博客

勒索攻击猖獗,在云上如何应对这位“破坏分子”?产品服务解决方案关于我们

  • 主页
  • 由dcloud waf hot为网站定制的产品中心防ddos防御服务云防御游戏盾新的在线游戏ddos防御终极解决方案抵御ddos高防御IP快速和高防御访问减少损害享受平滑、平滑和高防御服务器性能成本比ddos防御服务免费/商用ssl enhancES的可靠性、反嗅探和反劫持
  • 解决方案游戏解决方案网站解决方案金融解决方案电子商务解决方案
  • 新闻信息产业动态安全广播公司
  • 关于我们
  • 官方博客
400-000-4399登录注册保留

近年来,随着比特币等数字货币的匿名化,勒索攻击迅速兴起,对企业和个人构成了严重威胁。阿里云安全中心发现,最近的云敲诈攻击仍在继续发生,敲诈攻击正逐渐成为黑客现金流的主流方式。

近期敲诈行为的数据分析

1。对云主机的敲诈增加

阿里云安全中心发现,近期敲诈病毒袭击的成功受害者人数持续上升。敲诈勒索上升趋势的主要原因如下:

·越来越多的勒索病毒集成了丰富的攻击模块,这不仅是传统的破解弱密码的方法,而且具有自我传播、跨平台和蠕虫等功能,如幸运、撒旦勒索病毒等。

·云环境下租户业务的多样性和业务场景日益复杂,使得用户向黑客展示的基本攻击面不断扩大,并不断面临漏洞威胁。

·企业安全意识不足,密码管理和访问控制做得不好,黑客可以利用。

下图显示了过去六个月成功的勒索攻击的趋势:

主流敲诈家族,如crysis、grandcrab和lucky非常活跃,其他敲诈家族也逐渐形成规模,导致敲诈病毒感染的数量增加。下图显示了在云中捕获的敲诈家庭的比例:

2。敲诈攻击可以追踪到

根据最近的入侵数据分析,阿里云安全中心发现,攻击者主要通过云主机的安全配置缺陷和漏洞攻击,入侵并植入敲诈病毒。目前还没有发现新的入侵模式。

1)弱密码爆破。通过爆破22、445、135、139、3389、1433等弱密码,可以获得服务权限。

ssh/rdp暴力破解继续活跃。ssh和rdp服务是Linux/Windows云上两个主要服务器操作系统的远程管理端口。它们很早就吸引了黑客和僵尸网络的注意。他们的攻击区域主要是弱密码,攻击方法是暴力破解。

下图显示了高风险用户名的统计信息:

敲诈勒索猖獗,如何应对这“破坏者”在云端?

统计结果表明,root/administrator是暴力破解的两个最重要的用户名。这两个用户名无疑覆盖了最广泛的Linux/Windows系统。尝试破解弱密码更具成本效益。

勒索病毒常用的暴力解密码词典如下:

密码:dic=[''、'123456'、'12345678'、'123456789'、'admin123'、'admin'、'admin888'、'123123'、'qwe123'、'qweasd'、'admin1'、'88888888'、'123123123456'、'manager'、'tomcat'、'root'、'che'、'toor'、'apaguest'。

2)漏洞利用

由于云环境下租户业务的特殊性,Web服务一直是公共云威胁的主力军,攻击次数约占基础攻击防御的47%。这些网络漏洞通过僵尸网络和敲诈病毒迅速集成到武器库中,并在互联网上传播。阿里云安全中心通过对云上易受攻击的web服务的统计,分析用户需要重点关注web服务的安全整合。

最近,Lucky敲诈病毒活跃在云端,整合了大量的CVE攻击组件,使得其水平传播的能力非常强。主要漏洞包括以下漏洞:

  • jboss反序列化漏洞(CVE-2017-12149)
  • jboss默认配置漏洞(CVE-2010-0738)
  • Tomcat任意文件上传漏洞(CVE-2017-12615)
  • Tomcat Web管理控制台后台弱密码暴力攻击
  • WebLogic任意文件上传漏洞(CVE-2018-2894)
  • WebLogic WLS组件漏洞(CVE-2017-10271)
  • Apache Struts2远程代码执行漏洞(s2-045、s2-057等)
  • Spring Data Commons远程代码执行漏洞(CVE-2018-1273)
  • Nexus Repository Manager 3远程代码执行漏洞(CVE-2019-7238)
  • Spring数据通用组件远程代码执行漏洞(CVE-2018-1273)

三。数据库也可以被勒索

值得注意的是,阿里云安全中心在3月份发现了一个成功的数据库勒索。攻击者通过爆炸phpmyadmin入侵数据库,并删除数据库中的数据进行勒索。

攻击者删除所有数据,留下勒索消息并要求受害者支付赎金,以换取丢失的数据:

SET SQL_MODE = "NO_AUTO_VALUE_ON_ZERO";  SET time_zone = "+00:00";CREATE DATABASE IF NOT EXISTS `PLEASE_READ_ME_XMG`  DEFAULT CHARACTER SET utf8 COLLATE utf8_unicode_ci;  USE `PLEASE_READ_ME_XMG`;    CREATE TABLE `WARNING` (  `id` int(11) NOT NULL,  `warning` text COLLATE utf8_unicode_ci, `Bitcoin_Address` textext text collate utf8 ``` unicode `` ci,`` email` text`` email` text collate utf8 `` unicode `` ci`` email` text collate utf8 ` unicode ` ci` engine=innodb default charset=utf8 collate=utf8 ` unicode ` ci;insert into`` warning`````` id``````` id```````` email warn bitaddress```````` coincoin email you recovered lulu 1,`` recover lulule` recoverail recover 1,丢失数据:将0.045 BTC发送到我们的比特币地址,并通过电子邮件与我们联系,提供您的服务器IP地址或域名和付款证明。任何没有您的服务器IP地址或域名和付款证明一起的电子邮件都将被忽略。您的文件和数据库已下载并备份到我们的服务器上。如果我们不付款,我们将删除您的数据库。'、'1666666VT5Y5BPXPAK4JWQJ9GR26SLFQ8P'、'muhstik@protomail.com'、'alter table` warning`添加主键(`id');

在Culler被移除的情况下,在支付赎金之前,云安全中心强烈建议受害者验证攻击者确实拥有您的数据并能够恢复。在我们监视的攻击中,我们找不到任何转储操作或数据泄漏的证据。

2。云安全中心:让勒索攻击永不隐藏

敲诈勒索猖獗,如何应对这“破坏者”在云端?

为了应对棘手的敲诈病毒攻击,保护云中企业和个人的资产安全,阿里云安全中心构建了多维安全防御线,形成安全闭环,使所有攻击都能被追踪,威胁无缝可钻。

1。安全预防与检测

在黑客没有入侵之前,阿里云安全中心通过漏洞管理,主动检测潜在的漏洞风险,通过基线检查,一键验证弱密码等安全合规配置。

在黑客入侵过程中,云安全中心通过威胁建模和数据分析,主动发现和记录黑客的攻击链接,并及时提醒用户加强安全和修复漏洞。因此,建议用户从漏洞和基线的角度构建安全线。

2。主动防御

成功入侵黑客并试图敲诈后,阿里云安全中心基于强大的病毒搜索引擎实现主动防御,阻止网络中敲诈病毒的下载,阻止服务器端敲诈病毒的启动,隔离并阻止它,以防黑客成功攻击受害者的H。OST,还可以免遭敲诈病毒的攻击,保障行业安全。生意正常。

三。调查的可追溯性

阿里云安全中心基于多维威胁检测、威胁情报等数据,可以自动跟踪黑客的整个入侵链接到服务器,协助用户加强资产,使用户具有安全操作的能力。

三、安全建议

1。在阿里云安全中心的帮助下,调查已知的漏洞和漏洞风险,及时进行修复和加固,避免被勒索病毒攻击。

2。加强自身的安全意识,确保服务器上的所有软件都已更新并安装了最新补丁,没有密码不足的风险,定期备份有价值的数据,注意最新的漏洞警报,并立即扫描其系统以查找可能使用的已知CVE,并禁用PowerShell、SMB和O。不影响业务的其他服务。

三。建议你不要付赎金。支付赎金只允许网络犯罪分子确认敲诈有效,并不能保证您获得所需的解锁钥匙。

4。如果您不幸感染了勒索病毒,您可以通过以下链接等待访问最新的免费解密工具:https://www.nomoreransom.org/zh/decryption-tools.html

我还没有学会写个人说明!

大带宽云服务器有什么优势?

上一篇

租用香港服务器的好处和优势在哪里?

下一篇

你也可能喜欢

发表评论

插入图片

分类目录

微信扫一扫

微信扫一扫