[[356777]]

本文轉(zhuǎn)載自微信公眾號(hào)「新鈦云服 」，作者王愛(ài)華。轉(zhuǎn)載本文請(qǐng)聯(lián)系新鈦云服 公眾號(hào)。   

Liam 近期針對(duì)傳統(tǒng)行業(yè)的勒索病毒攻擊事件愈來(lái)愈多，甚至一天內(nèi)會(huì)有多家同一行業(yè)的企業(yè)同時(shí)受到攻擊，造成企業(yè)業(yè)務(wù)運(yùn)營(yíng)中斷，個(gè)人和公司重要數(shù)據(jù)遭受破壞等嚴(yán)重安全問(wèn)題。

該情況一方面說(shuō)明勒索病毒攻擊已經(jīng)開(kāi)始組織化和行業(yè)化，另一方面也說(shuō)明傳統(tǒng)行業(yè)在信息安全方面防護(hù)能力脆弱，相比于互聯(lián)網(wǎng)、金融等行業(yè)，在信息安全管理和安全技術(shù)方面存在更多漏洞，更容易成為勒索病毒攻擊的對(duì)象。

勒索病毒危害分析

機(jī)器感染勒索病毒后，使用人員會(huì)很快發(fā)現(xiàn)許多常見(jiàn)的文件如word，excel，pdf等不能正常打開(kāi)，異?，F(xiàn)象明顯，因此很容易發(fā)現(xiàn)并上報(bào)到IT或安全部門，如果處置及時(shí)，一般不會(huì)造成企業(yè)內(nèi)大量機(jī)器感染。

但是另一方面，由于勒索病毒使用了非對(duì)稱加密方式對(duì)機(jī)器上的所有數(shù)據(jù)文件進(jìn)行加密，如果沒(méi)有對(duì)應(yīng)的解密密鑰，被加密后的文件基本不可能再被解密和還原。因此對(duì)已經(jīng)感染勒索病毒的個(gè)人電腦和服務(wù)器，如果之前沒(méi)有及時(shí)進(jìn)行數(shù)據(jù)備份，可能會(huì)因?yàn)殛P(guān)鍵數(shù)據(jù)丟失而造成無(wú)法挽回的損失。

如何正確處置勒索病毒感染事件

根據(jù)我們之前處理勒索病毒事件總結(jié)的經(jīng)驗(yàn)，企業(yè)在發(fā)現(xiàn)一臺(tái)或多臺(tái)機(jī)器感染勒索病毒后，IT人員和安全人員可按照如下流程進(jìn)行正確處置(如果企業(yè)沒(méi)有設(shè)置信息安全崗位，建議立即聯(lián)系第三方專業(yè)安全服務(wù)公司協(xié)助處置)。

1確認(rèn)勒索病毒感染跡象

勒索病毒感染后，桌面或文件夾通常會(huì)出現(xiàn)類似how_to_decrypt.hta網(wǎng)頁(yè)文件，可通過(guò)瀏覽器打開(kāi)，主要是英文信息，顯示勒索提示信息及解密聯(lián)系方式等;

同時(shí)很多文件被加上亂七八糟的帶有勒索病毒攻擊者郵箱地址信息的后綴名，文件不能被正常打開(kāi)(類似如下截圖)。

2隔離已感染機(jī)器，避免勒索病毒進(jìn)一步擴(kuò)散

對(duì)存在上述勒索病毒感染跡象的機(jī)器，應(yīng)立即實(shí)施網(wǎng)絡(luò)或物理隔離，避免勒索病毒通過(guò)公司有線和無(wú)線網(wǎng)絡(luò)繼續(xù)傳播。隔離方法包括：

• 已感染的無(wú)線上網(wǎng)機(jī)器，禁用無(wú)線網(wǎng)卡;
• 已感染的有線上網(wǎng)用戶，禁用有線網(wǎng)卡，同時(shí)拔掉機(jī)器的物理網(wǎng)線;
• 如果同一網(wǎng)段有多臺(tái)機(jī)器感染，可通過(guò)交換機(jī)進(jìn)行斷網(wǎng)，或修改無(wú)線網(wǎng)絡(luò)密碼;
• 已感染關(guān)鍵崗位電腦和重要服務(wù)器，立即關(guān)機(jī)，避免勒索病毒進(jìn)一步加密所有文件;
• 專人整理感染機(jī)器列表，供后續(xù)處置。

3對(duì)暫未感染勒索病毒的機(jī)器進(jìn)行加固，防止可能的感染途徑

勒索病毒感染一臺(tái)機(jī)器后，會(huì)通過(guò)文件共享、操作系統(tǒng)遠(yuǎn)程利用漏洞、賬號(hào)弱密碼等方式，進(jìn)一步獲取其它機(jī)器或AD服務(wù)器的賬號(hào)，從而進(jìn)行全網(wǎng)絡(luò)感染。

對(duì)暫未明確發(fā)現(xiàn)感染勒索病毒跡象的機(jī)器，基于勒索病毒的傳播方法和傳播途徑，可采取一些基本的安全措施快速進(jìn)行防護(hù)，避免感染。這些安全措施包括：

• 修改個(gè)人電腦、應(yīng)用服務(wù)器、域控服務(wù)器登錄密碼，修改為強(qiáng)密碼;
• 禁用guest賬號(hào);
• 統(tǒng)一關(guān)閉139、445端口，關(guān)閉RDP服務(wù);
• 安裝360、火絨等防病毒軟件進(jìn)行防護(hù)和查殺;
• 更新操作系統(tǒng)安全補(bǔ)丁。

4分析已感染機(jī)器，提取病毒特征

如果能夠快速定位出勒索病毒文件特征(如進(jìn)程名稱，執(zhí)行路徑，文件大小，md5值，自啟動(dòng)位置，進(jìn)程保護(hù)文件等)，可立即開(kāi)始全網(wǎng)排查，找出網(wǎng)絡(luò)內(nèi)其它已感染的機(jī)器并進(jìn)行隔離，從而減少整個(gè)勒索病毒事件的處置時(shí)間，降低勒索病毒給企業(yè)帶來(lái)的危害和損失。

根據(jù)我們處置勒索病毒的經(jīng)驗(yàn)，可優(yōu)先從以下幾方面進(jìn)行，包括：

• 和感染機(jī)器人員進(jìn)行深入溝通，如什么時(shí)間發(fā)現(xiàn)異常，之前執(zhí)行過(guò)哪些操作等，可幫助快速定位可能的病毒感染源;
• 通過(guò)任務(wù)管理器，查看CPU、內(nèi)存、IO使用率高的可疑進(jìn)程(特別是文件很多的機(jī)器，勒索病毒加密需要占用大量機(jī)器資源);
• 安裝病毒查殺工具，快速查找病毒文件，如火絨、360、clamav、BitDefender等;
• 安裝其它系統(tǒng)安全工具，包括微軟提供的SysinternalsSuite安全工具(autoruns64.exe，procexp64.exe，procmon.exe，tcpview.exe等)，PCHunter，火絨劍等進(jìn)行分析。

通過(guò)以上操作，安全人員應(yīng)該可以查找出勒索病毒文件和執(zhí)行進(jìn)程，可進(jìn)一步通過(guò)在線病毒查殺引擎快速對(duì)病毒文件進(jìn)行確認(rèn)，如：www.virustotal.com， www.virscan.org等網(wǎng)站。

對(duì)確認(rèn)為勒索病毒的可執(zhí)行文件，可進(jìn)一步通過(guò)在線沙盤快速進(jìn)行行為分析，如s.threatbook.cn，app.any.run等，確認(rèn)病毒行為特征。如通過(guò)微步云沙箱對(duì)某個(gè)偽裝成svchost.com文件的勒索病毒分析結(jié)果：

確認(rèn)勒索病毒行為特征后，可通過(guò)停止勒索病毒進(jìn)程，新建文件并觀察，啟動(dòng)勒索病毒進(jìn)程，查看文件是否被加密，進(jìn)一步確認(rèn)勒索病毒。

5根據(jù)病毒特征，全網(wǎng)篩查感染機(jī)器

通過(guò)提取的勒索病毒文件名、文件路徑、文件大小、文件簽名、md5值、進(jìn)程路徑和名稱等特征，可通過(guò)域控、單機(jī)或?qū)I(yè)桌面管理工具等進(jìn)行操作，迅速進(jìn)行全網(wǎng)排查。對(duì)存在感染勒索病毒特征的機(jī)器，進(jìn)行斷網(wǎng)隔離，并刪除勒索病毒文件和進(jìn)程，同時(shí)持續(xù)監(jiān)控是否繼續(xù)感染。

另外基于勒索病毒的網(wǎng)絡(luò)行為特征，可進(jìn)一步通過(guò)交換機(jī)鏡像流量分析，查找網(wǎng)絡(luò)內(nèi)是否存在已感染機(jī)器。

6已感染機(jī)器處置

已感染勒索病毒的機(jī)器，可通過(guò)停止勒索病毒進(jìn)程，刪除保護(hù)進(jìn)程或文件的方法，禁止勒索病毒運(yùn)行。同時(shí)通過(guò)U盤備份未加密文件。

文件備份后，統(tǒng)一重新安裝操作系統(tǒng)，并按照安全基線進(jìn)行加固和檢測(cè)后，部署應(yīng)用和恢復(fù)數(shù)據(jù)。

7勒索病毒感染溯源

勒索病毒感染途徑一般包括：外網(wǎng)服務(wù)器存在漏洞(如應(yīng)用層漏洞，RCE高危補(bǔ)丁未更新，賬號(hào)弱密碼等)，釣魚(yú)郵件附件，長(zhǎng)期隱藏存在的APT攻擊等。

勒索病毒溯源可通過(guò)對(duì)最初感染機(jī)器的人員操作行為和操作系統(tǒng)日志分析，企業(yè)內(nèi)網(wǎng)絡(luò)設(shè)備和安全設(shè)備日志分析等，進(jìn)一步追溯原始漏洞和入侵方式。

8修復(fù)感染源漏洞

如果能夠追溯到最初的感染源，可有針對(duì)性地進(jìn)行安全加固。如果不能追溯到原始安全漏洞，也應(yīng)根據(jù)勒索病毒傳播方式進(jìn)行安全加固，包括安全意識(shí)宣講，外網(wǎng)安全漏洞掃描和滲透，防病毒軟件安裝、安全補(bǔ)丁更新等。

9安全事件總結(jié)

根據(jù)勒索病毒溯源結(jié)果，IT或安全負(fù)責(zé)人應(yīng)對(duì)勒索病毒感染源情況進(jìn)行說(shuō)明，對(duì)感染機(jī)器、數(shù)據(jù)損失、恢復(fù)情況、恢復(fù)時(shí)間和費(fèi)用等進(jìn)行說(shuō)明。

10制定后續(xù)安全加固方案

企業(yè)感染勒索病毒的根本原因必然是在安全技術(shù)或安全管理方面存在某些漏洞，如沒(méi)有安裝防病毒軟件對(duì)勒索病毒文件進(jìn)行查殺，非IT部門員工缺乏基礎(chǔ)的信息安全意識(shí)，隨意保存和打開(kāi)勒索病毒可執(zhí)行文件等。這些當(dāng)前存在的和潛在的各種安全漏洞和安全風(fēng)險(xiǎn)需要及時(shí)處置，并最終在多層次、多階段建立一個(gè)統(tǒng)一的縱深安全防御體系。

新鈦云服可以基于安全最佳實(shí)踐并結(jié)合企業(yè)安全現(xiàn)狀，從遠(yuǎn)程辦公、網(wǎng)絡(luò)安全邊界、終端準(zhǔn)入、桌面管理、防病毒、數(shù)據(jù)防泄密、日常安全服務(wù)等多方面為企業(yè)提供合適的安全防護(hù)解決方案，同時(shí)也可以在安全規(guī)范、安全意識(shí)培訓(xùn)等方面提供幫助。

后記

勒索病毒越演越烈的背后原因主要還是利益驅(qū)動(dòng)，針對(duì)的是企業(yè)最具價(jià)值的數(shù)據(jù)，危害的是數(shù)據(jù)的可用性。后續(xù)攻擊者更有可能利用APT攻擊，在秘密竊取企業(yè)敏感數(shù)據(jù)后，進(jìn)一步加密數(shù)據(jù)進(jìn)行勒索，從而最大化攻擊者價(jià)值。

圖片

對(duì)傳統(tǒng)企業(yè)領(lǐng)導(dǎo)者和IT管理者而言，應(yīng)能夠認(rèn)識(shí)到企業(yè)信息化轉(zhuǎn)型后的IT威脅和風(fēng)險(xiǎn)影響，從而在企業(yè)信息安全建設(shè)和數(shù)據(jù)安全方面，可以給予IT部門和安全部門需要的各類安全資源，包括選擇專業(yè)的第三方安全服務(wù)廠商，進(jìn)而可以從安全管理和安全技術(shù)多方面進(jìn)行防范，減少和避免各類信息安全事件的發(fā)生。