4.1 勒索病毒简介
勒索病毒通常利用非对称加密算法和对称加密算法组合的形式来加密文件
4.1.1 常见勒索病毒
·STOP勒索病毒
·GandCrab勒索病毒
·REvil/Sodinokibi勒索病毒
·Globelmposter勒索病毒
·CrySiS/Dharma勒索病毒
·Phobos勒索病毒
·Ryuk勒索病毒
·Maze(迷宫)勒索病毒
·Buran勒索病毒
4.1.2 勒索病毒传播方法
·服务器入侵传播:通过系统或者软件漏洞进入服务器,或RDP破解远控;利用病毒,木马来盗取密码进行入侵;
·利用漏洞自动传播:利用系统自身漏洞进行传播
·软件供应链攻击传播:对合法软件进行劫持篡改,绕过了安全产品
·邮件附件传播:在附件中夹带恶意文件,执行其中的脚本
·挂马网页传播:在网页插入木马,受害的为裸奔用户
4.1.3 勒索病毒的攻击特点
无C2服务器加密技术:
·在加密前先随机生成新的加密密钥对(非对称公,私钥)
·使用新生成的公钥对文件进行加密
·采用攻击者预埋的公钥把新生成的私钥进行加密,保存于一个ID文件中或嵌入加密文件
无C2服务器解密技术:
·通过邮件和在线提交的方法,提交ID串或加密文件中的加密私钥(一般攻击者会提取该私钥)
·攻击者使用保留的与预埋公钥对应的私钥 解密受害者提交过来的私钥
·把解密私钥或解密工具交付给受害者进行解密
勒索病毒平台化运营更加成熟
勒索病毒攻击的定向化,高级化
漏洞利用频率更高,攻击平台更多
攻击目的多样化
4.1.7 勒索病毒的防御方法
文档自动备份隔离(定时任务脚本自动备份)综合性反勒索病毒技术(蜜罐)云端免疫技术(云端下发免疫)密码保护技术(采用弱密码及双因子认证)
4.2 常规处置方法
在勒索病毒的处置上,通常要应急响应工程师采取手动处置与专业查杀工具相结合的方法
4.2.1 隔离被感染的主机/服务器
在确认服务器/主机感染病毒后,应立即隔离被感染的服务器/主机,主要采取物理隔离,访问控制权限。
4.2.2 排查业务系统
排查核心业务是否收到影响,对核心业务系统和备份系统进行排查
4.2.2 通过样本进行分析
溯源一般通过查看服务器上留下的样本进行分析,通过日志进行排查,寻找相关的病毒及可疑文件,从文件入手判断入侵途径
4.2.3
通过磁盘数据恢复技术,恢复被删除的文件
4.3 防护
4.3.1服务器,终端防护
·服务器终端复杂密码策略
·杜绝通用密码管理
·安装杀毒软件,及时更新
·及时安装漏洞补丁
·服务器开启关键日志收集功能
4.3.2 网络防护与安全检测
·对内网安全域进行严格划分,各个安全域之间严格限制ACL,限制横向移动范围
·重要业务区及核心数据库应设立独立安全区域,做好安全边界的防御,严格限制重要区域的访问权限,关闭telent,Snmp等服务
·在网络内架设IDS/IPS设备,及时发现,阻断内网的横向移动行为
·在网络内架设全流量记录设备,以发现内网的横向移动行为,并为追踪溯源提供支撑
4.3.3 应用系统防护及数据备份
·需要对应用系统进行安全渗透与加固,保障应用系统自身安全
·对业务系统及数据进行及时备份,定期检查备份系统
·建立安全备案,一旦核心系统遭受攻击,需要确保备份业务可以启用
4.3.4 错误处置
·插入U盘,二次受害
·读写中招服务器/主机中的磁盘文件,很多勒索病毒:将保存于磁盘中的文件读取到内存中,在内存中进行加密;最后将修改后的
文件重新写到磁盘中,并将原始文件删除
4.3.5 常用解密工具
·EMSISOFT的勒索病毒工具
·卡巴斯基勒索病毒工具
·趋势科技勒索病毒工具
·NOMORERANSOM勒索病毒搜索引擎
·ID Ransomware
·腾讯管家勒索搜索引擎
·360安全卫士
·奇安信勒索病毒
·观星实验室日志分析工具
4.4 技术操作指南
应急响应工程师需要对勒索病毒时间进行初步判断,了解事态现状,系统架构,感染时间等。并确定感染面,还要及时提供临时处置建议,对已经中招的服务器进行下线隔离,对未受害设备进行隔离;
在完成了对勒索病毒事件的临时处置后,需要对勒索病毒的服务器/主机展开检查工作,检查主要围绕系统和日志两个层面展开。系统层面主要包括是否有可疑账号,可疑进程,异常的网络连接,可疑任务计划,可疑服务及可疑启动项,确认加密文件是否可以解密,日志层面主要包括安全日志是否有暴力破解记录,异常IP地址记录,对感染的服务器/主机展开溯源工作,串联异常登录IP地址情况,最后定位攻击的突破口;
在检查过程中,可以将疑似样本提取出来,通过威胁情报平台分析判断样本是否为可疑样本,也可进行样本分析,确认样本的病毒类型,传播特性及其他工作行为;
4.4.1 初步预判
判断是否收到攻击:业务系统是否能访问,文件后缀是否被修改,勒索信展示,桌面有新文件;
了解勒索病毒加密时间:了解被加密文件的修改时间及勒索信建立时间,以此推断执行程序的时间轴,以此进行溯源分析,追踪攻击者的活动路径;
·linux系统执行命令【stat】,并查看Access,Modifty,Change三个时间,重点关注内容修改时间和属性时间,判断是否存在系统文件被修改或系统命令
被替换的可能,同时判断加密时间提供依据;
了解受害范围:通过集中管控软件或全流量安全设备来查看范围,以及网络拓扑信息,业务架构,服务器类型;
4.4.2 临时处置
为及时减小因勒索病毒导致的业务中断可能造成的负面影响,避免勒索病毒横向扩散,在确认服务器/主机感染勒索病毒后,应立即隔离被感染服务器/主机
针对已中招服务器/主机:
·物理隔离
·访问控制:避免3389开放于公网,有需要可开启VPN,并关闭135,139,445.
第一:立即修改被登录服务器/主机的登录密码 第二:修改同一局域网下的其他服务器/主机的登录密码 第三:修改最高系统管理员的密码
针对未中招服务器/主机
·网络边界防火墙全局关闭3389·安装杀毒软件或服务器版本
·关闭135,139,445等不必要的端口·系统补丁进行更新
针对未明确服务器/主机
·断网进行检查
4.4.3 系统排查
文件排查
win:查找各个盘符下面的异常文件,易混淆文件名;
linux:查找777权限文件,stat查看文件读写时间,【ls -ar | grep "^."】可查看以.开头具有隐藏属性的文件;
补丁排查
【systeminfo】查看系统补丁情况
账户排查
win:隐藏账户排查;linux:命令查找用户(详细可查看必备技能篇章)
网络连接,进程,计划任务排查
攻击者通过远控端进行反连,或通过木马与恶意地址进行外联传输数据,可查看网络连接,发现可疑的网络监听端口和网络活动连接。勒索病毒需要执行程序才能达到加密数据的目的,通过查找进程对异常进程进行分析,可疑定位病毒。木马会将自己注册为服务,或加载到启动项及注册表中,实现持久化运行。
win:可疑网络进程,查看可疑进程,查看可疑任务计划,查看CPU,内存占用情况及网络使用率,PChunter查看注册表
Linux:查看可疑网络进程和连接,查看CPU内存占用情况,查看系统任务计划,查看用户任务计划,查看历史执行命令
4.4.4 日志排查
通过日志排查,可发现攻击源,攻击路径,新建账户,新建服务
Win:
系统日志:创建计划任务,安装任务,关机,重启
安全日志:主要检测登陆失败(4625)登陆成功(4624)
Linux:
查看所有用户最后登录信息:【Lastlog】查看登录用户失败信息【lastb】查看用户最近登录信息【last】
4.4.5 网络流量排查
当有安全设备时,通过网络流量排查分析,为溯源提供方案:
·分析内网是否有针对445端口的扫描和MS17-010漏洞的利用
·分析溯源勒索终端被入侵的过程
·分析邮件附件MD5值匹配威胁情报的数据,判定是否为勒索病毒
·分析在网络中传播的文件是否被二次打包,进行植入式攻击
·分析在网页中植入木马,让访问者在浏览网页时利用IE浏览器等漏洞实施攻击
4.4.6 清楚加固
确认勒索病毒事件后,需要及时对勒索病毒进行清理并进行相关的数据恢复工作,同时对服务器/主机进行加固
·边界关闭3389,3389设置白名单登录
·开启防火墙,关闭135,139,445端口
·设置复杂密码,且每台不统一
·安装杀毒软件
·系统补丁进行更新
·全站进行代码审计
·结合态势感知平台进行分析,