勒索病毒防範分析（愛加密原創）

一、背景

5月12日晚，一款名為“WannaCry”的勒索病毒突然爆發，初步統計已有100多個國家和地區受害，造成全球7.5萬臺計算機被感染。根據360威脅情報中心的統計，從5月12日WannaCrypt(永恆之藍)爆發的一天之內，該勒索蠕蟲已經攻擊了近百個國家的超過10萬家企業和公共組織，其中包括1600家美國組織，11200家俄羅斯組織。國內被感染的組織和機構已經覆蓋了幾乎所有地區，影響範圍遍佈高校、火車站、自助終端、郵政、加油站、醫院、政府辦事終端等多個領域，被感染的電腦數字還在不斷增長中。

勒索病毒由來已久，勒索病毒本質上來說和以前肆虐過的‘衝擊波’和‘震盪波’病毒並無區別，都是利用系統漏洞結合遠程控制服務器進行自動傳播的蠕蟲病毒。近年來，由於互聯網經濟的興起，在巨大經濟利益的驅使下，勒索病毒發展呈不斷上升趨勢。安全機構的統計數據：勒索病毒今年在全球的攻擊量瘋長了3倍，平均每40秒就有一家企業被感染，個人端的情況更糟，平均每10秒就有一個無辜者中招。僅在2016年一年的時間裡，就先後爆發了KeRanger、Petya、Maktub、Locky、CryptXXX等數起勒索病毒爆發事件，對大量的機構與個人造成了重大的損失。

勒索軟件有多種傳播途徑與方式，大部分傳播都伴隨著社交工程學（比如帶有誘惑性附件等）來進行。一般包括以下幾種：

Ø 通過電子郵件附帶已感染文件進行傳播。

Ø 通過用戶訪問受感染的網頁鏈接的方式傳播。

Ø 通過用戶使用的社交媒體、即時通信工具進行傳播。

Ø 通過用戶使用U盤、移動硬盤等移動介質進行傳播。

Ø 通過利用操作系統或應用軟件自身的漏洞進行傳播。

Ø 通過被感染的軟件（如帶有病毒的Downloader）進行傳播。

不管採取哪種傳播方式，勒索軟件都需要尋找一個薄弱環節進行突破，只要稍有不慎就可能中招，真是防不勝防。

二、風險分析

2.1.敲詐勒索軟件大量湧現

近年，各類敲詐勒索軟件在我國大量湧現、肆虐傳播，成為近兩年增長最快的網絡威脅之一。數據洩露事件頻繁發生，由網絡攻擊引發的數據洩露事件依舊猖獗，造成了巨大經濟損失。網絡攻擊目標從政府機構擴大到民眾社會生活各個方面，涉及電信、金融、能源等多個領域。

勒索病毒WannaCry，事件反映了公共信息安全乃至全球信息安全治理的欠缺。組織機構在大力發展新型安全防護的同時，傳統安全的防護不可輕視，我們在考慮移動互聯網和物聯網的防護體系時，必須與傳統的信息安全防護體系無縫融合，只有同時保障傳統和新型IT架構的安全才是正確的發展方向。

2.2.安全威脅向移動終端轉移

勒索軟件除了在PC端猖獗之外，在移動端也已經形成產業規模。勒索病毒在智能手機端也有類似病毒持續活躍。2016高峰時期全球半月感染用戶數高達40萬，而國內也是此類病毒的重災區。2016年，360共截獲Android平臺勒索軟件新增惡意程序樣本17萬個，從感染量看，2016年共170萬臺手機遭到攻擊。在給用戶造成財產損失方面，制馬人通過勒索軟件的日收益在100到300元不等，整個黑色產業在16年已達到千萬級別。且隨著用戶時間從PC向手機遷移，有繼續增長的趨勢。

移動設備已經取代傳統個人電腦成為主流上網工具，智能手機等移動終端，實時在線率高，聯繫人之間的信任強度更大。加之移動終端與傳統PC存儲的信息具有差異性，如電話簿、短信息、地理位置信息等都是從傳統PC端無法獲取的。因此，各類安全威脅紛紛向移動終端轉移，移動安全已經成為安全領域的焦點話題。智能終端的操作系統存在安全漏洞、防病毒軟件功能還不夠完善，加之用戶防範意識不足，受攻擊的概率大大高於傳統PC機。近年移動終端網絡釣魚事件大幅度上漲、勒索軟件大量湧現。基於安卓系統的惡意應用和惡意軟件數量急劇增加，IOS也走下神壇，不再是堅不可摧。

三、安全防禦機制

勒索病毒WannaCry，通過windows操作系統漏洞發起攻擊。很多受害者沒有及時安裝補丁，導致被病毒攻擊，計算機中的文件被加密。預防此類事件，其最好的防範手段就是最好事前防護，各機構組織應加強內部安全基線建設，加強安全巡檢，落實安全策略，建立動態有效的、多維度的信息安全保障體系。

3.1.安全基線管理

本次勒索病毒利用windows操作系統漏洞發起攻擊，由此可見組織內信息安全風險漏洞危害越來越嚴重，由於病毒木馬擴散，黑客入侵等導致的數據丟失、機密信息洩露、服務器癱瘓日益頻繁；由於管理人員產生的安全配置漏洞頻出，已成為網絡安全要面對的嚴重威脅。組織內安全基線建立與落實做不好，其薄弱環節被突破後都會造成很大的影響。信息安全基線是信息系統的最小安全保證，是組織信息安全總體水平的量化，信息安全基線管理是保證信息系統正常穩定運行的前提和基礎，對提高組織網絡與信息系統的安全起到了至關重要的作用。

為降低組織網絡安全風險，提高信息安全保證水平，愛加密諮詢團隊主要運用系統工程法和IT治理理念，結合各組織安全現狀，協助組織從安全配置、安全漏洞兩個層面建立符合自身業務發展的信息安全基線；針對組織內不同的操作系統、數據庫，建立統一的服務器、網絡設備、數據庫、引用系統安全配置規範，並確保其落地執行；通過安全基線來量化組織內信息安全總體水平，有效管理組織信息安全狀態，跟蹤未達標的信息安全要求或存在的信息安全隱患，控制組織安全變更對其安全保障水平的影響。協助組織通過常態化的推進運行機制，確保組織信息安全保障水平在一個安全可控層次，併為組織信息安全管理提供依據。

3.2.安全技術防護體系加固

此次病毒事件，對傳統安全防護敲響了警鐘，組織內傳統安全技術防護需全面展開，應確保基本的安全防護措施（如防火牆、IPS、防病毒、防垃圾郵件、網絡准入、終端安全防護等）部署到位，並有效落地發揮作用。

愛加密基於組織信安全現狀，對組織安全防護情況進行檢查，識別組織內系統運行信息安全風險，提供安全整改建議，為組織的各種操作系統、網絡設備、數據庫和應用系統、安全設備進行安全加固，在滿足組織實用的基礎上增加其安全性。

3.2.1.網絡架構調整

協助組織調整網絡性能，對網絡進行合理優化。在切實可行的方案下幫助組織提高整個網絡的性能，組織通過合理的調整網絡結構建立良好的安全區域劃分。

3.2.2.安全策略加固

安全策略加固主要指根據前期風險評估的結果對組織已有的策略其中不適合當前實際工作狀況以及未有效落實的部分進行相應的調整，以期望在技術和管理兩個層面上對用戶的安全策略進行一次綜合的調整。

3.2.3.網絡設備加固

根據安全策略中相關的網絡安全策略，對已有的網絡設備做加固措施。確認組織現有安全策略，在組織相關人員協同下制定相應的加固方案。其主要包括：

Ø 訪問控制加固。

Ø 反入侵加固。

Ø 防火牆設備加固。

Ø 災難恢復及審計加固。

3.2.4.主機加固

主機系統加固是根據專業安全評估結果，制定相應的系統加固方案，針對不同目標系統，通過打補丁、修改安全配置、增加安全機制等方法，合理進行安全性加強。服務主要內容：

Ø 微軟操作系統：補丁、文件系統、帳號管理、網絡及服務、註冊表、共享、應用軟件、審計/日誌，其它（包括緊急恢復、數字簽名等）。

Ø UNIX操作系統：補丁、文件系統、配置文件、帳號管理、網絡及服務、NFS系統、應用軟件、審計/日誌，其它（包括專用安全軟件、加密通信，及數字簽名等）。

3.2.5.數據庫加固

根據組織安全策略中相關的數據庫安全策略，對已有的網絡數據庫系統做加固措施其策略的主要依據是根據前期安全策略的定製結果。主要內容包括主流數據庫系統（包括Oracle、SQL Server、Sybase、MySQL、Informix）的補丁、賬號管理、口令強度和有效期檢查、遠程登陸和遠程服務、存儲過程、審核層次、備份過程、角色和權限審核、併發事件資源限制、訪問時間限制、審核跟蹤、特洛依木馬等。

3.2.6.安全產品優化

根據安全策略中相關的安全產品策略，對已有的安全產品做加固措施，提升安全產品性能及其安全功能。主要內容包括：

Ø 防火牆產品訪問控制策略優化。

Ø 入侵檢測產品策略庫優化。

Ø 日誌審計系統的優化。

3.3.移動端安全防護

WannaCrypt病毒利用的是微軟Windows的系統漏洞，因此手機不會受到影響，除非你的手機使用的是Windows操作系統。但相關安全專家預測未來移動端也有可能爆發大規模的勒索病毒事件，將會影響到數十億部智能手機。勒索病毒也一直在困擾著廣大智能手機用戶。手機勒索軟件是一種通過鎖住用戶移動設備，使用戶無法正常使用設備，並以此脅迫用戶支付解鎖費用的惡意軟件。其表現為手機觸摸區域不響應觸摸事件，頻繁地強制置頂頁面無法切換程序和設置手機PIN碼。手機勒索軟件的危害除了勒索用戶錢財，還會破壞用戶數據和手機系統。很多用戶反映，自己從某網站下載軟件後，手機被強制鎖屏，頁面上顯示“解鎖聯繫XXX”。如果不主動交贖金的話，就要承擔手機重要資料丟失的風險。據此前發佈的《鎖機病毒報告》顯示，2017年1-3月份手機鎖屏勒索類病毒日均影響用戶量超過4萬。這次WannaCrypt病毒不影響手機，並不意味著手機用戶就可以高枕無憂。在PC端，勒索軟件可以利用開放端口，自發傳播和主動感染，而在移動端，勒索軟件通常需要誘導用戶下載文件，用戶所下載文件及應用的安全性，對移動端安全具有決定作用。

3.3.1.移動應用MSOC平臺

愛加密MSOC平臺可以完成安全檢測、安全加固、問題跟蹤、數據展示，無需通過多套系統去實現不同的功能。檢測發現的問題實時、自動提交到MSOC平臺的問題跟蹤模塊，在MSOC平臺即可實現對問題進行跟蹤處理。安全檢測與安全加固深度結合後更能防止不安全的應用流入到應用市場，從根源上確保移動端應用安全，降低勒索病毒感染風險。

愛加密MSOC平臺可以為金融、運營商、政府、能源、大型企業等提供移動應用安全管控功能。通過對移動應用的深入檢測和分析，給用戶提供移動應用安全風險信息，輔助用戶對安全風險進行跟蹤處理，同時對有安全風險的應用進行安全加固。主要針對移動應用的相關安全風險提供以下服務：

l 安全檢測：檢測移動應用出現的安全風險，提供可靠的安全解決建議。

l 安全加固：針對檢測出來的安全風險，提供移動應用安全加固服務。

l 問題跟蹤：對安全檢測發現的安全風險進行跟蹤管理。

l 數據展示：查看應用的安全風險數據。

3.3.2.移動應用安全態勢感知

在傳統安全終端部署威脅情報、網絡流量分析、APT防禦、態勢感知這些新型安全防禦系統，可對勒索軟件進行防禦、檢測。愛加密移動應用安全態勢感知平臺可為移動端應用安全保駕護航。

愛加密通過服務的7億移動終端數量與1000多個應用市場，形成國內最大規模的移動安全大數據基礎。安全態勢感知平臺依據不同行業的移動業務特性與監管要求，形成不同行業的數據感知群。平臺以數據為核心驅動安全業務變革，將難以預測轉變為可以預測，化被動防禦為主動防禦，建立企業智能安全防護體系。

快速提高企業移動安全防護能力。移動應安全態勢感知平臺可快速建立企業移動業務整體防禦戰線，通過平臺管理與安全資源調配，讓安全能力較低的移動業務與較高的移動業務共享安全資源與安全策略，對區域業務影響較大的問題和風險，可進行統一調度，同步解決。

與傳統安全業務相互融合相互促進。移動應安全態勢感知平臺可以融合傳統安全產品，滲透檢測、基線檢測、漏洞掃描和移動應用加固等移動業務產品。融合後的平臺同時支持威脅預警、態勢感知、大數據分析、任務流管理等大型業務運營管理功能需求。

安全量化與集中展示。移動應安全態勢感知平臺可綜合且直觀的效果來體現移動安全整體安全係數。體現的內容包括：整體業務安全態勢展示，威脅態勢展示、外部開發商安全質量展示等。整體展示，可直觀瞭解企業整體移動安全狀態；應用系統綜合展示，以安全漏洞數、危害性、漏洞整改狀態以及安全紅線；外外部開發商安全質量展示，涉及開發商項目的安全能力展現，包括總體安全質量、問題數以及問題整改狀態。對生產，運營的各環節中的移動安全任務流程化。

勒索病毒確實給全球信息安全敲響了警鐘，更是全球化時代的網絡安全縮影。此次WannaCrypt的爆發讓我們警醒的不該是及時升級，而是對於安全的思考，安全問題並不是某一個層面問題，安全應該是深入的、全面的。此處事件同時也說明了守護互聯網信息安全是每個人的職責。面對網絡安全，只要一次的疏忽，就有可能造成巨大的損失。這一次全球範圍的攻擊，應該讓大家警醒，不光是電腦病毒，移動端網絡安全更應該不被忽視！