以下将结合 95015 服务平台现场应急情况,深入分析勒索病毒受害机构在网络安 全建设与运营过程中出现的主要薄弱环节,并给出相应的安全建议,
仅就 95015 服务平台目前能够监测到的、实际发生过的勒索病毒攻击事件来看,遭到勒 索病毒攻击的政企单位,绝大多数都是网络安全建设基础极其薄弱,存在显而易见的安全建 设漏洞的单位。终端没有采取任何安全防护措施、内网服务器近乎裸奔、关键漏洞长期得不 到修复等情况非常普遍。没有整体安全规划、没有全局安全策略、没有有效运营手段,都是 勒索病毒受害机构的典型通病。 特别令人担忧的是,受害机构还普遍存在威胁溯源能力严重缺失的问题。如前面报告分 析显示,有 61.7%的受害机构,在遭勒索病毒攻击后,其现有的安全措施完全无法支撑任何 形式的内外部溯源,根本不知道谁访问过系统,何时访问过何种系统,进行过什么操作。还 有 13.1%的机构虽然具备一定的溯源条件,但也只能帮助应急人员实现内网溯源,完全搞不 清哪些外网 IP 曾经攻击过系统。这二者的总和超过七成。
溯源能力的缺失,从本质上看,是基础的安全防护建设的严重不足,导致安全系统没有 对攻击者的攻击活动进行任何形式的记录。而无法完成溯源分析,也就意味着即便勒索病毒 攻击已经给机构造成了重大的损失,我们也仍然无法“对症下药”,无法找到安全隐患点, 不知道该具体采取哪些改进措施。白挨了一顿打,还没有学到任何教训。 目前,想要解决溯源问题,性价比最高的方案就是部署威胁监测与分析系统,如奇安信 “天眼”。此类系统以流量分析为基础,即便没有其他安全措施的配合,也能在很大程度上, 完成威胁监测与事后的溯源任务。
仅从现有已知案例来看,针对国内机构的勒索病毒攻击,攻击者所使用的所有攻击手法均在已知范围内,极少有利用 0Day 漏洞和高级攻击手法的案例发生。暴力破解、钓鱼邮件、 远程登录、漏洞扫描等传统攻击手法,目前均有成熟的安全产品或解决方案可以进行有效应 对。这也就意味着,目前的勒索病毒攻击,完全是可防、可控、可发现的。而即便如此,勒 索病毒攻击事件仍频繁发生,恰恰说明了相关机构网络安全建设与运营能力的严重不足。 从报告前面的分析可知,遭遇勒索病毒攻击的黄金救援期仅有 30 分钟,超过 9.8 小时 临界点,“死亡概率”就会大于“生存概率”。因此,遭受攻击的机构必须要有能力在第一时 间捕获攻击者的行动,并在有限的时间内采取有效的行动,才能在勒索病毒的攻击下存活。
这就要求政企机构必须具备实战化的安全运营能力,以便能够在第一时间发现关键的攻 击活动特征;同时,还要具备充分的应急响应能力,包括组织保障、技术方法、安全工具等 多个方面,才能做到响应及时、响应有效。 而反观本次报告分析的 200 余起勒索病毒攻击事件的受害者机构,他们或者是完全没 有威胁发现能力,稀里糊涂的被暴打一顿;或者是已经监测到攻击迹象(如暴力破解、非法 外联等),却没有引起重视,没有及时采取任何有效行动,静待攻击者完成全部攻击动作; 最终导致贻误战机,系统失陷,造成无法挽回的损失。 综上所述,建立实战化的安全运营能力,完善应急响应机制,提升应急响应能力,是受 害机构网络安全建设的重中之重。有条件的机构,还应积极开展网络安全应急响应技术演练、 实战攻防演练,从整体上提升实战化安全运营能力与应急响应能力。
端口暴露问题是政企机构的基本安全问题,存在不必要的端口暴露也就等于是为攻击者 打开了一条入侵内部网络的绿色通道。 统计显示,在 206 起勒索病毒典型攻击事件中,共有至少 87 起事件涉及端口暴露问题, 占比 42.2%。累计暴露端口 134 个,涉及端口号 27 个。其中,被勒索病毒攻击者利用最多 的暴露端口号 TOP5 分别为:3389(19.4%)、445(12.1%)、135(5.3%)、139(4.4%)、3306 (2.9%)。
下面是 TOP5 暴露端口号的一般用途简介。 3389 端口:用于远程桌面协议(RDP)的默认端口。RDP 允许用户通过网络远程控制 Windows 操作系统。当 3389 端口开放并监听时,可以通过远程桌面软件连接到该端口,实 现远程控制。 445 端口:是一种用于网络通信的端口号,通常用于运行 Microsoft 的 SMB(Server Message Block)协议,提供文件和打印共享服务。SMB 协议是一种用于文件共享、网络浏 览以及打印服务的通信协议。 135 端口:是 Windows 操作系统中的一个重要端口,用于 DCE/RPC(分布式计算环境 /远程过程调用)服务。它常用于网络上的进程间通信和远程管理。在进行一些网络渗透测 试或安全审计时,可能需要扫描该端口来查看系统的开放情况。 139 端口:是 Windows 系统中用于共享文件和打印机的端口,也被称为 NetBIOS Session Service。它用于在局域网内共享资源和进行文件传输。 3306 端口:MySql 数据库系统服务的默认端口。 需要指出的是,尽管网络资产及端口暴露问题非常普遍,但目前业界也早已有成熟的检 测方案。如奇安信全球鹰等互联网资产监测系统,已经能够用很低的成本帮助政企机构探测 互联网暴露情况。企业不应任由内部网络存在不明的端口暴露情况。消除勒索攻击风险,完 全可以先从减少端口暴露开始。
如前所述,在勒索病毒攻击事件中:有 49.5%的事件与管理员弱口令有关;在 52.6%的 事件中攻击者使用了暴力破解;而能够被成功爆破的口令,理论上讲都属于弱口令。作为信 息化系统的看门人,管理员使用弱口令,就等于是将库房钥匙交给了攻击者。这也就难怪攻 击者可以“大摇大摆”的“破门而入”。 表面上看,弱口令问题是安全意识问题。但从本质上看,弱口令的存在本身就说明系统 的身份认证机制不完整或者是存在重大的缺陷。现代身份安全思想则认为:使用静态口令本 身就是不安全的,因为静态口令天然就存在被泄露和窃取的可能。
相比之下,基于零信任技术的动态身份认证方法,就能将安全性提升几个数量级。而且 由于零信任技术可以完全不依赖于静态口令,使用者也因此无需再强行记忆复杂的口令,这 就实现了既方便、又安全的用户体验。 对于尚不具备部署零信任系统条件,或者是安全预算不足的政企机构,至少也应该在传 统安全机制范围内,努力避免弱口令的存在。 如:定期排查风险账号,冻结僵尸账号、幽灵账号、长期未改密账号等;定期进行弱口 令筛查、系统强制要求修改弱口令等;所有内外部系统均应建立防爆破机制,不仅要限制同 一 IP 短时间内的登录次数,还应对频繁登录的 IP 采取封禁措施,对频繁登录的账号采取冻 结措施,从而大大提升攻击者暴力破解的难度和成本。当然,必要的安全意识教育也不能少。
如前所述,勒索病毒的攻击,利用 0day 漏洞的情况非常罕见,攻击者通常使用的都是 已知的 Nday 漏洞——至少在国内看到的受害者情况是这样的。这也就意味着,勒索病毒攻 击者利用漏洞进行的攻击,并非是无法预测、无法预防的。只要做好漏洞管理,定期更新和 修补系统,及时安装厂商提供的最新补丁和更新程序,是完全可以避免相关安全风险的。 不过,想要实现有效的漏洞管理,也的确不是一件很容易的事:系统运营者不仅需要建 立内部系统的漏洞管理平台,知晓漏洞的位置和安全现状,还需要建立漏洞情报收集能力 (如 SRC)、漏洞响应与修复能力。对于某些无法直接打在系统上的补丁,还需要建立有针对性的特殊防护措施。正是由于漏洞管理的复杂性,多数政企机构都没有能力独立建设漏洞 管理能力,通常需要有安全厂商的支持与帮助。
此外,供应链的安全问题也未引起足够的重视。在本次报告分析的案例中,就有多起案 例是因信息化供应商开发的专用系统,如 OA、ERP、CRM 等存在已知安全漏洞而引起的。 对于大型政企机构来说,业务系统往往错综复杂,信息化供应商也往往不止一家,漏洞四处 潜伏的情况也非常普遍。这也给漏洞管理工作增加了很大的难度。 建设实战化、可运营的漏洞监测与预警能力,是政企机构安全运营能力建设的一大难点。 同时,机构还应建立长期持续、动态运营的供应链安全管理办法,这涉及源码及开源组件安 全检测、漏洞评估、漏洞发现处置等内容。
