4.1 勒索病毒簡介
勒索病毒通常利用非對稱加密算法和對稱加密算法組合的形式來加密文件
4.1.1 常見勒索病毒
·STOP勒索病毒
·GandCrab勒索病毒
·REvil/Sodinokibi勒索病毒
·Globelmposter勒索病毒
·CrySiS/Dharma勒索病毒
·Phobos勒索病毒
·Ryuk勒索病毒
·Maze(迷宮)勒索病毒
·Buran勒索病毒
4.1.2 勒索病毒傳播方法
·服務器入侵傳播:通過系統或者軟件漏洞進入服務器,或RDP破解遠控;利用病毒,木馬來盜取密碼進行入侵;
·利用漏洞自動傳播:利用系統自身漏洞進行傳播
·軟件供應鏈攻擊傳播:對合法軟件進行劫持篡改,繞過了安全產品
·郵件附件傳播:在附件中夾帶惡意文件,執行其中的腳本
·掛馬網頁傳播:在網頁插入木馬,受害的為裸奔用戶
4.1.3 勒索病毒的攻擊特點
無C2服務器加密技術:
·在加密前先隨機生成新的加密密鑰對(非對稱公,私鑰)
·使用新生成的公鑰對文件進行加密
·采用攻擊者預埋的公鑰把新生成的私鑰進行加密,保存於一個ID文件中或嵌入加密文件
無C2服務器解密技術:
·通過郵件和在線提交的方法,提交ID串或加密文件中的加密私鑰(一般攻擊者會提取該私鑰)
·攻擊者使用保留的與預埋公鑰對應的私鑰 解密受害者提交過來的私鑰
·把解密私鑰或解密工具交付給受害者進行解密
勒索病毒平台化運營更加成熟
勒索病毒攻擊的定向化,高級化
漏洞利用頻率更高,攻擊平台更多
攻擊目的多樣化
4.1.7 勒索病毒的防御方法
文檔自動備份隔離(定時任務腳本自動備份)綜合性反勒索病毒技術(蜜罐)雲端免疫技術(雲端下發免疫)密碼保護技術(采用弱密碼及雙因子認證)
4.2 常規處置方法
在勒索病毒的處置上,通常要應急響應工程師采取手動處置與專業查殺工具相結合的方法
4.2.1 隔離被感染的主機/服務器
在確認服務器/主機感染病毒后,應立即隔離被感染的服務器/主機,主要采取物理隔離,訪問控制權限。
4.2.2 排查業務系統
排查核心業務是否收到影響,對核心業務系統和備份系統進行排查
4.2.2 通過樣本進行分析
溯源一般通過查看服務器上留下的樣本進行分析,通過日志進行排查,尋找相關的病毒及可疑文件,從文件入手判斷入侵途徑
4.2.3
通過磁盤數據恢復技術,恢復被刪除的文件
4.3 防護
4.3.1服務器,終端防護
·服務器終端復雜密碼策略
·杜絕通用密碼管理
·安裝殺毒軟件,及時更新
·及時安裝漏洞補丁
·服務器開啟關鍵日志收集功能
4.3.2 網絡防護與安全檢測
·對內網安全域進行嚴格划分,各個安全域之間嚴格限制ACL,限制橫向移動范圍
·重要業務區及核心數據庫應設立獨立安全區域,做好安全邊界的防御,嚴格限制重要區域的訪問權限,關閉telent,Snmp等服務
·在網絡內架設IDS/IPS設備,及時發現,阻斷內網的橫向移動行為
·在網絡內架設全流量記錄設備,以發現內網的橫向移動行為,並為追蹤溯源提供支撐
4.3.3 應用系統防護及數據備份
·需要對應用系統進行安全滲透與加固,保障應用系統自身安全
·對業務系統及數據進行及時備份,定期檢查備份系統
·建立安全備案,一旦核心系統遭受攻擊,需要確保備份業務可以啟用
4.3.4 錯誤處置
·插入U盤,二次受害
·讀寫中招服務器/主機中的磁盤文件,很多勒索病毒:將保存於磁盤中的文件讀取到內存中,在內存中進行加密;最后將修改后的
文件重新寫到磁盤中,並將原始文件刪除
4.3.5 常用解密工具
·EMSISOFT的勒索病毒工具
·卡巴斯基勒索病毒工具
·趨勢科技勒索病毒工具
·NOMORERANSOM勒索病毒搜索引擎
·ID Ransomware
·騰訊管家勒索搜索引擎
·360安全衛士
·奇安信勒索病毒
·觀星實驗室日志分析工具
4.4 技術操作指南
應急響應工程師需要對勒索病毒時間進行初步判斷,了解事態現狀,系統架構,感染時間等。並確定感染面,還要及時提供臨時處置建議,對已經中招的服務器進行下線隔離,對未受害設備進行隔離;
在完成了對勒索病毒事件的臨時處置后,需要對勒索病毒的服務器/主機展開檢查工作,檢查主要圍繞系統和日志兩個層面展開。系統層面主要包括是否有可疑賬號,可疑進程,異常的網絡連接,可疑任務計划,可疑服務及可疑啟動項,確認加密文件是否可以解密,日志層面主要包括安全日志是否有暴力破解記錄,異常IP地址記錄,對感染的服務器/主機展開溯源工作,串聯異常登錄IP地址情況,最后定位攻擊的突破口;
在檢查過程中,可以將疑似樣本提取出來,通過威脅情報平台分析判斷樣本是否為可疑樣本,也可進行樣本分析,確認樣本的病毒類型,傳播特性及其他工作行為;
4.4.1 初步預判
判斷是否收到攻擊:業務系統是否能訪問,文件后綴是否被修改,勒索信展示,桌面有新文件;
了解勒索病毒加密時間:了解被加密文件的修改時間及勒索信建立時間,以此推斷執行程序的時間軸,以此進行溯源分析,追蹤攻擊者的活動路徑;
·linux系統執行命令【stat】,並查看Access,Modifty,Change三個時間,重點關注內容修改時間和屬性時間,判斷是否存在系統文件被修改或系統命令
被替換的可能,同時判斷加密時間提供依據;
了解受害范圍:通過集中管控軟件或全流量安全設備來查看范圍,以及網絡拓撲信息,業務架構,服務器類型;
4.4.2 臨時處置
為及時減小因勒索病毒導致的業務中斷可能造成的負面影響,避免勒索病毒橫向擴散,在確認服務器/主機感染勒索病毒后,應立即隔離被感染服務器/主機
針對已中招服務器/主機:
·物理隔離
·訪問控制:避免3389開放於公網,有需要可開啟VPN,並關閉135,139,445.
第一:立即修改被登錄服務器/主機的登錄密碼 第二:修改同一局域網下的其他服務器/主機的登錄密碼 第三:修改最高系統管理員的密碼
針對未中招服務器/主機
·網絡邊界防火牆全局關閉3389·安裝殺毒軟件或服務器版本
·關閉135,139,445等不必要的端口·系統補丁進行更新
針對未明確服務器/主機
·斷網進行檢查
4.4.3 系統排查
文件排查
win:查找各個盤符下面的異常文件,易混淆文件名;
linux:查找777權限文件,stat查看文件讀寫時間,【ls -ar | grep "^\."】可查看以.開頭具有隱藏屬性的文件;
補丁排查
【systeminfo】查看系統補丁情況
賬戶排查
win:隱藏賬戶排查;linux:命令查找用戶(詳細可查看必備技能篇章)
網絡連接,進程,計划任務排查
攻擊者通過遠控端進行反連,或通過木馬與惡意地址進行外聯傳輸數據,可查看網絡連接,發現可疑的網絡監聽端口和網絡活動連接。勒索病毒需要執行程序才能達到加密數據的目的,通過查找進程對異常進程進行分析,可疑定位病毒。木馬會將自己注冊為服務,或加載到啟動項及注冊表中,實現持久化運行。
win:可疑網絡進程,查看可疑進程,查看可疑任務計划,查看CPU,內存占用情況及網絡使用率,PChunter查看注冊表
Linux:查看可疑網絡進程和連接,查看CPU內存占用情況,查看系統任務計划,查看用戶任務計划,查看歷史執行命令
4.4.4 日志排查
通過日志排查,可發現攻擊源,攻擊路徑,新建賬戶,新建服務
Win:
系統日志:創建計划任務,安裝任務,關機,重啟
安全日志:主要檢測登陸失敗(4625)登陸成功(4624)
Linux:
查看所有用戶最后登錄信息:【Lastlog】查看登錄用戶失敗信息【lastb】查看用戶最近登錄信息【last】
4.4.5 網絡流量排查
當有安全設備時,通過網絡流量排查分析,為溯源提供方案:
·分析內網是否有針對445端口的掃描和MS17-010漏洞的利用
·分析溯源勒索終端被入侵的過程
·分析郵件附件MD5值匹配威脅情報的數據,判定是否為勒索病毒
·分析在網絡中傳播的文件是否被二次打包,進行植入式攻擊
·分析在網頁中植入木馬,讓訪問者在瀏覽網頁時利用IE瀏覽器等漏洞實施攻擊
4.4.6 清楚加固
確認勒索病毒事件后,需要及時對勒索病毒進行清理並進行相關的數據恢復工作,同時對服務器/主機進行加固
·邊界關閉3389,3389設置白名單登錄
·開啟防火牆,關閉135,139,445端口
·設置復雜密碼,且每台不統一
·安裝殺毒軟件
·系統補丁進行更新
·全站進行代碼審計
·結合態勢感知平台進行分析,
