詳解：易到用車如何被黑客“開”走了車

“無車可用，客服失聯(lián)，APP也無法定位......易到用車，你是人間蒸發(fā)了嗎？賠我的充值款啊啊??！”

26號(hào)一大早，黑貓投訴平臺(tái)累計(jì)處理了類似投訴信息共計(jì)164008次。投訴原因很簡(jiǎn)單：易到用車沒車可用。

用戶們要求易到用車退還3122元的充值款，并要其對(duì)于這種欺詐行為給出個(gè)說法。

沒過多久，說法就如約而至了：

簡(jiǎn)單概括就是“同志們，不是你們被騙嘍，是我被綁架嘍！”

值得一提的是，十天前，易到用車剛剛獲得數(shù)千萬元戰(zhàn)略投資，投資方為大股東韜蘊(yùn)資本。

對(duì)此，網(wǎng)友在微博下的留言可謂是千奇百怪—;—;服務(wù)器啥時(shí)候恢復(fù)呀、恢復(fù)之后數(shù)據(jù)還能不能找回來呀、核心數(shù)據(jù)會(huì)不會(huì)被挪為他用呀、損失大不大呀，等等。

面對(duì)這些問題，宅宅找到火絨創(chuàng)始人馬剛和騰訊安全云鼎實(shí)驗(yàn)室云安全研究員張祖優(yōu)聊了聊。

廣撒網(wǎng)特征，但疑點(diǎn)重重

易到有車事件中，黑客不光加密了核心數(shù)據(jù)，使其面臨巨額勒索，還通過攻擊手段使得服務(wù)器宕機(jī)，才有了上面的大批用戶投訴。

張祖優(yōu)稱，一般來說，針對(duì)服務(wù)器的勒索病毒都是通過廣撒網(wǎng)的方式，也就是沒有固定目標(biāo)，一般就是掃描某個(gè)網(wǎng)段或者IP列表進(jìn)行批量化的攻擊，利用某個(gè)通用漏洞進(jìn)行入侵和植入勒索病毒并執(zhí)行，而整個(gè)過程的動(dòng)作一般都是預(yù)設(shè)好的，所以通常也不會(huì)做其他如拖庫(kù)等行為。

“這次易到的加密勒索從表面上看起來是比較符合這種廣撒網(wǎng)的傳播方式，特別是最近Windows RDS漏洞的爆發(fā)，看起來似乎是比較符合這種情況，每次新漏洞的爆發(fā)和Exp的流出總會(huì)導(dǎo)致在接下來的一段時(shí)間內(nèi)利用該漏洞的加密勒索或者入侵挖礦等入侵事件增多?！?/p>

宅宅從相關(guān)人士口中得知，此次事件的確有幾處存疑：

1、官方提到的勒索數(shù)額巨大，而一般加密勒索一般就是幾個(gè)比特幣，達(dá)不到數(shù)額巨大的地步；

2、根據(jù)易到官方的公告，這次主要是核心數(shù)據(jù)庫(kù)被加密，而一般核心數(shù)據(jù)庫(kù)的安全防護(hù)等級(jí)應(yīng)該是比較高的，通常不應(yīng)該存在勒索病毒所利用的那些常見的通用漏洞；

3、針對(duì)性的入侵利用勒索病毒進(jìn)行勒索的案例的確存在，因?yàn)檫@種方式相對(duì)比直接發(fā)郵件勒索更安全；

“所以這次的事件還是有很大的可能性是一次定向勒索事件。當(dāng)然，到底是不是還需要官方公開更多細(xì)節(jié)和證據(jù)來做判斷?！?/p>

企業(yè)勒索事件激增？幻覺！

勒索攻擊在我國(guó)爆發(fā)是在2016年初，起初大家對(duì)勒索病毒的直接感知是來源于WannaCry，這就給人種下了個(gè)人電腦更容易遭受加密勒索的感覺，但實(shí)際情況并非如此。

馬剛稱，由于個(gè)人用戶安全級(jí)別較低，更加容易撞到槍口上。但是，個(gè)人用戶一般會(huì)將此類郵件列入到“垃圾郵件”的行列（很多人并不覺得自己的信息有多值錢），因此真正能勒索到的也就只有零星幾家企業(yè)端受害者。

文件被加密了，可以通過爆破解密嗎？

對(duì)此，有的黑客選擇將攻擊對(duì)象鎖定在企業(yè)范圍當(dāng)中。針對(duì)企業(yè)植入勒索病毒通常有四種傳播方式：

a、通過郵件附件傳播，這更多的是針對(duì)企業(yè)的辦公網(wǎng)絡(luò)，通過批量發(fā)送郵件給企業(yè)、高校、醫(yī)院機(jī)構(gòu)等單位，這種類型主要針對(duì)那些如企業(yè)財(cái)務(wù)用電腦等有價(jià)值的電腦。

b、網(wǎng)站掛馬，通過獲取了網(wǎng)站的權(quán)限，在網(wǎng)頁(yè)中植入惡意代碼，主要是利用IE等瀏覽器漏洞，企業(yè)員工訪問網(wǎng)頁(yè)就會(huì)執(zhí)行惡意代碼從而植入勒索病毒。

c、利用系統(tǒng)或服務(wù)漏洞，直接執(zhí)行漏洞Exp從而在目標(biāo)服務(wù)器中執(zhí)行命令并植入勒索病毒。

d、一些軟件供應(yīng)鏈，比如通過入侵一些軟件的升級(jí)服務(wù)器替換升級(jí)程序?yàn)槔账鞑《尽?/p>

張祖優(yōu)稱，對(duì)于黑客而言針對(duì)企業(yè)和個(gè)人用戶的攻擊成本各有優(yōu)劣，主要取決于攻擊方式。而選擇攻擊前者的成本最終還是取決于企業(yè)的安全防護(hù)等級(jí)高低。

有時(shí)候，掏贖金也沒用

加密勒索一般分為兩種—;—;欺騙式勒索和真實(shí)勒索。前者多出現(xiàn)在Linux服務(wù)器，黑客在入侵了數(shù)據(jù)服務(wù)后直接刪除數(shù)據(jù)，然后留下勒索信息，要求支付比特幣來贖回?cái)?shù)據(jù)；這種情況黑客就是通過欺騙的方式，看最終有幾個(gè)上當(dāng)受騙支付比特幣。

馬剛將這種行為稱作“變態(tài)勒索”，他補(bǔ)充道，在之前的案例中，還有情況是勒索信息本身為欺騙信息，受害者不光無法得到數(shù)據(jù)，甚至連贖金都沒地方交。

出現(xiàn)這種奇葩情況，通常會(huì)有兩種原因：一個(gè)是由于勒索攻擊過于老舊，攻擊者停用了支付綁定的郵箱或者關(guān)停了支付流程；另一種則純?yōu)閳?bào)復(fù)性的勒索行為，所謂支付渠道只是個(gè)幌子。

張祖優(yōu)稱，近幾年入侵后進(jìn)行加密和挖礦成為了黑客攻擊存在的兩類主要風(fēng)險(xiǎn)。這與加密勒索的流行、各種漏洞的爆發(fā)以及數(shù)字貨幣熱潮的來臨都不無關(guān)系。因此，這可以說是一個(gè)綜合性因素造成的結(jié)果。

“面對(duì)幾百G的數(shù)據(jù)，黑客是如何把它們轉(zhuǎn)移走或者全部加密的？答案很簡(jiǎn)單，你的數(shù)據(jù)被直接刪除了，如果你有備份自然就好辦，如果沒有，就只能試試磁盤文件恢復(fù)的方式了?！?/p>

加密勒索易守難攻

“歸根結(jié)底，企業(yè)不重視安全問題是讓他們最終陷入困境的源頭?！?/p>

馬剛稱，這就好像一位病人，最初的潛伏期往往需要盡快醫(yī)治，但在他看來并不算事，直到晚期了才找到醫(yī)生說：求你把我救活吧。加密勒索可謂是易守難攻，一旦遭受攻擊，只有極小可能性能夠找出密鑰，大多情況是束手無策的。

張祖優(yōu)認(rèn)為，針對(duì)加密勒索，首先，其核心在于數(shù)據(jù)，所以數(shù)據(jù)的異地或者異機(jī)備份是重中之重。

其次，及時(shí)修復(fù)系統(tǒng)漏洞（特別是Windows補(bǔ)丁應(yīng)該及時(shí)更新），而針對(duì)服務(wù)器，建議善用安全組或者防火墻，部署的服務(wù)不要使用默認(rèn)配置，要限制訪問來源；而服務(wù)器的訪問建議Linux使用密鑰登錄，Windows可以修改默認(rèn)端口，避免弱口令，如果有條件的話使用堡壘機(jī)或者統(tǒng)一跳板機(jī)。

再者，加強(qiáng)員工意識(shí)培訓(xùn)，不要打開一些未知郵件，也不要用辦公電腦去訪問一些可疑網(wǎng)站，安裝一些未知軟件，如果企業(yè)有條件的話，可以在企業(yè)IT角度做一些安全投入。

以下為安全建議：

a、針對(duì)合規(guī)和安全管理入手，把資產(chǎn)、配置和基線做好，很多漏洞都是屬于安全基線范疇。

b、重視并建立安全運(yùn)營(yíng)機(jī)制，建立漏洞響應(yīng)和管理機(jī)制，及時(shí)跟進(jìn)最新爆發(fā)漏洞，及時(shí)修復(fù)相關(guān)安全問題，對(duì)于部署上線的業(yè)務(wù)需要進(jìn)行安全加固。

c、可以搭載一些外部安全能力，如進(jìn)行滲透測(cè)試，可以有效的發(fā)現(xiàn)企業(yè)相關(guān)的脆弱環(huán)節(jié)和安全問題，及時(shí)進(jìn)行修補(bǔ)。

d、可以適當(dāng)采購(gòu)一些安全產(chǎn)品，不管是研發(fā)還是辦公體系，通過專業(yè)的安全人員運(yùn)營(yíng)安全產(chǎn)品構(gòu)建一定的安全防御體系。

f、重視員工的安全意識(shí)培訓(xùn)，很多時(shí)候，企業(yè)安全這個(gè)木桶最短的板往往是員工。