不知勒索病毒的攻击原理,怎知如何防御?

目录

勒索病毒个话题,貌似近一两年是一如既往的火热,还记得一年多前刚刚爆发的时候的那些停止服务的图片吧,相信绝大多数没中招的同学都是以一份看热闹的心态去看这些图片。我也不能免俗,借了一些来晒在当时的推送中。热点蹭一下,算是也涨了点粉丝量。

原本以为,这一话题早应该结束了,随着安全补丁的修复和安全防护的加强,勒索病毒不会太长命。而事实上并非如此,勒索病毒也不断演进,看上去这一来一回的攻防战,打的越来越有意思。

勒索病毒基础小课堂

我相信,大家都已经非常清楚所谓的勒索病毒是一类什么样的病毒,它的攻击流程无非就是:

  1. 加密一切被感染的文件;
  2. 通过各种方式联系文件的主人,要求支付赎金;

通常和碰到勒索病毒的同学的对话,就往往变成了如下:

倒霉的管理员:我丢,中招了,我的所有的资料全部被锁了,它们要我付 10 个比特币,怎么办?

石头哥:备份了没?

倒霉的管理员:没!

石头哥:嗯,去付钱吧,祝你好运!

没有备份的情况下,在这之后,会发生什么事情,我觉得真不好说,这两年的各种调查报告也很多,事实上真正能付了钱拿回数据的人,占总人数的 1/4 不到。

勒索病毒的进化

最近,看到一些评论,都在讨论现在的勒索病毒是越来越智能,以至于它们能够深入到用户的环境中自我复制、自我传播,同时它们还会去禁用一些主流的杀毒软件、备份软件、防火墙以及数据库,来确保达成勒索的目的。其中有些凶残的病毒甚至还带破坏和删除功能,对于主流已知的备份软件 Catalog 库进行深度分析,破坏发起后,为了达到勒索的目的,除了破坏生产数据,还同时去破坏备份数据。

这时候,碰到勒索病毒的同学的对话会这样:

倒霉的管理员:我丢,中招了,我的所有的资料全部被锁了,它们要我付 20 个比特币,怎么办?

石头哥:备份了没?

倒霉的管理员:备了,但是它们太聪明了,把我的备份服务器感染了,禁止了我感染那天以后的所有备份作业,同时删除了我的备份 catalog 文件。

石头哥:还有数据可以恢复吗?

倒霉的管理员:数据放在 EMC DataDomain 中,通过最新的文件锁协议(File Locking protocols),倒是挺安全,但是 catalog 没了,再安全的备份存档数据块都无法恢复了。

石头哥:好吧,去付钱解锁吧!

虽然用备份软件做了备份,但是水平还是没高过勒索软件,没有充分考虑到备份软件也会被勒索软件破坏,备份形同虚设。

下图是某勒索病毒的样本分析中找到的,它能禁用的一系列常见服务。它能做到破坏数据之前,先处理那些干扰他搞破坏的元素。可以看到市场上常见的杀毒软件和备份软件的服务都在这个清单上。

img

img

img

img

备份/灾备的应对策略建议

有了备份,也不安心,所以,在设计备份/灾备架构的时候,需要考虑很多因素:

  1. 备份存档的独立性和可移动性。

越来越多的客户开始意识到这一点的重要性,如果现在的备份存档,还无法做到自我恢复,完全依赖于备份软件所建立的 Catalog,那么破坏了 Catalog 就相当于破坏了一切。

相反,对于一个没有 Catalog 的使用 Veeam 备份的环境,这事情就简单太多了,每份存档就相当于一个个体,勒索病毒需要个个击破才能达到它勒索的目的,我相信,聪明的你肯定能把你最重要的数据存放中最安全的地方,而避免受到勒索病毒的感染。

那么这时候,假设很不幸,你的备份服务器被感染了,狠一点的勒索病毒直接破坏磁盘 MBR 记录,在启动的时候就拒绝你进入系统。这时候你需要做的事情很简单:

  • 清理恢复完你的环境,确保已经杀干净勒索病毒。
  • 安装一套全新的 VBR。
  • 只需要从你最安全的磁带中,拿出之前备份下来的 VBK 文件。
  • 导入到新的 VBR 中,veeam 不需要任何集中管理的 catalog 数据库或者重删库,就能识别每个备份存档内容。
  • 使用各种恢复方式,和正常的 Veeam 恢复方式完全一致,包括 Instant VM Recovery 和 Instant File Recovery。
  1. 多份备份数据的安全隔离性。

存放数据的时候,千万记得别用同步功能,企业数据和个人数据一样。拿个人数据举例,如果你有个百度盘,或者 Onedrive,这时候你要把你的数据备份到云上。偷懒的做法是后台开启自动同步,一旦数据写入你的磁盘,这些网盘工具会做一个自动同步,近乎实时的把数据同步到云端。而试想一下,这个数据写入磁盘的动作假如是由勒索病毒发起的,那么你的云端的所有数据也将会被你的这个自动同步操作的给感染。这样你设置的所有备份防御措施都将失效。

同理,在企业数据中心,偷懒的存储级同步方法,甚至是某些厂商宣称的字节级同步方法,在勒索病毒看来,这是多好的手段,让攻击范围自动蔓延,自动传播啊。

所以,我强烈建议,把自动挡改成半自动挡,拥有自动挡的技术没有问题,但是在必要的情况下,调整成定期数据的复制,会大大降低数据感染的风险。

数据多存放几份,多存几种介质都是很好的方法,来避免被全方位攻陷。对于勒索病毒来说,本身它是一种自动执行的计算机软件,全自动化的进行攻击,很少会有人工手工干预的攻击,因此改变正常的数据存放规则和套路是一个好方法。当然这个前提是,备份软件足够灵活,能够支持各种各样的存储设备。

  1. 备份存档的定期验证和自动化恢复演练。

这又是一个很有意思的话题,可恢复性验证,这备份和灾备环境中,要去做这个验证通常都只能手工去做,这会消耗大量时间和资源。在没有勒索病毒出现的时候,这个验证仅仅是为了对付下领导,对付下监管,这也许交一份书面报告也就过去了。然后勒索病毒横行的今天,我们真的得好好想一想,要是哪天勒索病毒把我的环境破坏了,那我的哪些备份存档是没有勒索病毒感染的,能够正常恢复的干净系统?

全自动的备份存档验证在这样的场景下,能够帮助备份管理员省下不少时间和资源。而加入了更多自动化校验逻辑的 Veeam Availability Orchestrator 2.0 则是这方面的小能手。

来吧,和勒索病毒斗智斗勇吧。

没有任何一个软件可以做到没有漏洞,没有任何一个软件可以做到完全免疫任何攻击。我认为只有更好更合理的去存放数据,并且持续的去检查数据,才能够在这场勒索病毒持久战中坚持到最后。

打赏一个呗

取消

感谢您的支持,我会继续努力的!

扫码支持
扫码支持
扫码打赏,你说多少就多少

打开支付宝扫一扫,即可进行扫码打赏哦