《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 瑞星發(fā)布《勒索軟件綜合報(bào)告》 RDP弱口令攻擊是最常用攻擊手法之一

瑞星發(fā)布《勒索軟件綜合報(bào)告》 RDP弱口令攻擊是最常用攻擊手法之一

2022-11-06
來(lái)源:安全419
關(guān)鍵詞: 瑞星 勒索軟件 RDP弱口令攻擊

  國(guó)內(nèi)老牌安全廠商——瑞星公司日前正式發(fā)布《勒索軟件綜合報(bào)告》,,報(bào)告內(nèi)容涵蓋了勒索軟件歷史發(fā)展,、勒索軟件分類及加密技術(shù)分類、主要攻擊手法,、典型家族等內(nèi)容,并在如何防范勒索軟件攻擊方面提供了相關(guān)建議,同時(shí)對(duì)未來(lái)的趨勢(shì)也做了分析,,對(duì)于企業(yè)了解勒索軟件攻擊有著一定的參考意義和價(jià)值。

  首個(gè)勒索軟件距今已有33年歷史

  2016年被認(rèn)為是勒索軟件元年

  報(bào)告指出,,勒索軟件攻擊雖然在近些年來(lái)極受關(guān)注,,但其歷史卻可以追溯至上個(gè)世紀(jì)80年代。據(jù)了解,,第一個(gè)已知的勒索軟件——AIDS(PC Cybog)于1989年由哈佛大學(xué)畢業(yè)的Joseph Popp創(chuàng)建,,是一種替換Autoexe.bat文件的特洛伊木馬。2005年,,開始i出現(xiàn)加密用戶文件的木馬程序,,并能夠在加密文件目錄下用于勒索的txt文件,要求受害者購(gòu)買解密程序,,當(dāng)時(shí)能夠加密的文件種類還不算非常豐富,,主要包括。doc,、,。xls、,。html,、,。jpg等,同時(shí)還可以對(duì)zip以及rar文件進(jìn)行加密,;2006年,,名為Archievus的勒索軟件出現(xiàn),這是首個(gè)使用RSA加密算法的勒索軟件,。在同一年,,中國(guó)也出現(xiàn)了首個(gè)勒索軟件木馬程序Redplus。

  微信圖片_20221106105043.jpg

  第一個(gè)已知的勒索軟件——AIDS

  當(dāng)時(shí)間進(jìn)入到21世紀(jì)的第二個(gè)十年,,勒索軟件的發(fā)展速度明顯加快,。2013年,Cryptolocker出現(xiàn),,并支持通過(guò)比特幣的方式支付贖金,;2015年,勒索軟件即服務(wù)(RaaS)出現(xiàn),,勒索軟件成為一種所謂“商業(yè)化”服務(wù)的形式開始出現(xiàn),;2016年,報(bào)告稱這一年被認(rèn)為是勒索軟件元年,,也是勒索軟件在整個(gè)全球范圍內(nèi)極為活躍的首個(gè)鼎盛時(shí)期,,由多個(gè)勒索軟件導(dǎo)致的損失超過(guò)了10億美元;2017年,,一個(gè)里程碑級(jí)別的勒索軟件WannaCry影響了多達(dá)150個(gè)國(guó)家,,包括英、美等在內(nèi)的99個(gè)國(guó)家遭到了直接攻擊,。

  在具體的勒索軟件家族方面,,報(bào)告列出了比較典型的12個(gè),除了較早出現(xiàn)的CrySiS,、WannaCry之外,,還包括Globelmposter、Phobos,、GrandCrab,,其余的則是近年來(lái)經(jīng)常登上各媒體安全頭條的名字,如LockBit,、Maze,、DarkSide、Makop,、BlackCat,、Hive以及BlackBasta。

  RDP弱口令攻擊是最常用攻擊手法之一

  報(bào)告指出,RDP爆破,、釣魚郵件以及漏洞攻擊是勒索軟件攻擊的三大常用手法,。其中RDP弱口令攻擊由于其簡(jiǎn)便以及對(duì)開放遠(yuǎn)程端口的弱密碼設(shè)備攻擊成功率高,而成為攻擊者最為熱衷使用的方式之一,。

  微信圖片_20221106105051.jpg

  RDP弱口令攻擊是攻擊者最為熱衷使用的方式之一

  在防范應(yīng)對(duì)此類攻擊手法方面,,瑞星強(qiáng)調(diào)了最小化授權(quán)以及多因素認(rèn)證的重要性。報(bào)告指出,,需限制可使用RDP的用戶,遠(yuǎn)程訪問(wèn)的授權(quán)應(yīng)僅限于必須依靠其來(lái)執(zhí)行工作的人員,,而多因素認(rèn)證也是進(jìn)一步提升安全性的保障,。

  此外,報(bào)告還提出了以下幾點(diǎn)防護(hù)建議:

  限制遠(yuǎn)程桌面的訪問(wèn),, 禁止非特定的 IP 地址訪問(wèn),;

  設(shè)置訪問(wèn)鎖定的策略,如調(diào)整賬戶鎖定閾值與持續(xù)時(shí)間等,,此舉目的在于防范攻擊者在一定時(shí)間內(nèi)高頻使用暴破攻擊,,同時(shí)登錄RDP需要高強(qiáng)度的密碼,降低弱口令攻擊成功的可能性,;

  減少不必要的RDP端口,。確認(rèn)RDP和業(yè)務(wù)的相關(guān)性,如果不需要?jiǎng)t關(guān)閉,,或限制在某些特定時(shí)間打開端口,;

  將默認(rèn)的RDP端口更改為非標(biāo)準(zhǔn)的端口號(hào),此舉可以減少部分惡意軟件對(duì)默認(rèn)的特定端口發(fā)起直接攻擊,;

  定期的檢查RDP相關(guān)漏洞,,并對(duì)于已知漏洞進(jìn)行及時(shí)修復(fù)。

  釣魚郵件攻擊可危及企業(yè)內(nèi)部所有設(shè)備

  報(bào)告指出,,通過(guò)釣魚郵件發(fā)起勒索軟件攻擊也較為常見,,尤其是針對(duì)那些員工安全意識(shí)薄弱的企業(yè),攻擊成功的概率很高,,一旦勒索軟件在任意員工的主機(jī)上成功啟動(dòng),,將會(huì)進(jìn)一步危及企業(yè)網(wǎng)絡(luò)下的所有計(jì)算機(jī),其后果不堪想象,。

  微信圖片_20221106105046.jpg

  偽裝成韓國(guó)公平交易委員會(huì)向企業(yè)投遞釣魚郵件

  針對(duì)此類攻擊手法的防范建議,,瑞星給出的比較常規(guī),如安裝殺毒軟件,,關(guān)閉和業(yè)務(wù)無(wú)關(guān)的Office宏以及PowerShell腳本等,,同時(shí)建議企業(yè)用戶的設(shè)備都開啟“顯示文件擴(kuò)展名”的功能,以讓員工可以快速識(shí)別文件的類別。另外兩條建議則比較寬泛,,就是不打開可疑郵件附件以及郵件中的可疑鏈接,。

  事實(shí)上,釣魚郵件的防范難度對(duì)于有經(jīng)驗(yàn)的安全人員而言并不高,,但其最大的問(wèn)題在于并不是所有的員工都可以達(dá)到安全人員的水平和能力,。因此我們認(rèn)為,對(duì)于有能力的企業(yè),,應(yīng)建立防范釣魚郵件的相關(guān)制度,,如指定安全責(zé)任人,在員工發(fā)現(xiàn)疑似釣魚郵件時(shí)可以及時(shí)反饋給相關(guān)責(zé)任人,,以避免釣魚郵件攻擊或降低遭受進(jìn)一步攻擊的可能性,,將影響壓至盡可能低的水平。為了保證相關(guān)制度的有效性,,還需提高員工的整體防范意識(shí),,如定期進(jìn)行針對(duì)釣魚郵件相關(guān)的安全意識(shí)培訓(xùn),并應(yīng)當(dāng)考慮將其納入到新員工的入職培訓(xùn)當(dāng)中去,。同時(shí),,為了進(jìn)一步加強(qiáng)員工在面對(duì)真實(shí)釣魚郵件時(shí)的辨別能力,應(yīng)酌情定期進(jìn)行演練,,以接近實(shí)戰(zhàn)的方式,,讓員工切身體會(huì)釣魚郵件的形態(tài)及相關(guān)的攻擊方式,在提升員工實(shí)際應(yīng)對(duì)能力的同時(shí),,也能檢驗(yàn)整個(gè)企業(yè)在應(yīng)對(duì)釣魚郵件時(shí)的能力,。

  通過(guò)漏洞發(fā)起勒索軟件攻擊

  或可引發(fā)軟件供應(yīng)鏈安全危機(jī)

  至于漏洞攻擊,報(bào)告認(rèn)為其傳播方式相比較RDP要更為復(fù)雜,,并強(qiáng)調(diào)其需要穩(wěn)定的0day或1day漏洞,。比如近段時(shí)間在國(guó)內(nèi)爆發(fā)出了某知名財(cái)務(wù)軟件爆發(fā)的大規(guī)模勒索軟件攻擊事件,由于其受影響軟件的用戶數(shù)量龐大,,導(dǎo)致其部分用戶受該事件影響而遭受攻擊,,這種通過(guò)利用0day漏洞發(fā)起的勒索攻擊在攻擊的廣度、深度方面普遍更強(qiáng),,影響深遠(yuǎn),。

  值得警惕的是,由于操作系統(tǒng)和應(yīng)用軟件的數(shù)量眾多,,而版本數(shù)量更是龐大,,在它們之中,難免存有漏洞,。根據(jù)美安全托管運(yùn)營(yíng)服務(wù)商此前發(fā)布的研究報(bào)告顯示,,2022年一季度勒索軟件相關(guān)漏洞數(shù)量增加7.6%,,這一數(shù)字表明,通過(guò)漏洞發(fā)起勒索軟件攻擊的趨勢(shì)并不容樂觀,。

  而在防范此類攻擊手法方面,,瑞星也給出了自己的建議,主要有以下幾點(diǎn):

  及時(shí)更新系統(tǒng)補(bǔ)??;

  部署網(wǎng)絡(luò)版安全軟件,實(shí)現(xiàn)對(duì)局域網(wǎng)中的設(shè)備統(tǒng)一安裝修復(fù)補(bǔ)??;

  在不影響業(yè)務(wù)的前提下,將危險(xiǎn)性較高且容易被漏洞利用的端口修改為其他端口號(hào),,如139,、445 端口等。如果不使用,,可直接關(guān)閉高危端口以降低被攻擊的風(fēng)險(xiǎn)。

  另外,,報(bào)告還特別針對(duì)上述三種攻擊手法進(jìn)行了案例展示,,可供企業(yè)用戶參考。

  談及未來(lái)趨勢(shì),,瑞星在報(bào)告中表示,,近勒索軟件攻擊呈現(xiàn)出從以往單純加密用戶數(shù)據(jù)、勒索贖金解密進(jìn)化為在攻擊過(guò)程中竊取企業(yè)隱私數(shù)據(jù)和商業(yè)信息,,并以威脅公開企業(yè)內(nèi)部數(shù)據(jù)的方式進(jìn)行威脅的方式索取高額贖金,。這種以發(fā)布企業(yè)隱私數(shù)據(jù)和商業(yè)信息的勒索方式造成的危害巨大,企業(yè)不僅要面臨數(shù)據(jù)泄露問(wèn)題,,還要面臨相關(guān)法規(guī),、財(cái)務(wù)和聲譽(yù)受損的影響,這大大增加了攻擊者勒索的成功率,。

  隨著數(shù)字化轉(zhuǎn)型進(jìn)程的不斷推進(jìn)以及云計(jì)算的廣泛應(yīng)用和普及,,勒索軟件攻擊組織、團(tuán)伙也將會(huì)將目光轉(zhuǎn)移到這一領(lǐng)域,,也將會(huì)成為未來(lái)勒索軟件攻擊的重要目標(biāo)領(lǐng)域,。



更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<

二維碼.png



本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題,,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]