勒索攻击猖獗，在云上如何应对这位“破坏分子”？

借助比特币等数字货币的匿名性，勒索攻击在近年来快速兴起，给企业和我的带来了严重的威胁。阿里云安全中心发现，近期云上勒索攻击事件持续发生，勒索攻击正逐渐成为主流的黑客变现方式。

1、近期勒索行为数据分析

1.云主机被勒索事件上涨

阿里云安全中心发现，近期被勒索病毒攻击成功的受害主机数持续上涨。形成勒索事件上涨趋势的缘由主要有如下三个方面：

1. 愈来愈多的勒索病毒集成了丰富的攻击模块，再也不只是传统地爆破弱口令，而是具有了自传播、跨平台和蠕虫的功能，如Lucky、Satan勒索病毒等。
2. 云环境租户业务的多样性，不断出现的业务场景日趋复杂，使得用户展现给黑客的基础攻击面不断放大，持续面临漏洞的威胁。
3. 企业安全意识不足，未作好口令管理和访问控制，所以给了黑客可乘之机。

下图展现了近半年来勒索病毒攻击成功的趋势：

主流的勒索家族，如Crysis、GrandCrab和Lucky等很是活跃，而且其余的勒索家族也逐渐造成规模，致使勒索病毒感染量有所上涨。下图是云上捕获到的勒索家族占比：

2.勒索攻击可作到有迹可循

阿里云安全中心基于近期的入侵数据分析发现，攻击者以经过云主机的安全配置缺陷和漏洞利用为主，进行入侵并植入勒索病毒，目前暂未发现新的入侵方式。

1）弱口令爆破。经过爆破2二、44五、13五、139 、338九、1433等弱口令，获取服务权限。

SSH/RDP暴力破解持续活跃。SSH与RDP服务为Linux/Windows云上两种主要服务器操做系统的远程管理入口，长期受到黑客以及僵尸网络的关注，其攻击面主要在弱口令，攻击方法为暴力破解。

下图为高危用户名统计数据：

统计结果代表，root/administrator是暴力破解最重要的两大用户名，这两个用户名对各类linux/windows系统而言无疑覆盖面最广，对其进行弱口令尝试破解性价比较高。

勒索病毒常使用的暴力破解密码字典以下：

PASSWORD_DIC = [
'',
'123456',
'12345678',
'123456789',
'admin123',
'admin',
'admin888',
'123123',
'qwe123',
'qweasd',
'admin1',
'88888888',
'123123456',
'manager',
'tomcat',
'apache',
'root',
'toor',
'guest'
]

2）漏洞利用

因为云环境租户业务的特殊性，Web服务长期成为公有云威胁的主要受力点，攻击次数占据基础攻防的47%左右，这些Web漏洞迅速被僵尸网络以及勒索病毒集成到武器库中，并在互联网中传播。阿里云安全中心经过统计云上脆弱的Web服务，分析出用户须要重点作安全加固的Web服务。

近期在云上持续活跃的Lucky勒索病毒就集成了大量的CVE攻击组件，使其横向传播的能力十分强大。主要利用如下漏洞进行攻击：

JBoss反序列化漏洞(CVE-2017-12149)
JBoss默认配置漏洞(CVE-2010-0738)
Tomcat任意文件上传漏洞(CVE-2017-12615)
Tomcat Web管理控制台后台弱密码暴力攻击
WebLogic任意文件上传漏洞(CVE-2018-2894)
WebLogic WLS组件漏洞(CVE-2017-10271)
Apache Struts2 远程代码执行漏洞(S2-04五、S2-057等)
Spring Data Commons远程代码执行漏洞(CVE-2018-1273)
Nexus Repository Manager 3远程代码执行漏洞(CVE-2019-7238)
Spring Data Commons组件远程代码执行漏洞(CVE-2018-1273)

3.数据库也能被勒索

值得特别注意的是，阿里云安全中心在3月份发现了一块儿成功的数据库勒索事件，攻击者经过爆破phpmyadmin入侵数据库，并删掉数据库中数据进行勒索。

攻击者删掉全部的数据，留下勒索信息，要求受害者支付赎金来交换丢失的数据：

SET SQL_MODE = "NO_AUTO_VALUE_ON_ZERO";
SET time_zone = "+00:00";

CREATE DATABASE IF NOT EXISTS `PLEASE_READ_ME_XMG` DEFAULT CHARACTER SET utf8 COLLATE utf8_unicode_ci;
USE `PLEASE_READ_ME_XMG`;

CREATE TABLE `WARNING` (
  `id` int(11) NOT NULL,
  `warning` text COLLATE utf8_unicode_ci,
  `Bitcoin_Address` text COLLATE utf8_unicode_ci,
  `Email` text COLLATE utf8_unicode_ci
) ENGINE=InnoDB DEFAULT CHARSET=utf8 COLLATE=utf8_unicode_ci;

INSERT INTO `WARNING` (`id`, `warning`, `Bitcoin_Address`, `Email`)
VALUES (1, 'To recover your lost data : Send 0.045 BTC to our BitCoin Address and Contact us by eMail with your server IP Address or Domain Name and a Proof of Payment. Any eMail without your server IP Address or Domain Name and a Proof of Payment together will be ignored. Your File and DataBase is downloaded and backed up on our servers. If we dont receive your payment,we will delete your databases.', '1666666vT5Y5bPXPAk4jWqJ9Gr26SLFq8P', 'muhstik@protonmail.com');

ALTER TABLE `WARNING`
  ADD PRIMARY KEY (`id`);

若是遭遇删库勒索，在支付赎金以前，云安全中心强烈建议受害用户验证攻击者是否真正拥有您的数据而且能够恢复。在咱们监控的攻击中，咱们没法找到任何转储操做或数据泄漏的证据。

2、云安全中心：让勒索攻击无所遁形

为了应对棘手的勒索病毒攻击，保障企业和我的在云上的资产安全，阿里云安全中心经过构建多维安全防线，造成安全闭环，让一切攻击都有迹可循，让威胁无缝可钻。

1.安全预防和检测

在黑客尚未入侵以前，阿里云安全中心经过漏洞管理，主动发现潜在的漏洞风险，经过基线检查，一键核查弱口令等安全合规配置。

在黑客入侵过程当中，云安全中心经过威胁建模和数据分析，主动发现并记录黑客的攻击链路，及时提醒用户进行安全加固和漏洞修复。所以建议用户从漏洞、基线的角度构建安全防线。

2.主动防护

在黑客入侵成功以后，并尝试进行勒索行为时，阿里云安全中心基于强大的病毒查杀引擎，实现主动防护，在网络中阻断勒索病毒的下载，在服务器端阻止勒索病毒的启动，并对其隔离阻断，在黑客成功攻击受害者主机的状况下，也能免于勒索病毒的侵害，保障业务正常运行。

3.调查溯源

阿里云安全中心基于多维度的威胁攻击检测、威胁情报等数据，能够自动化溯源黑客对服务器的整个入侵链路，辅助用户加固本身的资产，让用户拥有安全运营能力。

3、安全建议

1. 借助阿里云安全中心排查已知的漏洞和脆弱性风险，及时修复和加固，避免被勒索病毒袭击。
2. 增强自身安全意识，确保服务器上的全部软件已更新和安装了最新补丁，不存在弱口令的风险，定时备份有价值的数据，关注最新的漏洞警报，并当即扫描其系统以查找可能被利用的已知CVE，而且在不影响业务的状况下，禁用Powershell、SMB等服务。
3. 建议您不要支付赎金。支付赎金只会让网络犯罪分子确认勒索行为是有效的，并不能保证您会获得所需的解锁密钥。

原文连接 本文为云栖社区原创内容，未经容许不得转载。