蔡 琴

(中共新疆維吾爾自治區(qū)委員會黨校 信息技術(shù)部，新疆 烏魯木齊 830002)

0 引言

云計算數(shù)據(jù)平臺雖然為用戶提供了更多數(shù)據(jù)資源，但在黑客攻擊時，將會帶來嚴(yán)重后果。云計算環(huán)境的數(shù)據(jù)平臺有數(shù)據(jù)容量大、數(shù)據(jù)類型多、數(shù)據(jù)價值密度低的特點，數(shù)據(jù)保密和安全尤為重要[1]。現(xiàn)有的數(shù)據(jù)安全識別技術(shù)還無法抵擋黑客的攻擊，用戶安全意識低，無意間瀏覽非法網(wǎng)站、釣魚網(wǎng)站，這些都給計算機安全防護(hù)工作帶來困難。計算機網(wǎng)絡(luò)系統(tǒng)的漏洞，給別有用心的黑客帶來可乘之機，最終使計算機安全得不到相應(yīng)的保障。在大數(shù)據(jù)時代，如果數(shù)據(jù)一旦受到病毒攻擊，用戶的數(shù)據(jù)會被竊取，破壞正常的網(wǎng)絡(luò)環(huán)境。計算機管理者需要建立有效的防御機制，做好安全保障工作，避免造成嚴(yán)重的網(wǎng)絡(luò)安全事件。

1 云計算數(shù)據(jù)平臺的病毒防護(hù)

歷史上出現(xiàn)的一次次病毒攻擊，說明了防御病毒之路任重而道遠(yuǎn)。安全防護(hù)體系的建立非常關(guān)鍵，病毒的防范三分靠技術(shù)，七分靠管理[2]。

1.1 建立必要的黑客防御機制

黑客攻擊屬于人為操作、惡意攻擊，是以獲利或危害社會為目的的網(wǎng)絡(luò)安全問題。對社會危害較大，黑客掌握較高計算機技術(shù)，有很強的操作能力，還能洞悉操作系統(tǒng)的各種安全漏洞，令人防不勝防。所以，需要建立黑客防御機制，解析黑客攻擊的技術(shù)要點，對黑客的入侵方式和入侵企圖進(jìn)行分析，提高反入侵對抗的技術(shù)，找出黑客入侵時系統(tǒng)的安全問題，只有對黑客攻擊技術(shù)達(dá)到一個新的認(rèn)識，才能構(gòu)建一個對系統(tǒng)有力保障的防護(hù)體系。

1.2 加強對用戶網(wǎng)絡(luò)安全培訓(xùn)

為了盡可能地避免計算機網(wǎng)絡(luò)安全問題，加強對用戶的網(wǎng)絡(luò)安全意識的宣傳，提高用戶的安全防范能力，引導(dǎo)用戶定時修補系統(tǒng)漏洞、定期查殺。提高專業(yè)技術(shù)人員網(wǎng)絡(luò)行為規(guī)范，有效解決用戶的技術(shù)困擾，減少因使用不當(dāng)造成的系統(tǒng)隱患，避免系統(tǒng)受到攻擊，為整個計算機網(wǎng)絡(luò)體系統(tǒng)提供安全保障。

1.3 加強系統(tǒng)的監(jiān)管和提高病毒防范機制

加強系統(tǒng)的監(jiān)管和網(wǎng)絡(luò)安全防范力度，根據(jù)病毒的特點和傳播方式來建立病毒預(yù)警機制，引入入侵檢測管理技術(shù)，加強數(shù)據(jù)入侵管理，進(jìn)行數(shù)據(jù)流量監(jiān)測，經(jīng)常對關(guān)鍵信息進(jìn)行數(shù)據(jù)分析和收集，如果出現(xiàn)非法操作，立即用合理手段進(jìn)行干預(yù)。在病毒防范過程中，技術(shù)人員也要嚴(yán)格根據(jù)安全管理模式進(jìn)行日常操作和管理，及時更新病毒特征庫，建立完整的計算機網(wǎng)絡(luò)殺毒系統(tǒng)。

2 勒索病毒的傳播特點

勒索病毒是一種新型電腦病毒，是病毒程序和勒索程序相結(jié)合的結(jié)果。主要采取網(wǎng)絡(luò)釣魚、垃圾郵件、惡意軟件植入、惡意捆綁正常軟件、移動存儲介質(zhì)、內(nèi)網(wǎng)擺渡等形式在網(wǎng)絡(luò)上進(jìn)行傳播。網(wǎng)絡(luò)用戶在訪問這些網(wǎng)頁時，下載了被偽裝成正常程序的病毒，在系統(tǒng)里安裝，傳播方式狡猾且隱蔽，先感染服務(wù)器，然后通過共享方式在局域網(wǎng)里繼續(xù)傳播，可以導(dǎo)致170多種擴展名文件都被加密，加密算法不易破解，受害者不能再進(jìn)入系統(tǒng)，只能通過暗網(wǎng)鏈接付費后，拿到破解密鑰才能恢復(fù)重要文件，性質(zhì)惡劣，給用戶帶來了嚴(yán)重的后果和損失。

2.1 勒索病毒隱蔽性更強

勒索病毒隱蔽于第三方應(yīng)用，利用用戶對第三方應(yīng)用服務(wù)的完全信任，傳播病毒。病毒隱蔽于微信、QQ、電子郵件、HTML頁面等，借助比特幣電子貨幣、洋蔥網(wǎng)絡(luò)等匿名通信技術(shù)劫持受害者。病毒以程序代碼或隱含文件的形式存于程序中，只有經(jīng)過程序代碼分析，對代碼字節(jié)一一分析才能檢查出來。

2.2 勒索病毒的傳染性更強

勒索病毒的傳播有局域網(wǎng)和跨網(wǎng)傳播兩種傳播途徑，在局域網(wǎng)中生成含整個局域網(wǎng)的網(wǎng)段表，然后依次攻擊，直到感染全部有價值的文件?？缇W(wǎng)傳播則生成隨機IP地址，發(fā)送攻擊代碼，利用有些防火墻和路由器沒有實施安全策略部署，利用防火墻漏洞，通過無線管理網(wǎng)絡(luò)，進(jìn)行跨網(wǎng)段、跨省攻擊。

2.3 勒索病毒的攻擊手段更多樣

利用蠕蟲病毒的特征，實現(xiàn)全程自動化攻擊，使用U盤蠕蟲、WEB掛馬、RDP爆破、永恒之藍(lán)漏洞等多種攻擊方式，讓用戶防不勝防。許多勒索病毒與高級網(wǎng)絡(luò)攻擊相結(jié)合，單一的防御手機無法抵御。病毒攻擊的范圍已經(jīng)覆蓋了Windows，Mac，Android，IOS和虛擬桌面。尤其是Windows7，XP等老舊系統(tǒng)，成為病毒攻擊的重災(zāi)區(qū)，Windows10系統(tǒng)及時發(fā)布的漏洞更新受到較小影響。

2.4 難以破解的加密算法

勒索病毒的制造者為了讓用戶不能輕易破解密碼，采用了難以破解、不可逆的加密算法對數(shù)據(jù)加密。勒索病毒大多數(shù)使用RSA非對稱加密算法，有些還采用對稱密碼算法，AES，3DES和RC4，非對稱密碼算法RSA，ECDH等，甚至有時還使用其他軟件的加密模塊進(jìn)行加密，個人用戶根本無法解密自己的文件只有交付贖金，才能拿到解密的密鑰，恢復(fù)文件[3]。

3 對勒索病毒計算機防護(hù)及措施

3.1 禁止重要服務(wù)器訪問外網(wǎng)

禁止重要服務(wù)器訪問外網(wǎng)，將保存有重要數(shù)據(jù)的服務(wù)器用內(nèi)網(wǎng)隔離，增加內(nèi)部服務(wù)器的升級服務(wù)。勒索病毒是蠕蟲和勒索軟件相結(jié)合產(chǎn)生新的病毒模式，可實現(xiàn)跨平臺、跨系統(tǒng)的傳播，對現(xiàn)有計算機安全防護(hù)模式產(chǎn)生的重大的威脅。用戶需主動防御，層層管理。

內(nèi)網(wǎng)安全漏洞也很多，勒索病毒也極易從內(nèi)部發(fā)起攻擊?！皟?nèi)網(wǎng)隔離是安全的”這種定式思維也是錯誤的，局域網(wǎng)數(shù)據(jù)資產(chǎn)和數(shù)據(jù)價值很大，被攻擊后影響很嚴(yán)重。校園、企業(yè)、政府機構(gòu)一直盲目認(rèn)為內(nèi)網(wǎng)會更安全，但實際上內(nèi)網(wǎng)也會受到攻擊和感染，主要因為內(nèi)網(wǎng)安全疏漏更多、防御更不足。最新的病毒變種利用“管理員共享”功能在內(nèi)網(wǎng)自動滲透，傳播速度可達(dá)每10分鐘感染5 000余臺電腦。內(nèi)網(wǎng)中毒更易引起連鎖反應(yīng)，一臺服務(wù)器的失守，導(dǎo)致全部計算機被攻陷。內(nèi)網(wǎng)管理者要注意殺毒軟件，應(yīng)用軟件的安裝和更新，對內(nèi)網(wǎng)網(wǎng)段的升級隔離，定期檢查系統(tǒng)配置是否正確沒有被篡改，對關(guān)鍵文件定期掃描檢查，對顯示文件和擴展名為vbs，shs，pif的文件進(jìn)行查殺。

3.2 嚴(yán)格設(shè)定服務(wù)器允許安裝的應(yīng)用

勒索病毒利用SMB漏洞攻擊，對主機端口進(jìn)行掃描，被攻擊后下載WannaCry木馬進(jìn)行感染，運行后進(jìn)行交叉感染傳播，再使用敲詐者編寫的tasksche.exe程序，對圖片、文檔、視頻、壓縮包等各類文件進(jìn)行加密，然后進(jìn)行勒索付費。勒索病毒入侵服務(wù)器或主機后，會對各類文件文檔進(jìn)行加密處理，采用2048位的RSA算法進(jìn)行文件加密，這種加密算法目前沒有有效的解密方法，暴力破解需要上百年時間。不在服務(wù)器上安裝不必要的軟件，只安裝必要的服務(wù)，與服務(wù)無關(guān)的應(yīng)用進(jìn)行關(guān)閉或禁用，F(xiàn)TP服務(wù)時則不要裝IIS服務(wù)。

3.3 防火墻只開放必要端口

防火墻只開放必要端口，設(shè)置訪問白名單，禁止不明網(wǎng)站和身份的用戶訪問。對于OA，ERP等對外提供服務(wù)的服務(wù)器只開放必要端口。在防火墻上創(chuàng)建拒絕策略，勒索病毒利用TCP的445端口和其他關(guān)聯(lián)端口135、137、139進(jìn)行感染，因為這一類端口權(quán)限較高，可以利用它訪問共享文件或共享打印機。系統(tǒng)需關(guān)閉445端口的訪問權(quán)限，在防火墻上配置入站和出站規(guī)則，禁止使用文件和打印共享服務(wù)。通過細(xì)化訪問控制策略，細(xì)化至IP和端口，核心交換機和匯聚交換機上應(yīng)配置限制相關(guān)風(fēng)險的ACL。

3.4 做好遠(yuǎn)程登錄訪問的審核控制

不要點擊OFFICE宏運行提示，避免來自O(shè)FFICE組件的病毒攻擊。積極升級最新的防病毒安全特征庫IPS，升到最新的防病毒庫，識別已發(fā)現(xiàn)的病毒樣本，進(jìn)行病毒過濾。勒索病毒具有蠕蟲病毒的特征，可以自我復(fù)制，自我傳播，對主機內(nèi)所有文件進(jìn)遍歷，判斷文件的擴展名是否存在于病毒內(nèi)的列表中，如果是，則加入加密列表，遍歷后對列表內(nèi)所有對象進(jìn)行加密操作。

使用監(jiān)測系統(tǒng)進(jìn)行流量分析，如果系統(tǒng)產(chǎn)生大量異常流量或是資源占有異常，SMB攻擊或455端口占有異常，都可能是病毒在擴散，可以盡快采取響應(yīng)措施，即時斷網(wǎng)或禁用網(wǎng)卡等操作，以盡可能減少損失。應(yīng)警惕用戶不要打開網(wǎng)頁掛馬、垃圾電子郵件與惡意捆綁程序，提高安全意識。

勒索病毒的傳播原理如圖1所示，攻擊者將偽裝成盜版軟件、游戲外掛或普通推廣軟件，通過病毒控制服務(wù)器發(fā)布，誘惑受害者下載使用，受害者計算機下載運行病毒模塊后被感染，病毒全程自動化攻擊計算機系統(tǒng)，通過挖礦法掃描受害者重要數(shù)據(jù)，打包重要數(shù)據(jù)，利用勒索模塊加密本機重要數(shù)據(jù)，加密算法通過現(xiàn)有技術(shù)不可破解，攻擊者發(fā)出勒索信息，索要贖金。

圖1 勒索病毒的傳播原理

3.5 使用強口令

勒索病毒最常用的攻擊方式為遠(yuǎn)程弱口令攻擊。用戶總覺得自己被攻擊的概率很低。事實上，成千上萬的攻擊者不停地使用工具掃描尋找弱口令設(shè)備。勒索病毒利用永恒之藍(lán)漏洞和遠(yuǎn)程桌面協(xié)議等服務(wù)弱口令植入病毒。病毒暴力破解各類空口令，字符強度不足口令，重復(fù)字符數(shù)多口令，以達(dá)到入侵的目的。系統(tǒng)應(yīng)及時修改使用強口令，并且督促用戶和管理員定期更換強口令。

3.6 做好服務(wù)器系統(tǒng)與數(shù)據(jù)的異地備份

網(wǎng)絡(luò)技術(shù)人員應(yīng)盡量做好定期異地備份，更換操作系統(tǒng)備份的工作。這些措施可增加網(wǎng)絡(luò)安全，減少網(wǎng)絡(luò)安全漏洞，但卻無法做到絕對避免病毒感染。因此，做好數(shù)據(jù)備份是應(yīng)對病毒的最后一道安全保證。如果備份系統(tǒng)與服務(wù)器一同感染了病毒且被數(shù)據(jù)加密，那備份也就失去了意義?？梢愿鼡Q操作系統(tǒng)備份，如果原有系統(tǒng)是Windowserver，那么新備份系統(tǒng)可以用Linux操作系統(tǒng)，也可以用虛擬機或備份一體機對系統(tǒng)進(jìn)行異地備份。

4 結(jié)語

重要數(shù)據(jù)信息部門不能掉以輕心，不能認(rèn)為內(nèi)網(wǎng)隔離就是絕對安全。內(nèi)網(wǎng)攻擊不易被發(fā)現(xiàn)，是個緩慢滲透，較長攻破的過程，就需管理員隨時做好內(nèi)網(wǎng)監(jiān)測。勒索病毒的暴發(fā)，體現(xiàn)了計算機防護(hù)體系還需要不斷進(jìn)步，傳統(tǒng)的病毒特征庫和防護(hù)體系都是先收集病毒樣本，然后提取樣本特征，再進(jìn)行查殺，這種模式導(dǎo)致病毒的查殺總是落后于病毒的出現(xiàn)。所以，要改變應(yīng)對病毒防御的思路，做好防護(hù)工作的同時，可利用“可信計算”進(jìn)行主動防御，這是一個較新的理論，“可信計算”的原理在于計算機運行全程可預(yù)測可控制，但不被干擾，一旦出現(xiàn)和預(yù)計不同，就阻止其運行，對系統(tǒng)訪問進(jìn)行干預(yù)，以期改變現(xiàn)被動防御病毒的局面，改為主動防范。