借助比特幣等數(shù)字貨幣的匿名性，勒索攻擊在近年來快速興起，給企業(yè)和個人帶來了嚴重的威脅。阿里云安全中心發(fā)現(xiàn)，近期云上勒索攻擊事件持續(xù)發(fā)生，勒索攻擊正逐漸成為主流的黑客變現(xiàn)方式。

一、近期勒索行為數(shù)據(jù)分析

1.云主機被勒索事件上漲

阿里云安全中心發(fā)現(xiàn)，近期被勒索病毒攻擊成功的受害主機數(shù)持續(xù)上漲。造成勒索事件上漲趨勢的原因主要有以下三個方面：

· 越來越多的勒索病毒集成了豐富的攻擊模塊，不再只是傳統(tǒng)地爆破弱口令，而是具備了自傳播、跨平臺和蠕蟲的功能，如Lucky、Satan勒索病毒等。

· 云環(huán)境租戶業(yè)務(wù)的多樣性，不斷出現(xiàn)的業(yè)務(wù)場景日趨復(fù)雜，使得用戶展示給黑客的基礎(chǔ)攻擊面不斷放大，持續(xù)面臨漏洞的威脅。

· 企業(yè)安全意識不足，未做好口令管理和訪問控制，因此給了黑客可乘之機。

下圖展示了近半年來勒索病毒攻擊成功的趨勢：

[[261406]]

主流的勒索家族，如Crysis、GrandCrab和Lucky等非?；钴S，并且其他的勒索家族也逐漸形成規(guī)模，導(dǎo)致勒索病毒感染量有所上漲。下圖是云上捕獲到的勒索家族占比：

2.勒索攻擊可做到有跡可循

阿里云安全中心基于近期的入侵數(shù)據(jù)分析發(fā)現(xiàn)，攻擊者以通過云主機的安全配置缺陷和漏洞利用為主，進行入侵并植入勒索病毒，目前暫未發(fā)現(xiàn)新的入侵方式。

1）弱口令爆破。通過爆破22、445、135、139 、3389、1433等弱口令，獲取服務(wù)權(quán)限。

SSH/RDP暴力破解持續(xù)活躍。SSH與RDP服務(wù)為Linux/Windows云上兩種主要服務(wù)器操作系統(tǒng)的遠程管理入口，長期受到黑客以及僵尸網(wǎng)絡(luò)的關(guān)注，其攻擊面主要在弱口令，攻擊方法為暴力破解。

下圖為高危用戶名統(tǒng)計數(shù)據(jù)：

勒索攻擊猖獗，在云上如何應(yīng)對這位“破壞分子”？

統(tǒng)計結(jié)果表明，root/administrator是暴力破解最重要的兩大用戶名，這兩個用戶名對各種linux/windows系統(tǒng)而言無疑覆蓋面最廣，對其進行弱口令嘗試破解性價比較高。

勒索病毒常使用的暴力破解密碼字典如下：

PASSWORD_DIC = [ 
 '', 
 '123456', 
 '12345678', 
 '123456789', 
 'admin123', 
 'admin', 
 'admin888', 
 '123123', 
 'qwe123', 
 'qweasd', 
 'admin1', 
 '88888888', 
 '123123456', 
 'manager', 
 'tomcat', 
 'apache', 
 'root', 
 'toor', 
 'guest' 
] 

2）漏洞利用

由于云環(huán)境租戶業(yè)務(wù)的特殊性，Web服務(wù)長期成為公有云威脅的主要受力點，攻擊次數(shù)占據(jù)基礎(chǔ)攻防的47%左右，這些Web漏洞迅速被僵尸網(wǎng)絡(luò)以及勒索病毒集成到武器庫中，并在互聯(lián)網(wǎng)中傳播。阿里云安全中心通過統(tǒng)計云上脆弱的Web服務(wù)，分析出用戶需要重點做安全加固的Web服務(wù)。

近期在云上持續(xù)活躍的Lucky勒索病毒就集成了大量的CVE攻擊組件，使其橫向傳播的能力十分強大。主要利用以下漏洞進行攻擊：

• JBoss反序列化漏洞(CVE-2017-12149)
• JBoss默認配置漏洞(CVE-2010-0738)
• Tomcat任意文件上傳漏洞(CVE-2017-12615)
• Tomcat Web管理控制臺后臺弱密碼暴力攻擊
• WebLogic任意文件上傳漏洞(CVE-2018-2894)
• WebLogic WLS組件漏洞(CVE-2017-10271)
• Apache Struts2 遠程代碼執(zhí)行漏洞(S2-045、S2-057等)
• Spring Data Commons遠程代碼執(zhí)行漏洞(CVE-2018-1273)
• Nexus Repository Manager 3遠程代碼執(zhí)行漏洞(CVE-2019-7238)
• Spring Data Commons組件遠程代碼執(zhí)行漏洞(CVE-2018-1273)

3.數(shù)據(jù)庫也能被勒索

值得特別注意的是，阿里云安全中心在3月份發(fā)現(xiàn)了一起成功的數(shù)據(jù)庫勒索事件，攻擊者通過爆破phpmyadmin入侵數(shù)據(jù)庫，并刪掉數(shù)據(jù)庫中數(shù)據(jù)進行勒索。

攻擊者刪掉所有的數(shù)據(jù)，留下勒索信息，要求受害者支付贖金來交換丟失的數(shù)據(jù)：

SET SQL_MODE = "NO_AUTO_VALUE_ON_ZERO";  
SET time_zone = "+00:00";CREATE DATABASE IF NOT EXISTS `PLEASE_READ_ME_XMG`  
DEFAULT CHARACTER SET utf8 COLLATE utf8_unicode_ci;  
USE `PLEASE_READ_ME_XMG`;  
  
CREATE TABLE `WARNING` (  
`id` int(11) NOT NULL,  
`warning` text COLLATE utf8_unicode_ci, 
`Bitcoin_Address` text COLLATE utf8_unicode_ci,  
`Email` text COLLATE utf8_unicode_ci  
) ENGINE=InnoDB DEFAULT CHARSET=utf8 COLLATE=utf8_unicode_ci;  
INSERT INTO `WARNING` (`id`, `warning`,  
`Bitcoin_Address`, `Email`)  
VALUES (1, 'To recover your lost data : Send 0.045 BTC to our BitCoin Address and Contact us by eMail with your server IP Address or Domain Name and a Proof of Payment. Any eMail without your server IP Address or Domain Name and a Proof of Payment together will be ignored. Your File and DataBase is downloaded and backed up on our servers. If we dont receive your payment,we will delete your databases.', '1666666vT5Y5bPXPAk4jWqJ9Gr26SLFq8P', 'muhstik@protonmail.com');  
ALTER TABLE `WARNING` ADD PRIMARY KEY (`id`); 

如果遭遇刪庫勒索，在支付贖金之前，云安全中心強烈建議受害用戶驗證攻擊者是否真正擁有您的數(shù)據(jù)并且可以恢復(fù)。在我們監(jiān)控的攻擊中，我們無法找到任何轉(zhuǎn)儲操作或數(shù)據(jù)泄漏的證據(jù)。

二、云安全中心：讓勒索攻擊無所遁形

勒索攻擊猖獗，在云上如何應(yīng)對這位“破壞分子”？

為了應(yīng)對棘手的勒索病毒攻擊，保障企業(yè)和個人在云上的資產(chǎn)安全，阿里云安全中心通過構(gòu)建多維安全防線，形成安全閉環(huán)，讓一切攻擊都有跡可循，讓威脅無縫可鉆。

1.安全預(yù)防和檢測

在黑客還沒有入侵之前，阿里云安全中心通過漏洞管理，主動發(fā)現(xiàn)潛在的漏洞風(fēng)險，通過基線檢查，一鍵核查弱口令等安全合規(guī)配置。

在黑客入侵過程中，云安全中心通過威脅建模和數(shù)據(jù)分析，主動發(fā)現(xiàn)并記錄黑客的攻擊鏈路，及時提醒用戶進行安全加固和漏洞修復(fù)。因此建議用戶從漏洞、基線的角度構(gòu)建安全防線。

2.主動防御

在黑客入侵成功之后，并嘗試進行勒索行為時，阿里云安全中心基于強大的病毒查殺引擎，實現(xiàn)主動防御，在網(wǎng)絡(luò)中阻斷勒索病毒的下載，在服務(wù)器端阻止勒索病毒的啟動，并對其隔離阻斷，在黑客成功攻擊受害者主機的情況下，也能免于勒索病毒的侵害，保障業(yè)務(wù)正常運行。

3.調(diào)查溯源 

阿里云安全中心基于多維度的威脅攻擊檢測、威脅情報等數(shù)據(jù)，可以自動化溯源黑客對服務(wù)器的整個入侵鏈路，輔助用戶加固自己的資產(chǎn)，讓用戶擁有安全運營能力。

三、安全建議

1. 借助阿里云安全中心排查已知的漏洞和脆弱性風(fēng)險，及時修復(fù)和加固，避免被勒索病毒襲擊。

2. 加強自身安全意識，確保服務(wù)器上的所有軟件已更新和安裝了最新補丁，不存在弱口令的風(fēng)險，定時備份有價值的數(shù)據(jù)，關(guān)注最新的漏洞警報，并立即掃描其系統(tǒng)以查找可能被利用的已知CVE，并且在不影響業(yè)務(wù)的情況下，禁用Powershell、SMB等服務(wù)。

3. 建議您不要支付贖金。支付贖金只會讓網(wǎng)絡(luò)犯罪分子確認勒索行為是有效的，并不能保證您會得到所需的解鎖密鑰。

4. 如果您不幸被勒索病毒感染，可以等待獲取最新的免費解密工具，獲取鏈接如下：https://www.nomoreransom.org/zh/decryption-tools.html