勒索病毒防護——梁山話(huà)安全技術分享會(huì)第一期
發布時(shí)間: 2020.04.10 | 來(lái)源: 帕拉迪

梁山話(huà)安全爲漢武實驗室2020年新推出的培訓交流專題。主旨是與所有安全從(cóng)業人員一起分享在從(cóng)業過程中遇上(shàng)到(dào)的安全問題,予以剖析分享并給出解決方案。

                          ——本文(wén)爲此次會(huì)議(yì)的相關記錄

一、内容概述


此次培訓主要分爲四部分内容:

1.勒索病毒概述——簡述勒索病毒及勒索病毒發展史

2.勒索病毒攻擊原理(lǐ)分析——簡述勒索病毒主要攻擊方式及Wanna Cry攻擊原理(lǐ)分析

3.常見勒索場景演示——

 a.攻陷主機上(shàng)傳勒索病毒進行勒索

 b.用(yòng)戶使用(yòng)被植入惡意代碼的數據庫連接工(gōng)具導緻勒索

 c.黑客向業務系統上(shàng)傳木(mù)馬攻擊數據庫導緻勒索

4.勒索防護——漢武實驗室在組織層面,使用(yòng)者層面給出建議(yì)并結合帕拉迪科技有限公司的安全産品在某些(xiē)方面給出解決方案。



二、主要内容


勒索病毒概述







第一階段:萌芽期


AIDS trojan是世界上(shàng)第一個被載入史冊的勒索病毒,從(cóng)而開(kāi)啓了(le)勒索病毒的時(shí)代。——1989年,2萬張感染了(le)“AIDSTrojan”病毒的軟盤被分發給國際衛生組織國際艾滋病大(dà)會(huì)的與會(huì)者,導緻大(dà)量文(wén)件被加密。
早期的勒索病毒主要通過釣魚郵件,挂馬,社交網絡方式傳播,使用(yòng)轉賬等方式支付贖金(jīn),其攻擊範疇和(hé)持續攻擊能(néng)力相對(duì)有限,相對(duì)容易追查。



第二階段:成型期


2013下(xià)半年開(kāi)始,是現(xiàn)代勒索病毒正式成型的時(shí)期。勒索病毒使用(yòng)AES和(hé)RSA對(duì)特定文(wén)件類型進行加密,使破解幾乎不可能(néng)。同時(shí)要求用(yòng)戶使用(yòng)虛拟貨币支付,以防其交易過程被跟蹤。
這(zhè)個時(shí)期典型的勒索病毒有CryptoLocker,CTBLocker等。大(dà)多數情況下(xià),這(zhè)些(xiē)惡意軟件本身并不具有主動擴散的能(néng)力。



第三階段


自(zì)2016年開(kāi)始,然而随着漏洞利用(yòng)工(gōng)具包的流行,尤其是“The ShadowBrokers” (影子經紀人)公布方程式黑客組織的工(gōng)具後,其中的漏洞攻擊工(gōng)具被黑客廣泛應用(yòng)。勒索病毒也(yě)借此廣泛傳播。典型的例子,就是WannaCry勒索蠕蟲病毒的大(dà)發作(zuò),兩年前的這(zhè)起遍布全球的病毒大(dà)破壞,是破壞性病毒和(hé)蠕蟲傳播的聯合行動,其目的不在于勒索錢(qián)财,而是制造影響全球的大(dà)規模破壞行動。
在此階段,勒索病毒已呈現(xiàn)産業化、家族化持續運營。在整個鏈條中,各環節分工(gōng)明(míng)确,完整的一次勒索攻擊流程可能(néng)涉及勒索病毒作(zuò)者,勒索實施者,傳播渠道(dào)商,代理(lǐ)。



第四階段


自(zì)2018年開(kāi)始,常規的勒索木(mù)馬技術日益成熟。已将攻擊目标從(cóng)最初的大(dà)面積撒網無差别攻擊,轉向精準攻擊高(gāo)價值目标。比如直接攻擊醫(yī)療行業,企事(shì)業單位、政府機關服務器,包括制造業在内的傳統企業面臨着日益嚴峻的安全形勢。

編程人群基數的迅速增加,越來(lái)越多基于腳本語言開(kāi)發出的勒索病毒開(kāi)始湧現(xiàn),意味着将有更多的黑産人群進入勒索産業這(zhè)個領域,也(yě)意味着該病毒将持續發展泛濫。





勒索病毒攻擊原理(lǐ)分析






攻擊者通過攻陷企業郵件服務器,向企業内部所有用(yòng)戶發送釣魚郵件(僞裝成office圖标的exe程序,帶病毒的文(wén)檔、播放(fàng)器等)。用(yòng)戶無意中打開(kāi)釣魚郵件中的文(wén)件導緻被勒索。






攻擊者通過爆破等方式獲取企業内部人員vpn賬号,在企業内網進行系統漏洞/弱口令掃描,一旦用(yòng)戶主機未做好(hǎo)必要防護便會(huì)被勒索。





攻擊者通過業務系統/服務器漏洞攻陷Web服務器,對(duì)其進行加密并勒索。





攻擊者通過攻陷業務系統,獲取相應數據庫信息,在内網進行數據庫漏洞/弱口令掃描,一旦數據庫未做好(hǎo)必要防護便會(huì)被勒索。





Wanna Cry攻擊原理(lǐ):


(1)病毒啓動安裝
mssecsvc2.0——服務函數中執行感染功能(néng),對(duì)網絡中的計(jì)算(suàn)機進行掃描,利用(yòng)MS17-010漏洞和(hé)DOUBLEPULSAR後門(mén),傳播勒索病毒惡意樣本。
taskche.exe——設置對(duì)應的注冊表項實現(xiàn)開(kāi)機自(zì)啓動。執行勒索軟件加密行爲。
(2)文(wén)件信息搜集
遍曆目錄,如Program Files,Windows
将文(wén)件分類帶上(shàng)标簽加入文(wén)件容器

(3)文(wén)件加解密(簡化版)——非對(duì)稱加密











常見勒索方式演示



攻擊機:kali Linux
目标主機:Windows 7

流程:攻擊者通過ms17-010漏洞直接拿到(dào)目标主機系統權限,上(shàng)傳病毒程序并運行,使目标主機被加密。



主機:Windows 7 安裝了(le)帶勒索病毒的數據庫連接軟件plsql
數據庫:oracle 11g

流程:使用(yòng)者使用(yòng)帶病毒的數據庫連接軟件連接數據庫服務器,導緻服務器被加密。



業務系統:某OA系統
數據庫:mysql 8.0
流程:使用(yòng)者通過文(wén)件上(shàng)傳等漏洞将WebShell上(shàng)傳至業務系統,獲取服務器系統權限,通過蟻劍連接數據庫并執行相關加密代碼對(duì)數據庫信息進行加密。


勒索防護



組織層面:

1.對(duì)于計(jì)算(suàn)機網絡而言,我們要對(duì)網絡進行分層分域管理(lǐ),比如根據不同的職能(néng)和(hé)部門(mén)劃分安全域,對(duì)于各區(qū)域邊界進行嚴格的出入控制。在等保2.0中叫安全邊界管理(lǐ)。

2.對(duì)于網絡和(hé)主機,都要有嚴格的準入控制系統,不在白(bái)名單内的用(yòng)戶和(hé)主機不允許接入網絡,不在白(bái)名單内的進程和(hé)程序不允許運行。發現(xiàn)可疑主機要及時(shí)隔離處理(lǐ),發現(xiàn)可疑進程馬上(shàng)啓動相應的應急處理(lǐ)機制。
3.一旦發現(xiàn)感染病毒,不要急于格式化重裝系統,一定要先進行取證溯源,分析攻擊流程,尋找攻擊者以及可能(néng)的被感染者,防止病毒二次傳播。這(zhè)個過程是一個很(hěn)重要但(dàn)也(yě)很(hěn)難的過程,很(hěn)多黑客攻擊也(yě)并不是直接入侵的,而是通過一些(xiē)僵屍主機或者跳闆進行。而且攻擊後并不會(huì)隻攻擊一台,往往是同時(shí)攻下(xià)了(le)好(hǎo)多台電腦(nǎo),隻不過隻在其中一台或幾台實施了(le)破壞,其它沒有被破壞不代表就是安全的。通過追溯就能(néng)發現(xiàn)其他(tā)被攻擊的電腦(nǎo)有哪些(xiē)。
4. 加強宣傳,通過相應的網絡安全講座,讓大(dà)家意識到(dào)網絡安全的重要性,提高(gāo)安全意識,增強基本的安全技能(néng),養成良好(hǎo)的安全習慣。這(zhè)樣才能(néng)有效降低(dī)被病毒感染的風(fēng)險。

使用(yòng)者層面:

1、 沒有必要不要訪問外(wài)網,尤其是一些(xiē)非正規網站(zhàn),減少文(wén)件和(hé)目錄共享。

2、 使用(yòng)U盤、打開(kāi)郵件附件都要先掃描病毒再打開(kāi)。

3、 不要下(xià)載和(hé)使用(yòng)盜版軟件以及來(lái)路不明(míng)的軟件。

4、 及時(shí)爲系統/數據庫安裝安全更新,安裝個人防火牆,對(duì)進出流量進行控制。

5、 對(duì)于電腦(nǎo)端口加強防範,使用(yòng)主機防火牆關閉不必要的端口。

6、 發現(xiàn)問題要及時(shí)反饋給信息中心,不要自(zì)行處理(lǐ)。

7、 了(le)解必要的病毒知(zhī)識。

8、 要有安全意識,人是網絡安全中最重要也(yě)是最薄弱的環節。


結合我們的産品





帕拉迪下(xià)一代堡壘機
帕拉迪下(xià)一代堡壘機全通道(dào)文(wén)件傳輸控制功能(néng)(支持FTP/SFTP/SCP、剪切闆、磁盤映射等文(wén)件傳輸方式進行上(shàng)行、下(xià)行控制)
——通過将核心資産納入到(dào)帕拉迪下(xià)一代堡壘機之中,徹底掌控核心資産文(wén)件上(shàng)傳下(xià)載通道(dào),使核心資産免受勒索病毒的侵害。

賬号風(fēng)險安全管控功能(néng)(服務器賬号自(zì)動巡檢、賬号安全風(fēng)險管控等)
——通過定期對(duì)帕拉迪下(xià)一代堡壘機管控的資産進行賬号巡檢,及時(shí)發現(xiàn)資産中存在風(fēng)險的弱口令賬号、異常賬号、僵屍賬号,降低(dī)賬号被盜用(yòng)的風(fēng)險。


帕拉迪下(xià)一代數據庫應用(yòng)安全防禦系統

       通過帕拉迪下(xià)一代數據庫應用(yòng)安全防禦系統的網絡防火牆(來(lái)源控制)、準入防火牆(準入因子控制)、行爲防火牆(SQL執行語句控制)和(hé)業務防火牆(業務建模防護),使一切對(duì)數據庫的攻擊無所遁形,保證企業的數據安全。



Copyright © 2019 All Rights Reserved Designed
杭州卓測網絡科技有限公司