牟春旭 仇必青 張嘉歡

摘要：隨著5G、云計(jì)算、大數(shù)據(jù)、人工智能等新技術(shù)的快速普及和應(yīng)用，勒索病毒帶來(lái)的信息安全威脅和風(fēng)險(xiǎn)也迅速增加。文章圍繞勒索病毒，并結(jié)合2022年典型的勒索病毒攻擊事件，分析了針對(duì)我國(guó)勒索病毒攻擊的趨勢(shì)和特點(diǎn)，提出了提升我國(guó)勒索防護(hù)能力的方法及建議。

關(guān)鍵詞：勒索病毒；漏洞；網(wǎng)絡(luò)安全；攻擊與防御

中圖法分類(lèi)號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A

１ 勒索病毒攻擊概述

１．１ 勒索病毒攻擊新特點(diǎn)

隨著５Ｇ、云計(jì)算、大數(shù)據(jù)、人工智能等新技術(shù)的快速普及和應(yīng)用，傳統(tǒng)企業(yè)通過(guò)上云用智，正式邁入數(shù)字化、數(shù)智化轉(zhuǎn)型時(shí)代。同時(shí)，將新興技術(shù)應(yīng)用到傳統(tǒng)ＩＴ 中也增加了組織數(shù)字環(huán)境的復(fù)雜性，給企業(yè)帶來(lái)的信息安全威脅和風(fēng)險(xiǎn)也快速增加，尤其是當(dāng)前全球肆虐的勒索病毒。據(jù)ＳｏｎｉｃＷａｌｌ 發(fā)布的《２０２２ 年年中網(wǎng)絡(luò)威脅報(bào)告》顯示，僅２０２２ 年上半年全球遭遇勒索病毒攻擊次數(shù)已達(dá)２．３６１ 億次，２／３ 以上的企業(yè)至少經(jīng)歷過(guò)一次勒索病毒攻擊。隨著全球地緣沖突、經(jīng)貿(mào)沖突的持續(xù)發(fā)酵，勒索病毒攻擊不論從規(guī)模還是企業(yè)影響上都在向更深層次演進(jìn)?！叮玻埃玻?年全球網(wǎng)絡(luò)安全展望報(bào)告》指出，勒索病毒造成的損失預(yù)計(jì)將從２０１５ 年的３．２５ 億美元暴增到２０３１ 年的２ ６５０ 億美元。

勒索病毒是通過(guò)加密鎖定被感染者計(jì)算機(jī)、服務(wù)器的系統(tǒng)、文件或重要數(shù)據(jù)，并借此施以敲詐勒索的計(jì)算機(jī)程序。從攻擊形式來(lái)看，勒索病毒主要通過(guò)魚(yú)叉攻擊、漏洞利用、釣魚(yú)郵件、網(wǎng)頁(yè)掛馬、遠(yuǎn)程控制工具等形式入侵用戶系統(tǒng)，一旦入侵成功，將通過(guò)特殊的加密算法對(duì)用戶重要文件、敏感信息進(jìn)行加密，受害者支付贖金才能收到密鑰，否則文件無(wú)法解密使用。近年來(lái)，隨著勒索病毒變種速度持續(xù)加快，勒索攻擊也出現(xiàn)了一些新的變化，其攻擊手法不斷進(jìn)化、攻擊范圍愈發(fā)廣泛、攻擊模式愈發(fā)多樣，引發(fā)的事態(tài)持續(xù)升級(jí)，甚至需要?jiǎng)佑脟?guó)家力量方能與之抗衡，給全球組織和企業(yè)帶來(lái)巨大威脅。勒索攻擊整體呈現(xiàn)以下新的特點(diǎn)。

（１）加密手法由“單一全部加密”向“多元智能加密”轉(zhuǎn)變。勒索攻擊技術(shù)手段在不斷進(jìn)化發(fā)展，總體來(lái)看呈現(xiàn)２ 個(gè)趨勢(shì)：一是間歇性加密技術(shù)已成為新加密手段，與傳統(tǒng)的完全加密相比，間歇性加密技術(shù)可根據(jù)被加密文件的大小編排加密，使加密文件的掛鐘處理時(shí)間得到極大縮短，更容易繞過(guò)傳統(tǒng)的基于統(tǒng)計(jì)分析檢測(cè)機(jī)制；二是勒索軟件可支持智能化加密模式，勒索病毒包含一些用于提升加密速度的邏輯代碼，根據(jù)受害者的平臺(tái)是否采用硬件加速，動(dòng)態(tài)、智能地選擇算法對(duì)文件進(jìn)行加密，這種混淆技術(shù)更容易讓勒索軟件在系統(tǒng)中進(jìn)行持久潛伏，一旦發(fā)起攻擊，其破壞力更強(qiáng)。

（２）攻擊方式由傳統(tǒng)互聯(lián)網(wǎng)平臺(tái)向移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)平臺(tái)等多平臺(tái)轉(zhuǎn)變。據(jù)有關(guān)統(tǒng)計(jì)數(shù)據(jù)顯示，２０２２ 年受勒索病毒影響最普遍的除了Ｗｉｎｄｏｗｓ，Ｌｉｎｕｘ，Ｍａｃ 外，對(duì)移動(dòng)互聯(lián)網(wǎng)和智能終端的新型勒索攻擊也呈逐年遞增的態(tài)勢(shì)。尤其是隨著一些跨平臺(tái)編程語(yǔ)言的出現(xiàn)，攻擊者可以利用一份代碼編譯出支持Ｗｉｎｄｏｗｓ，Ｌｉｎｕｘ，Ｍａｃｏｓ，Ａｒｍ，Ａｎｄｒｏｉｄ 等多個(gè)操作系統(tǒng)運(yùn)行的程序，大幅降低了跨平臺(tái)勒索攻擊的技術(shù)門(mén)檻。同時(shí)，接入網(wǎng)絡(luò)的設(shè)備日益增加、數(shù)據(jù)快速增長(zhǎng)，管理難度持續(xù)加大，只要有一個(gè)環(huán)節(jié)存在弱點(diǎn)，就會(huì)給勒索病毒可乘之機(jī)，可以預(yù)見(jiàn)，未來(lái)針對(duì)多平臺(tái)的攻擊事件將持續(xù)增多。

（３）勒索形式由普通勒索向破壞勒索轉(zhuǎn)變。相較于傳統(tǒng)勒索病毒只加密文件進(jìn)行勒索的模式，新發(fā)現(xiàn)的勒索軟件中４０％采用“雙重勒索”的模式，即攻擊者采用“加密＋竊密”的勒索形式，若受害者不支付贖金，攻擊者則會(huì)將竊取的數(shù)據(jù)放到暗網(wǎng)上進(jìn)行公開(kāi)。而近期勒索模式又出現(xiàn)新的演化———“三重勒索”，即先加密數(shù)據(jù)，再泄露數(shù)據(jù)，最后發(fā)起ＤＤｏＳ 攻擊的破壞勒索模式。隨著經(jīng)濟(jì)、貿(mào)易等因素的相互交織，勒索病毒已經(jīng)成為未來(lái)阻礙企業(yè)全球化商業(yè)發(fā)展的攔路虎。

（４）作戰(zhàn)模式由小團(tuán)體單兵作戰(zhàn)向ＳａａＳ 化、ＡＰＴ化轉(zhuǎn)變。早期的勒索病毒攻擊大都通過(guò)批量掃描發(fā)現(xiàn)可被利用漏洞，目標(biāo)分散，不具備針對(duì)性，而且一旦入侵成功立馬釋放病毒，此種模式下，勒索攻擊者要統(tǒng)籌考慮病毒制作、入侵傳播、勒索分銷(xiāo)等環(huán)節(jié)，因此勒索門(mén)檻也較高。但近年來(lái)，勒索攻擊呈現(xiàn)ＳａａＳ 化、ＡＰＴ 化的新特點(diǎn)：一是勒索組織層級(jí)分明、分工明確、全鏈條協(xié)作，攻擊不計(jì)成本、不擇手段，企業(yè)定向精準(zhǔn)；二是勒索組織通常從企業(yè)產(chǎn)業(yè)鏈的薄弱環(huán)節(jié)入手，展開(kāi)長(zhǎng)久、持續(xù)性地滲透攻擊，直到控制企業(yè)核心服務(wù)器才釋放病毒。另外，勒索組織會(huì)在第一時(shí)間基于多種技術(shù)手段，實(shí)現(xiàn)對(duì)受害企業(yè)針對(duì)性的數(shù)據(jù)竊取，并且企業(yè)擁有的數(shù)據(jù)價(jià)值越大越容易被勒索組織攻擊。

１．２ 勒索病毒攻擊鏈

通過(guò)對(duì)勒索安全事件的事前、事中、事后的分析研究發(fā)現(xiàn)，勒索攻擊鏈大致可分為“初始入侵、病毒注入、內(nèi)網(wǎng)滲透、命令控制、竊密與加密、執(zhí)行勒索”６ 個(gè)階段。具體如圖１ 所示。

第１ 階段，初始入侵，獲得用戶網(wǎng)絡(luò)訪問(wèn)權(quán)限。

此階段主要通過(guò)ＲＤＰ ／ ＳＳＨ 遠(yuǎn)程桌面爆破、弱口令爆破、釣魚(yú)郵件、高危漏洞利用以及惡意附件投遞等方式入侵客戶端或服務(wù)器，從而取得系統(tǒng)控制權(quán)。

第２ 階段，病毒注入，通過(guò)ｗｅｂｓｈｅｌｌ、代理隧道、內(nèi)存碼等方式將攻擊者計(jì)算機(jī)中提前寫(xiě)好的勒索病毒注入宿主系統(tǒng)中。

第３ 階段，內(nèi)網(wǎng)滲透，首先通過(guò)域查詢(xún)、網(wǎng)絡(luò)掃描、域滲透等網(wǎng)絡(luò)發(fā)現(xiàn)工具進(jìn)行內(nèi)網(wǎng)的掃描、探測(cè)，然后通過(guò)ＭＩｍｉｋａｔｚ、ＳＡＭ 注冊(cè)表、ｎｔｄｓ．ｄｌｔ 文件等內(nèi)網(wǎng)滲透工具或手段橫向擴(kuò)張，以感染更多的服務(wù)器［１～３］ 。

第４ 階段，命令控制，黑客利用命令手段獲得域內(nèi)ＦＴＰ 服務(wù)器、云存儲(chǔ)文件等關(guān)鍵存儲(chǔ)數(shù)據(jù)的控制權(quán)，從而對(duì)其進(jìn)行控制。

第５ 階段，竊密與加密，黑客一方面通過(guò)完全加密或間歇加密等方式加密磁盤(pán)文件，另一方面通過(guò)篩選最有價(jià)值的數(shù)據(jù)進(jìn)行竊密，并將竊取的數(shù)據(jù)回傳到自己團(tuán)隊(duì)的服務(wù)器，并安裝遠(yuǎn)程控制軟件、留置后門(mén)，以便日后發(fā)起勒索。

第６ 階段，執(zhí)行勒索，在受害者設(shè)備上運(yùn)行勒索病毒，使目標(biāo)網(wǎng)絡(luò)或服務(wù)癱瘓，并留下勒索信件，威脅受害者在暗網(wǎng)發(fā)布失陷企業(yè)敏感數(shù)據(jù)，以實(shí)施勒索。

２ ２０２２ 年勒索病毒攻擊事件分析

２０２２ 年，從國(guó)際地緣紛爭(zhēng)到經(jīng)濟(jì)貿(mào)易發(fā)展以及社會(huì)生產(chǎn)生活，勒索病毒無(wú)處不在，ＳａａＳ 化、ＡＰＴ 化勒索組織頻現(xiàn)，這些組織呈現(xiàn)分工明確、全鏈條協(xié)作、勒索專(zhuān)業(yè)、攻擊覆蓋面廣、定向攻擊強(qiáng)、勒索金額龐大的特點(diǎn)。

專(zhuān)業(yè)的勒索組織繼續(xù)增加，作為攻擊的一方，在攻防兩端中優(yōu)勢(shì)更加明顯。而組織和企業(yè)作為防守者，如何協(xié)同頂尖的安全力量組織有效的應(yīng)變措施，以更快適應(yīng)勒索變化，是組織和企業(yè)面臨的重大考驗(yàn)。

隨著我國(guó)全面進(jìn)入數(shù)字化轉(zhuǎn)型的新時(shí)代，業(yè)務(wù)環(huán)境的變化、新技術(shù)的廣泛采用給企業(yè)帶來(lái)收益的同時(shí)，也大大增加了企業(yè)數(shù)字環(huán)境的復(fù)雜性，致使我國(guó)已經(jīng)成為勒索病毒攻擊的重點(diǎn)目標(biāo)。疫情防控期間，遠(yuǎn)程辦公模式給人帶來(lái)便利的同時(shí)，也給網(wǎng)絡(luò)安全帶來(lái)了更大的攻擊面、更多的線上敏感數(shù)據(jù)被泄露等安全隱患，勒索病毒攻擊范圍迅速向全行業(yè)蔓延。據(jù)有關(guān)數(shù)據(jù)顯示，２０２２ 年北上廣深等一二線城市及部分?jǐn)?shù)字經(jīng)濟(jì)發(fā)達(dá)地區(qū)和人口密集地區(qū)仍是勒索病毒攻擊的主要對(duì)象。從對(duì)我國(guó)的行業(yè)影響來(lái)看，受勒索病毒攻擊最嚴(yán)重的行業(yè)分別是ＩＴ、制造業(yè)、醫(yī)療衛(wèi)生、教育。同時(shí)，能源、地產(chǎn)、物流等行業(yè)也逐步啟動(dòng)上云用智，邁入數(shù)字化轉(zhuǎn)型階段，但其安全投入、安全能力建設(shè)、技術(shù)積累、人才儲(chǔ)備等方面明顯落后于其數(shù)字化轉(zhuǎn)型的進(jìn)程，致使安全隱患頻出，這些正處于數(shù)字化轉(zhuǎn)型中的行業(yè)將逐步成為勒索病毒攻擊的重點(diǎn)目標(biāo)。

３ 勒索防護(hù)建議

地緣沖突、國(guó)際動(dòng)蕩、貿(mào)易制裁等都嚴(yán)重阻礙企業(yè)全球化商業(yè)發(fā)展，給全球的供應(yīng)鏈、產(chǎn)業(yè)鏈帶來(lái)了前所未有的挑戰(zhàn)。后疫情時(shí)代，基于國(guó)家級(jí)和社會(huì)面的網(wǎng)絡(luò)戰(zhàn)將越演越烈，如何統(tǒng)籌發(fā)展與安全是擺在組織和企業(yè)面前亟待解決的核心問(wèn)題。本文建議從以下幾個(gè)方面入手，全面構(gòu)建良性的網(wǎng)絡(luò)安全產(chǎn)業(yè)循環(huán)生態(tài)。

（ １）加強(qiáng)國(guó)家、省份、企業(yè)三級(jí)聯(lián)動(dòng)，完成對(duì)勒索病毒攻擊的全面感知。利用我國(guó)成型的網(wǎng)絡(luò)安全“產(chǎn)、學(xué)、研”模式，以及高校、科研機(jī)構(gòu)、重點(diǎn)實(shí)驗(yàn)室、行業(yè)領(lǐng)軍企業(yè)等資源，構(gòu)建國(guó)家一級(jí)、省份二級(jí)、企業(yè)三級(jí)的勒索監(jiān)控檢測(cè)共享平臺(tái)，形成對(duì)勒索病毒攻擊事前的全面感知，及時(shí)發(fā)現(xiàn)針對(duì)我國(guó)的勒索病毒攻擊并作出響應(yīng)。

（２）強(qiáng)化網(wǎng)絡(luò)安全技術(shù)創(chuàng)新，提高勒索產(chǎn)品和服務(wù)供給能力。加快面向移動(dòng)互聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、區(qū)塊鏈、人工智能等新技術(shù)、新產(chǎn)品、新應(yīng)用的研發(fā)及技術(shù)攻關(guān)，實(shí)現(xiàn)供給側(cè)的優(yōu)化升級(jí)，面向市場(chǎng)需求，尤其是中小企業(yè)現(xiàn)實(shí)需求，提供兼顧成本、效率和安全的勒索病毒安全防護(hù)的產(chǎn)品體系，實(shí)現(xiàn)事前預(yù)防、事中攔截、事后查殺的一體化防御，能夠真正為企業(yè)網(wǎng)絡(luò)安全保駕護(hù)航。

（３）增強(qiáng)各行業(yè)的自主網(wǎng)絡(luò)安全意識(shí)，提升自身免疫力。摒棄“重發(fā)展、輕安全”的錯(cuò)誤觀念，增強(qiáng)安全意識(shí)，加大資源投入，實(shí)現(xiàn)安全能力前置，提高企業(yè)安全基線。同時(shí)，加大企業(yè)安全風(fēng)險(xiǎn)評(píng)估、攻防演練、應(yīng)急演練等力度，做好勒索病毒應(yīng)對(duì)與全員的安全培訓(xùn)。

（ ４）監(jiān)管部門(mén)積極推動(dòng)勒索病毒防護(hù)標(biāo)準(zhǔn)體系建設(shè)，加大網(wǎng)絡(luò)安全法規(guī)的檢查力度。圍繞移動(dòng)互聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等關(guān)鍵業(yè)務(wù)場(chǎng)景、關(guān)鍵環(huán)節(jié)，從評(píng)估準(zhǔn)備、風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)評(píng)價(jià)等角度出臺(tái)勒索病毒防護(hù)實(shí)施指南，推動(dòng)重要數(shù)據(jù)和核心數(shù)據(jù)的重點(diǎn)保護(hù)，形成集網(wǎng)絡(luò)安全風(fēng)險(xiǎn)發(fā)現(xiàn)、風(fēng)險(xiǎn)問(wèn)題責(zé)任追究、考核評(píng)價(jià)于一體的企業(yè)評(píng)價(jià)體系，推動(dòng)第三方測(cè)試評(píng)估認(rèn)證服務(wù)的開(kāi)展，加大對(duì)各行業(yè)網(wǎng)絡(luò)安全、數(shù)據(jù)安全法規(guī)的檢查力度。

（５）加強(qiáng)網(wǎng)絡(luò)安全人才隊(duì)伍建設(shè)，建立多層次人才培養(yǎng)體系。聯(lián)合高校、科研院所、網(wǎng)絡(luò)安全企業(yè)等建立多維度的網(wǎng)絡(luò)安全人才梯隊(duì)，加快推動(dòng)網(wǎng)絡(luò)安全高層次人才和緊缺人才的培養(yǎng)，建設(shè)網(wǎng)絡(luò)安全特殊人才國(guó)家儲(chǔ)備庫(kù)。同時(shí)，深入推進(jìn)網(wǎng)絡(luò)安全、數(shù)據(jù)安全的全民素質(zhì)教育，加快推進(jìn)安全“進(jìn)校園”活動(dòng)，以提升大中小學(xué)生的網(wǎng)絡(luò)安全意識(shí)。

參考文獻(xiàn)：

［１］ ＫＩＮＧＳＬＥＹ Ｈ． Ｒａｎｓｏｍｗａｒｅ： ａ ｇｒｏｗｉｎｇ ｇｅｏｐｏｌｉｔｉｃａｌ ｔｈｒｅａｔ［Ｊ］．Ｎｅｔｗｏｒｋ Ｓｅｃｕｒｉｔｙ，２０２１，２０２１（８）：１１?１３．

［２］ ＲＯＹ Ｋ Ｃ，ＣＨＥＮ Ｑ．ＤｅｅｐＲａｎ：Ａｔｔｅｎｔｉｏｎ?ｂａｓｅｄ ＢｉＬＳＴＭ ａｎｄＣＲＦ ｆｏｒ Ｒａｎｓｏｍｗａｒｅ Ｅａｒｌｙ Ｄｅｔｅｃｔｉｏｎ ａｎｄ Ｃｌａｓｓｉｆｉｃａｔｉｏｎ［Ｊ］． Ｉｎｆｏｒｍａｔｉｏｎ Ｓｙｓｔｅｍｓ Ｆｒｏｎｔｉｅｒｓ，２０２０，２３：１?１７．

［３］ ＸＩＡ Ｔ Ｒ，ＳＵＮ Ｙ Ｙ，ＳＨＡＦＩＱＵＥ Ｋ，ｅｔ ａｌ．Ｔｏｗａｒｄ Ａ Ｎｅｔｗｏｒｋ?Ａｓｓｉｓｔｅｄ Ａｐｐｒｏａｃｈ ｆｏｒ Ｅｆｆｅｃｔｉｖｅ Ｒａｎｓｏｍｗａｒｅ Ｄｅｔｅｃｔｉｏｎ［Ｊ］． ＥＡＩ Ｅｎｄｏｒｓｅｄ Ｔｒａｎｓａｃｔｉｏｎｓ ｏｎ Ｓｅｃｕｒｉｔｙ ａｎｄ Ｓａｆｅｔｙ，２０２１，７（２４）：１１?２０．

作者簡(jiǎn)介：

牟春旭（１９８６—），碩士，高級(jí)信息系統(tǒng)項(xiàng)目管理師，研究方向：網(wǎng)絡(luò)安全、數(shù)據(jù)安全。

張嘉歡（１９９０—），碩士，工程師，研究方向：網(wǎng)絡(luò)和數(shù)據(jù)安全領(lǐng)域法律法規(guī)、安全防護(hù)、應(yīng)急處置（通信作者）。