自2017年Wannacrypt勒索软件出现后,勒索软件引起了人们的广泛注意。2018年Satan勒索软件变种携永恒之蓝卷土归来。2019年勒索软件Globelmposter的新变种爆发,在国内广泛传播。随勒索软件变种的出现以及新勒索软件爆发的态势,勒索软件对网络安全的影响不可小觑,甚至有可能产生不可挽回的结果。相对而言,勒索软件的出现,并不是偶然现象,而是存在很长一段时间。但是在网络安全的应对模式上,并没有做出相应的改进,大部分情况下,依然选用老旧的标准和方法来实施,这种现象的发生,很容易导致网络安全水平不断下降,而且在解决勒索软件的根源上,难以创造出较高的成绩。新时代的社会和科技发展速度不断加快,勒索软件的解决,以及网络安全体系的完善,必须从全新的层次来出发,确保各项工作的可靠性、可行性大幅度的提升。
一、勒索软件全球泛滥背后的原因
勒索软件伴随着网络犯罪技术的发展而发展,它快速迭代并迅速传播,目前网络勒索已成为对攻击者而言“钱景可观”的优选获利途径,它在全球呈现高发态势和大规模泛滥绝非偶然。
网络监管力度不够导致勒索软件频频出现。从客观的角度来分析,勒索软件的出现,并不是偶然情况,近几年的案例报道和案件发生概率都在不断增加,同时也给人们敲响了警钟。如果没有在网络安全的方式、方法上做出革新,势必导致勒索软件的攻击行为进一步加重,很容易对社会和谐的发展造成严峻的阻碍。分析认为,网络监管力度不高,是比较重要的原因。首先,网络监管工作在实施过程中,并没有长时间的按照严打策略来完成,仅仅是做出了短期内的网络监管和应对。这种现象的发生,导致很多勒索软件都可以存在较长的潜伏期。在严打结束后,势必会迅速崛起,之后对网络造成的负面影响以及对财产造成的损失,都无法快速弥补。其次,在网络监管工作的实践过程中,惩处力度较轻,大部分情况下都是通过经济处罚来完成,表现为小惩大诫的特点,这就导致很多不法分子表现出有恃无恐的态度,并且在辩护时,能够拿出更多的证据,以至于勒索软件的解决难以从根源上完成。
网络安全意识淡薄让勒索软件轻松得手。勒索软件虽然来势迅猛,但并非不可防范,真正让其屡屡得手的主因是用户网络安全意识普遍比较淡薄,缺乏必要防护策略,如重要文件的备份、病毒查杀、补丁更新、老旧设备淘汰换新等。据统计360安全中心2017至2019年每年都会接到上千多位勒索软件受害者的求助,其中绝大多数受害者都没有正常使用安全软件进行防护,甚至有不少受害者电脑没有安装任何安全软件,导致勒索软件能够轻易入侵感染。一些政企机构员工的安全意识也明显不强,内部安全管理存在纰漏,安全措施缺位,导致整体安全防御能力薄弱。另外,安全监控软件的病毒检测能力也存在问题,对付大量新型勒索软件略显乏力。在No tPety a来袭时,研究人员测试的60款安全软件中,只有2款软件在第一时间检测到了这种勒索软件,这种情况间接给不法分子的攻击行动提供了可乘之机。
网络技术快速进步促使勒索能力不断升级。勒索软件技术的发展使其在加密方式、传播手段、躲避检测等方面不断更新。当前最流行的加密勒索软件早已抛弃可被破解的对称加密算法,普遍采用非对称的强加密算法,除了付费获得密钥,别无其他解密方法。勒索软件新变种层出不穷,每个变种都添加一些新技术,拥有加强的新功能,越来越多利用组合模式的传播手段和多种高级技术躲避查杀,致使破解难度越来越大,而且破解速度远远跟不上新病毒或变种的推出速度。新技术的更迭让勒索软件“如虎添翼”,得以跨越安全防线,达到感染用户的目的。
攻击低成本高回报助长勒索软件盛行。勒索软件的制作成本较低,多数情况下不需要增加投入就可进行持续攻击,而被加密的往往是对企业机构、政府部门和个人具有重要作用的系统和数据,有些关键敏感数据甚至是企业的经济命脉,一旦泄露或损毁,将造成无法挽回的损失,支付赎金往往成为一种无奈的选择。几十美元甚至几美元的制作成本有时可获得数万美元乃至更多的赎金。低犯罪成本和高回报率让钱财勒索这一网络犯罪行为在大数据时代具有极大的诱惑力,吸引越来越多的攻击者参与其中。
比特币和匿名网络间接充当非法活动“保护伞”。勒索攻击活动之所以如此猖獗,一部分原因是以比特币为代表的匿名支付手段和匿名通信网络被攻击者恶意利用。比特币是一种去中心化的虚拟数字货币,不受央行和任何金融机构的控制,可有效隐藏攻击者的身份,可以说,比特币的出现为网络勒索提供了低风险、易操作、便捷性强的赎金交易和变现方式,成为网络犯罪活动的主要支付形式。攻击者对比特币的青睐促使比特币价格暴涨,引发了更多利用勒索软件向用户勒索比特币的攻击事件。除支付手段外,允许匿名通信的洋葱网络也协助掩盖了攻击的来源。病毒制作者常将勒索服务器搭建在暗网,通过洋葱网络与受害者进行通信。这些手段先进实用,又唾手可得,将网络勒索的非法活动保护在“匿名”的羽翼之下,让追踪溯源变得异常困难。
二、勒索软件攻击特点
勒索软件给网络安全带来的威胁清晰可见,但它并未随着防御手段的升级和完善而偃旗息鼓,相反,病毒在与安全防御技术的对抗过程中不断优化自身,复杂性和多样性持续增长,更新迭代速度明显加快,试图以更隐蔽的形式发动更猛烈的攻势,来获取更大的利益。勒索软件在发展演变过程中呈现出以下特点。
(1)攻击目标多样化
一是从电脑端到移动端。勒索软件大多以电脑设备为攻击目标,其中Windows操作系统是重灾区。数据表明,当前电脑端的勒索软件数量仍在上升,尽管增速有所放缓。但随着移动互联网的普及,勒索软件的战场开始从电脑端蔓延至移动端,并且有愈演愈烈的趋势。俄罗斯卡巴斯基实验室检测发现,2017年有161个国家的11万多个用户遭到移动勒索软件的攻击,移动勒索软件安全包多达54.4万个,并且更有逐年增大之势。二是从个人用户到企业设备。个人设备在勒索软件攻击目标中一直占据较高比例。但随着传统勒索软件盈利能力的持续下降,对更高利润索取的期待驱使黑客将攻击重点进一步聚焦在企业的关键业务系统和服务器上。比如勒索软件Rrebus就通过加密153台Linux服务器,轻松从韩国Web托管公司Nayana收取了高达100万美元的赎金。在被针对的企业目标中,中小企业因安全架构单一,更容易被攻破。震惊全球的WannaCry攻击事件中,中小企业就是主要受害者。
(2)攻击目的复杂化
一是以勒索软件为掩护,实施网络破坏或间谍行动。从传统角度来看,勒索攻击不外乎是要达到向受害者索要金钱的经济目的。但实际案例显示,日益猖獗的勒索软件正在成为其他网络攻击者的利用手段,一些勒索软件徒有“勒索”之名,本质上只是充当了网络破坏行动或间谍行动的掩护,以掩盖攻击者的真实目的。最典型的案例莫过于NotPetya事件,该软件作者精心设计制作了传播、破坏的功能模块,通过窃取凭证让病毒大肆传播,而勒索赎金模块却制作粗糙、漏洞百出,受害者甚至根本无法成功支付赎金。另外,攻击者还通过改写硬盘的主引导记录,导致对用户数据的编码不可逆。这款恶意软件的代码和其他证据表明,NotPetya很可能是一次精心策划的以勒索软件攻击作为伪装的故意破坏性攻击事件。除破坏目的,攻击者也可能借勒索之名实施网络间谍活动,使事件响应人员将工作重点放在文件解密上,而非集中精力调查真实的被攻击缘由。二是以勒索软件为手段,实现多重牟利目的。尽管目前大多数勒索软件只是对文件进行加密,发送加密密钥从而进行解密,并从受害者那儿获得赎金。但随着勒索软件攻击手段的花样翻新,勒索软件样本也可能会在加密数据前采取较多恶意行动,如进行渗透操作,窃取企业服务器中的关键敏感数据。一方面对受害企业施加压力,迫使其支付赎金恢复数据所有权;另一方面还可以在地下暗网上出售这些敏感数据,从而获得更多潜在利益。这种边勒索、边窃取、边倒卖敏感资料的攻击行为越来越受到黑客青睐.
(3)攻击方式专业化
传播加密手段更加多元。首先,借助更多的漏洞、更隐蔽的方式进行初始传播,并越来越多地利用社交媒体作为传播方式, 如通过 在推特、微博等网站上分享的恶意内容诱惑受害者点击恶意链接。其次,部分勒索软件吸收了蠕虫病毒的特点,自我复制能力越来越强,比如WannaCry、NotPetya等就以感染的设备为跳板,然后利用漏洞或“管理员共享”功能在网络中自动渗透,攻击局域网内的其他电脑,形成“一台中招,一片遭殃”的情况。再次,针对各企业对于软件供应链的管理弱点,通过行业供应链攻击传播勒索软件的案例也时有发生。花样翻新的手段已让用户防不胜防,同时加密能力也在升级,比如2018年10月被发现扩散到国内的Satan勒索软件最新变种V4.2就升级了加密算法,促使杀毒软件原有的解密方案随病毒升级而失效。该病毒利用服务器组件的漏洞进行攻击传播,会对硬盘中的重要数据文件进行全部加密。Satan依靠差异化攻击手段,不仅使企业用户损失惨重,而且个人用户亦被波及。
(4)攻击范围扩大化
从地理区域看,攻击范围扩展至全球。WannaCry勒索软件攻击潮爆发之前,攻击者普遍倾向于攻击信息化程度较高、网络设施发达的国家和地区,因为这些国家和地区对网络的依赖程度基本决定了攻击者更容易获取到钱财利益。而攻击也多是小范围内发生的事件,影响程度有限。但WannaCry打破了攻击行为的针对性和本地化特征,是历史上第一次全球范围爆发的大规模恶意程序攻击。随后NotPetya “坏兔子”等其他勒索软件继续延续了WannaCry的全球影响威力。种种攻击事件表明,“不甘寂寞”的勒索软件已从小规模感染转变为大范围传播,甚至扩展到了许多信息化水平不高的国家和地区,这些地区的用户在应对勒索软件方面经验不足,且勒索软件攻击者在这些地区的竞争不激烈,牟利反而容易得多。从行业领域看,攻击范围拓展至全领域。金融、医疗、交通、能源、通信、制造、教育等诸多关键基础设施和重要行业领域无一幸免。全球多家金融机构、波音飞机制造公司、美国科罗拉多交通部、亚特兰大市政府网络、北卡罗来纳州政府服务器、印第安纳州汉考克地区医院系统、乌克兰能源和煤炭工业部等均成为勒索软件的受害者。更令人担忧的是,医院遭到恶意软件勒索的概率正在上升,而医院受到攻击造成的影响会远比大多数其他机构更为可怕,甚至危及病人的生命安全。
三、勒索软件及网络安全的防控对策
(1)加强硬件维护
对于网络安全而言,硬件是非常重要的组成部分,同时能够对网络的塑造,以及勒索软件的解决,都提供较多的保障。硬件维护工作在今后的实施过程中,必须按照较高的指标来完成,不能总是推送低廉的产品和基础的功能,需要不断加快硬件的更新速度,为勒索软件的解决,以及网络安全水平的提升,努力奠定坚实的基础。对于硬件方面的安全策略主要从硬件本身入手,一方面要加强使用意识,对于相关硬件的权限设置要做到正确有效,不能出现基本功能上的漏洞,如芯片加密、硬盘读取权限、路由器访问权限等都是日常容易忽视的权限管理。再者对于计算机的硬件保护也需要达到一定的要求,比如在利用U盘、光盘等存储介质对计算机数据进行数据读取、写入时,需要保证相关移动存储介质的安全性,尽量使用具备写保护功能的U盘,保护文件传输安全。
(2)加强软件改善
从目前掌握的情况来看,无论是勒索软件的解决,还是在网络安全水平的提升方面,都需要在软件的改善力度上不断下功夫。现如今的软件类型和下载方式不断加快,很多软件在操作和应用过程中,都表现出傻瓜式的特点,倘若用户本身的专业知识不足,再加上软件的漏洞较多,很容易导致勒索软件的传播范围不断扩大,导致网络安全内部的故障持续性的转变,会大幅度提升应对的难度。例如,在使用计算机期间要注意网页的内容是否正常。而网络服务器后台也需要在问题出现时第一时间调取相关资料,查找出现问题的计算机是否存在入侵与非法访问的现象,通过机制来保证网络系统的安全。此外在传输过程中还可以使用数据传输加密技术。数据传输加密技术作为一种在传输过程中对信息加密的方法,可以有效保证数据在传输过程中信息的安全性。
(3)加强安全意识的培养
网络安全的发展和进步,成为了时代的重要考量内容,也对国家的生产、生活进步产生了重大的影响。如果我们在未来的工作中,继续按照老旧的标准和方法来工作,不仅会造成严重的经济损失,还会导致勒索软件的繁杂程度大幅度地提升,容易对今后的工作实施层面造成无法解决的困难。因此,加强安全意识的培养,必须从长远的角度出发。首先,需要通过相应的规章制度管控上机操作人员的数量,通过专人专机制度保证计算机在系统内最大限度地由个人负责;其次,培养操作人员的安全意识还体现在操作意识上,培养科学、安全、正确的软件使用习惯是作为操作人员必须具备的基本素质。值得注意的是,在安全意识的培养过程中,必须对大众的一些行为做出更好的警惕,要加强日常的电脑及网络监管工作,这样才能更好地处理潜在性的问题。
四、结束语
我国对网络安全的重视程度不断提升,在勒索软件的防控体系上,正在不断健全,各项工作的开展都可以选用合理化的模式来完成,并没有造成严重的疏漏现象。今后,应继续在勒索软件的控制、解决过程中,按照正确的方式和手段来完成,针对网络用户的谨慎态度做出良好的提升,在技术手段上、监管手段上不断优化和完善,为勒索软件的解决,以及网络安全的进步,做出更加卓越的贡献。
声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。