声明
本文是学习2022中国工业数据勒索形势分析报告. 下载地址 http://github5.com/view/55028而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们
工业数据勒索应急响应事件攻击者分析
应急响应事件攻击者分析以2022年1-9月所有工业数据勒索应急数据为支撑,从攻击者角度对攻击者攻击手段、攻击影响范围和攻击常用的勒索病毒进行分析,为工业企业建立安全防护体系、制定应急响应处置方案提供参考依据。
业务专网成为攻击者攻击的首要目标
2022年1-9月工业数据勒索应急响应事件的影响范围主要集中在业务专网,占比75%;其次为办公网,占比25%。根据受影响区域分布对受影响设备数量进行统计,2022年1-9月失陷的设备中,682台服务器受到影响,75台办公终端被攻陷。2022年1-9月工业企业遭受数据勒索攻击影响范围如下图所示。
工业企业在对办公系统进行安全防护建设的同时,更应重视业务系统的安全防护和安全管理。
本文中办公网指企业员工使用的台式机/笔记本电脑、打印机等设备,而业务专网泛指工业企业整体运行与正常生产所需要的各种网络系统。
漏洞利用是攻击者最常用的攻击手段
通过对2022年1-9月工业数据勒索安全事件攻击类型进行分析,漏洞利用攻击手段占比最高,达到43.1%。漏洞利用是攻击者利用工业企业网络安全建设不完善的弊端,使用常见系统漏洞、设备漏洞等,对系统进行的破坏性攻击,通常会导致重要数据丢失、泄露、内部投毒、敲诈勒索等严重后果。
漏洞利用类型主要包括未授权访问、远程命令执行、文件上传与下载、敏感信息泄漏与 SQL 注入等,这些漏洞仅有少数是未公开的 0day 漏洞,多以历史漏洞为主,历史漏洞基本都是由于没有及时升级、更新应用造成的。这也直接反映出客户网络运维人员对下辖网络资产动态跟踪不及时、网络运维缺乏常态巡检机制、对存在的漏洞及安全威胁缺乏应对等问题。
Phobos和Makop是最活跃的勒索病毒
在2022年1-9月最活跃的勒索病毒分别为Phobos和Makop,占比均为13.9%。
Phobos勒索病毒主要是通过开放的端口或远程桌面协议暴力破解+人工投放或钓鱼邮件的方式进行勒索,值得关注的是,Phobos在运行过程中会进行自复制并在注册表中添加自启动,当工业企业中了该勒索病毒后,一定要进行彻底清除,否则容易遭受二次加密。
Makop勒索病毒主要的攻击方式是通过开放的远程桌面协议端口进行暴力攻击或字典式攻击,Makop以攻击中小企业为主,攻击者使用Phobos勒索病毒发起的攻击数量较多,目前仍然是获利最多的勒索病毒之一。
表1 遭受攻击勒索软件类型TOP 5
| 勒索软件名称 | 应急次数 |
|---|---|
| Phobos勒索软件 | 10 |
| Makop勒索软件 | 10 |
| Buran勒索软件 | 5 |
| Tellyouthepass勒索软件 | 3 |
| Wannacry勒索软件 | 3 |
工业企业应加强内部数据安全建设,应重点防护并及时跟踪勒索病毒传播变化趋势,随时调整应对策略。
工业数据勒索应急响应典型案例分析
2022年1-9月奇安信安全应急响应中心关于工业数据勒索共收到全国各地应急求助72起,发生的安全事件均不同程度地给工业企业带来经济损失和恶性的社会影响。下面介绍4起2022年1-9月份典型的数据勒索应急事件。
某制造企业遭Phobos勒索病毒攻击
事件概述
奇安信工业安全专家接到制造业某客户应急响应求助,现场一台刚上线服务器感染勒索病毒,所有文件被加密,客户希望对受害服务器进行排查,溯源入侵途径。
工业安全专家对受害服务器进行排查,发现被加密文件后缀为.dewar,确认受害服务器感染的是Phobos勒索病毒。
工业安全专家对受害服务器日志进行分析,发现从事发前一周开始,公网IP(x.x.x.75)持续对受害服务器RDP服务进行账号密码暴力破解。由于该服务器存在弱口令,于事发前一晚成功爆破登录系统并向受害服务器释放Phobos勒索病毒。获取系统权限后,攻击者继续使用黑客工具向内网进行了横向渗透、端口扫描及RDP爆破等行为,部分内网服务器被爆破,数据被加密。客户反馈,失陷服务器是通过内网工业堡垒机登陆运维的,且只允许8735端口进行访问,工业安全专家继续对堡垒机排查发现,有操作者将8735端口网络流量通过端口转发到服务器3389端口至公网,经确认,是客户运维人员为了方便管理,通过流量转发操作将RDP服务映射至外网。
防护建议
- 定期进行内部人员安全意识培训,禁止擅自修改服务器配置,关闭不常用的端口,对已安装的工业堡垒机正常启用,没有部署工业堡垒机的业务系统进行补充部署,对运维操作进行集中化管控;
- 杜绝使用弱口令,应使用高复杂强度的密码,如包含大小写字母、数字、特殊符号等的混合密码;
- 采用特权账号管理系统(PAM)主动发现各类基础设施的账号分布、识别账号和口令风险,帮助工业企业实现账号安全管理;
- 加强内外部数据库访问行为的监测,部署实施数据库审计系统,提高数据资产安全。
做好以上基础安全防护,结合具体业务场景,落实分类分级工作,做好系统治理,从数据安全全生命周期和全流程两种视角做好体系规划和有序建设。
某医疗卫生企业遭Bonzon3勒索病毒攻击
(一) 事件概述
奇安信工业安全专家接到医疗卫生行业某客户求助,某制药企业内网服务器感染勒索病毒,重要数据被加密,客户希望对受害机器进行排查,并溯源入侵途径。
工业安全专家对客户现场被加密服务器A(x.x.x.7)进行排查,根据被加密文件后缀、勒索信等内容,确认服务器A(x.x.x.7)感染Bonzon3勒索病毒,文件加密时间为事发当天凌晨03:50:08;实施复杂度高。
攻击者发现服务器A(x.x.x.7)的sqlserver数据库端口1433对公网开放,并存在远程命令执行漏洞;事发前一天22:03:53,攻击者利用远程命令执行漏洞执行恶意命令,使服务器A(x.x.x.7)主动连接恶意网站https://kmsauto.us/,下载并执行恶意脚本start.psl; 事发前一天22:04:12,恶意脚本start.ps1执行后主动外连恶意网站https://kmsauto.us/,下载后门程序java w.exe至服务器A(x.x.x.7);事发当天01:12:51,攻击者利用远程命令执行漏洞启动后门程序javaw.exe,并执行命令创建计划任务,使后门程序javaw.exe定时启动,确保权限维持;事发当天03:44:46,攻击者再次利用远程命令执行漏洞,成功创建恶意用户systemw并将其添加至管理员用户组中;事发当天03:50:08,攻击者利用后门程序javaw.exe成功获取服务器A(x.x.x.7)权限,手动投放Bonzon3勒索病毒样本,全盘加密服务器A(x.x.x.7)。
(二) 防护建议
- 关闭服务器不必要的高危端口,建议内网部署如工业堡垒机等设备,并只允许工业堡垒机IP访问服务器的远程管理端口,对运维操作进行集中化运维管控;
- 设置防火墙策略,禁止服务器主动发起外部连接请求,对于需要向外部服务器推送共享数据的,应使用白名单的方式,对主动连接IP范围进行限制;
- 部署工业安全监测设备,资产自动发现并识别资产中存在的安全漏洞,形成以资产为中心的漏洞发现与风险分析。
做好以上基础安全防护,结合具体业务场景,落实分类分级工作,做好系统治理,从数据安全全生命周期和全流程两种视角做好体系规划和有序建设。
某集成电路企业遭Makop勒索病毒攻击
事件概述
奇安信工业安全专家接到集成电路行业某客户应急响应求助,公司多台服务器感染勒索病毒,所有文件被加密,客户希望对该事件进行分析排查处理。
工业安全专家抵达现场后对受害服务器进行排查,发现被加密文件后缀为.mkp,确认受害服务器感染的是Makop勒索病毒。
工业安全专家沟通了解,被感染服务器且存在弱口令,通过查看安全设备日志对主机日志排查,存在长达一周非正常时间的RDP登录操作,继续分析发现,服务器A(x.x.x.38)的3389端口对公网开放。为了扩大影响,攻击者继续使用黑客工具对内网进行横向渗透、端口扫描及RDP爆破等操作,最终在未获得其他可利用主机后,向其他受害服务器投放勒索病毒,文件被加密。至此,工业安全专家确认,本次事件为客户服务器(x.x.x.38)端口暴露在公网且存在弱口令所导致。
防护建议
- 杜绝使用弱口令,应使用高复杂强度的密码,如包含大小写字母、数字、特殊符号等的混合密码;
- 采用特权账号管理系统(PAM)主动发现各类基础设施的账号分布、识别账号和口令风险,帮助工业企业实现账号安全管理;
- 有效加强访问控制策略,细化策略粒度,按区域按业务严格限制各个网络区域以及服务器之间的访问,采用工业堡垒机进行统一运维管控。
做好以上基础安全防护,结合具体业务场景,落实分类分级工作,做好系统治理,从数据安全全生命周期和全流程两种视角做好体系规划和有序建设。
某医疗企业API存在安全漏洞导致数据泄露
事件概述
某医疗企业数据泄露,涉及身份证手机号或姓名、医保信息、家庭住址等个人隐私信息;攻击者利用政务系统注册、查询等业务场景存在API未授权访问等漏洞进行攻击。
攻击者探测到该医疗企业API资产端口存在未授权访问漏洞,利用账务系统注册、查询业务场景筛选出已注册账号,爆破登录接口,成功登录系统,窃取数据。
现阶段,API成热点攻击入口,由于应用架构的快速演变,API成为业务应用与数据服务之间的主要通信方式,导致利用API接口成为新型攻击手段。从奇安信实际处置的案例证明95%以上的客户业务系统中一定存在API接口,少则几百,多则数十万,但API安全建设一直是盲区。
防护建议
- 部署API安全卫士,采用API资产识别、敏感数据识别、漏洞利用检测与防护、未知威胁检测与防护、API访问控制等技术解决API资产管理、敏感数据泄露、API异常行为、攻击威胁等API安全问题;
- 同时,为了防范终端和邮件数据被泄露,部署数据防泄漏系统,对敏感数据的违规使用、扩散等敏感行为进行策略响应控制;
- 此外,为了防范数据库数据被窃取,加强内外部数据库行为的监控,部署实施数据库审计系统,提高数据资产安全。
做好以上基础安全防护,结合具体业务场景,落实分类分级工作,做好系统治理,从数据安全全生命周期和全流程两种视角做好体系规划和有序建设。
工业领域数据勒索安全防护建议
工业企业在面对数据勒索安全防护建设过程中,面对琳琅满目的安全产品和服务,常常找不到针对网络勒索和数据安全的防护重点,不知从哪下手,也往往因资金、技术人才限制而望而却步。因此,奇安信建议工业企业应先做好基础安全防护,补短固底,在有限资源条件下抵御大部分中低强度网络攻击,在此基础上落实工业数据分类分级,体系规划安全防护体系,有序建设,持续运营。
补短固底,做好基础安全防护是当务之急
1)梳理业务,识别重要数据集 。盘家底,梳理关键的业务场景和访问关系,梳理业务安全现状,识别重要的数据资产。
2)要做好基础网络安全防护 。依据工业企业业务系统特点进行分区分域,落实企业边界防护,做好安全隔离;落实服务器安全防护;全面梳理远程服务访问端口,配置工业防火墙进行访问控制,过滤非正常报文进入工业网络;使用工业主机安全防护系统的关卡式病毒拦截技术对病毒进行拦截,利用外设管控功能避免数据泄露,利用白名单功能阻断恶意程序执行。
3)加强运维和账号安全防护 。部署工业堡垒机,对所有被运维的资产账号和操作集中化运维管控,联动特权账号管理系统,主动发现各类基础设施的账号分布、识别账号和口令风险,帮助工业企业实现运维安全管理;
4)落实数据实体防护 。部署数据防泄漏设备,对触发敏感数据策略的外发数据过程能产生实时告警;通过数据库审计设备对工业网络勒索和数据安全事件进行审计。
5)做好API接口安全防护 。部署API安全卫士,持续动态监测API接口变化,通过API资产识别、API敏感数据识别、API漏洞利用攻击检测与防护、API异常行为分析、 API策略防护等技术手解决API资产管理、API攻击威胁、API敏感数据泄露的安全问题。
结合具体业务场景, 做好工业数据分类分级工作
在补齐短板后,工业企业要尽快识别出要重点保护的数据。工业数据本身具有行业差异大、数据类型多的特点,应根据实际业务场景,识别重要和敏感数据资产,形成数据保护目录,对数据进行分类分级,做到“摸清家底,识别关键,分清主次”。
按照工信部发布的相关标准要求,工业企业梳理业务流程和业务系统,对工业数据进行分类和标识,形成企业工业数据资产清单。根据不同类别工业数据与国家秘密、国家安全和行业发展安全等相关性对数据进行判断和识别。对初步识别的重要数据和核心数据进行审核,审核确定后,形成目录,增加标识。最后将重要数据和核心数据备案管理。
系统治理,体系规划新型数据安全防护体系
工业企业在做好工业数据分类分级工作后,应以数据分类分级为基础落实数据安全治理。通过数据安全治理,摸清现有管理、技术防护措施和执行情况,结合政策法规、行业规范以及业务和信息化战略,做好数据安全组织和制度建设。
新型工业企业数据安全防护体系围绕数据资产和数据流转进行设计,覆盖数据全生命周期和全流程,实现数据收集、存储、使用加工、传输、提供和公开的全生命周期的安全防护体系,整体保障数据安全建设。
数据安全能力有序建设, 持续运营
有序建设是在体系规划的基础上,将工业企业数据安全工程任务进行归纳,从紧急程度、技术成熟度、实施难度和预期效果等方面制定量化规则,明确建设优先级、实施周期和投入,完成工业企业数据安全场景建设管控。
联动数据安全态势感知,以数据安全监测预警为输入,根据监测研判情况,开展数据安全应急响应和处置工作。组建工业安全应急响应团队,制定数据安全事件专项应急预案和现场处置方案。定期组织数据安全应急预案培训,全面提升数据安全应急处置和快速响应能力。
延伸阅读
更多内容 可以点击下载 2022中国工业数据勒索形势分析报告. http://github5.com/view/55028进一步学习
联系我们
T-SHZSAQS 010—2020 绵羊尾型分型技术规程.pdf
