随着比特币等数字货币的匿名化，近年来勒索软件攻击迅速增加，对企业和个人构成严重威胁。阿里云安全中心发现，最近对云计算的勒索软件攻击不断发生，勒索软件攻击逐渐成为主流的黑客货币化方法。
I.分析最近的勒索行为数据
1.敲诈勒索事件使云主机遭到洗劫
阿里云安全中心发现，遭受勒索软件攻击的受害主机数量持续上升。勒索事件上升趋势有三个主要原因：
·越来越多的勒索软件集成了一组丰富的攻击模块，而不仅仅是传统上破解弱密码，而是具有自我传播，跨平台和蠕虫功能，如Lucky，Satan勒索软件。
·云租户服务的多样性和业务场景日益复杂，使用户向黑客显示的基本攻击面不断放大，并继续面临漏洞威胁。
·企业安全意识不足，密码管理和访问控制没有完成，因此它给黑客一个机会。
下图显示了过去六个月中勒索病毒攻击的成功：
主流赎金家族，如孤岛危机，GrandCrab和Lucky，非常活跃，其他勒索软件家族的规模逐渐增大，导致勒索软件感染数量增加。下图显示了在云上捕获的勒索软件的比例：
2.可以追查勒索攻击
根据最近对入侵数据的分析，阿里云安全中心发现攻击者主要利用安全配置漏洞和云主机攻击入侵勒索软件。目前，尚未发现任何新的入侵方法。
1）弱密码爆破。通过爆破诸如22,445,135,139,3389和1433之类的弱密码来获得服务权利。
SSH/RDP暴力攻击继续活跃。 SSH和RDP服务是Linux/Windows上两个主要服务器操作系统的远程管理门户。他们长期以来一直关注黑客和僵尸网络。攻击面主要是弱密码，攻击方法是暴力破解。
下图显示了高风险用户名统计信息：
勒索攻击，如何在云中处理这种“破坏性”？
统计结果显示root/administrator是暴力破解的两个最重要的用户名。毫无疑问，这两个用户名对各种linux/windows系统具有最广泛的覆盖范围，弱密码试图破解更高的性价比。勒索软件常用的强力密码字典如下：
PASSWORD_DIC=[
'，
'123456'，
'12345678'，
'123456789'，
'为admin123'，
“管理员”，
'admin888'，
'123123'，
'qwe123'，
'QWEASD'，
'ADMIN1'，
'88888888'，
'123123456'，
'经理'，
为 'tomcat'，
“阿帕奇”，
'根'，
“托尔”，
'客人'
]
2）开发
由于云租户业务的特殊性，Web服务长期以来一直是公共云威胁的主要力量。攻击次数约为基本攻击和防御的47％。这些Web漏洞很快就被僵尸网络和勒索软件集成到了这个库中。传播到互联网上。阿里云安全中心分析云上脆弱的Web服务，分析用户关注安全加固所需的Web服务。
最近幸运镜头病毒在云上继续活跃，它集成了大量的CVE攻击组件，使其对水平传播非常有用。主要漏洞被利用：
JBoss反序列化漏洞（CVE-2017-12149）
JBoss默认配置漏洞（CVE-2010-0738）
Tomcat免费文件上传漏洞（CVE-2017-12615）
Tomcat Web管理控制台背景弱密码暴力攻击
WebLogic任意文件上载漏洞（CVE-2018-2894）
WebLogic WLS组件漏洞（CVE-2017-10271）
Apache Struts2远程代码执行漏洞（S2-045，S2-057等）
Spring Data Commons远程执行代码漏洞（CVE-2018-1273）
Nexus Repository Manager 3远程执行代码漏洞（CVE-2019-7238）
Spring Data Commons组件远程执行代码漏洞（CVE-2018-1273）
3.数据库也可以勒索
值得注意的是，阿里巴巴云安全中心在3月份发现了一个成功的数据库勒索事件。攻击者攻击phpmyadmin入侵数据库并删除数据库中的数据以进行勒索。
攻击者删除所有数据，留下勒索信息，要求受害者支付赎金以交换丢失的数据：SET SQL_MODE='NO_AUTO_VALUE_ON_ZERO'；
SET time_zone='+ 00: 00'；创建数据库，如果不存在`PLEASE_READ_ME_XMG`
DEFAULT CHARACTER SET utf8 COLLATE utf8_unicode_ci；
使用`PLEASE_READ_ME_XMG`；
创建表`警告'（
`id` int（11）NOT NULL，
`warning`文本COLLATE utf8_unicode_ci，
`Bitcoin_Address`文本COLLATE utf8_unicode_ci，
`Email`文本COLLATE utf8_unicode_ci
ENGINE=InnoDB DEFAULT CHARSET=utf8 COLLATE=utf8_unicode_ci；
插入“警告”（`id`，`警告`，
`Bitcoin_Address`，`Email`）
VALUES（1，'恢复丢失的数据:发送0.045 BTC到我们的BitCoin地址，并通过电子邮件与您联系我们的服务器IP地址或域名和付款证明。任何没有您的服务器IP地址或域名和证明的电子邮件如果您没有收到付款，我们将删除您的数据库。'，''1666666vT5Y5bPXPAk4jWqJ9Gr26SLFq8P'，'[email protected]'）；ALTER TABLE`WENING`添加PRIMARY KEY（`id`）；
如果发生赎金，在支付赎金之前，Cloud Security强烈建议受害用户验证攻击者实际拥有您的数据并可以恢复。我们无法在我们监控的攻击中找到任何转储操作或数据泄漏的证据。
二，云安全中心：让勒索攻击
勒索攻击，如何在云中处理这种“破坏性”？
为了应对勒索软件攻击并保护云上企业和个人的安全，阿里云安全中心建立了多维安全防线，形成安全闭环，使所有攻击都能被追踪，威胁可以无缝钻孔。
1.安全预防和检测
在黑客未入侵之前，阿里云安全中心通过漏洞管理，基线检查以及弱密码和其他安全合规配置的一键式验证，主动发现潜在漏洞。
在黑客攻击过程中，云安全中心通过威胁建模和数据分析主动发现并记录黑客的攻击链接，及时提醒用户执行安全加固和错误修复。因此，建议用户从漏洞和基线的角度构建安全线。
2.积极防守
在成功进行黑客攻击并尝试执行勒索软件后，阿里云安全中心基于强大的病毒查杀引擎实现主动防御，阻止在网络中下载勒索软件，阻止在服务器端启动勒索软件，并将其隔离和阻止，在黑客成功攻击受害主机的情况下，也可以避免侵害病毒，并确保业务的正常运行。
3.调查可追溯性
基于多维威胁检测和威胁情报，阿里云安全中心可以自动跟踪黑客到服务器的整个入侵环节，协助用户增强自身资产，使用户拥有安全的运营能力。
三，安全建议
1.使用阿里云安全中心调查已知的漏洞和漏洞，及时修复和加强这些漏洞，以避免受到勒索的攻击。
2.增强您自己的安全意识，确保服务器上的所有软件都已更新并安装了最新补丁，不存在密码弱的风险，定期备份有价值的数据，遵循最新的漏洞警报，并立即扫描其系统for possible使用已知的CVE并禁用Powershell，SMB等服务，而不影响业务。
3.建议您不要支付赎金。支付赎金只会让网络犯罪分子确认勒索软件是有效的，并不能保证您将获得所需的解锁密钥。

• 上一篇: 蓝盟IT外包，元宇宙：四梁八柱是什么
  下一篇: New Edge兼容性超越了同行：访问大多数纯Chrome网站

• 分享到：