勒索软件惯用传播途径有哪些
勒索软件惯用传播途径有以下这些:
邮件传播侵入:一般为垃圾邮件、钓鱼邮件与鱼叉式钓鱼邮件,逻辑是通过邮件中的时事热点信息或与受害者相关的内容(包括标题),诱使用户点击或运行内嵌了勒索软件的附件(格式多为Word文档、Excel表格、JavaScript脚本或exe文件等),或打开邮件正文中的恶意链接。用户一旦进行相关操作,勒索软件将会自动下载和运行。垃圾邮件在非定向勒索攻击中较为常见,以“广撒网”的方式进行传播,邮件内容一般为时事热点、广告、促销信息或伪装成打招呼邮件。
系统或软件漏洞:攻击者利用各类系统或软件漏洞(包括已公开且已发布补丁的漏洞)组合,或通过黑色产业链中的漏洞利用套件(如:Exploit Kit)来传播勒索软件。由于未能及时修补漏洞,因此用户即便没有不安全用网行为,也可能遭到攻击者侵入;同时,攻击者还会扫描同一网络中存在漏洞的其他设备,以扩大威胁攻击范围。
弱口令暴力破解:由于部分服务器会使用弱口令(可简单理解为复杂度较低的密码)远程登录,攻击者便利用这一弱点实施暴力破解,实现远程登陆并手动下载运行勒索软件。譬如:通过弱口令尝试暴力破解RDP端口、SSH端口和数据库端口等。即使服务器安装了安全软件,攻击者也可手动将其退出。该手段具有较高的隐蔽性、机动性,因此极难被安全软件发现。
僵尸网络:僵尸网络是指:采用一种或多种传播方式,将大量主机感染bot程序(僵尸程序)病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。
恶意广告链接:攻击者会向网页代理投放广告(弹窗广告、悬浮窗广告等),并在其中植入跳转链接,从而避开针对广告系统的安全机制,诱导用户点击广告、访问网站并触发恶意代码,进而下载勒索软件并执行。有些攻击者则会选择直接攻击网站,并植入恶意代码,用户一旦访问就会感染。也有一些攻击者会自主搭建包含恶意代码的网站,或者仿造制作与知名站点相似的“假网站”,以此来诱骗用户访问。
软件供应链:软件供应链攻击是指利用软件供应商与最终用户之间的信任关系,在合法软件正常传播、安装和升级过程中,通过软件供应商的各种疏忽或漏洞,对合法软件进行劫持或篡改,从而绕过传统安全产品检查达到传播侵入的攻击类型。
移动存储介质:攻击者通过隐藏U盘、移动硬盘等移动存储介质中的原有文件,创建与移动存储介质盘符、图标等相同的快捷方式并植入病毒,一旦用户点击就会运行勒索软件,或运行专门用于收集和回传设备信息的木马程序,便于未来实施针对性的勒索软件攻击行为。由于PE类文件(常见后缀为exe、dll、ocx、sys、com的都是PE文件)被感染后具有了感染其他文件的能力,如果此文件被用户携带(U盘、移动硬盘、网络上传等)到别的设备上运行,就会使得其他设备的文件也被全部感染。许多内网隔离环境,就是被藏在移动存储介质里的恶意软件感染的。
水坑攻击:攻击者在受害者必经之路设置了一个“水坑(陷阱)”,致使受害者上当。譬如:攻击者会分析攻击目标的上网活动规律,寻找攻击目标经常访问的网站的弱点,先将此网站“攻破”并植入攻击代码,一旦攻击目标访问该网站就会“中招”。
加强操作系统预防勒索软件的方法有以下这些:
端口和进程:网络操作系统使用进程向外提供服务,减少无用软件及服务的任务就是要在所有系统进程中找出多余进程。由于进程通过打开网络端口向外提供服务,所以找出多余进程的最快方法是观察进程及端口对应表。Netstat命令显示协议统计和当前的TCP/IP网络连接,该命令只有在安装了TCP/IP协议后才可以使用。通过使用该命令可以列出一个系统上所有打开的TCP/IP网络监听端口。这些打开着的端口正是入侵者所要攻击的,因为它们通向系统平台内部。因此,作为平台加固的一部分,用户使用Netstat命令来识别出无关端口,并由此找到需要删除或禁用的服务。
安装系统补丁:所有软件都有缺陷。为了修复这些错误,供应商会发布软件补丁。如果没有这些补丁,组织很容易遭受攻击。在有很严格的更改控制策略的组织中,及时安装补丁会是一个问题。对补丁的彻底测试是这个过程的关键部分,因为供应商在解决旧问题时,有可能会引入新的问题。而对于和安全缺陷无关的补丁来说没有问题。但是,入侵者搜索和利用安全弱点的速度很快,所以要求有更快的安全补丁修正过程。企业必须注意安全补丁的发布,并随时准备快速地使用它们。
用户账户:用户账户标识了需要访问平台资源的实体(无论是应用程序进程还是人)。操作系统通过权限和优先权将用户账户与其访问控制系统相关联。因为用户账户是合法进入系统的机制,所以入侵者常常试图利用用户账户管理和访问控制中的缺陷。如果可以作为合法用户轻松地登录系统,那么为什么还要浪费时间去做自定义缓冲器溢出攻击呢?用户账户管理的弱点有5个方面:弱密码、制造商默认的账户、基于角色的账户、公司默认账户,以及废弃账户。在任何情况下,平台加固的目标是将用户账户数目减少到所需的绝对最小值。
用户特权:为每一个用户指派通常只能作为超级用户运行的特定的应用程序和功能,而不是真正地使用超级用户账户。也可以启用详细的日志记录,使得可以根据任何运行于超级用户功能追踪到某个特定的用户。在特定的应用中,意味着没有人使用过超级用户账户。
文件系统安全:通过在程序文件上设置SUID标志,某一个进程可以临时提升其特权用以完成某项任务(例如,访问文件passwd)。当程序执行时,可以暂时得到这些额外的特权而不用被全授予如此高的特权。这个SUID标志常常过度使用,当它与被黑客修改过的软件包结合时,被修改的程序执行后会使某个用户得到全时提升的系统权利。UNIX系统可能有很多带有这个标志的组件,但是通常只需要它们中的一小部分。建议使用命令从整个系统中删除不需要SUID标志程序的SUID标志。
远程访问的安全:Telnet和rlogin是UNIX系统上最常用的远程访问方式。这些系统都不采用加密技术来保护远程访问会话。一种被动的网络监听攻击可以看到用户在进入Telnet或者rlogin会话中按下的每一个键。安全Shell(SSH)是一种在UNIX及Window系统上使用的软件包,它提供与Telnet和rlogin相同功能,但增加了加密会话功能。这个软件包已经成为用加密和访问控制的各种可配置级别进行安全远程访问的行业标准。