近年来,各类网络安全事件频出,其中,勒索软件快速发展为网络安全威胁最严重的恶意软件,成为网络犯罪的主要形式之一。从政府网络到关键信息基础设施,从个人到企业,从电脑设备到移动设备和服务器,勒索软件攻击无差别地影响着全球各个行业和领域、各类网络用户以及各种设备类型,给社会带来严重的不利影响。本文主要探讨分析了当前勒索软件的威胁形势、泛滥原因和攻击特点,并提出一些应对勒索攻击的防范策略。
一、勒索软件威胁形势日趋严重
勒索软件是恶意软件的一种类型,能够通过锁定设备或加密文件来阻止受害者对系统或数据的正常访问,并以此向用户勒索钱财,主要通过钓鱼邮件、网页挂马、服务器入侵、系统漏洞、网络共享文件和移动存储介质等方式进行传播。勒索软件并非新生事物,从第一个已知的勒索软件出现至今,已有近30年的历史,但近几年勒索软件发展迅猛,破坏性和影响力前所未有,引起全世界的广泛关注。
(一)数量和攻击频次呈爆发式增长
勒索软件出现以后一直在不断变化演进过程中,数量和质量都在逐渐上升。2016年,勒索软件在全球范围内呈爆发式增长。趋势科技的安全报告显示,2016年勒索软件家族的数量从2015年的29个增长至247个,上涨幅度752%。美国联邦调查局2017年1月调查数据显示,勒索软件的赎金总额由2015年的2400万美元跃升至2016年的10亿美元。随后的2017年堪称勒索软件史上最臭名昭著的一年,据权威机构和知名安全企业称,每天发生的勒索攻击事件多达4000起,全年攻击事件数量较上一年翻了一倍,新型勒索软件变种增长46%。赛门铁克2017年度在全球范围内拦截的WannaCry勒索攻击多达54亿次。2018 年,勒索软件依旧肆虐,尽管整体数量增长有所放缓,但包括WannaCry、GandCrab、GlobeImposter、Satan、Crysis等在内的勒索软件变种层出不穷。其中,GandCrab自2018年1月被首次发现后,半年时间就连续出现了V1.0、V2.0、V2.1、V3.0、V4.0、V5.0.3等多个变种。在勒索软件的迅猛攻势下,中国也沦为重灾区,成为亚太地区受影响最严重的国家之一。其中,国家互联网应急中心2017年捕获新增勒索软件近4万个。360互联网安全中心发现2017年5月至2018年 4月全国约有463.5万台电脑遭到勒索攻击,且勒索软件的质量和数量还将不断攀升。瑞星“云安全”系统2018年上半年共截获勒索软件样本31.44万个,感染共计456万次。
(二)危害程度日益严重
勒索软件不仅数量增幅快,而且危害日益严重,特别是针对关键基础设施和重要信息系统的勒索攻击,影响更为广泛。值得一提的是,勒索攻击的危害远不止赎金造成的经济损失,更严重的是会给企业和组织机构带来额外的复杂性,造成数据损毁或遗失、生产力破坏、正常业务中断、企业声誉损害等多方面的损失。以WannaCry和NotPetya勒索软件为例,2017年5月12日,黑客利用网上泄露的美国国家安全局武器库中的“永恒之蓝”攻击工具,改造成为WannaCry系列勒索软件,通过微软系统漏洞疯狂复制、大肆传播,对受害主机文件实施加密勒索,其扩散速度之快、影响范围之广、危害程度之大史无前例。全球超过150个国家,金融、能源、医疗、教育等多个行业受到影响,英国国家医疗体系辖下五分之一的医疗机构被迫取消所有急诊接诊和手术安排,受到影响的病人数以千计。德国、法国、俄罗斯等国机场、地铁调度系统不同程度受到影响。我国教育、公安系统网络成为重灾区,全国多地加油站无法进行网络支付。6月27日,依旧利用“永恒之蓝”漏洞传播的NotPetya勒索软件再度在欧洲大规模爆发,致使乌克兰等多国的机场、银行和大型企业网络遭到破坏,甚至陷入瘫痪。据欧洲刑警组织2018年版的“互联网有组织犯罪威胁评估(IOCTA)”显示,在大多数欧盟成员国中,勒索软件仍位列恶意软件威胁之首,而加密挟持也变得日益普遍。2018年3月,美国亚特兰大市政系统的服务器成为勒索软件攻击的目标,攻击事件影响了多个部门,并导致处理付款和传递法院信息的政府网站瘫痪。亚特兰大市政府虽并未支付黑客索取的5.1万美元赎金,但此次攻击给该市带来了至少270万美元的直接经济损失,主要是作为应急成本,修复攻击事件带来的不利影响。6月,亚特兰大市又追加950万美元预算用以恢复受冲击的关键系统和服务。8月,全球最大的半导体代工制造商台积电生产工厂和营运总部电脑遭勒索病毒入侵,导致竹科、中科、南科等几大厂区生产线停摆,造成台积电1.7亿美元(约合人民币11.5亿元)左右的经济损失。9月,英国布里斯托尔机场航班信息显示系统遭遇勒索软件攻击,导致机场的航班显示屏两天无法正常显示信息。
二、勒索软件全球泛滥事出有因
勒索软件伴随着网络犯罪技术的发展而发展,它快速迭代并迅速传播,目前网络勒索已成为对攻击者而言“钱景可观”的优选获利途径,它在全球呈现高发态势和大规模泛滥绝非偶然。
(一)攻击低成本高回报助长勒索软件盛行
勒索软件的制作成本较低,多数情况下不需要增加投入就可进行持续攻击,而被加密的往往是对企业机构、政府部门和个人具有重要作用的系统和数据,有些关键敏感数据甚至是企业的经济命脉,一旦泄露或损毁,将造成无法挽回的损失,支付赎金往往成为一种无奈的选择。几十美元甚至几美元的制作成本有时可获得数万美元乃至更多的赎金。低犯罪成本和高回报率让钱财勒索这一网络犯罪行为在大数据时代具有极大的诱惑力,吸引越来越多的攻击者参与其中。
(二)安全防护不足为勒索攻击打开方便之门
勒索软件虽然来势迅猛,但并非不可防范,真正让其屡屡得手的主因是用户网络安全意识普遍比较淡薄,缺乏必要防护策略,如重要文件的备份、病毒查杀、补丁更新、老旧设备淘汰换新等。360安全中心2017年接到的2000多位勒索软件受害者求助中,绝大多数受害者都没有正常使用安全软件进行防护,甚至有不少受害者电脑没有安装任何安全软件,导致勒索软件能够轻易入侵感染。一些政企机构员工的安全意识也明显不强,内部安全管理存在纰漏,安全措施缺位,导致整体安全防御能力薄弱。另外,安全监控软件的病毒检测能力也存在问题,对付大量新型勒索软件略显乏力。在NotPetya来袭时,研究人员测试的60款安全软件中,只有2款软件在第一时间检测到了这种勒索病毒,这种情况间接给不法分子的攻击行动提供了可乘之机。
(三)网络技术快速进步促使勒索能力不断升级
勒索软件技术的发展使其在加密方式、传播手段、躲避检测等方面不断更新。当前最流行的加密勒索软件早已抛弃可被破解的对称加密算法,普遍采用非对称的强加密算法,除了付费获得密钥,别无其他解密方法。勒索软件新变种层出不穷,每个变种都添加一些新技术,拥有加强的新功能,越来越多利用组合模式的传播手段和多种高级技术躲避查杀,致使破解难度越来越大,而且破解速度远远跟不上新病毒或变种的推出速度。新技术的更迭让勒索软件“如虎添翼”,得以跨越安全防线,达到感染用户的目的。
(四)比特币和匿名网络间接充当非法活动“保护伞”
勒索攻击活动之所以如此猖獗,一部分原因是以比特币为代表的匿名支付手段和匿名通信网络被攻击者恶意利用。比特币是一种去中心化的虚拟数字货币,不受央行和任何金融机构的控制,可有效隐藏攻击者的身份,可以说,比特币的出现为网络勒索提供了低风险、易操作、便捷性强的赎金交易和变现方式,成为网络犯罪活动的主要支付形式。攻击者对比特币的青睐促使比特币价格暴涨,引发了更多利用勒索软件向用户勒索比特币的攻击事件。除支付手段外,允许匿名通信的洋葱网络也协助掩盖了攻击的来源。病毒制作者常将勒索服务器搭建在暗网,通过洋葱网络与受害者进行通信。这些手段先进实用,又唾手可得,将网络勒索的非法活动保护在“匿名”的羽翼之下,让追踪溯源变得异常困难。
(五)勒索服务市场繁荣为黑客敛财提供了便利
勒索软件的利益诱惑让无数网络罪犯看到了迅速敛财的机会,也催生了勒索服务市场商业模式的兴起,出现大量以售卖勒索软件为主要营生的勒索软件即服务(RaaS)暗网平台,并逐渐形成完整成熟的产业链。这些平台为缺乏技能、资源和时间的黑客提供很多现成的解决方案和勒索服务,从勒索软件的开发、技术支持、分销、质保到售后,甚至包括专门的勒索咨询服务和恶意产品定制服务。不具备任何专业技术知识的攻击者也可以毫不费力地发起网络敲诈活动,从勒索产业中分一杯羹。
三、勒索软件攻击特点显著
勒索软件给网络安全带来的威胁清晰可见,但它并未随着防御手段的升级和完善而偃旗息鼓,相反,病毒在与安全防御技术的对抗过程中不断优化自身,复杂性和多样性持续增长,更新迭代速度明显加快,试图以更隐蔽的形式发动更猛烈的攻势,来获取更大的利益。勒索软件在发展演变过程中呈现出以下特点。
(一)攻击目标多样化
一是从电脑端到移动端。勒索软件大多以电脑设备为攻击目标,其中Windows操作系统是重灾区。数据表明,当前电脑端的勒索软件数量仍在上升,尽管增速有所放缓。但随着移动互联网的普及,勒索软件的战场开始从电脑端蔓延至移动端,并且有愈演愈烈的趋势。俄罗斯卡巴斯基实验室检测发现,2017年有161个国家的11万多个用户遭到移动勒索软件的攻击,移动勒索软件安全包多达54.4万个,是2016年的2倍,比2015年则增长了17倍。而我国移动平台的感染情况更为严峻,360烽火实验室2017年前9个月捕获的恶意勒索软件就达到50余万个,平均每月5.5万个。目前,移动端勒索软件已形成超千万的产业规模,威胁程度不容小觑。
二是从个人用户到企业设备。个人设备在勒索软件攻击目标中一直占据较高比例。但随着传统勒索软件盈利能力的持续下降,对更高利润索取的期待驱使黑客将攻击重点进一步聚焦在企业的关键业务系统和服务器上。比如勒索软件Rrebus就通过加密153台Linux 服务器,轻松从韩国Web托管公司Nayana收取了高达100万美元的赎金。在被针对的企业目标中,中小企业因安全架构单一,更容易被攻破。震惊全球的WannaCry攻击事件中,中小企业就是主要受害者。据不完全统计,2017年约15%的勒索软件攻击是针对中小企业服务器发起的定向攻击。
(二)攻击目的复杂化
一是以勒索软件为掩护,实施网络破坏或间谍行动。从传统角度来看,勒索攻击不外乎是要达到向受害者索要金钱的经济目的。但实际案例显示,日益猖獗的勒索软件正在成为其他网络攻击者的利用手段,一些勒索软件徒有“勒索”之名,本质上只是充当了网络破坏行动或间谍行动的掩护,以掩盖攻击者的真实目的。最典型的案例莫过于NotPetya事件,该软件作者精心设计制作了传播、破坏的功能模块,通过窃取凭证让病毒大肆传播,而勒索赎金模块却制作粗糙、漏洞百出,受害者甚至根本无法成功支付赎金。另外,攻击者还通过改写硬盘的主引导记录,导致对用户数据的编码不可逆。这款恶意软件的代码和其他证据表明,NotPetya很可能是一次精心策划的以勒索软件攻击作为伪装的故意破坏性攻击事件。除破坏目的,攻击者也可能借勒索之名实施网络间谍活动,使事件响应人员将工作重点放在文件解密上,而非集中精力调查真实的被攻击缘由。
二是以勒索软件为手段,实现多重牟利目的。尽管目前大多数勒索软件只是对文件进行加密,发送加密密钥从而进行解密,并从受害者那儿获得赎金。但随着勒索软件攻击手段的花样翻新,勒索软件样本也可能会在加密数据前采取较多恶意行动,如进行渗透操作,窃取企业服务器中的关键敏感数据。一方面对受害企业施加压力,迫使其支付赎金恢复数据所有权;另一方面还可以在地下暗网上出售这些敏感数据,从而获得更多潜在利益。这种边勒索、边窃取、边倒卖敏感资料的攻击行为越来越受到黑客青睐。
(三)攻击范围扩大化
一是从地理区域看,攻击范围扩展至全球。WannaCry勒索软件攻击潮爆发之前,攻击者普遍倾向于攻击信息化程度较高、网络设施发达的国家和地区,因为这些国家和地区对网络的依赖程度基本决定了攻击者更容易获取到钱财利益。而攻击也多是小范围内发生的事件,影响程度有限。但WannaCry打破了攻击行为的针对性和本地化特征,是历史上第一次全球范围爆发的大规模恶意程序攻击。随后的NotPetya、“坏兔子”等其他勒索软件继续延续了WannaCry的全球影响威力。种种攻击事件表明,“不甘寂寞”的勒索软件已从小规模感染转变为大范围传播,甚至扩展到了许多信息化水平不高的国家和地区,这些地区的用户在应对勒索软件方面经验不足,且勒索软件攻击者在这些地区的竞争不激烈,牟利反而容易得多。
二是从行业领域看,攻击范围拓展至全领域。在勒索软件的迅猛攻势下,金融、医疗、交通、能源、通信、制造、教育等诸多关键基础设施和重要行业领域无一幸免。全球多家金融机构、波音飞机制造公司、美国科罗拉多交通部、亚特兰大市政府网络、北卡罗来纳州政府服务器、印第安纳州汉考克地区医院系统、乌克兰能源和煤炭工业部等均成为勒索软件的受害者。更令人担忧的是,医院遭到恶意软件勒索的概率正在上升,而医院受到攻击造成的影响会远比大多数其他机构更为可怕,甚至危及病人的生命安全。伴随着物联网、云计算等新技术热度的持续升高,勒索软件还将逐步向大数据、云服务、物联网等新兴领域扩散,其中包括智能家居、智能汽车等多个方面,都会成为勒索活动的新战场。以智能家居为例,在物联网上建立起来的智能家居网络将是物联网领域最具潜力的市场载体,面临勒索软件的攻击危险更大。2016年召开的全球顶级安全会议Def Con上,两名白帽黑客就曾演示了勒索软件如何成功入侵智能恒温器。
(四)攻击方式专业化
一是传播加密手段更加多元。为感染更多设备,并在内部日益激烈的竞争中脱颖而出,许多勒索软件开始创新传播手段。首先,借助更多的漏洞、更隐蔽的方式进行初始传播,并越来越多地利用社交媒体作为传播方式,如通过在脸书、推特、微博等网站上分享的恶意内容诱惑受害者点击恶意链接。其次,部分勒索软件吸收了蠕虫病毒的特点,自我复制能力越来越强,比如WannaCry、NotPetya等就以感染的设备为跳板,然后利用漏洞或“管理员共享”功能在网络中自动渗透,攻击局域网内的其他电脑,形成“一台中招,一片遭殃”的情况。再次,针对各企业对于软件供应链的管理弱点,通过行业供应链攻击传播勒索软件的案例也时有发生。花样翻新的手段已让用户防不胜防,同时加密能力也在升级,比如2018年10月被发现扩散到国内的Satan勒索软件最新变种V4.2就升级了加密算法,促使杀毒软件原有的解密方案随病毒升级而失效。该病毒利用服务器组件的漏洞进行攻击传播,会对硬盘中的重要数据文件进行全部加密。Satan依靠差异化攻击手段,不仅使企业用户损失惨重,而且个人用户亦被波及。
二是伪装躲避技能更加高超。与其他恶意软件相比,勒索软件的伪装躲避技能毫不逊色,网络犯罪分子越来越倾向于以不留痕迹的方式利用勒索软件,让防御人员措手不及。一方面是勒索软件的静默期会不断延长。截至2018年3月,360烽火实验室捕获的超20万个代刷软件中,有超半数是经过了伪装的恶意勒索软件。这类软件在首次启动后会自动进入“隐藏模式”,使得用户日常无法感知和卸载,以此达到长期潜伏、持续作恶的目的。另一方面是采用更高级的免杀技术。例如,2017年12月研究人员刚提出Process Doppelg?nging新型代码注入技术,这种技术可绕过Windows系统上所有反病毒安全机制,2018年5月,研究人员就发现该技术被SynAck勒索软件新变种所利用。
(五)勒索服务产业化
勒索软件不断扩大的市场机遇催生了新的盈利模式——勒索软件即服务(RaaS)。在这种模式下,勒索软件正式进入到类似于商业软件的产业化发展阶段,在暗网市场中进行着勒索软件整套体系服务的交易,任何想非法获利的人士都可能利用RaaS平台提供的现成解决方案。根据反病毒服务提供商Carbon Black 2017年10月发布的调查报告,全球有超过6300个暗网平台提供勒索软件交易,勒索软件的销售总额从2016年的25万美元达到2017年的620万美元,增长了约25倍(21个全球顶级暗网平台监测结果推算得出)。勒索软件的开发人员也获得了不少收益,一些开发者年收入能超过10万美元,而在合法商业软件领域,程序员的收入大约为7万美元。团体运作模式大大提升了专业化程度,助长了易用、定制工具的出现,开发人员不需要独立研发整套工具包,只专注其中某一环节和某一项技术,即可执行有针对性的攻击和勒索,且成功概率更大,影响更严重。黑产市场的繁荣进一步助推勒索软件以更猛的势头向更广的范围持续蔓延。
四、应对勒索软件攻击刻不容缓
网络世界的攻防一直是恶意攻击者与防御者之间此消彼长的博弈过程。目前,勒索软件的危害还在持续扩大,如果不能强化应对措施,在巨额利润的驱使下,勒索软件将有可能进一步爆发,造成更大的危害。当然,防范勒索软件攻击是个系统化工程,需要综合施策、系统治理、多方联合,形成预防与打击勒索软件的包围圈,清除生存土壤,让勒索软件无处藏身。
(一)篮球比分,提高安全意识
多数情况下,勒索攻击屡试不爽的原因不是病毒本身有多强大,而是抓住了用户安全意识淡薄的软肋,得以趁虚而入。因此,提高安全防范意识,不给勒索软件提供可乘之机,才是应对勒索攻击的首要抓手。针对普通用户,可借助媒体、网站平台等手段加强有关勒索软件危害的知识传播和安全防范篮球比分,增强用户的安全意识。针对企事业单位,可通过勒索软件案例对员工进行培训,提供最佳实践,教育员工如何识别网络钓鱼,开展模拟演练,增强员工安全防范意识,始终保持高度警惕,降低人为引入网络威胁的概率。
(二)立法先行,完善法律保障
要解决勒索软件肆虐横行的问题,法律法规的重要性不言而喻。实践中,尽管许多网络安全公司监测到了大量的勒索软件攻击行为,但进入执法环节的极为罕见。这其中既涵盖了受害者法律意识的不足,也包括了法律本身的缺位。立法打击勒索软件是正确的一步。美国加利福尼亚州2016年9月就推出了关于反勒索软件的法律,对检察机关起诉和定罪勒索罪犯做出了清晰规定,以打击使用恶意软件对重要数据进行加密并要求支付赎金的网络攻击者。我国现行法律没有针对勒索软件的专门性规定,但在《中华人民共和国网络安全法》等多项法律文件中定义了一般性的网络犯罪活动。为了更有效地打击勒索软件,包括其产生源头的暗网交易市场,需要建立更为完善有针对性的法律法规,重拳治理网络勒索犯罪活动。
(三)系统治理,构建多层防御
很多勒索软件结合了复杂的高级网络攻击,单一防护手段和防护力量无法抵御,需要充分发挥政府、企业、用户多主体作用,构建网络安全综合治理体系,搭建多层防御系统,编织出一张严密的勒索攻击防御之网。一是政府应制定勒索攻击恢复指南并建立专门的应急响应小组,可以在勒索攻击发生时协助企业应对并恢复网络、数据,同时将病毒样本、处理方法及防范措施整理归档,便于日后不断完善监控、检测方案。如美国国家标准技术研究院(NIST)2017年9月发布了帮助遭受勒索软件攻击的企业制定数据恢复计划的专门指南,提供了包括高级架构、实现案例、安全特性分析等正确处理勒索软件攻击的方法建议。二是企业应建立事前预防、事中监控、事后响应三位一体的综合性防护策略。这不仅应包括定期修补漏洞、备份数据,还应包括高级威胁防护、网关防病毒、入侵防御等多个重叠和相互支持的防御系统,以防止任何特定技术或保护措施中的单点失效,同时组建专业的事件响应团队。三是建立起行业部门间有效的勒索软件威胁信息共享机制,提升彼此的网络风险防控能力。
(四)注重技术,加大研发力度
针对勒索软件攻击技术创新快、应对难度大等问题,应加大反勒索软件的技术研发力度,充分利用各类新技术,包括篮球比分技术、区块链技术、智能诱捕技术、SONAR行为检测技术、智能文件格式分析技术、文档自动备份隔离保护技术、智能威胁云、密码保护技术。特别是篮球比分机器学习技术会在勒索软件识别检测方面发挥重要作用,先进的机器学习技术可以找出勒索软件中可能出现的因素,并随时根据新勒索软件特征进行调整,以寻找多个恶意行为的组合方式正确辨识出勒索软件与合法软件,提升应对能力。
(五)联合打击,各国共同行动
勒索软件是广泛存在的网络安全问题,在网络高度互联互通的时代无差别地影响着世界各个国家。打击这种网络犯罪也并非一己之力可为,需要全球联合行动。2016年7月,卡巴斯基实验室、荷兰国家警察、欧洲刑警组织和英特尔安全公司率先联合启动了“拒绝勒索软件”项目,为执法机关和私营企业联合对抗勒索软件开启了新的合作模式。目前,该项目的合作伙伴数量已达120多家,提供50多款免费解密工具,为35000多名用户免费找回了丢失的文件,免交了约1000万欧元的勒索费用。该项目的成功说明面对勒索软件这一全球性问题,需要各国主动联合行动,同时也需要探索和建立更多有效的国际合作模式,共同应对网络威胁。
(原载于《保密科学技术》杂志2018年12月刊)