瑞星发布《勒索软件综合报告》 RDP弱口令攻击是最常用攻击手法之一

安全419了解到，国内老牌安全厂商——瑞星公司日前正式发布《勒索软件综合报告》，报告内容涵盖了勒索软件历史发展、勒索软件分类及加密技术分类、主要攻击手法、典型家族等内容，并在如何防范勒索软件攻击方面提供了相关建议，同时对未来的趋势也做了分析，对于企业了解勒索软件攻击有着一定的参考意义和价值。

报告指出，勒索软件攻击虽然在近些年来极受关注，但其历史却可以追溯至上个世纪80年代。据了解，第一个已知的勒索软件——AIDS（PC Cybog）于1989年由哈佛大学毕业的Joseph Popp创建，是一种替换Autoexe.bat文件的特洛伊木马。2005年，开始i出现加密用户文件的木马程序，并能够在加密文件目录下用于勒索的txt文件，要求受害者购买解密程序，当时能够加密的文件种类还不算非常丰富，主要包括.doc、.xls、.html、.jpg等，同时还可以对zip以及rar文件进行加密；2006年，名为Archievus的勒索软件出现，这是首个使用RSA加密算法的勒索软件。在同一年，中国也出现了首个勒索软件木马程序Redplus。

第一个已知的勒索软件——AIDS

当时间进入到21世纪的第二个十年，勒索软件的发展速度明显加快。2013年，Cryptolocker出现，并支持通过比特币的方式支付赎金；2015年，勒索软件即服务（RaaS）出现，勒索软件成为一种所谓“商业化”服务的形式开始出现；2016年，报告称这一年被认为是勒索软件元年，也是勒索软件在整个全球范围内极为活跃的首个鼎盛时期，由多个勒索软件导致的损失超过了10亿美元；2017年，一个里程碑级别的勒索软件WannaCry影响了多达150个国家，包括英、美等在内的99个国家遭到了直接攻击。

在具体的勒索软件家族方面，报告列出了比较典型的12个，除了较早出现的CrySiS、WannaCry之外，还包括Globelmposter、Phobos、GrandCrab，其余的则是近年来经常登上各媒体安全头条的名字，如LockBit、Maze、DarkSide、Makop、BlackCat、Hive以及BlackBasta。

报告指出，RDP爆破、钓鱼邮件以及漏洞攻击是勒索软件攻击的三大常用手法。其中RDP弱口令攻击由于其简便以及对开放远程端口的弱密码设备攻击成功率高，而成为攻击者最为热衷使用的方式之一。

RDP弱口令攻击是攻击者最为热衷使用的方式之一

在防范应对此类攻击手法方面，瑞星强调了最小化授权以及多因素认证的重要性。报告指出，需限制可使用RDP的用户，远程访问的授权应仅限于必须依靠其来执行工作的人员，而多因素认证也是进一步提升安全性的保障。

此外，报告还提出了以下几点防护建议：

1. 限制远程桌面的访问, 禁止非特定的 IP 地址访问；

2. 设置访问锁定的策略，如调整账户锁定阈值与持续时间等，此举目的在于防范攻击者在一定时间内高频使用暴破攻击，同时登录RDP需要高强度的密码，降低弱口令攻击成功的可能性；
   

3. 减少不必要的RDP端口。确认RDP和业务的相关性，如果不需要则关闭，或限制在某些特定时间打开端口；

4. 将默认的RDP端口更改为非标准的端口号，此举可以减少部分恶意软件对默认的特定端口发起直接攻击；

5. 定期的检查RDP相关漏洞，并对于已知漏洞进行及时修复。
   
   

报告指出，通过钓鱼邮件发起勒索软件攻击也较为常见，尤其是针对那些员工安全意识薄弱的企业，攻击成功的概率很高，一旦勒索软件在任意员工的主机上成功启动，将会进一步危及企业网络下的所有计算机，其后果不堪想象。

伪装成韩国公平交易委员会向企业投递钓鱼邮件

针对此类攻击手法的防范建议，瑞星给出的比较常规，如安装杀毒软件，关闭和业务无关的Office宏以及PowerShell脚本等，同时建议企业用户的设备都开启“显示文件扩展名”的功能，以让员工可以快速识别文件的类别。另外两条建议则比较宽泛，就是不打开可疑邮件附件以及邮件中的可疑链接。

事实上，钓鱼邮件的防范难度对于有经验的安全人员而言并不高，但其最大的问题在于并不是所有的员工都可以达到安全人员的水平和能力。因此我们认为，对于有能力的企业，应建立防范钓鱼邮件的相关制度，如指定安全责任人，在员工发现疑似钓鱼邮件时可以及时反馈给相关责任人，以避免钓鱼邮件攻击或降低遭受进一步攻击的可能性，将影响压至尽可能低的水平。为了保证相关制度的有效性，还需提高员工的整体防范意识，如定期进行针对钓鱼邮件相关的安全意识培训，并应当考虑将其纳入到新员工的入职培训当中去。同时，为了进一步加强员工在面对真实钓鱼邮件时的辨别能力，应酌情定期进行演练，以接近实战的方式，让员工切身体会钓鱼邮件的形态及相关的攻击方式，在提升员工实际应对能力的同时，也能检验整个企业在应对钓鱼邮件时的能力。

至于漏洞攻击，报告认为其传播方式相比较RDP要更为复杂，并强调其需要稳定的0day或1day漏洞。比如近段时间在国内爆发出了某知名财务软件爆发的大规模勒索软件攻击事件，由于其受影响软件的用户数量庞大，导致其部分用户受该事件影响而遭受攻击，这种通过利用0day漏洞发起的勒索攻击在攻击的广度、深度方面普遍更强，影响深远。

值得警惕的是，由于操作系统和应用软件的数量众多，而版本数量更是庞大，在它们之中，难免存有漏洞。根据美安全托管运营服务商此前发布的研究报告显示，2022年一季度勒索软件相关漏洞数量增加7.6%，这一数字表明，通过漏洞发起勒索软件攻击的趋势并不容乐观。

而在防范此类攻击手法方面，瑞星也给出了自己的建议，主要有以下几点：

1. 及时更新系统补丁；

2. 部署网络版安全软件，实现对局域网中的设备统一安装修复补丁；

3. 在不影响业务的前提下，将危险性较高且容易被漏洞利用的端口修改为其他端口号，如139、445 端口等。如果不使用，可直接关闭高危端口以降低被攻击的风险。

另外，报告还特别针对上述三种攻击手法进行了案例展示，可供企业用户参考。

谈及未来趋势，瑞星在报告中表示，近勒索软件攻击呈现出从以往单纯加密用户数据、勒索赎金解密进化为在攻击过程中窃取企业隐私数据和商业信息，并以威胁公开企业内部数据的方式进行威胁的方式索取高额赎金。这种以发布企业隐私数据和商业信息的勒索方式造成的危害巨大，企业不仅要面临数据泄露问题，还要面临相关法规、财务和声誉受损的影响，这大大增加了攻击者勒索的成功率。

随着数字化转型进程的不断推进以及云计算的广泛应用和普及，勒索软件攻击组织、团伙也将会将目光转移到这一领域，也将会成为未来勒索软件攻击的重要目标领域。