1989年,2万张感染了“AIDS Trojan”病毒的软盘被分发给国际卫生组织国际艾滋病大会的与会者,造成了大量文件被加密。如今,30年已经过去,勒索软件已经成长为网络世界相对较大的安全威胁之一,并带来了“WannaCry”等震动世界的勒索蠕虫肆虐事件,让不少消费者与组织谈之色变。
勒索软件的成长史:从理想主义到利益至上
无论从哪个角度来看,这个勒索软件的诞生都充满了一定的理想主义,其并没有被大规模分发,而是仅针对艾滋病大会进行定向传播,目的更像是宣传自己的政治与学术态度,或只是简单的恶作剧。而且,由于其只使用了简单的对称密码,因此很快就被解密工具轻松恢复。
在此后的十七年间,由于没有更好的加密方法,勒索软件基本上“销声匿迹”——直到2006年“Archievus”的出现。Archiveus是一个使用非对称加密的勒索软件,它主要采用RSA加密方法,会对“我的文档”目录里面的所有内容进行加密。更值得关注的是,这个勒索软件开始把魔爪伸向受害者的钱包了,他会要求用户从特定网站来购买以获取解密文件的密码,而这个方式至今是勒索软件的主流获利方式。
勒索软件发展的另一个标志性事件则是以数字货币为代表的匿名支付方式的出现,银行转账等传统的支付方式让网络勒索者很容易暴露在执法机关的打击力量之下,而通过匿名支付方式,网络勒索者将可以更好地隐藏自己、“安全”的获得高额收益。在利益的驱动下,勒索软件开始在地下网络市场中逐渐的流行起来,开始成为用户必须要正视的威胁。
2013年9月,网络不法分子找到了适用于勒索软件的新型加密方法,即采用AES-256lai加密特定扩展名的文件,并利用2048位RSA密钥来加密AES-256位密钥,这让被加密文件的恢复变得极度困难,束手无策的受害者往往只能选择向不法分子支付赎金。而大名鼎鼎的“WannaCry”勒索蠕虫采用的也正是这种加密方式,该勒索蠕虫在2017年肆虐,至少150个国家、30万名用户中招,造成损失达80亿美元,影响极为深远。
如今,勒索软件已经成长为主流的安全威胁之一。亚信安全安全分析报告显示,勒索软件病毒已经在全球范围内呈现爆发态势,美国、日本、中国、欧洲都成为勒索软件肆虐的“重灾区”。网络不法分子还针对每个地区的语言及经济文化特点,对勒索软件进行了本地化,以提升索要赎金的成功率。
勒索软件持续演进:商品化趋势日渐明显
由于具备一旦加密就极难被破解,以及可以获得直接巨额收益的特点,勒索软件的威胁在可预见的未来还将持续扩展。为了躲避网络安全防护系统的查杀,勒索软件新变种正在不断产生,这使得传统基于特征码的防护方式效用大减,不法分子可以通过鱼叉式钓鱼邮件、漏洞利用传播、软件捆绑安装等方式进行广泛传播。
围绕着勒索软件新变种的开发、传播,以及感染渠道与工具的交易,已经形成了一个组织严密、规模庞大的勒索软件地下灰色交易市场。安全研究人员发现,目前地下黑市非常流行的一种勒索软件交易链条是:黑客负责勒索软件新变种的开发,并可以将其转让给任何用户,前提是他们必须支付一定比例的收益赎金。除了核心的勒索软件产品外,地下黑色市场还提供与勒索行为相关的额外功能与服务,包括对于多平台的支持、针对特定产品的漏洞进行定制化等。
对此,亚信安全提醒用户,勒索软件的商品化使得组织与个人面临的勒索软件风险大幅增加,而随着地下黑产市场的进一步演进,勒索软件的产业链将进更加细化、专业化,即使是毫无经验的新手,也能够通过购买这些产品和服务,快速地发动进攻。此外,商品化也使得勒索软件的方式更加灵活,对于安全防护提出了更高的要求。
防范勒索软件:以精密编排能力建立联动防护机制
在如今的勒索软件中,网络不法分子更擅长利用社交工程(social engineering )诱饵,以及简历、订单和护照等作为邮件主题,发动垃圾邮件,一旦受害者收到这些邮件并点击链接或是下载附件,就有可能导致感染勒索软件。因此,要更好地防范勒索软件,需要从建立精密编排的联动安全体制,以及“人”两方面同时着手。
首先,企业需要从安全编排(Security Orchestration)、自动化(Automation)和响应(Response)的角度建立应对勒索软件的安全防线。这与亚信安全新发布的XDR方案“不谋而合”,即利用精密编排的联动安全解决方案,将安全产品以及安全流程连接整合起来,这其中涵盖了“准备、发现、分析、遏制、消除、恢复、优化”7个阶段,并针对勒索软件的威胁制定标准预案,以建立多层次、立体化的防御体系。
在具体实施中,通过终端、网络端发现勒索软件的迹象后,亚信安全可以将数据集中到本地威胁情报和云端威胁情报进行分析,利用机器学习和专家团队,将勒索软件的特征提取出来,继而联动所有终端协同处理,以遏制、清除勒索软件的各种变种,并对其造成的破坏进行恢复和优化。
在产品层面,首先,企业用户可通过部署亚信安全防毒墙网络版OfficeScan、亚信安全深度威胁安全网关Deep Edge,以及服务器深度安全防护系统Deep Security等产品,在云、管、端建立封堵勒索软件的一道防线。其中OfficeScan具有勒索病毒防御功能(AEGIS),可以有效阻拦勒索病毒对用户文件加密;Deep Edge则兼具侦测、分析和拦截的功能,针对加密勒索软件路径,建立有效的“抑制点”,再加持深度威胁邮件网关DDEI,更有效地阻止了勒索邮件。其次,用户可以通过沙箱类产品,以及调查取证设备等产品对勒索软件进行分析、验伤及取证,实现事件溯源,为后续的恢复和优化打下基础。
从“人”的角度来看,企业需要加强对于员工的网络安全培训,让员工正确认识勒索软件存在的巨大威胁,在接收邮件时保持充分的警惕心,以防范利用社交工程诱饵传播的勒索软件。另外,员工还应该养成良好的文件保存习惯,重要文件应该同时在本地与云端保存多副本,避免文件被加密之后无法恢复。