2023年中国企业勒索病毒 攻击态势分析报告 2023年9月 摘要 统计显示,医疗卫生行业是勒索病毒攻击的重灾区,报案数量占到勒索病毒攻击事件报案总数的21.4%;制造业排名第二,占比为17.5%;生活服务紧随其后,占比为14.6%。 61.7%的勒索病毒攻击事件根本无法进行溯源,13.1%的中招机构,只能进行内网或局域网内的溯源,其余25.2%的机构能够对互联网侧的勒索病毒攻击源IP进行追溯。5.8%的攻击源IP来自于境内,17.0%的攻击源IP来自境外,另有2.4%的攻击者,同时使用了境外IP和境内IP进行勒索攻击。 在206起造成重大破坏或严重损失的勒索病毒攻击典型事件中,各类政企机构共有1485台设备感染了勒索病毒。平均每起勒索病毒攻击事件造成8.6台网络设备(含虚拟机)被感染。 2022年1月至2023年3月,综合奇安信95015应急响应团队处理的所有勒索攻击事件中,排名前十的事件涉及勒索病毒/家族占所有勒索攻击事件的51.0%。其中,phobos勒索家族排名第一,有22.8%的勒索事件受到该勒索软件的攻击;makop勒索病毒排名第二,占比5.3%;mollox排名第三占比4.9%。 完成一次勒索病毒攻击的平均时长为105.7小时、最短时长为3分钟、最长时长为529天。其中,17.6%的攻击者在一小时内即完成了从发起攻击至完成勒索的全过程,“0.5小时”是勒索攻击发现后的“黄金救援期”,在发现攻击者攻击后的0.5小时内,拦截攻击失陷的成功率极高接近90%。 52.6%的攻击事件使用了暴力破解,存在违规操作或使用钓鱼邮件攻击的事件分别占比5.2%。 全国发生的勒索攻击重大事件中,49.5%的勒索攻击事件明确与弱口令有关。 从端口暴露情况来看,42.2%的攻击事件均涉及端口暴露。其中,暴露最多的端口TOP5 分别为:3389(19.4%)、445(12.1%)、135(5.3%)、139(4.4%)、3306(2.9%)。关键词:勒索、暴力破解、弱口令、漏洞、端口暴露 主要观点 医疗卫生、制造业、生活服务行业是国内勒索病毒攻击的重灾区,相关行业单位应当对勒索病毒风险高度重视。从规模来看,安全防护能力相对较低的中小企业,相对更容易遭到勒索病毒的攻击。 遭到勒索病毒攻击的政企单位,绝大多数都是网络安全建设基础极其薄弱,存在显而易见的安全建设漏洞的单位。终端没有采取任何安全防护措施、内网服务器近乎裸奔、关键漏洞长期得不到修复等情况非常普遍。没有整体安全规划、没有全局安全策略、没有有效运营手段,都是勒索病毒受害机构的典型通病。有些单位虽有安全基础设施建设,但缺少安全运维,基础设施不更新、告警不看等原因导致基础设施应有的作用未充分发挥。 如果仅从入侵方式和渗透手法来看,勒索病毒的攻击与其他各类传统网络攻击相比并没有多少特别的“新花招”,极少有使用0day漏洞或高级攻击手法的情况发生。这也意味着,不论发病时的症状多么的可怕,勒索病毒依然是一种可防、可控、可阻断的“网络传染病”。 绝大多数的勒索病毒攻击,在攻击早期就会暴露出比较明显的“攻击信号”。从早期攻击信号出现后的0~30分钟,是勒索病毒攻击应急响应的“黄金救援期”,在这段时间内,系统生存率仍在90%以上。而9.8小时,约590分钟是一个临界时间点,超过这个时间,系统被成功投毒的概率就会大于生存概率。因此,遭受攻击的机构必须要有能力在第一时间捕获攻击者的行动,并在有限的时间内采取有效的行动,才能成功阻止最终的投毒,在勒索病毒的攻击下存活。 在勒索病毒攻击事件中:有49.5%与弱口令有关;在52.6%使用了暴力破解;而能够被成功爆破的口令,理论上讲都属于弱口令。作为系统看门人,管理员使用弱口令,就等于是将库房钥匙交给了攻击者。这也就难怪攻击者可以“大摇大摆”的“破门而入”。 表面上看,弱口令问题是安全意识问题。但从本质上看,弱口令的存在本身就说明系统的身份认证机制不完整或者是存在重大的缺陷。采用零信任等新型身份安全机制,可以实现即方便、又安全的用户体验。对于尚不具备部署零信任系统条件,或者是安全预算 不足的政企机构,至少也应该在传统安全机制范围内,努力避免弱口令的存在,采取技术手段阻止暴力破解。 受害机构普遍严重缺乏威胁溯源能力。61.7%的受害机构完全不具备溯源能力,13.1%的机构仅能实现内部溯源,这二者的总和超过七成。溯源能力的缺失,也就意味着即便勒索病毒攻击已经给机构造成了重大的损失,我们也仍然无法“对症下药”,无法找到安全隐患点,不知道该具体采取哪些改进措施。白挨了一顿打,还没有学到任何教训。 想要有效应对勒索病毒的攻击,就要求政企机构必须具备实战化安全运营能力,以便能够在第一时间发现关键的攻击活动特征;同时,还要具备充分的应急响应能力,包括组织保障、技术方法、安全工具等多个方面,才能做到响应及时、响应有效。有条件的单位应积极建设异地备份系统,条件不足的单位应积极建设有效的本地备份机制和数据安全保护措施。 端口暴露问题是政企机构的基本安全问题。统计显示,在206起勒索病毒典型攻击事件中,共有至少87起事件涉及端口暴露问题,占比42.2%。累计暴露端口134个,涉及端口号27个。存在不必要的端口暴露也就等于是为攻击者打开了一条入侵内部网络的绿色通道。 建设实战化、可运营的漏洞监测与预警能力,是政企机构安全运营能力建设的一大难点。同时,机构还应建立长期持续、动态运营的供应链安全管理办法,这涉及源码及开源组件安全检测、漏洞评估、漏洞发现处置等内容。 目录 研究背景1 第一章勒索病毒攻击态势综述2 一、月度分布2 二、行业分布2 三、攻击源IP分析3 四、感染量分析4 第二章勒索病毒家族分析6 一、勒索病毒家族分布6 二、PHOBOS勒索病毒7 三、MAKOP勒索病毒7 四、MALLOX勒索病毒8 五、TELLYOUTHEPASS勒索病毒9 六、MAGNIBER勒索病毒9 七、BEIJINGCRYPT勒索病毒10 第三章攻击时长与生存曲线11 第四章勒索病毒的攻击手法13 一、攻击手法综述13 二、暴力破解与弱口令14 三、违规操作15 四、钓鱼邮件16 五、漏洞利用17 第五章网络安全建设薄弱点分析19 一、安全建设基础薄弱,溯源分析能力缺失19 二、安全运营能力低下,应急响应措施不足19 三、端口暴露问题严重,打开入侵绿色通道20 四、身份验证机制不全,暴力破解大行其道22 五、安全漏洞缺乏管理,供应链风险不受重视22 附录1流行勒索病毒加密算法介绍及安全建议24 A.1解密手段25 A.2安全建议25 附录295015网络安全服务热线27 附录3奇安信集团安服团队28 附录4椒图云锁29 研究背景 勒索病毒的出现,极大的改变了网络安全的基本环境和游戏规则,成为当今世界网络空间中最大的不确定因素。特别是勒索病毒一旦中招几乎无解的攻击特点,使得越来越多的政企机构被迫放弃了“事后补救”的幻想,转而采用以“预防为主”的积极防御策略来应对勒索病毒攻击的泛滥之势。 不过,国内外研究机构以往针对勒索病毒的研究,大多集中于样本分析、团伙分析和基于少数案例的具体攻击手法的分析,缺少对勒索病毒攻击特征、攻击路径和关键防御点的大样本、系统性研究,从而使得针对勒索病毒的各类解决方案大多缺少全面的科学依据,方案的有效性、性价比等关键问题,都难以得到客观评估。 95015网络安全应急响应服务平台,平均每年接到全国各地政企机构网络安全应急响应 事件报告1100余起。其中,勒索病毒事件在所有恶意程序攻击事件中,占比近三成,已经 连续多年排名恶意程序攻击类型的榜首。由于95015平台会对每一起应急响应事件做出详细的应急响应分析报告,并尽可能的进行溯源分析,从而为我们深入、全面、系统性的研究勒索病毒攻击特征提供了大量高价值的参考资料。 本次报告,从2022年1月至2023年3月的千余份网络安全应急响应分析报告中,甄选 出了206起造成重大破坏或严重损失的勒索病毒攻击典型事件的应急响应分析报告为研究样本,分别从行业特征、攻击溯源、感染范围、病毒类型、攻击时长、攻击方式等方面展开深度分析,并首次给出了勒索病毒攻击的生存曲线。同时,报告还结合勒索病毒的攻击特征,深入分析了中招机构网络安全建设与运营方面的“通病”,为政企机构高效率的建设勒索病毒防范体系提供了重要的参考依据。 第一章勒索病毒攻击态势综述 一、月度分布 下图给出了95015服务平台2022年1月~2023年3月接报的206起造成重大破坏或严 重损失的典型勒索病毒攻击事件每月分布情况。其中,2022年1月数量最多,为28起。 二、行业分布 统计显示,医疗卫生行业是勒索病毒攻击的重灾区,报案数量占到勒索病毒攻击事件报案总数的21.4%;制造业排名第二,占比为17.5%;生活服务紧随其后,占比为14.6%。 从规模来看,安全防护能力相对较低的中小企业,相对更容易遭到勒索病毒的攻击。 三、攻击源IP分析 尽管攻击源IP的地域归属并不能代表攻击者的地域归属,但对攻击源IP的地域归属分析,却可以帮助我们了解攻击者最终发起攻击时的IP选择倾向。 然而,当我们攻击源IP归属地进行全面深入分析时,却十分惊讶、也十分遗憾的发现:竟有61.7%的勒索病毒攻击事件根本无法进行溯源,甚至仅仅是在内网或局域网中进行攻击溯源都完全无法实现。这也就意味着,我们完全不知道攻击者从哪里进来,从哪里出去,访问过哪些系统、进行过哪些操作、利用过什么漏洞、是否埋下了后门。造成这种情况的原因,固然有攻击者事后主动擦除痕迹的因素,更为主要的是,中招政企机构的网络安全基础建设过于薄弱,没有采取任何针对网络攻击的监测或留痕措施,致使内部系统门户打开,几近裸奔。 除了完全无法溯源的机构之外,还有13.1%的中招机构,只能进行内网或局域网内的溯源,而完全无法得知攻击者是通过什么互联网IP访问了系统。造成这种情况的主要原因,是相关机构对于来自互联网的访问信息没有进行必要日志存储,更没有对外部流量采取必要的威胁检测措施,只是对内部网络采取了一定程度流量监测与分析。此外,也有一小部分中招机构,是因为网络日志遭到了攻击者的破坏从而无法进行外部溯源。相比于完全对攻击活动进行无法溯源机构来说,能够进行内网溯源的机构,其网络安全基础能力要 略强一些,但也只能算是“聊胜于无”。 除了上述两种情况外,其余25.2%的机构能够对互联网侧的勒索病毒攻击源IP进行追溯。分析显示,5.8%的攻击源IP来自于境内,17.0%的攻击源IP来自境外,另有2.4%的攻击者,同时使用了境外IP和境内IP进行勒索攻击。 下图给出了勒索病毒攻击源IP的国别归属排行TOP10。其中,无法溯源和仅能进行内网/局域网溯源的事件,不计入排行。由图可见,来自中国境内的攻击源IP最多,占比为8.2%;其次是美国,占比6.8%,排名第二;俄罗斯排名第三,占比4.4%。注:同一攻击存在攻击者同时使用多个位于多国的IP发起攻击的情况,因此境外攻击占比之和会大于前文的19.4%。 四、感染量分析 统计显示,在206起造成重大破坏或严重损失的勒索病毒攻击典型事件中,共有173 起案例的分析报告可以明确说明感染设备数。统计显示各类政企机构共有1485台设备感染 了勒索病毒。平均每起勒索病毒攻击事件造成8.6台网络设备(含虚拟机)被感染。 下图给出了勒索病毒攻击事件导致的勒索病毒感染设备数量的分布。设备可能包括普通个人主机终端、工业系统终端、服务器、或虚拟机等。具体来看,35.4%的攻击事件感染/加密了1台设备,26.2%的勒索攻击事件感染/加密了2~5台设备,甚至有3.0%的攻击事件影响设备超过50台。其中,某制造业企业遭到phobos勒索病毒攻击,通过单一跳板进 入内网攻击内网中主机超过200台,并投递勒索病毒。 统计还显示,41%的勒索病毒攻击事件会导致虚拟机被感染,虚拟机感染量占设备感染