加密勒索軟體惡意探索趨勢剖析

摘要： 截止到2016年，全球有114個國家受到加密勒索活動的影響，共發現44000多個勒索軟體樣本。阿裡雲安全團隊第一時間告知用戶勒索軟體的蔓延趨勢，並為用戶提供應急加固方案。同時，從勒索軟體行為方式方面著手，研發針對勒索加密軟體的查殺功能，許諾用戶雲上安全。

加密勒索活動仍會繼續蔓延

2016年下半年，勒索軟體成了企業安全的一個致命傷。卡巴斯基在2016年12月份發佈的年度熱門活動：加密勒索報告顯示，截止到2016年，全球有114個國家受到加密勒索活動的影響，共發現44000多個勒索軟體樣本。亞信安全發佈的勒索軟體風險研究報告也顯示，近十個月內，全球傳播的勒索軟體數量增長了15倍，中國勒索軟體數量增長更是突破了67倍。

企業如遭到勒索，需要按照要求支付“贖金”，否則檔案將有可能永遠無法打開。勒索軟體欺詐金額巨大，且防範困難；通常，企業費用的贖金，會用來發展下一代勒索軟體。近期，國外安全研究人員還發現，有勒索軟體目標鎖定 Linux伺服器，還有新型的勒索軟體整合了DDoS功能。可預測，加密勒索活動仍會持續蔓延。

Data From：KASPERSKYSECURITY BULLETIN 2016. STORY OF THE YEARTHE RANSOMWARE REVOLUTION

阿裡雲安全團隊深入剖析勒索軟體背後成因

阿裡雲安全團隊第一時間告知用戶勒索軟體的蔓延趨勢，並為用戶提供應急加固方案。同時，從勒索軟體行為方式方面著手，研發針對勒索加密軟體的查殺功能，許諾用戶雲上安全。

點選連結查看加密勒索軟體防護方案

阿裡雲安全通過對目前勒索活動的資料分析，發現被勒索軟體入侵的受害者，都有兩大共性：

1.關鍵帳號存在弱口令或無認證機制

·伺服器登入關鍵帳號(root、administrator)密碼簡單或空密碼；

·資料庫(Redis、MongoDB、MySQL、MSsql Server)等相關重要商務服務直接可以無密碼登入。

2.無存取控制原則，商務“裸奔”在互連網上

·RDP、SSH、Redis、MongoDB、MySQL、MSsql Server等高危服務直接裸奔在互連網上

以上兩類問題是駭客利用成本較低的惡意探索方式。攻擊者不需要追蹤帳號密碼，就可以對商務造成重創。目前，大部分勒索軟體惡意探索都是通過Windows可執行檔中包含的惡意程式碼實現的，隨著勒索軟體的不斷“變種”，還可能演化出新的惡意探索方式。

雲端運算平臺如何說明企業減少被勒索風險

雲端運算平臺的威脅情報能力，基礎安全功能，安全產品和專家團隊，能夠有效說明企業減少風險。相比自建IDC的封閉環境，雲上的安全防護選擇和管理手段更加多樣化，企業在瞭解商務現狀和防禦情況的前提下，可在雲上定制防禦原則，找到合適自己的預防措施。

雲平臺為企業提供必要的安全工具（如快照功能），並具備強大的容災、資料復原能力；經驗豐富的安全專家，會針對最新的惡意探索類型制定相應加固措施。

在應對勒索軟體惡意探索的場景下，阿裡雲建議企業採用以下防護措施：

定期備份資料

良好的備份措施和原則是商務受到影響後的最後一根救命稻草。

在阿裡雲上，推薦用戶開啟ECS快照功能，並根據企業商務環節制定備份原則(全量+增量)，每天進行備份，並儲存3份以上的組建。這樣即使遇到勒索軟體破壞入侵，也可以迅速復原到1天前的商務資料。

對外只開放必要的商務埠，控制伺服器的主動外聯存取

可以在VPC 閘道處的防火牆，或阿裡雲安全性群組防火牆上，設定伺服器對外存取埠。只開放必要的埠，減少惡意探索面，保護伺服器的安全。

同時，通過阿裡雲安全性群組防火牆禁止伺服器的主動存取行為，以封鎖受感染伺服器可能會嘗試串連C&C伺服器。

對伺服器進行合理的安全域規劃

建議使用阿裡雲的VPC服務，用於隔離不同租戶間商務套用。同時將不同安全等級的伺服器，劃分到不同的安全域。以免低安全域的伺服器中招後，感染到其它商務服務器。

服務口令和遠端存取權限管理

伺服器的口令建議至少8位以上，同時必須包含複雜的字元，同時要不定期更新口令。

不應向外網直接開放伺服器的遠端存取權限，如需要遠端運維，建議通過阿裡雲.雲市場上的IPsecVPN或SSLVPN的遠端存取解決方案。推薦企業在VPC閘道處部署雲市場的專業防火牆鏡像系統：其可同時支援VPN的遠端存取，還可實現VPC南北向流量的存取控制。

作業系統層面的安全設定弱點和弱點防護

建議使用阿裡雲雲盾安騎士產品，以對非法破解密碼的行為進行辨識，避免被駭客多次猜解密碼而入侵。同時可以一鍵清除網站後門維修伺服器環境單純，批量修復高危弱點。

安騎士同時還提供針對伺服器套用軟體不安全的設定檢測和修復方案，說明用戶成功修復弱點，提高伺服器安全強度。

Web套用弱點的防護

對於Web網站類的安全，推薦使用阿裡雲雲盾WAF，用於防禦OWASP 常見威脅，包括：SQL注入、XSS跨站、Webshell上傳、後門隔離保護、指令注入、非法HTTP合約要求、常見Web伺服器弱點惡意探索、核心檔案非授權存取、路徑穿越、掃描防護等安全防護；同時建議使用者追隨並及時更新套用服務軟體（例如：Apache、Tomcat、Nginx）的0day補丁，從多方面保護商務的安全性。

全域的外部威脅和情報感知能力

安全是動態對抗的程序，就跟打仗一樣，在安全活動發生之前，作為IT管理員要時刻瞭解和辨識外部不同各類風險，所以做安全的思路應該從防止安全入侵這種不可能的任務移至了防止損失這一系列的關鍵任務上，防範措施必不可少，但是基於通知、回應的時間差也同樣關鍵。而實現這種快速精准的通知能力需要對外面的資訊瞭若指掌，切記“盲人摸象”，所以建立有效監控和感知體系是實現安全管控措施是不可少的環節，更是安全防護體系原則落地的基礎條件。

阿裡雲用戶可以登入阿裡雲主控台，到雲盾功能表裡面免費開通阿裡雲態勢感知服務，可以查看即時的外部惡意探索行為和內部弱點（弱點）情況。

相關產品：

1. 態勢感知

2. 伺服器安全(安騎士)

3. Web套用防火牆