勒索攻擊猖獗，在雲上如何應對這位「破壞分子」？

藉助比特幣等數字貨幣的匿名性，勒索攻擊在近年來快速興起，給企業和我的帶來了嚴重的威脅。阿里雲安全中心發現，近期雲上勒索攻擊事件持續發生，勒索攻擊正逐漸成爲主流的黑客變現方式。

1、近期勒索行爲數據分析

1.雲主機被勒索事件上漲

阿里雲安全中心發現，近期被勒索病毒攻擊成功的受害主機數持續上漲。形成勒索事件上漲趨勢的緣由主要有如下三個方面：

1. 愈來愈多的勒索病毒集成了豐富的攻擊模塊，再也不只是傳統地爆破弱口令，而是具有了自傳播、跨平臺和蠕蟲的功能，如Lucky、Satan勒索病毒等。
2. 雲環境租戶業務的多樣性，不斷出現的業務場景日趨複雜，使得用戶展現給黑客的基礎攻擊面不斷放大，持續面臨漏洞的威脅。
3. 企業安全意識不足，未作好口令管理和訪問控制，所以給了黑客可乘之機。

下圖展現了近半年來勒索病毒攻擊成功的趨勢：

主流的勒索家族，如Crysis、GrandCrab和Lucky等很是活躍，而且其餘的勒索家族也逐漸造成規模，致使勒索病毒感染量有所上漲。下圖是雲上捕獲到的勒索家族佔比：

2.勒索攻擊可作到有跡可循

阿里雲安全中心基於近期的入侵數據分析發現，攻擊者以經過雲主機的安全配置缺陷和漏洞利用爲主，進行入侵併植入勒索病毒，目前暫未發現新的入侵方式。

1）弱口令爆破。經過爆破2二、44五、13五、139 、338九、1433等弱口令，獲取服務權限。

SSH/RDP暴力破解持續活躍。SSH與RDP服務爲Linux/Windows雲上兩種主要服務器操做系統的遠程管理入口，長期受到黑客以及僵屍網絡的關注，其攻擊面主要在弱口令，攻擊方法爲暴力破解。

下圖爲高危用戶名統計數據：

統計結果代表，root/administrator是暴力破解最重要的兩大用戶名，這兩個用戶名對各類linux/windows系統而言無疑覆蓋面最廣，對其進行弱口令嘗試破解性價比較高。

勒索病毒常使用的暴力破解密碼字典以下：

PASSWORD_DIC = [
'',
'123456',
'12345678',
'123456789',
'admin123',
'admin',
'admin888',
'123123',
'qwe123',
'qweasd',
'admin1',
'88888888',
'123123456',
'manager',
'tomcat',
'apache',
'root',
'toor',
'guest'
]

2）漏洞利用

因爲雲環境租戶業務的特殊性，Web服務長期成爲公有云威脅的主要受力點，攻擊次數佔據基礎攻防的47%左右，這些Web漏洞迅速被僵屍網絡以及勒索病毒集成到武器庫中，並在互聯網中傳播。阿里雲安全中心經過統計雲上脆弱的Web服務，分析出用戶須要重點作安全加固的Web服務。

近期在雲上持續活躍的Lucky勒索病毒就集成了大量的CVE攻擊組件，使其橫向傳播的能力十分強大。主要利用如下漏洞進行攻擊：

JBoss反序列化漏洞(CVE-2017-12149)
JBoss默認配置漏洞(CVE-2010-0738)
Tomcat任意文件上傳漏洞(CVE-2017-12615)
Tomcat Web管理控制檯後臺弱密碼暴力攻擊
WebLogic任意文件上傳漏洞(CVE-2018-2894)
WebLogic WLS組件漏洞(CVE-2017-10271)
Apache Struts2 遠程代碼執行漏洞(S2-04五、S2-057等)
Spring Data Commons遠程代碼執行漏洞(CVE-2018-1273)
Nexus Repository Manager 3遠程代碼執行漏洞(CVE-2019-7238)
Spring Data Commons組件遠程代碼執行漏洞(CVE-2018-1273)

3.數據庫也能被勒索

值得特別注意的是，阿里雲安全中心在3月份發現了一塊兒成功的數據庫勒索事件，攻擊者經過爆破phpmyadmin入侵數據庫，並刪掉數據庫中數據進行勒索。

攻擊者刪掉全部的數據，留下勒索信息，要求受害者支付贖金來交換丟失的數據：

SET SQL_MODE = "NO_AUTO_VALUE_ON_ZERO";
SET time_zone = "+00:00";

CREATE DATABASE IF NOT EXISTS `PLEASE_READ_ME_XMG` DEFAULT CHARACTER SET utf8 COLLATE utf8_unicode_ci;
USE `PLEASE_READ_ME_XMG`;

CREATE TABLE `WARNING` (
  `id` int(11) NOT NULL,
  `warning` text COLLATE utf8_unicode_ci,
  `Bitcoin_Address` text COLLATE utf8_unicode_ci,
  `Email` text COLLATE utf8_unicode_ci
) ENGINE=InnoDB DEFAULT CHARSET=utf8 COLLATE=utf8_unicode_ci;

INSERT INTO `WARNING` (`id`, `warning`, `Bitcoin_Address`, `Email`)
VALUES (1, 'To recover your lost data : Send 0.045 BTC to our BitCoin Address and Contact us by eMail with your server IP Address or Domain Name and a Proof of Payment. Any eMail without your server IP Address or Domain Name and a Proof of Payment together will be ignored. Your File and DataBase is downloaded and backed up on our servers. If we dont receive your payment,we will delete your databases.', '1666666vT5Y5bPXPAk4jWqJ9Gr26SLFq8P', 'muhstik@protonmail.com');

ALTER TABLE `WARNING`
  ADD PRIMARY KEY (`id`);

若是遭遇刪庫勒索，在支付贖金以前，雲安全中心強烈建議受害用戶驗證攻擊者是否真正擁有您的數據而且能夠恢復。在咱們監控的攻擊中，咱們沒法找到任何轉儲操做或數據泄漏的證據。

2、雲安全中心：讓勒索攻擊無所遁形

爲了應對棘手的勒索病毒攻擊，保障企業和我的在雲上的資產安全，阿里雲安全中心經過構建多維安全防線，造成安全閉環，讓一切攻擊都有跡可循，讓威脅無縫可鑽。

1.安全預防和檢測

在黑客尚未入侵以前，阿里雲安全中心經過漏洞管理，主動發現潛在的漏洞風險，經過基線檢查，一鍵覈查弱口令等安全合規配置。

在黑客入侵過程當中，雲安全中心經過威脅建模和數據分析，主動發現並記錄黑客的攻擊鏈路，及時提醒用戶進行安全加固和漏洞修復。所以建議用戶從漏洞、基線的角度構建安全防線。

2.主動防護

在黑客入侵成功以後，並嘗試進行勒索行爲時，阿里雲安全中心基於強大的病毒查殺引擎，實現主動防護，在網絡中阻斷勒索病毒的下載，在服務器端阻止勒索病毒的啓動，並對其隔離阻斷，在黑客成功攻擊受害者主機的狀況下，也能免於勒索病毒的侵害，保障業務正常運行。

3.調查溯源

阿里雲安全中心基於多維度的威脅攻擊檢測、威脅情報等數據，能夠自動化溯源黑客對服務器的整個入侵鏈路，輔助用戶加固本身的資產，讓用戶擁有安全運營能力。

3、安全建議

1. 藉助阿里雲安全中心排查已知的漏洞和脆弱性風險，及時修復和加固，避免被勒索病毒襲擊。
2. 增強自身安全意識，確保服務器上的全部軟件已更新和安裝了最新補丁，不存在弱口令的風險，定時備份有價值的數據，關注最新的漏洞警報，並當即掃描其系統以查找可能被利用的已知CVE，而且在不影響業務的狀況下，禁用Powershell、SMB等服務。
3. 建議您不要支付贖金。支付贖金只會讓網絡犯罪分子確認勒索行爲是有效的，並不能保證您會獲得所需的解鎖密鑰。
4. 若是您不幸被勒索病毒感染，能夠等待獲取最新的免費解密工具，獲取連接以下：https://www.nomoreransom.org/zh/decryption-tools.html

 

---

本文做者：雲安全專家

原文連接

本文爲雲棲社區原創內容，未經容許不得轉載。