1.1 勒索事件科普勒索病毒,是一种新型电脑病毒,主要以邮件,程序木马,网页挂马的形式进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。一般来说,勒索病毒的攻击链一般分为四大步:边界突破、病毒投放、加密勒索、横向传播。
当前勒索病毒很少会出现自动扩散的网络行为,原因是黑客是为了通过勒索病毒对目标单位进行勒索赎金,若使用自动扩散黑客也将难以控制,很可能把目标单位都加密导致单位瘫痪,现在更多的是黑客通过人工渗透的方法,找到重要服务器,再使用勒索病毒对其加密,以达到勒索赎金的目的。
勒索并不是某个病毒,而是一类病毒的统称;勒索主程序若不在运行的条件下杀毒软件很难检测或查杀(真实情况下勒索病毒相当于一款加密文件的软件,改造版的勒索病毒主程序一般有免杀功能,因此很难在不运行的条件下检测出来),只有在运行加密文件时会被部分杀软检测到,且勒索软件在加密完成后会启动自毁程序并删除winserver安全日志或操作日志(用来清除作案痕迹,防止通过逆向工程分析出解密算法),因此在未溯源到勒索病毒类型或源头时禁止恢复业务(有可能会导致二次加密或将备份文件加密)。
1.2 勒索病毒传播
1.2.1 纵向传播(南北方向)
1.2.1.1 3389远程桌面进入RDP(remote desktop protocol)桌面远程传输协议是一个多通道的协议,让用户连接上提供微软终端机服务的电脑。其中用到的远程数据传输协议为RDP(Reliable Data Protocol)可靠数据协议。所以日常在网络中有部分运维人员为了操作便捷会将3389端口映射至公网或云服务器上,在有网络的条件下即可接入内网做相关运维,因此此种方式是最有可能通过暴力破解进而将勒索投入至宿主机。
建议:建议关闭3389端口映射功能,所有远程运维通过vpn+堡垒机的形式做对应运维;
1.2.1.2 0day漏洞获取内网权限0day漏洞,又称“零日漏洞”(zero-day),是已经被发现(有可能未被公开),而官方还没有相关补丁的漏洞。通俗地讲就是,除了漏洞发现者,没有其他的人知道这个漏洞的存在,并且可以有效地加以利用,发起的攻击往往具有很大的突发性与破坏性。通常在全国HW中可以看到红队利用0day获取权限进而得分,也有黑客利用0day进行勒索攻击,获取钱财,因此0day漏洞是很难防范且最危险的。
建议:管理员应当及时修复系统发布的漏洞,收缩系统的暴露面及控制访问权限;作为开发人员应当尽可能多的在发版之前做黑白盒测试,做好对应安全机制后再将版本公布。
1.2.1.3 远控软件进入通过远程软件漏洞或泄露的连接码进行控制投放勒索病毒,最常见的远程软件有AnyDesk、todesk、向日葵、tightvnc、netman、qq、钉钉、Ammyy等,黑客一般利用远控软件不留痕且操作简单不易被发现的特点做对应的操作。或勒索病毒捆绑在远程软件之上,勒索病毒作者通过捆绑恶意软件的方式,将此勒索病毒与远程工具被捆绑打包在一起,利用此方法来逃避安全软件的检测、进而用户在网上下载远程软件时勒索病毒也被下载到本机,导致数据被加密。
建议:重要的运维机器请勿使用远控软件,个人机器使用完成后请立即更换验证码且退出关闭后台进程;下载远控软件时请务必从软件对应官网下载。
1.2.1.4 通过钓鱼邮件附件主要通过邮件附件、钓鱼邮件群发下载网址链接,用户点击钓鱼邮件或附件之后勒索病毒自动下载至电脑本机并自动运行,导致数据加密而造成损失。
建议:请勿打开来源不明邮件及异常邮件附件,若收到异常邮件或附件请立刻上报网络管理员或信息部门处理,传播过程中请将异常文件/附件压缩加密后转发(禁止未压缩加密传播)。
1.2.2 横向传播
1.2.2.1 通过445等端口传播内网一台机器被攻破或中毒后黑客会利用此台机器作为跳板机发起东西向扫描(扫描存活主机、版本信息、中间件、漏洞补丁情况等等信息),从而通过扫描的信息发起横向暴力破解(低高频配合爆破),拿到主机控制权限。例如永恒之蓝勒索病毒迅速传播,让网友们都担惊受怕。而这种勒索病毒基本上都是通过135,137,138,139,445等端口入侵。此种方式攻击大多发生在高校和医院场景。
建议:关闭445 135 137 138 139端口(或控制高危端口的东西向传播,单向放通445端口),同时更新微软最新补丁,及时备份重要数据,客户端安装防勒索的企业版杀毒软件并设置防卸载防删除密码。
1.2.2.2 通过内网通信软件传播内网某台机器中毒后通过聊天软件将病毒共享出去导致内网主感染中毒。
建议:严格控制内网机器文件传播,管理内网机器usb端口,安装杀毒软件做对应检查控制。
1.2.2.3 通过运维跳板机传播运维跳板机在网络中权限应该是相当大的,上通往外下达内网,权限在内网相当大,但是往往其安全也最容易被忽视,可以随意上传文件或安装远控软件;然后当跳板机被攻破时存留在跳板机上面的mstsc登录信息、桌面上业务系统密码信息、设备账号密码、全网拓扑等信息,黑客能轻而易举将全网拿下。
建议:禁止在运维跳板机上面存放敏感重要数据,数据及时清空且使用无痕浏览器访问,访问业务务必使用堡垒机;跳板机禁止安装远程操控软件,严格控制跳板机登录权限。
1.3 勒索病毒分析
1.3.1收集病毒样本服务器文件被加密,会被加密为.xxx后缀或者其他奇怪的后缀名称,在桌面提示需要支
付比特币赎金到某个账户,如果不支付将导致文件永远不可用,如下图所示:
机器中勒索后收集样本必装everything,用everything查看勒索后缀首次出现的时间(打开everything按照时间排序),然后在首次出现勒索后缀的文件前找.exe程序,找到命名无规则的.exe软件右键带密码压缩保存。
确认文件最早加密时间点,可通过手动查看或everything过滤排序,另外还可以通过杀软查杀,是否有加密程序还保留在系统里,根据加密程序上传时间也可以确定。
1.3.2 确认勒索病毒家族查看加密文件后缀,按照后缀可去如下网站进行搜索:
1.3.3 协调深信服安全团队帮助深信服安全团队协助分析可通过如下几种路径(如下路径均可获得服务):
① 联系深信服400 630 6430转EDR产品线
② 联系当地办事处工程师做对应协助及指导
③ 联系客户对应销售或渠道获得协助
1.3.4 确认是否有解密工具确认勒索病毒家族或具体类型后可去如下网站确认是否有解密工具(解密有风险,使用需谨慎,务必确认解密工具安全性,深信服侧不提供解密服务,也无解密合作方):
① 卡巴斯基:勒索软件解密工具集
② Avast:勒索软件解密工具集
③ MalwareHunterTeam:勒索软件解密工具集
④ nomoreransom:勒索软件解密工具集
⑤ Trendmicro:勒索软件解密方案
⑥ 勒索软件解密工具大全
1.4 客户关注问题答复
1.4.1 先恢复业务,别管别的了!业务固然重要,但是先要溯源之后才能部署业务,要么系统刚恢复又会被加密,导致二次加密或者备份数据也会在恢复过程中被加密,因此先要做对应溯源及清除工作后再恢复业务。
1.4.2 勒索是否可以解密?对于被勒索病毒加密的文件,则基本上是无解的,因为加密大多采用的是非对称加密算法。使用公钥加密,私钥解密,除非你能拿到黑客的私钥,否则解密几乎是不可能的。
1.4.3 我现在应该怎么办,会不会影响别的服务器?现在最重要的是溯源,如果不及时控制会影响到同一个内网下的其它服务器(其中通过445、135、137、139等端口横向传播)。因此需按照流程来,①断网收集病毒样本;②确认勒索病毒家族及加密保存样本;③确认是否有解密工具;④溯源分析并整理报告;⑤安全加固;⑥业务上线。
切记请勿在溯源之前恢复业务!
1.4.4 为什么有防火墙和杀毒软件依然会中勒索呢,怎么没防住?具体的还要溯源来看下信息,查看具体是通过什么路径进来的,有可能是通过服务器漏洞或内网横向传播或下载的恶意软件导致的,而杀毒软件也会被黑客登陆服务器后手动关闭,漏洞例如永恒之蓝/445smb服务或其他漏洞利用,具体原因还需要分析服务器安全日志来确定。
1.4.5 我需要报备给监管单位或者报警吗?① 个人中勒索需及时断网并上报信息中心;
② 集团服务器中勒索收集溯源信息后(处理完成后)可报警寻求协助;
③ 监管单位有明确的要求的需要上报监管单位,并及时切断和监管单位互联线路;
附录:网警会配合调查及溯源,查看是否会抓到真凶;若单位勒索病毒未对社会面造成影响则不会追责。
1.5 内部协作机制
1.5.1 销售应该借测哪些设备,有什么作用?溯源前:溯源之前应协调安服和技服(渠道安服T1及以上人员),同时可以让技服关注客户整体拓扑,先用EDR或交换机做东西向高危端口策略阻断内网传播,再者根据拓扑协调适当的出口7层设备(AF、AC等)。
溯源后:溯源后应根据攻击者入侵方式和入侵路径部署对应防护措施:NGAF做互联网边界及外联单位互联防护、服务器前端ips与waf等防护;终端及服务器EDR,若客户无虚拟化则可使用SASEEDR,终端或服务器数量可由办事处工程师根据客户具体情况申请;协调态势感知(sip)镜像汇聚(终端流量)及核心(南北方向)流量做溯源加固后分析,分析是否有异常流量;全网行为管理AC,针对用户远控软件等行为进行审计及管控,确保符合等保或公司审计安全建设要求。
1.5.2 技服拿到测试设备,应该了解什么信息配置什么策略?EDR:勒索病毒防护功能,并检查策略是否生效;w隔离策略,封堵东西高危无用端口。
NGAF:按照位置部署调整策略(版本、规则库最新最稳定,授权最全):
①互联网出口:四层应用控制策略高危端口封堵并记录日志;ips防护策略(切勿用默认模板);内容安全中邮件安全;僵尸网络(切勿用默认模板)等策略。
②服务器区前:精准四层应用控制策略高危端口封堵并记录日志;精准ips防护策略、waf策略;重要系统得防扫描及联动封锁功能等策略。
附:防火墙开启严格策略后可能会拦截某些不规范的业务系统,请和客户提前同步风险。
SIP&STA:流量镜像镜像互联网、业务东西向(流量尽可能镜像全,但也要考虑探针和sip性能);sta开启流量镜像高级模式;检查版本、规则库是否最新;检查客户资产是否配置完全且需要细化资产名称;开启重保中心模块并配置对应重要监控资产;开启探针安全策略等功能。
1.5.3 现场怎么与安服协作?技服:分析网络拓扑,对可能进入的入口进行梳理(互联网出口、ipsec组网入口、专线入口、互联单位入口、监管单位入口等);协助客户查看安全设备及审计设备的日志,并做对应日志留存记录;协助安服溯源结果做安全设备的策略配置等工作。
安服:配合客户和技服梳理的暴露面/出口及分析中毒服务器相关日志进行勒索溯源及给出对应溯源报告,协同技服给客户做好加固动作并对病毒样本进行分析。
二、勒索病毒处理流程
2.1 断网处理,防止东西向传播正确处理勒索病毒第一步是——速速拔网线或隔离中毒主机!一旦电脑中了勒索病毒应立即采取断网处理,把中毒设备进行网络的物理隔离以防止内网横向传播导致其余主机传染,并及时向信息安全专家或业务厂商求助,由专业人士对受灾设备和数据进行处理和保护。横向和纵向封堵高危端口(包括但不局限于以下端口):135、137、138、139、445、smb协议、rdp协议等,对重要业务主机的非业务端口进行封堵(在本机出入站策略上做防护策略)。
2.2 分析勒索病毒家族及加密保存样本根据勒索病毒的不同现象,我们需要做的操作如下。
(1)IT管理人员发现服务器中的文件勒索通知截图取证。不同勒索病毒可能展现形式有一点区别,总体上都是文件加密+弹框勒索。
(2)被加密的时间和文件后缀名是什么,截图取证。
(3)服务器是否对外开放3389远程桌面端口,截图取证。
(备注,此工具仅用于检测是否存在漏洞,不推荐使用关闭端口和免疫功能)
(5)服务器是否存在被勒索当天的安全日志(例如管理员发现3月21日被勒索,则应该检查是否存在3月21的安全日志),截图取证。
勒索病毒的另一个现象是内网主机出现莫名其妙的蓝屏,病毒在局域网内一般都是通过网络共享服务传播,wannacry变种病毒传播方式跟之前勒索病毒一样,也是通过MS17-010中的永恒之蓝漏洞进行传播。在内网蓝屏主机上使用wireshark抓包工具会发现大量的445端口的数据包(注意:如果开机一会就蓝屏没法抓包,可以在交换机镜像口抓包,)使用杀毒软件或者深信服提供的EDR专杀工具,可以发现感染主机上存在木马病毒文件,病毒文件为C:\Windows\tasksche.exe、C:\Windows\mssecsvc.exe等。mssecsvc.exe释放自身中的资源文件到C:\Windows\tasksche.exe, tasksche.exe本应该是勒索程序,但此变种的该程序在主流的windows操作系统上运行出错,从而没有进行勒索行为。如果C:\Windows\tasksche.exe存在,mssecsvc.exe将其更名为C:\Windows\qeriuwjhrf,在重复感染的情况下,C:\Windows\qeriuwjhrf文件一般都存在。这种类型的勒索病毒会向外面连接恶意域名,通过抓包软就可以发现,感染病毒后的一些主机会请求恶意域名。
2.3 确认是否有解密工具参照1.3.4节查询解密工具,请勿轻信网络上能解密的网站或机构,深信服不提供任何解密服务或公司。
2.4 溯源分析(重点)
附录实例:
2.1 以当前这类通过RDP暴力破解方式攻击的病毒,都会留下RDP的登录日志,日志的路径在:C:\Windows\System32\winevt\Logs下,然后取出中毒主机该路径下Security.evtx的文件,使用RDP分析小工具进行RDP登录日志分析。
2.2 解压日志分析小工具“evtxlogparse1.0”到某特定目录下,然后运行文件夹中“cmd.exe”,以分析RDP的登录日志为例,输入命令“evtxlogparse.exe-r --rdp=success”然后再输入2.1中取出的Security.evtx文件,即可输入RDP登录日志。
2.3 通过分析该登录日志,结合客户业务中毒事件可得到RDP异常登录日志,此时我们就可以分析192.168.1.239的Security.evtx日志, 1.239这台主机的异常登录日志的源IP为来自伊朗的公网地址“178.131.121.28”,到此基本上就可以追溯到病毒爆发的源头。
2.4 据此推断定是因为该主机在公网上暴露或者映射了3389端口,然后与客户的IT管理员沟通了解该主机的情况,根据客户的描述为假期为了在断电重启之后方便登进来起服务,并用这台机器作为“跳板机”进行内网维护用,所以将该主机的3389端口映射在公网上,查看其出口网络策略确实发现有对应的策略,且经过了解该主机的密码为常见的“admin@数字”类型的弱密码。
2.5 至此,客户侧此次完整的攻击模型便大概梳理清楚了,由于1.239的主机在公网上映射了3389端口,然后攻击者通过RDP暴力破解率先登录此主机,然后投毒,然后通过该主机做为跳板机对内网中其他的主机进行投毒,导致被RDP暴力破解的机器均遭受此勒索病毒。
2.6 此时就可以根据上述攻击情况,在有条件的话还可以结合SIP对客户内网的资产和薄弱的地方进行梳理给出针对性的加固调整建议。
2.5 安全加固梳理出攻击源后将攻击方式进行全网阻拦,软件侧则取日志后卸载或做上网策略禁止此软件联互联网;端口问题及时在业务主机、防火墙、交换机封堵高危端口;漏洞问题及时通知业务厂家或及时更新windows补丁;东西南北向流量做对应加固防护,全网流量做镜像分析是否还有其余残余攻击并及时采取应对措施。
2.6 业务上线2.1至2.5内容全部操作完后在离线状态下(断网隔离),恢复快照或备份,并在最短时间内检查是否存在勒索病毒或后门软件,及时清理加固,做完前期工作后业务即可部署上线。
三、部署产品建议
3.1 整体加固拓扑构思加固防御,也是勒索病毒应急响应的重要组成部分,是防止二次伤害,二次中招的关键步骤,主要的加固和防御方向如:避免弱口令,避免多个系统使用同一口令;漏洞管理,定期漏扫,及时打补丁,修复漏洞;安装杀毒软件,定期杀毒;数据备份,对重要的数据文件定期进行非本地备份;安全意识宣传,包括不使用不明来历的U盘、移动硬盘等存储设备、不要点击来源不明的邮件以及附件、不接入公共网络也不允许内部网络接入来历不明外网PC。用户可以根据实际情况,按照如下框架改造:
3.2 深信服产品策略配置建议
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2023-12-5 17:20
发表于 2023-12-5 17:28
技术员1级 
