一環(huán)節(jié)和某一項(xiàng)技術(shù),即可執(zhí)行有針對性的攻擊和勒索,且成功概率更大,影響更嚴(yán)重。黑產(chǎn)市場的繁榮進(jìn)一步助推勒索軟件以更猛的勢頭向更廣的范圍持續(xù)蔓延。

四、應(yīng)對勒索軟件攻擊刻不容緩

網(wǎng)絡(luò)世界的攻防一直是惡意攻擊者與防御者之間此消彼長的博弈過程。目前,勒索軟件的危害還在持續(xù)擴(kuò)大,如果不能強(qiáng)化應(yīng)對措施,在巨額利潤的驅(qū)使下,勒索軟件將有可能進(jìn)一步爆發(fā),造成更大的危害。當(dāng)然,防范勒索軟件攻擊是個(gè)系統(tǒng)化工程,需要綜合施策、系統(tǒng)治理、多方聯(lián)合,形成預(yù)防與打擊勒索軟件的包圍圈,清除生存土壤,讓勒索軟件無處藏身。

(一)宣傳教育,提高安全意識(shí)

多數(shù)情況下,勒索攻擊屢試不爽的原因不是病毒本身有多強(qiáng)大,而是抓住了用戶安全意識(shí)淡薄的軟肋,得以趁虛而入。因此,提高安全防范意識(shí),不給勒索軟件提供可乘之機(jī),才是應(yīng)對勒索攻擊的首要抓手。針對普通用戶,可借助媒體、網(wǎng)站平臺(tái)等手段加強(qiáng)有關(guān)勒索軟件危害的知識(shí)傳播和安全防范宣傳教育,增強(qiáng)用戶的安全意識(shí)。針對企事業(yè)單位,可通過勒索軟件案例對員工進(jìn)行培訓(xùn),提供最佳實(shí)踐,教育員工如何識(shí)別網(wǎng)絡(luò)釣魚,開展模擬演練,增強(qiáng)員工安全防范意識(shí),始終保持高度警惕,降低人為引入網(wǎng)絡(luò)威脅的概率。

(二)立法先行,完善法律保障

要解決勒索軟件肆虐橫行的問題,法律法規(guī)的重要性不言而喻。實(shí)踐中,盡管許多網(wǎng)絡(luò)安全公司監(jiān)測到了大量的勒索軟件攻擊行為,但進(jìn)入執(zhí)法環(huán)節(jié)的極為罕見。這其中既涵蓋了受害者法律意識(shí)的不足,也包括了法律本身的缺位。立法打擊勒索軟件是正確的一步。美國加利福尼亞州2016年9月就推出了關(guān)于反勒索軟件的法律,對檢察機(jī)關(guān)起訴和定罪勒索罪犯做出了清晰規(guī)定,以打擊使用惡意軟件對重要數(shù)據(jù)進(jìn)行加密并要求支付贖金的網(wǎng)絡(luò)攻擊者。我國現(xiàn)行法律沒有針對勒索軟件的專門性規(guī)定,但在《中華人民共和國網(wǎng)絡(luò)安全法》等多項(xiàng)法律文件中定義了一般性的網(wǎng)絡(luò)犯罪活動(dòng)。為了更有效地打擊勒索軟件,包括其產(chǎn)生源頭的暗網(wǎng)交易市場,需要建立更為完善有針對性的法律法規(guī),重拳治理網(wǎng)絡(luò)勒索犯罪活動(dòng)。

(三)系統(tǒng)治理,構(gòu)建多層防御

很多勒索軟件結(jié)合了復(fù)雜的高級(jí)網(wǎng)絡(luò)攻擊,單一防護(hù)手段和防護(hù)力量無法抵御,需要充分發(fā)揮政府、企業(yè)、用戶多主體作用,構(gòu)建網(wǎng)絡(luò)安全綜合治理體系,搭建多層防御系統(tǒng),編織出一張嚴(yán)密的勒索攻擊防御之網(wǎng)。一是政府應(yīng)制定勒索攻擊恢復(fù)指南并建立專門的應(yīng)急響應(yīng)小組,可以在勒索攻擊發(fā)生時(shí)協(xié)助企業(yè)應(yīng)對并恢復(fù)網(wǎng)絡(luò)、數(shù)據(jù),同時(shí)將病毒樣本、處理方法及防范措施整理歸檔,便于日后不斷完善監(jiān)控、檢測方案。如美國國家標(biāo)準(zhǔn)技術(shù)研究院(NIST)2017年9月發(fā)布了幫助遭受勒索軟件攻擊的企業(yè)制定數(shù)據(jù)恢復(fù)計(jì)劃的專門指南,提供了包括高級(jí)架構(gòu)、實(shí)現(xiàn)案例、安全特性分析等正確處理勒索軟件攻擊的方法建議。二是企業(yè)應(yīng)建立事前預(yù)防、事中監(jiān)控、事后響應(yīng)三位一體的綜合性防護(hù)策略。這不僅應(yīng)包括定期修補(bǔ)漏洞、備份數(shù)據(jù),還應(yīng)包括高級(jí)威脅防護(hù)、網(wǎng)關(guān)防病毒、入侵防御等多個(gè)重疊和相互支持的防御系統(tǒng),以防止任何特定技術(shù)或保護(hù)措施中的單點(diǎn)失效,同時(shí)組建專業(yè)的事件響應(yīng)團(tuán)隊(duì)。三是建立起行業(yè)部門間有效的勒索軟件威脅信息共享機(jī)制,提升彼此的網(wǎng)絡(luò)風(fēng)險(xiǎn)防控能力。

(四)注重技術(shù),加大研發(fā)力度

針對勒索軟件攻擊技術(shù)創(chuàng)新快、應(yīng)對難度大等問題,應(yīng)加大反勒索軟件的技術(shù)研發(fā)力度,充分利用各類新技術(shù),包括人工智能技術(shù)、區(qū)塊鏈技術(shù)、智能誘捕技術(shù)、SONAR行為檢測技術(shù)、智能文件格式分析技術(shù)、文檔自動(dòng)備份隔離保護(hù)技術(shù)、智能威脅云、密碼保護(hù)技術(shù)。特別是人工智能機(jī)器學(xué)習(xí)技術(shù)會(huì)在勒索軟件識(shí)別檢測方面發(fā)揮重要作用,先進(jìn)的機(jī)器學(xué)習(xí)技術(shù)可以找出勒索軟件中可能出現(xiàn)的因素,并隨時(shí)根據(jù)新勒索軟件特征進(jìn)行調(diào)整,以尋找多個(gè)惡意行為的組合方式正確辨識(shí)出勒索軟件與合法軟件,提升應(yīng)對能力。

(五)聯(lián)合打擊,各國共同行動(dòng)

勒索軟件是廣泛存在的網(wǎng)絡(luò)安全問題,在網(wǎng)絡(luò)高度互聯(lián)互通的時(shí)代無差別地影響著世界各個(gè)國家。打擊這種網(wǎng)絡(luò)犯罪也并非一己之力可為,需要全球聯(lián)合行動(dòng)。2016年7月,卡巴斯基實(shí)驗(yàn)室、荷蘭國家警察、歐洲刑警組織和英特爾安全公司率先聯(lián)合啟動(dòng)了“拒絕勒索軟件”項(xiàng)目,為執(zhí)法機(jī)關(guān)和私營企業(yè)聯(lián)合對抗勒索軟件開啟了新的合作模式。目前,該項(xiàng)目的合作伙伴數(shù)量已達(dá)120多家,提供50多款免費(fèi)解密工具,為35000多名用戶免費(fèi)找回了丟失的文件,免交了約1000萬歐元的勒索費(fèi)用。該項(xiàng)目的成功說明面對勒索軟件這一全球性問題,需要各國主動(dòng)聯(lián)合行動(dòng),同時(shí)也需要探索和建立更多有效的國際合作模式,共同應(yīng)對網(wǎng)絡(luò)威脅。

(原載于《保密科學(xué)技術(shù)》雜志2018年12月刊)