数腾白皮书:应对勒索病毒的灾备系统选型和方案
2019-04-23近期活跃的勒索病毒
2018年上半年最为活跃的勒索病毒有Globelmposter、Crysis、GandCrab和Satan,传播量达到上半年勒索病毒传播总量90%以上。
Globelmposter家族在2017年5月份被首次发现,后陆续发现.freeman、.panda、.reserve、.true+、.walker、.gotham、.techno、.chak等多个变种。近期有感染暴发趋势,医疗机构感染频率较高。最新变种GlobeImposter2.0取用2048位非对称加密算法进行加密,增加解密难度,目前暂无有效的恢复工具。该类病毒既有典型的勒索型病毒特征,如使用漏洞进行传播,统一篡改加密文件后缀,感染后生成文件提示缴纳虚拟币作为赎金。同时其传播的手段更丰富,如精心制作大量社会工程邮件,诱骗受害者点击下载恶意代码,病毒具有RDP弱口令猜测能力,通过共享漏洞、口令猜测、移动介质等手段在内网传播,而且内网主机感染后,黑客甚至利用该病毒进行内网渗透,远程控制进行进一步的攻击。
Crysis通过钓鱼邮件和远程RDP爆力破解的方式,植入到用户的服务器进行攻击。2018年3月, Crysis/Dharma 勒索软件出现一个新的变种, 文件被追加.java 扩展名。2018年5月16日, Crysis/Dharma 勒索软件出现另一个新的变种, 文件被追加.bip扩展名,它支持343种文件格式的加密,比最初增长了1.85倍。
GandCrab目前正通过一种名为Seamless的恶意广告软件进行传播。然后利用Rig工具包通过用户系统中的软件漏洞安装GandCrab。第二、第三版通过邮件传播。
Satan勒索病毒首次出现2017年1月份,利用RaaS进行传播。NSA武器库泄露之后,撒旦病毒迅速搭载“永恒之蓝”漏洞,还利用了JBoss、Weblogic等服务的漏洞,主动攻击局域网内其他存在漏洞的系统。
这四种勒索病毒攻击的都是Windows系统,从其攻击手段、传播手段、攻击目标分析如下:
完美应对勒索病毒的灾备系统需具备哪些特征?
1.系统平台
目前绝大多数的勒索病毒感染和攻击的都是Windows系统和部分MacOS系统,因此灾备系统平台应该选择Linux系统,可以极大的减少被勒索病毒攻击和感染的机会,防止备份数据也被勒索病毒破坏掉。但Linux系统也不是完全安全,也有部分勒索病毒的变种,例如赫赫有名的WannaCry变种,可以感染部分使用Windows Samba共享协议的Linux系统,例如,感染提供Samba服务的SAN存储、智能硬件等。因此,基于Linux平台搭建的灾备系统,不能基于Samba网络共享文件系统来做文件备份,建议完全关闭Samba服务,可抵御现有已知的具备感染Linux服务器的勒索病毒。
结论:灾备系统应基于Linux搭建,并关闭Windows Samba共享服务。
2.备份方式
一般来说,备份可以基于本机备份,也可以异机或者异地备份。本机备份又有多种方式,例如本地冗余副本备份,或者基于存储卷快照的方式提供多个历史副本,如,Windows的阴影卷。如果被病毒感染并加密了文件,可以从冗余的副本或者历史快照来恢复文件。看起来很完美,但是勒索病毒已经想到了这一点。勒索病毒会遍历所有磁盘并加密文件,同时删除Windows的阴影卷,把用户的备份历史快照全部删除。因此,要防止病毒感染和病毒删除备份文件,显然需要做异机或者异地的备份。
那么,异机备份就一定能抵御勒索病毒吗? 非也!这还要看备份的具体实现方式。有些异机备份产品的备份手段,实际上是采用将存储共享挂载到待备份机器上,然后采用备份代理或者脚本做本地目录到共享目录的数据备份的方式来实现的;还有些“LAN-FREE”的备份产品,在实际实现手段上,是将存储LUN挂载到待备份机器上,同样采用本地磁盘到共享磁盘进行文件或者数据拷贝的方式来做。在待备份的机器端看来,这些备份手段实际上是在本地配置了一个备份磁盘或者网络共享目录,然后将本地磁盘数据拷贝进去。那么对于勒索病毒来说,这些磁盘和共享目录,和本地磁盘一样是可以攻击和加密的。这种“异机/异地”备份手段在勒索病毒面前,完全失效。
结论:灾备系统应该独立于生产机器部署,生产机的数据应该备份到灾备系统上,而不能存在本地磁盘或者影卷上;备份数据传输应采用可靠安全的传输通道,不能基于共享目录或者存储挂载的方式实现。
3.多副本备份功能
勒索病毒通过加密用户关心的有价值的文件来进行敲诈勒索,而备份系统不同于病毒查杀防护系统,无法阻挡病毒感染文件,会如实地备份用户文件的变化数据,也就会同步把感染后的文件如实地备份下来。因此,要恢复被加密的文件,容灾备份系统需要具备多历史副本备份的能力,从而支持从备份历史副本中选择最新的未被病毒感染的文件进行恢复。因此,副本版本的时间颗粒度是一个关键的指标。根据用户的业务特点和价值,尽可能选择小颗粒度的副本时间间隔。目前,CDP类的产品,是一个比较好的选择。
多副本备份在实现方式上又可以分为全备份、增量备份和差分备份。考虑到数据的安全性、副本的时间颗粒度、备份存储空间等因素,一个好的灾备系统,应该具备全备份、增量备份或差分备份的能力,同时具备全备份恢复、增量恢复、差分恢复能力。从而在灾备能力和建设成本上有一个较佳的平衡点。
有的灾备系统还具备更进阶的手段来提高灾备的效率、灾备存储的利用率,如提供精简复制能力,跳过磁盘上无效的和空闲的数据,只备份有效数据。
结论:灾备系统应该具备多副本备份能力,可以细颗粒度地记录用户生产业务的历史状态,从而可以让生产系统恢复到未感染病毒时的状态。灾备系统应该支持精简复制、全备份、增量备份、差分备份、全备份恢复、差分恢复、增量恢复等特性,降低多副本备份带来的容灾系统存储建设成本。
4.业务级应急能力
业务应急的最大价值在于用户的生产系统被病毒感染加密后,生产业务系统宕机、下线时,可以通过灾备系统基于未受感染的备份副本,即时拉起应急业务系统,顶替受感染的生产系统对外提供服务,从而保证用户业务连续性,也为生产业务系统重建、恢复提供充足时间。
业务级应急能力也对备份能力有一定的要求,必须具备业务级备份能力。如传统的文件备份、文件恢复,就很难构建一个全业务级备份和应急系统。整机业务级多副本备份,是业务级应急能力保障的充分必要条件。
结论:灾备系统应该具备多副本业务级应急能力,即使生产系统受勒索病毒破坏,也能保证用户业务持续运行。
5.基于温热备份的业务应急能力
有的容灾系统采用热备份或者HA的方式来做备份和应急,具体的实现方式是在容灾平台上构建一个和源生产机器完全一样的容灾虚拟机,操作系统、中间件、应用和数据库都搭建成一样的,然后通过数据库复制、文件复制的方式做源生产机器和容灾虚拟机之间的数据实时复制。这种方式下,容灾虚机虽然在业务服务上是standby的状态,但是操作系统是在运行的,且和源生产机器操作系统及配置完全一样(也就有一样的漏洞和弱口令配置等);另外一方面,为了提供业务应急能力,他们的业务网络也是打通的。这样的环境下,勒索病毒摧毁了生产系统,同时攻击、感染在同一个业务局域网内的容灾虚机,简直是不费吹灰之力。
业务应急虚机一定不能在病毒环境下和生产机同时运行。正确的方式应该是,在发现生产机中毒后,关闭生产机,切断病毒感染源,再启动业务应急虚机。这就涉及到一项叫做温热备份的技术。所谓温热备份,是指备份数据在业务未应急状态下,应该是以数据归档的形态存在,而业务需要应急时,可以基于备份数据按需即时创建,无需预配置。在温热备份环境下,因为业务应急系统是以数据文件形式存在,勒索病毒也就无法在热系统内运行并感染、破坏文件了。
温热备份还有一个极大的好处,在于未发生业务应急时,灾备系统无需消耗计算资源,只需提供备份所需的存储空间即可。发生业务应急时,按需即时创建、弹性分配计算资源,从而,提供1:N的容灾应急能力,提高了计算资源的利用率,极大地降低了灾备应急系统的建设成本。
结论:灾备系统应该具备基于温热备份的业务应急能力。
6.业务告警能力
对于重要的、核心的业务系统,如何第一时间应对病毒并保证业务持续健康运行呢? 除了防病毒软件进行病毒防护和查杀、灾备系统提供备份和业务应急,还有一个重要的特性,那就是业务级的预警。当业务被病毒破坏而停止服务时,需要有第一时间告警,以便运维管理员最快时间处理、断开或者切断病毒感染源,防止病毒扩散。
一般来说,大型的IT系统都会配备运维系统,具备多种维度的监控和告警能力。如果没有独立完善的运维系统,那么对于灾备系统来说,具备业务级的告警能力就显得非常重要了。灾备系统可以监测生产业务的运行状态,发现业务宕机、下线时第一时间通过短信、即时通讯、邮件等多种方式发出告警,运维管理员就可以在灾备平台上快速定位出现问题的系业务统并拉起应急业务系统。
结论:灾备系统应该和运维系统搭配使用,如无独立完善的运维系统,灾备系统应该具备业务告警能力。
7.多业务多架构统一灾备平台
用户的基础IT架构多种多样,可能涉及到物理机、虚拟化、私有云、混合云等;可能存在复杂的业务集群、数据库集群;可能存在各种各样的数据库、中间件和应用系统。如果不同的基础架构、不同的业务系统、不同的应用和数据库都有自己独立的一套灾备方案和产品,将会使得灾备系统变得庞大、复杂而无法管理。灾备系统应该能对多种架构平台、复杂多样的业务和系统提供统一的灾备、应急方案,并提供统一的管理平台。
结论:灾备系统应该能对多种架构平台、复杂多样的业务和系统提供统一的方案和管理平台。
8.补丁加固演练平台
通过剖析勒索病毒的攻击手段、传播手段我们可以发现,基本都是通过RDP爆破、RDP和Samba漏洞、WEB应用漏洞等进行系统侵入。因此,生产系统的日常加固和升级就显得尤其重要。但是在生产系统直接打补丁修补漏洞、升级应用、数据库等,就会涉及到生产安全的问题,例如补丁升级后蓝屏等问题也层出不穷。灾备系统应能基于实时备份的副本,构建出一个和生产环境隔离的但是和生产系统完全一致的业务系统,在其中进行补丁升级、应用和数据库升级,验证无误,确保安全后,再到生产系统中进行同样的操作,从而在保证生产安全的前提下,实现了生产系统的加固和升级。
结论:灾备系统应该能构建出和生产系统完全一致的仿真环境,在其中可以进行系统加固和升级演练,确保升级有效、安全之后再应用到生产系统中,从而实现在保障用户生产安全条件下加固升级生产系统来应对变异的勒索病毒。
勒索病毒处置预案
1.事前防护
1. 加强病毒防护
1) 检测并修复各种弱口令,包括RDP远程桌面口令、Tomcat后台管理口令等。
2) 制定严格的端口管理策略,关闭不必要的端口,如RDP和Samba共享相关的135 137 138 139 445 3389端口等。
3) 部署实施防病毒和加固软件,设置防爆破策略。
4) 及时更新系统漏洞和升级补丁。
5) 使用防病毒软件定期检测木马病毒。
2. 部署实施灾备应急系统
部署实施可以完全应对和防护勒索病毒的灾备应急系统。灾备应急系统选型应该满足:
1) 独立部署,基于Linux系统平台构建,不采用samba等网络共享或NAS作为备份存储和手段。
2) 具备安全可靠的数据备份传输通道,拒绝基于网络共享和存储挂载的备份方式。
3) 具备业务级多副本备份能力,可以提供细颗粒度业务历史状态快照;基于精简复制、全量复制、增量复制、全量恢复、增量恢复提供高效的备份和存储方案。
4) 具备业务级多副本应急能力,可以保障生产业务持续服务。
5) 具备基于温热备份的业务应急能力,保证应急业务系统不受病毒侵害,稳定可靠。
6) 具备业务系统仿真能力,为生产系统的防病毒升级加固提供演练环境,保障生产安全。
7) 具备业务告警能力,及时发现病毒侵害,提高业务应急处置时效。
8) 具备多业务多架构统一灾备方案和管理能力。
2.事中处置
及时关闭受病毒感染的机器,关闭被感染的存储,排查并隔离感染源。
启动灾备平台应急功能,在灾备平台上拉起受影响而关闭的业务的应急系统,保证生产业务持续运行。
对未受感染的业务,在灾备平台上构建仿真业务系统,进行加固、升级测试,确保安全后,对生产业务系统进行加固和升级。
3.事后恢复
对已经中毒的业务系统进行病毒查杀。
对灾备平台上已经顶替生产业务系统运行的应急业务系统进行加固和升级。
通过灾备系统对病毒查杀干净后的业务系统进行恢复,并将灾备平台上应急接管后产生的新的业务数据无缝恢复到生产系统中。
将业务从灾备应急系统割接回生产系统。