企业动态

    第19叨

    世界上大概有两种CIO，一种是遭遇勒索攻击后选择支付赎金的，一种是不支付赎金的。前者为了业务正常运行而妥协，后者誓要与“绑匪”硬刚到底，找出自己的薄弱点赶紧修复。

    一时损失真的可以换得长久安稳吗？一份国外调查机构Censuswide数据显示，大约80%选择支付赎金的组织会遭到第二次攻击，其中46%被认为是来自同一个团伙。

    即使受害者支付了赎金以重新获得其加密文件的访问权，也经常出现问题。46%的支付者发现一些数据被破坏，51%的人重新获得了访问权，但没有数据损失；3%的人根本没有拿回他们的数据。

    时至今日，勒索攻击，这一网络安全世界的“流行病”，并没有随着安全技术水平的提升而销声匿迹，反而愈发猖獗，或针对企业系统，或针对数据资产，以敲诈勒索为目的横行网络空间。面对勒索攻击，究竟怎样做才是完美答案？

    当日9:00㏂A省某企业总部

    上午九点，在A省某公司上班的小张刚打开电脑，就发现桌面弹出来一张类似对话框的画面，文件名称显示异常。紧接着小张试图打开桌面上的文件，但文件无一能打开。种种信息表明，这台电脑被“勒索”了！

    （示意图片来源于网络）

    不仅仅是小张，周围其他同事的电脑也是如此。单位网络安全部门的工作人员进一步排查受影响的网络资产情况，同时发现部分对外业务系统也受到勒索，工作人员立即切断网络，关闭远程服务端口。

    经过对比、检索勒索信和被加密文件信息表明，这次攻击出自近年来十分活跃的HIVE勒索病毒家族。

    面对公司内部众多受到攻击的终端和只有几个人的手下，网络安全负责人当机立断选择向专业力量寻求外援——

    当日9:30㏂奇安信应急响应中心

    “老大，A省有多个企业报告遭遇了勒索攻击！”在接到了95015应急电话后，奇安信应急响应中心的工作人员快步走向了负责人，向上级报告了这两起都与HIVE勒索病毒相关的勒索攻击。话音未落，热线电话再次响起——

    “B省、C省也有企业相继中招HIVE勒索病毒！”“还有D省……”

    对于来势汹汹的勒索攻击而言，这才只是个开始。

    从陆续接到各省企业组织的告警电话开始，奇安信应急响应中心立即成立了专项小组，选出应急响应总指挥和现场应急总指挥坐镇，并迅速成立溯源组、监控组、架构组、加固组和设备保障组，形成覆盖全局的应急响应体系。

    这次勒索攻击，让奇安信集团安服应急响应负责人张永印不禁想起了此前一个类似的案例，仅仅两天时间，那场勒索攻击迅速席卷全国10省份、20余城，各单位感染数量达上百个。想要赢得这场面对勒索攻击的战役，必须与黑客比“快”，抢占黄金救援时间。

    于是，一线专家火速赶往现场，开始了争分夺秒的“救援”工作。

    当日10:00㏂A省某企业总部

    上午十点，安服专家与企业网络安全部门工作人员在现场共同开展后续处置与溯源工作。

    在隔离中招主机的基础上，安服专家全面排查网络资产，进行全网病毒查杀、封禁恶意源IP、修改服务器与主机密码等一系列处置动作后，开始了溯源分析。

    综合文件、补丁、账户及网络连接、进程、计划任务、日志、流量等多个维度的搜证与排查，专家从中找到了攻击痕迹。但由于溯源涉及到的样本数量巨大、现场困难较多，奇安信应急响应中心又增派了几名专家赶往现场增援。

    当日17:00㏘A省某企业总部

    下午五点，经过现场多名专家的连续奋战，终于初步理清了此次勒索攻击的大致情况。

    经过排查发现，在遭受勒索的主机中均有受到同一IP地址机器的RDP登录事件，通过RDP登陆源锁定了一台对外业务服务器，并快速分析攻击发生的时间及手法，发现该业务服务器存在远程命令执行漏洞，最终将其串连在一起形成完整的攻击链。

    随后，现场工作人员对已发现的利用工具进行清除，对使用的漏洞与业务系统进行核实漏洞是否存在，并升级最新版本。同时，专家协助企业网络安全负责人撰写好对外公告、管理相关舆情，直到此时，大家才稍微松了一口气——

    在“黄金时间”内勒索攻击已初步得到抑制，专家们摸清了对手的套路，接下来才是响应处置的“重头戏”。

    次日至第三日A省某企业总部

    翌日上午，各方领导针对此次勒索攻击召开会议，考虑到奇安信应急响应以往丰富的处置经验和冬奥零事故经验，决定后续加固整改与持续运营仍然由奇安信负责。

    会议结束后的两天时间里，一方面，现场专家仍在抓紧恢复受到攻击的设备，明确漏洞修复时间、清除问题文件、冻结问题账号，还原上线被勒索的主机，逐步取消临时策略、恢复正常业务运行；另一方面，在专家指导下，制定符合当前业务和网络环境的关键措施要求，以加强全流量检测能力为后续目标进行整改。

    受攻击单位紧急部署了更多奇安信天眼这类的流量检测产品。同时，正在进行的关键加固整改措施还包括减少业务系统端口的暴露，对服务器进行安全加固升级，杜绝弱口令，开启防护软件防爆破功能等。

    短短三天时间，这场由HIVE勒索病毒带来的震荡已经渐渐平息，后续整改效果究竟如何？能否扛得住勒索攻击再次来袭？面对种种疑问，讲一百遍不如打一遍，以A省受攻击企业为首的单位率先开展了内部实战攻防演习。

    第四天至第十天A省某企业总部

    攻击发生后的第四天，第一轮实战攻防演练开始了，这是对安全加固有效性和实战运营水平的真实考验。

    与此同时，奇安信安服团队加派人员开展流量监测工作，先后投入安全监测人员超过20人，7*24小时开展监测。

    攻击发生后的第九天，第二轮实战攻防演练开始，一线专家协助企业网络安全工作人员继续优化监测处置流程。

    攻击发生后的第十天，在前两轮攻防演习结果无异常的情况下，应急响应阶段工作初步结束，安全监测进入过渡阶段，开始转入常态化建设运营工作。

    在这场席卷全国的勒索攻击下，A省该企业的应急响应处置堪称应对勒索攻击的“满分答案”，为各省受攻击的企业组织处置做出来有效示范，及时抑制了勒索攻击进一步扩散，在有限的时间内及时止损。

    后记：

    专家支招勒索攻击的处置与防护

    2022年8月10日，思科证实，Yanluowang勒索软件集团在今年5月下旬入侵了公司网络，攻击者试图以泄露被盗数据威胁索要赎金。攻击者声称已经从窃取了2.75GB数据，大约有3100个文件，其中很多文件涉及保密协议、数据转储和工程图纸。

    2022年5月，印度航空公司系统遭到勒索软件攻击，导致25日上午多个航班延误，数百名旅客滞留机场。

    2022年4月，哥斯达黎加遭Conti勒索攻击，政府和经济遭遇打击，其新任总统RodrigoChaves宣布进入国家网络安全紧急状态……

    国内外勒索攻击频频发生，给多国带来机密数据泄露、社会系统瘫痪等重大危害，严重威胁了国家安全。

    面对来势汹汹的勒索攻击，政企组织该怎样自救？奇安信安全专家归纳了以下几点建议。

    一、重视常态化安全运营

    1）系统、应用相关的用户杜绝使用弱口令，同时，应该使用高复杂强度的密码；

    2）定期开展对系统、应用以及网络层面的安全评估、渗透测试以及代码审计工作，主动发现目前系统、应用存在的安全隐患；

    3）加强日常安全巡检制度，定期对系统配置、网络设备配合、安全日志以及安全策略落实情况进行检查，常态化信息安全工作。

    二、打造体系化与细粒度的安全防护，加强溯源能力

    1）部署全流量监测设备，及时发现恶意网络流量，同时可进一步加强追踪溯源能力，对安全事件发生时可提供可靠的追溯依据；

    2）部署高级威胁监测设备；

    3）禁止服务器主动发起外部连接请求，对于需要向外部服务器推送共享数据的，应使用白名单的方式，在出口防火墙加入相关策略，对主动连接IP范围进行限制；

    4）有效加强访问控制ACL策略，细化策略粒度，按区域按业务严格限制各个网络区域以及服务器之间的访问，采用白名单机制只允许开放特定的业务必要端口；

    5）配置并开启相关关键系统、应用日志，对系统日志进行定期异地归档、备份，避免在攻击行为发生时，导致无法对攻击途径、行为进行溯源等；

    6）重点建议在服务器上部署安全加固软件，并安装相应的防病毒软件或部署防病毒网关，及时对病毒库进行更新，并且定期进行全面扫描。

    三、提升勒索攻击发生后的快速响应、处置能力

    1）对于已中招的服务器应下线隔离，使用杀毒软件对中毒服务器进行全盘查杀，避免病毒的残留；

    2）对于未中招的服务器，在网络边界防火墙上全局关闭3389端口或3389端口只对特定IP开放，远程连接类访问只允许白名单内IP连接；

    3）开启Windows防火墙，尽量关闭3389、445、139、135等不用的高危端口；

    4）每台服务器设置唯一口令，且复杂度要求采用大小写字母、数字、特殊符号混合的组合结构。

    作者简介

    本期叨主：王梦琪

    一枚关心安全黑科技，用通俗的语言让安全内容更有温度的“淑女叨”