作者：正禾，阿里雲安全專家
本文為作者原創，未經授權不可轉載。
歡迎技術投稿、約稿、給文章糾錯，請傳送郵件至[email protected]

加密勒索軟體不管對個人網路使用者和企業使用者來說，是個越來越顯嚴重的犯罪問題。受影響的客戶包括中小企業的業務資訊系統，甚至包括個人終端，移動裝置。據美國FBI的一份報告顯示，2016年，勒索軟體的非法收入可能達到10億美元。這一巨大的收入數字，很大一部分都是由企業繳納的贖金組成。

當用戶因為勒索軟體導致業務中斷，企業通常會認為支付贖金是取回資料最划算的辦法。但尷尬的是，這些支付出去的贖金，通常會被直接用於下一代勒索軟體的開發。所以很多企業正在無奈地用“金錢澆灌著勒索軟體的花朵”。正因如此，勒索攻擊正以驚人的速度不斷髮展，勒索軟體家族也正在不斷的進化。

勒索事件之所以如此可怖，是因為它不像一般攻擊事件，其發起者只想訪問資料或者獲取資源，勒索者有時既想要資料，更要錢。這也是為什麼在很多勒索事件中，受害者被騙取了錢財，但未拿回自己的資料。

當前國內外諸多研究機構已經專門針對勒索軟體的現狀、趨勢，並做了詳細的資訊收集和分析研究，微軟還專門針對勒索軟體在其安全中心開闢了專欄版塊，從所有的機構資料來看，勒索軟體捲土重來的趨勢愈演愈烈，本文將重點討論如何保護企業，幫助他們更好地應對這種威脅。

什麼是勒索軟體？

Radsomware（勒索軟體）是通過網路勒索金錢的常用方法，它是一種網路攻擊行為，可以立即鎖定目標使用者的檔案、應用程式、資料庫資訊和業務系統相關的重要資訊，直到受害者支付贖金才能通過攻擊者提供的祕鑰恢復訪問。說直白一點，有點像大家的IPHONE突然間“被掛失”了，然後攻擊者打來電話索要贖金，然後才幫你解鎖。而勒索軟體攻擊的這個“IPHONE”，則是系統、伺服器。

勒索軟體專門以使用者檔案為攻擊目標，同時會避免破壞系統檔案。其中的原因是，這一方面可以確保使用者會收到相關的通知，以告知他們的檔案所遭到的攻擊，另一方面，使用者也能夠通過一定的方法支付贖金以取回他們的檔案。對檔案進行加密後，此類惡意軟體通常會自我刪除，並留下某種形式的文件 —— 這個文件會指示受害者如何支付贖金，並重新獲得對加密檔案的訪問許可權。某些“變體”還會向受害者設定支付時限，並威脅如果在此時限之前未收到付款，則將刪除金鑰/解密工具，否則則會增加贖金的價格。

勒索軟體的傳送方式通常包括：漏洞攻擊包、水坑式攻擊、惡意廣告，或者大規模的網路釣魚活動。一旦傳送成功，勒索軟體一般通過某種嵌入式副檔名列表來識別使用者檔案和資料。勒索軟體還會通過程式設計，避免影響某些系統目錄（例如 Windows 系統目錄或某些程式檔案目錄），以確保負載執行結束後，系統仍然保持穩定，以使客戶能夠支付贖金。

翻譯：鎖定和加密您的資料和徹底改變檔案字尾名，並留下聯絡方式

受害者的故事

一組熟練的、以獲取贖金為目標的攻擊者，一直在收集一家大型公司的相關資訊，準備對其發動攻擊。機會出現了，攻擊者獲得了對其網路的初始訪問許可權。攻擊者現在需要升級其授權，並確定網路中的關鍵目標，他們需要取得對這些目標的控制，這樣一來，受害者支付贖金的可能性就會增加。

如上圖所示，攻擊者正在嘗試利用系統中的本地功能以在目標網路裡逐步滲透，同時降低被發現的風險。在許多作業系統裡，攻擊者可以利用很多的遠端訪問工具，從而在系統間逐步滲透。使用本地工具進行逐步滲透，不會向磁碟引入任何內容，並且也不會被視為異常操作，這就降低了人們發現攻擊者的可能性。

被攻擊了，然後呢？

一旦勒索軟體發動攻擊，並攻擊成功，損失幾乎是無法阻擋的。

如果不支付贖金，那麼恢復資料就需要很高的成本。安全和 IT 員工需要全天候進行工作，將系統恢復至執行狀態，這個過程中需要支出裝置、運營成本等。

如果資料恢復成本大於贖金成本，那麼受害組織很有可能會付錢。 否則攻擊者會“撕票”，然而這裡面也可能會有支付完贖金被騙的情況發生。

縱深防禦能在關鍵時候幫你

正如在本文我們所描述的那樣，在有經驗的攻擊者手裡，具有自我傳播功能的勒索軟體將可能給企業的業務帶來致命損失，或成為受害者的一場噩夢。但是，可能不代表必然。

因為攻擊者要逐步從外向系統內滲透，是需要受害者的安全防禦層“允許”的。

就像是打仗時，士兵攻城一樣。勒索軟體的攻擊者，會最先攻陷那些沒有堅實外殼的系統，完成初始訪問。當第一步攻陷行動完成，如果“城牆”內沒有安全策略，威脅就會逐漸滲透到內部，以入侵重要的資產或資料，這是攻擊的第二步。如果受害者還不留神，“允許”了許可權升級，攻擊就會最終得逞，造成無法挽回的危害。因此，我們所倡導的“縱深防禦”，不僅僅是一個概念，它決定了在勒索事件等攻擊場景中，企業到底是能把危機擋在門外，還是引狼入室，讓惡意軟體對業務造成實際損失。

那麼，企業在如何一步步將威脅擋在門外呢？

1 . 資料備份與恢復：備份，備份，再備份。重要的事情說三遍！

資料備份和恢復措施是發生被勒索事件挽回損失的重要工作，我們將此關鍵措施放在第一位。面對攻擊者的贖金勒索，需要清晰的瞭解並考慮以下點：

• 當系統遭到徹底破壞的時候，受害組織在多大程度上能夠接受資料的丟失？
• 本地備份是否可用，或者異地備份的內容是否都被刪除或以其他的方式導致不可用？
• 如果本地備份介質的內容被刪除或不可使用，異地的備份是否可用？ 異地備份頻率如何？每週一次？每半個每月一次？每月一次？
• 是否定期驗證過備份內容的有效性？資料是否可以正常使用？
• 是否資料應急恢復流程或手冊？

如果給出的答案是肯定了，那麼備份恢復是企業的最後一道防線，在最壞的情況下，它將是企業最後的堡壘，而企業需要建不定期地進行資料備份策略，以確保在最壞的情況有備份措施。

如果企業的業務在雲上，可以使用不同方式的備份方法來解決資料備份問題，以確保在發生勒索事件後，儘可能的挽回損失。

**推薦工具：**ECS快照功能、RDS提供的資料備份功能、使用OSS儲存服務備份重要資料檔案、由使用者制定的資料備份策略或方案等。

2 . 雲上賬號安全策略

雲上針對租戶賬號提供賬號登入雙因素驗證機制(MFA)、密碼安全策略、和審計功能，企業可以方便的在自己的雲上介面中啟用和關閉，以確保雲服務賬號的安全性。

針對組織內部多角色場景，企業需要使用RAM服務為不同角色合理分配賬號並授權，以防止在運維管理活動中，出現意外操作而導致的安全風險。

3 . 阻止惡意的初始化訪問

企業可以採用如下兩種方式，來阻止攻擊進入系統的“第一道門”：發現並修復業務系統存在的漏洞；或者拒絕點選網路釣魚等不明惡意連結和郵件/社交工程。如果攻擊者在目標網路無法輕易地建立初始訪問，那麼攻擊者更可能轉向其他較為容易進攻的目標。攻擊者也希望花費盡可能少的代價來取得相應的收益。如果無法輕易地建立初始訪問，這會增加他們尋找其他更容易進攻目標的可能性。

4 . 搭建具有容災能力的基礎架構

高效能、具有冗餘的基礎架構能力是保障業務強固的基礎條件，在雲環境下，可以通過SLB叢集的方式搭建高可用架構，當出現某一個節點發生緊急問題時，可以有效避免單點故障問題，防止業務中斷的前提下，也可以防止資料丟失。

在資源允許的條件下，企業或組織可以搭建同城或異地容災備份系統，當主系統出現發生勒索事件後，可以快速切換到備份系統，從而保證業務的連續性。

**推薦工具：**SLB、RDS等高效能服務組合而成的容災架構

5 . 強化網路訪問控制

精細化的網路管理是業務的第一道屏障。

對於大部分企業網路而言，它們的網路安全架構是“一馬平川”的，在業務塊之前，很少有業務分割槽分段。但隨著業務的增長和擴容，一旦發生入侵，影響面會是全域性的。在這種情況下，通過有效的安全區域劃分、訪問控制和准入機制可以防止或減緩滲透範圍，可以阻止不必要的人員進入業務環境。

例如：可以限制ssh、RDP業務管理源地址、對資料庫連線源IP進行訪問控制，實現最小化訪問範圍，僅允許授信人員訪問，並對出口網路行為實時分析和審計。具體可以從以下幾個方面實施：

• 推薦使用更安全的VPC網路；
• 通過VPC和安全組劃分不同安全等級的業務區域，讓不同的業務處在不同的隔離空間；
• 配置入口/出口過濾防火牆策略，再次強調 -入口和出口均需進行過濾。主機彼此之間應當不能通過 SMB（139/tcp、445/tcp） 進行通訊。如果設定了檔案伺服器，實際上就不需要進行這種通訊。如果企業可以有效地禁用主機間的 SMB 通訊，企業就可以防止攻擊者使用“通過散列表”所進行的逐步滲透。SMB 通訊應僅限於應用分發平臺，檔案共享和/或域控制器。

推薦工具： VPC、安全組

6 . 定期進行外部埠掃描

埠掃描可以用來檢驗企業的弱點暴露情況。如果企業有一些服務連線到網際網路，需要確定哪些業務是必須要釋出到網際網路上，哪些是僅內部訪問，當公共網際網路的服務數量越少，攻擊者的攻擊範圍就越窄，從而遭受的安全風險就越小。

7 . 定期進行安全測試發現存在的安全漏洞

企業公司IT管理人員需要定期對業務軟體資產進行安全漏洞探測，一旦確定有公開暴露的服務，應使用漏洞掃描工具對其進行掃描。儘快修復掃描漏洞，同時日常也應該不定期關注軟體廠商釋出的安全漏洞資訊和補丁資訊，及時做好漏洞修復管理工作。

推薦工具：安全眾測產品、VPC網路、安全組策略、主機安全、可管理的安全服務(MSS)

8 . 常規的系統維護工作

• 制定並遵循實施IT軟體安全配置，對作業系統和軟體初始化安全加固，同時並定期核查其有效性；
• 為Windows作業系統雲伺服器安裝防病毒軟體，並定期更新病毒庫；
• 確保定期更新補丁；
• 確保開啟日誌記錄功能，並集中進行管理和審計分析；
• 確保合理的分配賬號、授權和審計功能，例如：為伺服器、RDS資料庫建立不同許可權賬號並啟用審計功能，如果有條件，可以實施類似堡壘機、VPN等更嚴格的訪問策略。
• 確保實施強密碼策略，並定期更新維護，對於所有操作行為嚴格記錄並審計；
• 確保對所有業務關鍵點進行實時監控，當發現異常時，立即介入處理。

推薦工具：主機安全產品

9 . 重點關注業務程式碼安全

大部分安全問題由於程式設計師的不謹慎或無意識的情況下埋下了安全隱患，程式碼的安全直接影響到業務的風險，根據經驗來看，程式碼層的安全需要程式設計師從一開始就需要將安全架構設計納入到整體軟體工程內，按照標準的軟體開發流程，在每個環節內關聯安全因素。以下是基於軟體開發流程將安全管控點落實到流程中的最佳實踐：

對於一般的企業來說，需要重點關注開發人員或軟體服務提供上的安全編碼和安全測試結果，尤其是對開發完畢的業務程式碼安全要進行程式碼審計評估和上線後的黑盒測試（也可以不定期的進行黑盒滲透測試）。

推薦工具：安全眾測產品、Web應用防火牆(WAF)、SDL標準流程

10 . 建立全域性的外部威脅和情報感知能力

安全是動態的對抗的過程，就跟打仗一樣，在安全事件發生之前，我們要時刻了解和識別外部不同各類風險，所以做安全的思路應該從防止安全入侵這種不可能的任務轉到了防止損失這一系列的關鍵任務上。

防範措施必不可少，但是基於預警、響應的時間差也同樣關鍵。而實現這種快速精準的預警能力需要對外面的資訊瞭如指掌，切記“盲人摸象”，所以建立有效的監控和感知體系是實現安全管控措施是不可少的環節，更是安全防護體系策略落地的基礎條件。

推薦工具：大資料安全分析平臺，雲上安全威脅態勢感知系統

11 . 建立安全事件應急響應流程和預案

就像前面說的一樣，在安全攻防動態的過程中，我們可能很難100%的防禦住所有的安全事件，也就是說，我們要為可能突發的安全事件準備好應急策略，在安全事件發生後，要通過組織快速響應、標準化的應急響應流程、規範的事件處置規範來降低安全事件發生的損失。

推薦工具：可管理的安全服務(MSS)、安全事件應急響應服務（SIEM）

總結

從以上介紹看來，這些對抗攻擊的方式並沒有很高的難度。它們在企業資訊保安日常實踐中都是常用的安全措施。但是，大部分企業沒有去做好基礎防禦工作，主要還是因為沒有引起高度的重視，而一旦發生此類嚴重影響業務安全事件之後，後悔莫及。在愈來愈烈的網路安全環境中，如果企業、政府和社會各個機構沒有從內心重視起來，構建和擴充套件深度防禦，那麼當威脅到來時只能是螳臂當車。

在勒索軟體不斷“變異”的趨勢下，這種攻擊行為在未來會繼續不斷鎖定新的目標，以一種新的方式不斷進化滲透，在血琳琳的諸多案例下，各企業、組織的資訊管理人員需要引起重視，尤其是在當前網際網路蓬勃發展的趨勢下，資料對於企業的重要性越來越大時代，為我們客戶保障資料安全，促進業務良性發展已然成為使命。

130+位講師，16大分論壇，中國科學院院士陳潤生、滴滴出行高階副總裁章文嵩、聯想集團高階副總裁兼CTO芮勇、上交所前總工程師白碩等專家將親臨2016中國大資料技術大會，票價折扣即將結束，預購從速。