云安全中心防勒索方案最佳实践

  • 收获赞:
  • 擅长领域:

勒索病毒入侵云服务器资源后会对数据进行加密勒索,导致业务突然中断、数据泄露和数据丢失,带来严重的业务风险。本文为您提供相应防护方案,帮助您防护云服务器资源,远离加密勒索病毒。

1 背景

越来越多的用户受加密勒索事件困扰。加密勒索软件利用系统漏洞,成功入侵用户业务服务器对全盘数据进行加密勒索,导致用户业务突然中断、数据泄露和数据丢失,带来严重业务风险。本文分析了导致加密勒索病毒发生的不安全因素,并提供了相应防护方案,帮助您防护云服务器,远离加密勒索软件。

通过对云上用户的调查分析,大部分用户未按照最佳的安全使用方式来使用云服务器资源,主要问题有:

  • 关键账号存在弱口令或无认证机制

  • 服务器关键账号(root、administrator)密码简单或无密码。

  • 数据库(Redis、MongoDB、MySQL、MS SQL Server)等重要业务使用弱密码或无密码。

  • 无访问控制策略,业务暴露在互联网上

  • RDP、SSH、Redis、MongoDB、MySQL、MS SQL Server 等高危服务可以通过互联网直接访问。

  • 服务器操作系统和软件存在高危漏洞

  • 恶意攻击者可以利用服务器操作系统和应用服务软件存在的高危漏洞,上传加密勒索软件或执行勒索操作,实现远程攻击。

以上不安全因素的利用成本较低,经常被黑客使用来发动文件加密、数据库删除等勒索攻击,攻击者不需要获取账号密码就可以对业务造成重创。

相关案例:

某客户反馈ECS上的数据被加密勒索,联系了云安全中心的工程师进行排查。经工程师分析,该客户ECS存在Web应用暴露在公网上,并且存在高危漏洞,攻击者通过攻击此漏洞入侵到ECS内部植入勒索病毒,从而完成了勒索攻击。

2 安全防护方案

在上述案例中,存在安全配置不当、漏洞未及时修复、数据没有定期备份等多个问题,最终导致客户的数据被成功勒索。云安全中心支持在勒索攻击的事前、事中、事后3个阶段进行全方面防护,建议您参照并部署以下安全防护方案。

事前阶段

2.1 安全配置检查

安全配置检查包括资产暴露分析、基线检查、云平台配置检查、AK泄露检测,主要目的如下:

  • 确保关键业务账号安全策略,避免服务器、数据库账号使用弱口令或无口令

  • 确保业务没有未授权访问风险、没有风险服务暴露在互联网上

2.1.1 资产暴露分析

通过资产暴露分析功能,您可以收敛公网暴露面,降低被攻击者或挖矿蠕虫软件从公网入侵的风险,对于已经存在的公网暴露风险应列为优先处理。

暴露组件分析

  • 您可以通过查看“资产暴露分析”功能中的暴露组件,检查是否存在组件或服务(如 redis、mongodb、elasticsearch 等)未预期地暴露到公网。

  • 若发现此类暴露组件,可把对应组件的公网暴露链路切段,如增加对应的安全组配置仅允许特定 IP 段访问。

image.png

弱口令暴露分析

  • 弱口令暴露在公网上极易导致系统被入侵,对于暴露在公网的弱口令风险需要紧急修复。

弱口令暴露分析

2.1.2 基线检查

基线检查支持弱口令、未授权访问、历史漏洞和配置红线的立体巡检,这些基线已经包含在默认检查策略中,完成系统、数据库和中间件的安全效果基线的修复加固能有效预防针对相关服务的勒索风险。

image.png

对于检测出来的风险项,可以参考详情页的加固建议进行修复,部分风险项也支持控制台一键修复。

image.png

2.1.3 云平台配置检查

云安全中心云平台配置检查从身份认证及权限、网络访问控制、数据安全、日志审计、监控告警、基础安全防护六个维度为您提供云产品安全配置的检查,帮助您及时发现您的云产品配置风险并提供相应的修复方案。​

image.png

建议您按照详情页的提示及时处理。

image.png

2.1.4 AK泄漏检测

云安全中心的AK泄漏检测功能,可以实时检测GitHub等平台公开源代码中的用户登录名和密码信息,识别出您资产的用户名和密码是否有泄露,并提供相应的告警,帮助您及时发现并处理可能外泄的AK信息。

2.2 漏洞管理功能

云安全中心支持漏洞管理功能,可以检测出服务器上存在的风险漏洞,建议您及时对检查出的高风险漏洞进行修复。

2.2.1 漏洞周期检测配置

建议您开启应用漏洞检测功能,并配置周期检测,检测周期配置为最短周期(当前为每隔 3 天)。另外请确认漏洞白名单中的漏洞均为确实需要加白的漏洞。

image.png

2.2.2 漏洞修复优先级

应用漏洞检测区分合规视角和真实风险视角,真实风险视角下展示的漏洞均为漏洞细节已公开,且 PoC/EXP 均可在互联网上方便获得的漏洞。这些漏洞均可以被攻击者或挖矿蠕虫程序有效利用。

因此“真实风险模式”下展示的漏洞均需高优先级修复,修复的先后顺序可参考“紧急程度”,从高到低进行修复。

无公网暴露服务相关的漏洞也需进行修复,避免被攻击者或挖矿蠕虫程序利用实现内网横向移动,进一步扩大影响面。

image.png

2.2.3 漏洞公网可以利用情况

当漏洞数量过多,且没有足够资源完成漏洞修复工作时,可以优先完成互联网边界服务相关漏洞的修复和处置。保证边界服务的安全性,为后续内部其余漏洞的修复赢得更多时间。

修复和处置方式如下:

  • 漏洞修复:漏洞详情中的修复建议完成漏洞修复

  • 临时处置:点击安全组 ID 或网元实例 ID,跳转到对应安全组或对应 SLB、NAT 配置界面,去掉服务暴露到公网的端口转发配置,或配置安全组仅允许特定 IP 或 IP 段访问该服务(临时处置不等于漏洞修复,后续仍需修复该漏洞)

image.png

事中阶段

2.3 安全告警处理

云安全中心支持实时检测您资产中的安全告警事件,覆盖网页防篡改、进程异常、网站后门、异常登录、恶意进程等安全告警类型。通过250+威胁检测模型,提供全面的安全告警类型检测,帮助您及时发现资产中的安全威胁、实时掌握您资产的安全态势。

您可以按照以下流程处理勒索病毒相关的告警事件:

  1. 登录云安全中心控制台安全告警页面

  2. 在安全告警列表中定位到勒索病毒,单击操作列的处理。当出现勒索事件时,云安全中心会产生勒索病毒的告警事件。

image.png
  1. 对确认需要查杀的勒索病毒,选中病毒查杀隔离该进程的源文件并单击立即处理,防止该程序再次启动。

  2. 确认crontab中是否存在异常的计划任务,删除或注释掉异常的计划任务。

image.png

2.4 主动防御

针对无法及时清理服务器上残留的勒索病毒或清理不干净导致复发的情况,云安全中心提供的病毒拦截功能可对勒索病毒进行精准拦截,在事前抑制勒索事件的发生。如何开启病毒拦截功能,请参见主动防御

image.png

另外,勒索病毒可能会破坏云安全中心客户端,因此建议开启客户端自保护。

事后阶段

2.5 防勒索备份

云安全中心针对勒索病毒,提供了通用的防勒索解决方案,该方案包括服务器防勒索和数据库防勒索两大功能,帮您解决服务器、数据库被勒索病毒入侵的后顾之忧。

附:防勒索支持系统内核版本,https://help.aliyun.com/document_detail/181915.html

2.5.1 服务器防勒索

无论您的服务器是阿里云服务器或非阿里云服务器、服务器使用的是专有网络或者经典网络,您都可以使用云安全中心的服务器防勒索功能为您的服务器创建防护策略。为您的服务器创建防护策略后,云安全中心会自动备份您服务器防护目录下的数据。如果您的服务器数据被勒索病毒感染,您可以随时恢复已备份的数据,避免勒索病毒对您的业务产生影响。

image.png

2.5.2 数据库防勒索

您可以为安装在阿里云ECS服务器上的MySQL数据库、Oracle数据、SQL Server数据库这三种数据库创建防护策略,备份您数据库上的数据。

image.png

2.5.3 相关配置建议

1.为避开业务高峰,云安全中心默认设定“数据备份开始时间”随机到业务低峰期(如凌晨0点以后)。您也可以在防护策略“编辑”->“自定义策略”->“数据备份开始时间”中进行手动设置备份时间(建议在业务低峰期开始、并避开整点)。因初次全量备份或增量备份文件较多,备份活动有可能持续数个小时。

2.建议规划好您ECS上的目录,只备份有价值的数据目录,无价值的数据排除在备份目录外。设置为备份指定目录,不仅有利于节省防勒索备份容量,还可以降低对ECS机器性能的占用。

3.建议定期检查防勒索备份容器,确保容量充足、避免超量使用。请注意,备份容量超量后若不扩容或手动清理会停止备份,并且超过“备份数据保留时间”后会自动清理可恢复数据版本,导致备份防护失效。

5.若挂载了NAS、OSS到ECS的目录上,则NAS、OSS存储的数据也被备份。建议排除挂载目录进行备份,或指定挂载目录中的必要数据进行备份。

6.零碎文件过多,可能会导致磁盘缓存、日志空间、和内存占用较高,可参考清理防勒索备份占用的服务器的磁盘空间

2.6 攻击溯源

云安全中心的攻击溯源功能,基于客户端全面数据采集结合云端图计算引擎,可以智能还原出攻击路径,帮助您详细了解挖矿程序入侵的过程和链路。

image.pngimage.png