針對勒索軟件的數據災備體系研究*

周 滔，戴沁蕓，薛 質

（1.上海交通大學，上海 200240；2.國家計算機網絡應急技術處理協調中心上海分中心，上海 201315）

0 引言

隨著互聯網前所未有的大規模應用，越來越多的企業、政府和個人，將重要數據暴露在互聯網之中，使得個人信息乃至政府和企業重要數據面臨著越來越多的威脅。從2020年4月的第45次《中國互聯網絡發展狀況統計報告》[1]中可以得到，截至2020年3月，我國網民規模達9.04億人，較2018年底增長7 508萬人，互聯網普及率達64.5%。互聯網互聯互通帶來極大便利的同時，也吸引了各種各樣的網絡攻擊。眾多網絡攻擊中，勒索軟件是持續危害用戶數據安全的重大威脅之一。根據2020年CNCERT發布的《2019年我國互聯網網絡安全態勢綜述》可知[2]，勒索軟件發展迅猛。CNCERT在2019年內捕獲勒索軟件超73.1萬個，較2018年增長超過4倍，給企業和個人用戶帶來了極其嚴重的損失。

1 勒索軟件概述

勒索軟件（Ransomware）是一種流行的木馬，通過騷擾、恐嚇甚至采用綁架用戶文件等方式，使用戶數據資產或計算資源無法正常使用，并以此為條件向用戶勒索錢財[3]。勒索軟件可以破壞所有使用計算基礎架構的企業，無論其基礎架構位于本地、虛擬環境和云，甚至是由第三方托管，給當今世界各地的企業造成了災難性的經濟和聲譽損失。

1.1 勒索軟件類型

勒索軟件分為對設備加密和對數據加密兩種類型。

1.1.1 對設備加密

該方式通過對設備進行鎖定，如鎖定用戶賬號、鎖定使用參數等方式，對設備可用性造成影響，迫使用戶支付贖金進行解鎖。常見于針對制造業生產線設備、數控機床以及帶網絡的數碼設備（高端數碼相機、平板電腦以及電子手表等）。

1.1.2 對數據加密

該方式通過加密用戶系統內的重要資料文檔、數據，再結合虛擬貨幣實施完整的犯罪流程，是當前受害群體最多、社會影響最廣以及勒索犯罪中最為活躍的表現形式。近年來，以MAZE以及其他類似變種勒索軟件為代表，數據泄露型勒索軟件發展迅速，特點是先通過入侵拿到企業內相關機密數據，再對企業數據進行加密。此類勒索的贖金包含兩部分，一是數據恢復數據的贖金，二是要挾公開數據的贖金。

1.2 勒索軟件攻擊方式

勒索軟件攻擊大致可以分為5個階段，如圖1所示。

圖1 勒索軟件攻擊的5個階段

階段1：感染。通過垃圾郵件、網絡釣魚或漏洞利用工具包等手段初步進入系統。

階段2：投放。勒索軟件執行建立持久性機制，篡改注冊表項，為其提供掩護，在系統關閉后自行重啟，并連網至特定網站收發信息。

階段3：備份攻擊。刪除鏡像文件和備份。

階段4：加密。建立加密密鑰，搜索特定類型的文件并進行加密。

階段5：通知勒索。通知用戶系統遭到感染，向用戶勒索贖金并提供付款說明。

1.3 勒索軟件現狀

隨著勒索軟件即服務（RaaS）產業的發展，勒索軟件技術門檻大大降低。密碼學算法的發展，運用高強度的對稱和非對稱加密算法對文件進行加密，使暴力破解解密幾乎沒有可能。公開密鑰加密的使用，使文件加密更加安全，可以確保加密密鑰不會在系統中被找到[4]。此外，比特幣等虛擬貨幣具有高匿名、變現易以及難追蹤等特點，絕大多數勒索軟件都采用比特幣作為贖金的支付手段，推動了勒索軟件的爆發式增長[5]。這些因素促進了勒索軟件在全球成泛濫態勢。

2 數據容災備份對防范勒索攻擊的重要性

2.1 備份系統易成為勒索軟件攻擊目標

事實上，現在很多黑客已經把目標從服務器轉移到備份系統。由于備份系統有對企業網絡中所有計算機數據的讀寫權限，因此黑客只要拿下備份服務器就可以實現對所有數據的加密和竊取。然而，備份往往是系統中最脆弱的環節。一方面，服務器上的探針和終端保護越來越多；另一方面，對備份服務器定制專門的防護相對較少，導致備份服務器的防御往往比較弱。簡單的備份代理或定制化應用，對于防范勒索軟件攻擊作用很小。

2.2 案例分析

從2020年第二季度中國華東區勒索軟件攻擊的案例中隨機抽取10個案例進行分析，如表1所示。其中，2家企業沒有數據備份，3家企業僅做了原機數據備份，1家企業通過網絡共享文件夾進行備份，2家企業使用基于Windows操作系統的備份系統，2家企業使用基于非Windows操作系統的備份一體機。

表1 2020年第二季度中國華東區勒索軟件攻擊10起案例分析表

2家沒有數據備份的企業，最終都只能選擇支付贖金的方式恢復數據，都存在支付贖金后仍有數據無法恢復的情況。

3家做了原機數據備份的企業，由于備份數據同時被加密，只能支付贖金恢復數據，同樣存在部分數據無法恢復。

1家通過網絡共享文件夾進行數據異機備份的企業，由于共享文件夾具備寫權限，備份數據被加密，只能支付贖金恢復數據，同樣存在部分數據無法恢復。

2家使用基于Windows操作系統的備份系統的企業，A公司由于基于Windows的備份系統在域內，攻擊者使用了域管理員權限進行系統控制，其數據同樣被加密，只能支付贖金恢復數據，且存在部分數據無法恢復的情況。B公司由于基于Windows的備份系統未安裝補丁程序存在漏洞，導致被攻擊者攻破，數據被加密，只能支付贖金恢復數據，同樣存在部分數據無法恢復。

2家使用了基于非Windows操作系統的備份一體機的企業，備份系統均未受到影響。A公司由于備份周期較長，導致部分數據未能按業務部門要求恢復到指定的時間點狀態；B公司數據由于定期進行災備演練測試，數據全部恢復。

從以上案例可以看出：一是沒有對數據進行備份或者備份方式不當的企業，其原始數據一旦受到攻擊將無法使用，業務系統必然會癱瘓，對企業來說恢復成本遠高于投入備份設備并定期維護；二是備份系統基于Windows操作系統且設備加入域管理，與無備份狀態基本無差異；三是使用基于非Windows操作系統的一體化備份設備，備份策略與業務需求一致并定期進行備份檢查、演練的企業，在勒索病毒的沖擊下數據可以做到零損失。

備份系統的重要性在于，很多數據文件在勒索病毒的加密過程中會被破壞且不可逆，即便使用攻擊者提供的工具也無法恢復這些數據。顯然，備份關鍵數據并使其易于恢復是企業抵御勒索軟件攻擊的最佳防線之一[6]。

3 容災備份體系分析

由于當前包括勒索軟件在內的網絡威脅已轉變為“何時”而非“如果”的情況，而受到勒索軟件攻擊后，企業遭受的損失取決于以下兩個方面。一是恢復數據的可能性，若不能自我恢復，則交納贖金成為恢復數據的唯一可能，且交納贖金后未必能恢復全部數據，因為數據很有可能會在加密過程中被損壞；二是恢復數據和恢復業務的時間，即恢復時間目標（Recovery Time Objective，RTO）和恢復點目標（Recovery Point Objective，RPO）。如圖2所示，RTO指從災難發生造成業務中斷到恢復業務所需的時間，RPO指當災難或緊急事件發生時數據可以恢復到的時間點。一般來說，RTO越短、RPO越新，代表容災能力越強。因此，企業需要重新審視并建立數據容災備份體系。

圖2 RTO（恢復時間目標）和RPO（恢復點目標）示意

3.1 熱 備（結合CDP技術）

熱備份是指備份服務器時刻處于聯機狀態，通過高速通信線路將數據從業務數據實時或定時傳送到備份系統。使用持續數據保護（Continuous Data Protection，CDP）技術備份的數據間隔在分鐘級甚至可以達到秒級，一旦發生服務器突然宕機或者出現客戶端無法訪問應用的情況，可以通過備份使系統恢復到出現故障前的某時間點，不用追補或只需追補很少的數據，備份系統即可快速接替生產系統運行，恢復業務。

備份服務器需提供足夠的空間作為緩沖冗余空間，對數據寫入進行監控，并通過一定規則構建日常業務數據模型。當檢測到業務數據異常時，采取人工介入審核。若審核通過，則繼續寫入；不通過，則進行數據回彈，并采取應急響應措施。此時，CDP技術自動捕捉數據全部變化和任意時間點回朔的功能，能有效幫助安全團隊分析黑客行為并恢復系統安全。

3.2 冷 備

冷備份也被稱為離線備份，是指在關閉數據庫且數據庫不能更新的狀況下進行的數據庫完整備份。一般來說，冷備份會定期進行業務數據備份，并利用光盤、磁帶等介質進行長時間保存。如圖4所示，在針對勒索攻擊方面，冷備份的最大優勢是利用數據離線和物理隔離，在一定程度防止勒索軟件攻擊備份系統，確保備份數據安全。

圖3 結合CDP技術的熱備份拓撲

圖4 冷備份拓撲

3.3 容 災

容災系統是指在異地建立兩套或多套功能相同的IT系統，互相之間可以進行監控和功能切換。當一處系統因意外（如火災、地震等）停止工作時，應用系統可切換到另一處，使業務繼續運行。如圖5所示，對單個系統而言，因為一般的容災系統是兩套系統同步數據，所以其中一套系統遭受勒索軟件威脅后，另一套系統也不能幸免。

“雙十一”和“黑色星期五”發生過幾起勒索事件，攻擊者加密企業數據，以無法在短時間內恢復業務而錯失業務收入進行威脅。可見，單個系統的備份可能只能滿足數據不丟失，卻不能滿足業務系統在短時間內恢復的需要。

4 針對勒索軟件的容災備份體系設計

針對勒索軟件攻擊特點和上述案例分析，構建企業通用容災備份體系，拓撲如圖6所示。

圖5 容災系統拓撲

圖6 針對勒索攻擊的容災備份體系拓撲

該體系可以實現：

（1）使用LAN網絡將重要文件、數據庫、虛擬機以及物理服務器的數據備份至備份服務器，支持應用數據的熱備份，備份期間不影響業務的正常運行。當發現遭受勒索軟件攻擊且備份服務器安全的情況下，及時通過應急預案進行原機或者異機恢復。

（2）任何容易被訪問感染的服務器和存儲都是勒索軟件攻擊的潛在目標，因此保持備份存儲與普通用戶文件存儲的分離和區別，是受到勒索后正確恢復的關鍵[7]。離線存儲設備只與備份服務器進行定期數據交換，定期與備份服務器相連，通過數據復制功能將數據復制到離線存儲設備中。

（3）離線存儲設備包括存儲服務器、云端對象存儲以及光盤塔/磁帶庫等。由于大部分黑客在利用勒索軟件攻擊前都會潛伏，通過后臺運行等方式逐漸了解備份業務的行為并逐步采取行動，因此作為恢復準備策略和災難恢復過程的一部分，在其他位置維護數據的永久副本非常重要。數據在多個地方存有多個副本，能最大程度上保證備份數據安全。當備份服務器發生故障或受到勒索軟件等攻擊后，這樣也方便企業自行恢復。

（4）當操作系統感染包括勒索軟件在內的惡意軟件導致重要數據被破壞、加密時，可使用操作系統恢復功能恢復前未被破壞時的操作系統，再恢復重要數據。當虛擬機發生故障或文件損壞無法使用時，恢復虛擬機整機。恢復的虛擬機可保留網絡標簽。

（5）當數據庫發生誤操作、錯誤語句等邏輯錯誤，甚至整個數據庫文件損壞造成數據庫宕機時，利用備份數據將數據庫恢復到最近時間點，或將數據庫異機恢復到另一個版本相同的環境中，繼續向應用層提供服務。

（6）當有文件丟失或損壞，或文件服務器的存儲發生物理故障需要恢復數據時，可以通過單文件恢復的功能進行文件級恢復，也可以通過完全恢復的方式將所有備份文件恢復到修復的原機或異機，繼續向用戶提供文件服務。

5 操作系統保護

如果操作終端發生故障，會導致整個系統無法工作。所以，不僅要對服務器進行備份，也需要對操作終端進行備份[8]。如圖7所示，通過將物理主機和虛擬主機的操作系統備份至備份服務器。把Windows操作系統的備份數據直接轉換為VMWare、KVM等虛擬平臺支持數據，通過掛載方式實現虛擬化平臺的即時恢復。對于物理主機和虛擬主機，可以通過引導恢復還原操作系統，減少重新部署配置應用環境的時間。它支持P2P、P2V以及V2V等模式操作系統恢復，實現服務器的平滑遷移。

圖7 操作系統保護示意

6 結語

作為抵御勒索軟件的最后一道防線，科學可靠的備份和恢復技術可以幫助企業將系統和業務面臨的風險降至最低，使其在遭到勒索軟件攻擊后迅速恢復，確保數據可用性和業務連續性。同時，數據備份與業務系統容災不僅僅是技術問題，管理也占了很大比重。定期的數據備份檢查和恢復測試，對于抵御勒索軟件以及在真實發生數據滅失場景下的應急處置有著至關重要的幫助。