勒索病毒肆虐 安全狗發(fā)布專(zhuān)項(xiàng)解決方案

應(yīng)對(duì)勒索病毒的風(fēng)險(xiǎn)迫在眉睫,基于此,安全狗針對(duì)當(dāng)前面對(duì)的勒索病毒的現(xiàn)狀進(jìn)行了初步的總結(jié),并推出一些針對(duì)性的解決方案,希望對(duì)行業(yè)和用戶(hù)有所補(bǔ)益。勒索病毒的分類(lèi)有很多種方式,考慮到對(duì)于企業(yè)而言進(jìn)行防御的便利性,我們這里以傳播途徑為標(biāo)準(zhǔn)進(jìn)行了若干總結(jié)。

社會(huì)工程學(xué)傳播

如Locky病毒,該病毒一般是通過(guò)郵件方式進(jìn)行傳播,黑客對(duì)目標(biāo)對(duì)象發(fā)送帶有附件的惡意郵件,員工或者領(lǐng)導(dǎo)一旦打開(kāi)附件后,電腦、手機(jī)上的各種重要文件,包括軟件源代碼、Word、PPT、PDF、圖片等都會(huì)被加密,無(wú)法正常使用。

漏洞傳播

漏洞傳播存在多種類(lèi)型。

1、通過(guò)服務(wù)器弱口令傳播

如Rapid勒索病毒,根據(jù)部分網(wǎng)友在部分論壇中的反饋發(fā)現(xiàn),該病毒通過(guò)服務(wù)器弱口令方式傳播。

2、永恒之藍(lán)系列

①Wannacry及其變種可謂該系列病毒中最為臭名昭著的一類(lèi)了,爆發(fā)以來(lái)造成的損失不計(jì)其數(shù),包括安全狗在內(nèi)的眾多廠(chǎng)商均針對(duì)該系列病毒推出過(guò)解決方案。

②Petya勒索病毒的變種。使用的傳播攻擊形式和WannaCry類(lèi)似,但該病毒除了使用了永恒之藍(lán)(MS17-010)漏洞,還罕見(jiàn)的使用了黑客的橫向滲透攻擊技術(shù),利用WMIC/PsExec/mimikatz等

③Satan勒索病毒。通過(guò)永恒之藍(lán)漏洞攻擊工具在局域網(wǎng)內(nèi)橫向傳播,主動(dòng)入侵未安裝補(bǔ)丁的服務(wù)器

復(fù)合傳播方式

1、GandCrab家族勒索病毒

傳播渠道相對(duì)其他家族豐富很多,包括掛馬攻擊、水坑攻擊、漏洞攻擊和釣魚(yú)郵件攻擊,其中水坑攻擊令人防不勝防。水坑攻擊傳播通過(guò)入侵網(wǎng)站后臺(tái),將網(wǎng)頁(yè)內(nèi)容篡改為亂碼,并且提示需要更新字體,誘導(dǎo)用戶(hù)下載運(yùn)行“字體更新程序”,實(shí)際上用戶(hù)下載到的是GandCrab2勒索病毒。GandCrab3勒索病毒還通過(guò)Bondat蠕蟲(chóng)下載傳播。

2、Crysis勒索軟件

有的廠(chǎng)商認(rèn)為Crysis這個(gè)勒索軟件主要通過(guò)垃圾郵件、釣魚(yú)郵件、游戲修補(bǔ)程序、注冊(cè)機(jī)、捆綁破解軟件等方式傳播;有的廠(chǎng)商則認(rèn)為主要傳播方式是利用服務(wù)器弱口令漏洞,爆破遠(yuǎn)程登錄用戶(hù)名和密碼,進(jìn)而通過(guò)RDP(遠(yuǎn)程桌面協(xié)議)遠(yuǎn)程登錄目標(biāo)服務(wù)器運(yùn)行勒索病毒,黑客遠(yuǎn)程登錄服務(wù)器后手動(dòng)操作。

我們認(rèn)為這些傳播方式可能均存在,只是基于廠(chǎng)商的立足點(diǎn)不同和統(tǒng)計(jì)方式的區(qū)別而存在差異,如基于個(gè)人PC端統(tǒng)計(jì)到的傳播方式社會(huì)工程學(xué)方式居多,然而對(duì)于服務(wù)器則是以服務(wù)器弱口令漏洞傳播居多,故而分類(lèi)為復(fù)合傳播方式。

3、GlobeImposter勒索者病毒

GlobeImposter勒索者病毒可以利用電子郵件、文件傳輸?shù)确绞竭M(jìn)行擴(kuò)散,更主要的特點(diǎn)是利用系統(tǒng)的漏洞發(fā)起動(dòng)態(tài)攻擊。針對(duì)企業(yè)服務(wù)器的攻擊以弱口令爆破服務(wù)器后遠(yuǎn)程登錄的方式最為常見(jiàn)。黑客使用自動(dòng)化攻擊腳本,暴力破解服務(wù)器管理員賬號(hào)密碼,入侵后可秘密控制服務(wù)器,卸載服務(wù)器上的殺毒軟件并植入勒索病毒。

根據(jù)我們的推測(cè),大多沒(méi)有發(fā)現(xiàn)傳播模塊的勒索病毒,其實(shí)并不是沒(méi)有傳播模塊,只是,在傳播過(guò)程中,傳播模塊并沒(méi)有一起傳播,部分黑客限于技術(shù)或有意控制傳播范圍只針對(duì)某些目標(biāo)時(shí),只進(jìn)行勒索而不大范圍感染傳播,也有些是因?yàn)楹诳头乐贡凰颂綔y(cè)出傳播手段,發(fā)現(xiàn)漏洞后手動(dòng)利用漏洞釋放病毒,而不使用自動(dòng)傳播模塊,避免手段泄露。

針對(duì)多種傳播類(lèi)型的勒索軟件,也需要多樣的手段來(lái)進(jìn)行防御,我們總結(jié)了這些可以進(jìn)行的防御方式。

事前加固

1、檢測(cè)并修復(fù)弱口令

2、制定嚴(yán)格的端口管理策略

3、設(shè)置防爆破策略

4、一鍵更新漏洞補(bǔ)丁

5、病毒木馬檢測(cè)

事中防御

1、通過(guò)對(duì)網(wǎng)絡(luò)內(nèi)部主機(jī)的進(jìn)程、會(huì)話(huà)、資源等指標(biāo)參數(shù)進(jìn)行監(jiān)測(cè)以發(fā)現(xiàn)異常的可疑行為。

2、結(jié)合威脅情報(bào)提供的遠(yuǎn)控或高危黑IP,感知可能正在發(fā)生的攻擊事件

事后處置

1、隔離感染主機(jī):已中毒計(jì)算機(jī)盡快隔離,關(guān)閉所有網(wǎng)絡(luò)連接,禁用網(wǎng)卡。

2、切斷傳播途徑:關(guān)閉潛在終端的SMB 445等網(wǎng)絡(luò)共享端口,關(guān)閉異常的外聯(lián)訪(fǎng)問(wèn)?？砷_(kāi)啟IPS和僵尸網(wǎng)絡(luò)功能進(jìn)行封堵。

3、查找攻擊源:手工抓包分析或借助安全狗嘯天態(tài)勢(shì)感知平臺(tái)快速查找攻擊源,避免更多主機(jī)持續(xù)感染。

4、查殺病毒:推薦使用安全狗進(jìn)行病毒查殺,快速分析流行事件,實(shí)現(xiàn)終端威脅閉環(huán)處置響應(yīng)。

為確保用戶(hù)能及時(shí)有效地清除挖礦病毒,用戶(hù)可以通過(guò)以下聯(lián)系方式獲取專(zhuān)項(xiàng)清除方案以及必要的人工協(xié)助。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。