RaaS“兴起”低成本网络攻击泛滥 工业互联网如何防范勒索病毒袭击？

图片来源：视觉中国 “NoFuel（无燃料）。”5月11日，美国东部城市加油站里赫然贴着这样的标识牌。同时，美国也于5月9日宣布进入国家紧急状态。造成这一切的源头，恰恰是一个看似并不起眼的组织Darkside制作出来的勒索软件。 5月7日，美国大型燃油运输管道运营商ColonialPipeline（科洛尼尔管道运输公司，以下简称科洛尼尔）遭受网络黑客攻击，被迫关闭旗下成品油燃油管道。据了解，科洛尼尔运营美国最大的成品油管道系统，管道共长5500英里，将汽油和其他燃料从德克萨斯州运往东北，其提供的燃油约占东海岸燃料消耗的45%。其燃油运输中断或将影响到5000万美国人，涉及民生及国家安全。 5月9日（周日），科洛尼尔表示计划在本周结束前（美国周日为一周第一天）对管道的运作进行实质性的修复和恢复。 安恒信息工业互联网安全事业部总经理叶鹏对《每日经济新闻》记者表示：“想要快速恢复，必须从攻击方处取得对应的密钥。上次挪威铝业巨头（海德鲁）遭受勒索软件攻击，耗费约一个月时间才完全恢复。此次（针对科洛尼尔）的勒索软件攻击，后续还需要关注。” 勒索攻击掀风波，美国进入紧急状态 5月9日，FBI（美国联邦调查局）官网发布声明表示：“确认Darkside勒索软件是造成ColonialPipeline网络受损的原因，我们将继续与公司、政府合作伙伴合作进行调查。”即FBI认定Darkside为这次勒索软件攻击的幕后组织者。 由于科洛尼尔遭受勒索软件攻击，致使美国东海岸燃油运输中断。美国总统拜登于5月9日宣布美国进入紧急状态。 同日，美国交通运输部联邦汽车运输安全管理局发布通知，对18个州载运汽油、柴油、航空燃油及其他精炼石油的运输车免税。 美国商务部长吉娜·雷蒙多（GinaRaimondo）也于当日表示，勒索软件这类攻击正变得越来越频繁，也是企业现在必须担心的。美国商务部必须和企业合作来保护网络，以保护自己免受这些攻击。她还表示，正在与公司、州和地方官员密切合作，以确保科洛尼尔尽快恢复正常运营，并且不会出现供应中断的情况。 然而想要通过公路运输替代科洛尼尔的管道运输并不容易。该公司的管道是美国分配汽油、柴油、航空燃油最重要的管道，将墨西哥湾沿岸的炼油厂连接到亚特兰大、纽约乃至其他地区的人口中心，其每天运送约250万桶，超过整个德国的石油消耗量。 与吉娜·雷蒙多的说法相反，美国东海岸多地已出现燃油短缺现象，而且受此影响，美国平均汽油零售价格已升至2014年末以来的最高水平，几乎触及每加仑3美元。 对于该事件的影响，安恒信息工业互联网安全事业部总经理叶鹏认为：“其一，整条输油管线对应的各炼油厂势必减产或停产，与炼油厂相关的上下游供应链也会受到不同程度的影响。其二，美国东海岸5000万人的用油问题短时间内会遭遇一定的困难，未来是否会引起更大问题仍需关注。其三，美国汽油期货周日涨逾3%至每加仑2.217美元，创2018年5月以来新高；美国取暖油期货也跳升至2020年1月以来的高点；间接引发能源市场动荡。其四，中断美国军方燃油供应，可能会影响美国国家安全。” RaaS已成商业模式 “简单！低成本！一夜暴富！不需要花多年时间浸淫代码编写或软件开发技艺。只需要下载我们简单的勒索软件工具包，就能让您钱财源源而来——享受在家办公的舒适与弹指坐听比特币落袋声的双重快乐。”一封勒索软件领域宣传资料如是描述。 这便是对勒索软件即服务（RaaS：RansomwareasaService）模式的生动描述，而发动此次攻击的Darkside，正是一个提供勒索软件即服务的组织。 随着互联网技术的发展和应用软件的成熟，近年来软件即服务日趋流行。SaaS平台供应商将应用软件统一部署在自己的服务器上，客户可以根据工作实际需求，通过互联网向厂商定购所需的应用软件服务。 SaaS平台为中小企业提供了较为廉价的软件服务，而RaaS则是为犯罪团伙提供了廉价的作案工具。RaaS这种商业模式的兴起，使得从业者无需任何专业技术知识就可以毫不费力地发起网络敲诈活动。近几年，勒索软件及服务（RaaS）呈爆发式增长，可谓网络安全的新疫情。RaaS为黑客提供了勒索软件的巨大使用便利，节省了他们的时间资源并简化了流程，还有利于保护攻击者的真实身份。 叶鹏认为：“不仅仅是勒索软件，整个互联网领域的攻击行为都呈现出低门槛、低成本的趋势。比如一个普通中学生，都能够使用相关工具轻松攻击机构网站。同时，网络攻击行为的泛滥，也对安恒信息这类互联网安全企业提出了更高的要求。” 为何难以恢复业务？ 值得注意的是，在美国东部时间5月7日，科洛尼尔就已经主动中断公司系统运行，从而脱离勒索软件威胁，并开始尝试修复。不过，截至5月12日，公司燃油运输仍未恢复。 对此，叶鹏表示：“勒索病毒主要以邮件、程序木马、网页挂马的形式进行传播，利用各种非对称加密算法对文件进行加密，被感染者一般无法解密，必须拿到解密的私钥才有可能破解。” 随后，叶鹏详细描述了勒索病毒的工作原理：“勒索病毒文件一旦进入本地，就会自动运行。接下来，勒索病毒利用本地的互联网访问权限连接至黑客的C&C服务器，进而上传本机信息并下载加密公钥，利用加密公钥对文件进行加密。除了拥有解密私钥的攻击者本人，其他人几乎不可能解密。” “加密完成后，通常还会修改壁纸，在桌面等明显位置生成勒索提示文件，指导用户去缴纳赎金。勒索病毒变种非常快，对常规的杀毒软件都具有免疫性。攻击的样本以exe、js、wsf、vbe等类型为主，对常规依靠特征检测的安全产品是一个极大的挑战。”叶鹏补充道。 英方软件品牌总监黄亮告诉《每日经济新闻》记者：“针对勒索病毒无法快速恢复业务，说明该公司系统备份做得一般，按照我国等级保护和分级保护要求，针对关键基础设施的系统备份，至少要在异地建立一套达到业务级灾备要求的备份系统，当本地生产系统在极端情况下出现生产中断且短时间内无法恢复时，异地备份系统能够在监管要求的时间内快速启动，继续对外提供服务。” “如果从灾备（备份和容灾）和业务连续性角度看，该公司提升空间更大。很显然，作为如此重要的能源基础设施，ColonialPipeline没有启动灾备系统让业务快速恢复，说明在这两方面的建设并不十分完善。”黄亮补充道。 他山之石：如何防御勒索攻击 此次勒索攻击对美国影响巨大，那么国内企业、个人应该如何防御勒索攻击呢？叶鹏表示：“从攻击者渗透进入内部网络的某一台主机到执行加密行为往往有一段时间，如果在这段时间能够做出响应，完全可以避免勒索事件的发生。某台主机在感染勒索病毒后，除了自身会被加密，勒索病毒往往还会利用这台主机去攻击同一局域网内的其他主机，所以当发现一台主机已被感染，应尽快采取响应措施。” “具体措施包括隔离中毒主机、主机加固等。不过，基础措施可以一定程度上响应勒索事件，但当病毒情况严重、感染主机较多或面对未知类型勒索变种，基础措施的效果就十分有限。当有数百台甚至更多主机的场景感染勒索病毒，是无法逐一去采取基础响应措施，需要借助专业的安全产品进行监测、防护和专业的安全团队的技术支持。高级响应措施方面，监测方面产品比如安恒APT攻击预警平台，查杀与防护领域有EDR主机安全及管理系统。” 据了解，安恒APT攻击预警平台能够发现已知或未知威胁，平台能实时监控、捕获和分析恶意文件或程序的威胁性，并能够对邮件投递、漏洞利用、安装植入、回连控制等各个阶段关联的木马等恶意样本进行强有力的监测。 网络安全的复杂性和与时俱进的属性，加上工业互联网领域自身的复杂生态和广泛连接属性，使得这一问题的解决难度倍增，贯穿互联网、集团专网、企业管理网和生产控制网、云平台四大区域全场覆盖的网络安全产品应用和解决方案体系的建立，才能让工业互联网得到更好的防护和安全问题解决之道。 叶鹏坦言，这对专业的网络安全企业提出了极高的要求，既要有大量的实际经验，又需要完整的识别、防护、监测及响应恢复周期体系，以及强大的研发实力和持续的创新能力。 黄亮表示：“对于重要商业数据、个人资料、相片等信息，建议做好定期备份；对于业务要求实时性高的企业，要做好实时备份，比如通过真CDP技术实现数据实时备份，当勒索病毒加密生产数据时，可以通过备份数据快速恢复业务，数据丢失量能够趋于零。总而言之，在数据时代，不管数据作为公司重要的生产资料，历史的重要见证，还是个人的珍贵回忆，都要做好备份和容灾，不要将鸡蛋放在同一个篮子里。” 欲获取更多互联网安全信息及勒索病毒防护知识，请参考每日经济新闻与安恒信息联手推出的产品网络信息安全月报第一期：《2021年3月网络信息安全月报：勒索病毒来势汹汹，宏碁、富士康中招保护数据安全需要反守为攻？》