应急响应之勒索病毒应对措施（听课内容）

　　1、渗透测试：是一种专业的安全服务，是针对目标系统入侵事件的实际演练。

　　2、安全事件

• 非授权访问：一个人在未经允许的情况下通过逻辑的或物理的方式访问网络、系统、应用、数据或其他资源，表现为一种入侵行为。
• 网络攻击事件---拒绝服务攻击：通过消耗CPU、内存、带宽或磁盘空间等资源的方式来阻止和破坏已经经过授权的用户对网络、系统等的正常使用。
• 恶意程序事件恶意代码：特洛伊木马，僵尸网络，挂马攻击，勒索病毒等。

　　3、应急响应方式

• 远程应急：通过电话，email等方式进行应急
• 本地应急：第一时间赶到客户现场，查找原因并解决相应问题，最后出具应急的报告

　　4、应急响应步骤

　　（1）准备

• 明确管理人员
• 绘制网络拓朴
• 整理常见问题手册
• 申请应急专项资金
• 采购专业硬件设备，应急响应各种工具
• 制定应急操作步骤
• 组建管理团队，技术团队
• 编制应急响应人员组织名单

　　（2）检测

• 确定事件的性质和影响的严重程度，预计所需的资源
• 工具检测
• 分析异常事现像
• 确认等级
• 根据设备日志，接到上下游通知
• 操作系统日志（系统，应用、安全性等），系统变慢，cpu使用率高，网络带宽大量消耗，异常端口，异常进程，异常dll等
• 应用程序日志：访问日志，管理日志，错误日志等

　　（3）遏制

• 确定适当遏制方法：隔离网络，修改防火墙和路由过滤规则，删除登录帐户，关闭服务，控制损失保持最小
• 可列出若干选项，讲明各自的风险，由服务对象选择

　　（4）根除

• 彻底解决问题隐患，分析原因和漏洞，进行安全加固
• 加强宣传，公布危害性和解决方法，加强检测工作

　　（5）恢复

• 把所有受侵害或被破坏的系统、应用、数据库、网络设备等还原到正常的任务状态

　　（6）跟踪总结

• 关注系统恢复以后的安全状况，特别是曾经出现问题的地方
• 建立跟踪文档
• 吸收经验教训，自我完善防护体系和策略

　　5、勒索病毒简介

• 伴随数字货币兴起的一种新型病毒木马：比特币,达世币等
• 2008以前：锁屏勒索
• 2017年5月WannaCry（永恒之蓝勒索蠕虫），勒索病毒已成为对政企机构和网民直接威胁最大的一类木马病毒。
• Globelmposter、GandCrab、Crysis等勒索病毒
• 最新威胁：不支付赎金就公开数据

　　6、勒索病毒传播方式

• 利用漏洞：ms17-010，office（8570、1182），weblogic，cve-2019-0708:rdp等漏洞
• 钓鱼邮件
• 网页挂马
• 手工植入
• 暴力破解rdp：远程桌面
• 暴力破解系统弱口令
• 软件绑马等：捆绑器，winrar:创建自解压格式 
• ads流文件：

  • echo aaaa>a.txt
    echo bbbb>a.txt:b.txt
    查看：dir /r a.txt:b.txt:$DATA
    打开：notepad.exe a.txt:b.txt

　　7、如何发现

• 业务无法使用
• 桌面被篡改
• 文件后缀

　　8、GlobeImposter行为分析

• 复制病毒文件到指定目录：appdata
• 计算机用户id并生成勒索文件
• 写入用户密钥及ID
• 持久性驻留：创建注册表文件，设置开机自启动
• 加密硬盘文件
• 删除卷影副本及远程登录日志
• 删除自身

　　9、加密方式

• RSA+AES
• 两对密钥：用户的公私钥，黑客公私钥

　　10、解密方式

　　下列三种情况可以通过互联网上的解密工具完成

• 勒索病毒的设计编码存在漏洞或并未正确实现加密算法
• 勒索病毒的制造者主动发布了密钥或主密钥。
• 执法机构查获带有密钥的服务器，并进行了分享。

　　*解密之前必须备份重要数据

 　　专业人员处理（第三方）

　　11、勒索病毒防护

• 对系统用户密码及时进行更改，密码的复杂性，长度，定期更改
• 及时更新补丁
• 物理隔离（断网，禁网卡，关机）
• 访问策略：关闭445，135，139等端口，避免将远程桌面服务（RDP，默认端口为3389）暴露在公网上（如为了远程运维方便确有必要开启，则可通过VPN登录后才能访问），白名单方式
• 异地备份，隔离备份
• 加强审计，加强追踪溯源能力
• 定期安全评估：渗透测试，代码审计：主动发现问题
• 提高全员的安全意识

　　12、病毒分析环境

　　vmxp:
　　1.网卡禁用
　　2.防火墙开启：拒绝
　　3.干净：快照
　　4.必备工具：静态调试：ida，动态调试：ollydbg
　　监视工具：reg
　　火绒剑：互联网安全分析软件

　　13、Cisp-ire介绍

• 注册信息安全专业人员-应急响应工程师，英文为 Certified Information Security Professional –Incident Response Engineer ，简称 CISP-IRE
• CISP-IRE 考试题型为选择题与实操题,总分共 100 分，其中选择题20个（20 分）， 实操题 8道（80 分），得到 70 分以上(含 70 分)为通过。
• Cisp-ire知识体系如下图所示：