文 | 奇安信科技集团股份有限公司刘川琦

　　勒索病毒的出现，极大地改变了网络安全的基本环境和游戏规则，成为当今世界网络空间中最大的不确定因素。特别是一旦感染勒索病毒几乎无解的攻击特点，使得越来越多的政企机构被迫放弃“事后补救”的幻想，转而采用以“预防为主”的积极防御策略来应对勒索病毒攻击的泛滥之势。奇安信从 2022 年 1 月至 2023 年 3 月的千余份我国行业网络安全应急响应分析报告中，甄选出 206 起造成重大破坏或严重损失的勒索病毒攻击典型事件的报告作为研究样本，分别从行业特征、攻击溯源、攻击时长和攻击方式等方面展开深度分析，并首次给出了勒索病毒攻击的生存曲线。同时，还结合勒索病毒的攻击特征，深入分析了受影响机构在网络安全建设与运营方面的“通病”，希望能为政企机构高效率的建设勒索病毒防范体系提供参考依据。

　　一、攻击态势综述

　　近年来，企业面临的勒索病毒态势依然严峻，网络安全的重要性日益凸显。针对各行各业的勒索攻击手段不断进化，攻击时长越来越短，智能化和多重勒索策略日益普遍。与此同时，通过实际处置情况来看，企业面临的安全挑战不仅在于外部攻击，还包括内部漏洞和未及时修复的安全隐患。企业需要从全新的角度审视安全问题，既要平衡数据安全、隐私保护与业务目标之间的关系，又应从实际生产安全角度出发，寻找更合适的应对措施。

　　（一）行业分布统计显示，医疗卫生行业是勒索病毒攻击的重灾区，报案数量占到勒索病毒攻击事件报案总数的 21.4%；制造业排名第二，占比为 17.5%；生活服务紧随其后，占比为 14.6%。

　　（二）攻击源 IP 分析尽管攻击源 IP 的地域归属并不能代表攻击者的实际地域，但对攻击源 IP 的地域归属分析可以帮助我们了解攻击者在发起攻击时的 IP 选择倾向，如图1所示。

图1 勒索病毒攻击IP归属分析

　　然而，在对攻击源 IP 归属地进行全面深入分析时，发现有 61.7% 的勒索病毒攻击事件无法进行溯源，甚至在内网或局域网中进行攻击溯源也完全无法实现。这意味着，我们对攻击者的进入路径、退出路径、访问过的系统、进行过的操作、利用过的漏洞，以及是否埋下了后门等信息一无所知。造成这种情况的原因，固然有攻击者事后主动擦除痕迹的因素，更为主要的是，中招政企机构的网络安全基础建设过于薄弱，未采取任何针对网络攻击的监测或留痕措施，致使内部系统门户敞开，几近裸奔。

　　（三）攻击时长分析有 108 起案件能够找到明确的攻击“起止时间”记录，即最早的攻击时间和勒索病毒完成加密的时间记录，从而可以以此分析勒索病毒攻击者的攻击时长。对有明确记录攻击起止时间的这 108 起勒索病毒攻击事件的分析显示：完成一次勒索病毒攻击的平均时长为 105.7 小时、最短时长为 3 分钟、最长时长为 529 天。其中，17.6% 的勒索病毒攻击事件是在 1 小时内完成的，超过半数是在 12 小时内完成的，而 24 小时内完成的攻击事件超过六成。具体攻击时长分布如图2所示。

　　图2 勒索病毒的攻击时长值得反思的是，有 22.2% 的勒索病毒攻击事件攻击时长在 120 小时以上。也就是说，相关单位在至少 5 天以上的时间里，任由攻击者对自己的系统进行攻击，而没有采取任何有效的响应措施，严重缺乏基本的网络安全运营能力与安全事件处置能力。

　　二、勒索病毒攻击生存曲线

　　勒索病毒的攻击是一个过程，而不是瞬时动作。有效的安全监测和实战化的安全运营完全有能力及时发现和阻止勒索病毒攻击。为了能够更加精确地分析防范勒索病毒攻击所需的响应速度，基于“攻击时长”数据绘制了勒索病毒攻击的“生存曲线”，如图3所示。

　　图3 勒索病毒攻击的生存曲线

　　在生存曲线图中，横坐标为“生存时间”，表示从攻击者发起攻击开始计算，受害机构系统能够生存的时间长度（即尚未被加密的时间长度）；而纵坐标为“系统生存率”，表示在指定生存时间内，攻击者尚未完成勒索病毒的加密操作，相关机构的系统仍处于“安全”或“存活”状态的概率。统计显示，0-30 分钟是勒索病毒攻击应急响应的“黄金救援期”，因为到 30 分钟时，系统生存率仍在 90% 以上。如果系统运营者在发现诸如爆破、远程登录或漏洞利用等攻击现象后，第一时间采取有效的防御措施，那么到 30 分钟时，系统尚未被攻击者投毒，即系统仍然存活的概率为90%。然而，到 5.5 小时，即 330 分钟时，系统存活率已下降到 60%；而在 9.8 小时（约 590 分钟）时，则是一个临界点，此时系统存活率为 50%。过了这个临界时间点，系统被成功投毒的概率将大于生存概率。

　　三、勒索病毒攻击手法

　　勒索病毒攻击者究竟使用了哪些手段对系统进行渗透和入侵，是本次分析研究的重点关注，也是帮助政企单位防范勒索病毒攻击的重要参考依据。

　　分析发现，绝大多数的勒索病毒攻击，在攻击早期就会暴露出比较明显的“攻击信号”，如弱口令暴力破解、非法外联、远程登录、漏洞扫描等。这些“攻击信号”通常没有经过特别高级的伪装，极少有使用 0day 漏洞或高级攻击手法。显然，从入侵方式和渗透手法来看，勒索病毒的攻击与其他各类传统网络攻击相比，并没有多少特别的“新花招”。因此，勒索病毒依然是一种可防、可控、可阻断的“网络传染病”。许多安全厂商提供比较成熟的安全产品或解决方案，能够实时监控相关攻击活动，及时发现并产生告警。据统计，52.6% 的勒索病毒攻击事件使用了暴力破解，违规操作或使用钓鱼邮件攻击的事件分别占比 5.2%。此外，漏洞利用、漏洞扫描、远程登录和外插U盘也是比较常见的攻击方式。攻击手法的具体分布如图4所示。

　　图4 勒索病毒攻击手法分布

　　下面针对常见的勒索病毒攻击手法进行进一步分析。

　　（一）暴力破解与弱口令尽管并非所有的暴力破解都取得成功，但暴力破解确实是勒索病毒攻击者最常用的攻击方法，也是勒索病毒攻击可能发生的一个重要信号。从普遍意义上讲，凡是能够被爆破的口令都可以被认为是弱口令，或者至少是攻击者口令库中已存在的口令。对典型勒索病毒攻击事件的分析表明，49.5% 的事件明确与弱口令问题有关。弱口令问题的主要体现为强度不足和口令复用。分析显示，勒索病毒攻击者通常会首先对目标网络外部应用接口进行弱口令爆破，以实现身份认证并进入内网；而在进入内网之后的横向移动过程中，除了发现新的弱口令外，攻击者还大量利用口令复用问题进行攻击。在实际案例中，管理员不修改默认口令、将多台网络节点设置为同一口令等问题尤为突出。从弱口令出现的具体位置来看，远程桌面、数据库系统、供应链系统、内网 OA 系统、虚拟机和业务测试服务器等最为常见。

　　（二）违规操作违规操作一般是指系统的运营者或合法使用者，出于工作便利或某些特殊原因，对系统进行了违规的不当操作，导致系统防御失效并被攻击者入侵。违规操作并不是一种攻击方式，而是一种诱发攻击的原因。通过案例分析，发现绝大多数的违规操作都是因为系统存在“非法外联”行为。攻击者利用内网人员违规操作打开的映射端口或通道进入内网，结合其他攻击手法获取系统的控制权，实现恶意外联，对系统进行远程控制和监控。

　　（三）钓鱼邮件钓鱼邮件是指攻击者仿冒特定身份的人或组织，对企业用户或企业用户的邮件联络对象进行欺诈或投毒。一般来说，攻击者所使用的邮箱发件人的显示名、前缀和后缀都有可能经过精心伪装，进而迷惑被攻击者。勒索病毒攻击使用的钓鱼邮件通常会夹带有病毒的邮件附件或挂马页面，诱骗邮箱用户打开附件或页面，从而实施攻击。在分析的案例中，攻击者除了进行挂马攻击或通过邮件附件直接投毒外，还会使用一些“间接投毒”的攻击方式。即攻击者通过钓鱼邮件，诱使受害者感染的并不是勒索病毒，而是远控木马、盗号木马及下载者木马等其他类型恶意程序，通过这些恶意程序实现内网渗透，并最终完成勒索病毒的投放。

　　（四）漏洞利用利用操作系统或应用系统的漏洞，也是勒索病毒攻击的重要方式。从实践角度看，0day 漏洞的利用在勒索病毒攻击中仍然是比较罕见的，而对已知的 Nday 漏洞进行有效管理和及时修复，应当成为当下反勒索病毒漏洞管理工作的重点。大型政企机构的业务系统和供应链错综复杂，由于修复不及时，某些由供应商开发的专用系统的 NDay 漏洞经常会被攻击者利用。因此，政企机构亟待建立实战化、可运营的漏洞监测与预警能力，定期更新和修补系统，及时安装厂商提供的最新补丁和更新程序，以最大限度确保系统免遭勒索病毒的攻击。

　　四、网络安全建设薄弱点分析

　　根据分析结果，勒索病毒的受害机构在网络安全建设与运营过程中存在以下七个薄弱环节，可有针对性地“亡羊补牢”，补齐防护短板。

　　一是安全建设基础薄弱。遭到勒索病毒攻击的单位，绝大多数网络安全建设基础极其薄弱。终端没有采取任何安全防护措施、内网服务器近乎裸奔、关键漏洞长期得不到修复等情况非常普遍。缺乏整体安全规划、全局安全策略和有效运营手段，都是勒索病毒受害机构的典型通病。

　　二是安全运营能力低下。从现有已知案例来看，针对国内机构的勒索病毒攻击，攻击者所使用的所有攻击手法均在已知范围内，且有较成熟的安全产品或解决方案可以有效应对。然而，勒索病毒攻击事件仍频繁发生，说明相关机构的网络安全建设与运营能力严重不足。

　　三是应急响应措施不足。从分析可知，遭遇勒索病毒攻击的黄金救援期仅有 30 分钟，超过 9.8 小时临界点，“死亡概率”就会大于“生存概率”。这就要求政企机构必须具备实战化的安全运营能力，以便能够在第一时间发现关键的攻击活动特征。同时，还要具备充分的应急响应能力，包括组织保障、技术方法和安全工具等多个方面，才能做到响应及时且有效。

　　四是端口暴露问题严重。端口暴露是机构的基本安全问题，不必要的端口暴露意味着为攻击者打开了一条入侵内部网络的绿色通道。

　　五是身份验证机制不全。从上述分析可知，利用弱口令及暴力破解是攻击的主要手法。弱口令问题反映了安全意识的缺失。但从本质上看，弱口令的存在说明系统的身份认证机制不完整或存在重大缺陷。现代身份安全理念认为，使用静态口令本身就是不安全的，因为静态口令存在被泄露和窃取的风险。相比之下，基于零信任技术的动态身份认证方法能显著提升安全性，并且由于不依赖静态口令，用户无须强行记忆复杂口令，从而实现便利与安全的用户体验。

　　六是安全漏洞缺乏管理。如前所述，勒索病毒攻击通常利用已知的 Nday 漏洞，说明这些攻击并非完全无法预测或预防。只要做好漏洞管理，定期更新和修补系统，及时安装厂商提供的最新补丁和更新程序，可以在很大程度上避免相关安全风险。

　　七是供应链风险不受重视。本次分析的多起案例，其成因是信息化供应商开发的专用系统（如 OA、ERP、CRM 等）存在已知安全漏洞。对大型政企机构来说，在供应链潜伏漏洞的情况非常普遍，因此供应链的安全问题必须高度重视。

　　五、结 语

　　在全球化背景下，企业需要应对日益模糊的全球边界，关注如何有效应对复杂的全球化业务环境，同时加强网络安全防护、提升数据恢复能力，以确保具备业务韧性和连续性。

　　综上所述，企业勒索病毒现状呈现出攻击态势严峻、攻击后果严重、防御难度加大等特点。企业需要高度重视网络安全问题，加强安全防护措施和人才队伍建设，以提高自身的防御能力。应对勒索软件，必须建立实战化的安全运营能力，完善应急响应机制，提升应急响应能力。有条件的机构还应积极开展网络安全应急响应技术演练和实战攻防演练，从整体上提升实战化安全能力。

　　（本文刊登于《中国信息安全》杂志2024年第8期）