勒索病毒防護——梁山話安全技(jì)術(shù)分享會(huì)第一(yī)期
發布時間: 2020.04.10 | 來源: 帕拉迪

梁山話安全為(wèi)漢武實驗室2020年(nián)新推出的培訓交流專題。主旨是與所有安全從(cóng)業(yè)人員(yuán)一(yī)起分享在從(cóng)業(yè)過程中遇上(shàng)到(dào)的安全問題,予以剖析分享并給出解決方案。

                          ——本文為(wèi)此次會(huì)議的相(xiàng)關記錄

一(yī)、内容概述


此次培訓主要分為(wèi)四部分内容:

1.勒索病毒概述——簡述勒索病毒及勒索病毒發展史

2.勒索病毒攻擊原理分析——簡述勒索病毒主要攻擊方式及Wanna Cry攻擊原理分析

3.常見(jiàn)勒索場景演示——

 a.攻陷主機(jī)上(shàng)傳勒索病毒進行勒索

 b.用戶使用被植入惡意代碼的數據庫連接工(gōng)具導緻勒索

 c.黑(hēi)客向業(yè)務系統上(shàng)傳木(mù)馬攻擊數據庫導緻勒索

4.勒索防護——漢武實驗室在組織層面,使用者層面給出建議并結合帕拉迪科技(jì)有限公司的安全産品在某些方面給出解決方案。



二、主要内容


勒索病毒概述







第一(yī)階段:萌芽期


AIDS trojan是世界上(shàng)第一(yī)個(gè)被載入史冊的勒索病毒,從(cóng)而開(kāi)啓了勒索病毒的時代。——1989年(nián),2萬張感染了“AIDSTrojan”病毒的軟盤被分發給國(guó)際衛生(shēng)組織國(guó)際艾滋病大會(huì)的與會(huì)者,導緻大量文件(jiàn)被加密。
早期的勒索病毒主要通(tōng)過釣魚郵件(jiàn),挂馬,社交網絡方式傳播,使用轉賬等方式支付贖金,其攻擊範疇和持續攻擊能(néng)力相(xiàng)對有限,相(xiàng)對容易追查。



第二階段:成型期


2013下(xià)半年(nián)開(kāi)始,是現代勒索病毒正式成型的時期。勒索病毒使用AES和RSA對特定文件(jiàn)類型進行加密,使破解幾乎不可能(néng)。同時要求用戶使用虛拟貨币支付,以防其交易過程被跟蹤。
這個(gè)時期典型的勒索病毒有CryptoLocker,CTBLocker等。大多(duō)數情況下(xià),這些惡意軟件(jiàn)本身并不具有主動擴散的能(néng)力。



第三階段


自(zì)2016年(nián)開(kāi)始,然而随著(zhe)漏洞利用工(gōng)具包的流行,尤其是“The ShadowBrokers” (影子經紀人)公布方程式黑(hēi)客組織的工(gōng)具後,其中的漏洞攻擊工(gōng)具被黑(hēi)客廣泛應用。勒索病毒也借此廣泛傳播。典型的例子,就(jiù)是WannaCry勒索蠕蟲病毒的大發作,兩年(nián)前的這起遍布全球的病毒大破壞,是破壞性病毒和蠕蟲傳播的聯合行動,其目的不在于勒索錢(qián)财,而是制造影響全球的大規模破壞行動。
在此階段,勒索病毒已呈現産業(yè)化、家族化持續運營。在整個(gè)鏈條中,各環節分工(gōng)明确,完整的一(yī)次勒索攻擊流程可能(néng)涉及勒索病毒作者,勒索實施者,傳播渠道商,代理。



第四階段


自(zì)2018年(nián)開(kāi)始,常規的勒索木(mù)馬技(jì)術(shù)日益成熟。已将攻擊目标從(cóng)最初的大面積撒網無差别攻擊,轉向精準攻擊高(gāo)價值目标。比如直接攻擊醫(yī)療行業(yè),企事(shì)業(yè)單位、政府機(jī)關服務器(qì),包括制造業(yè)在内的傳統企業(yè)面臨著(zhe)日益嚴峻的安全形勢。

編程人群基數的迅速增加,越來越多(duō)基于腳本語言開(kāi)發出的勒索病毒開(kāi)始湧現,意味著(zhe)将有更多(duō)的黑(hēi)産人群進入勒索産業(yè)這個(gè)領域,也意味著(zhe)該病毒将持續發展泛濫。





勒索病毒攻擊原理分析






攻擊者通(tōng)過攻陷企業(yè)郵件(jiàn)服務器(qì),向企業(yè)内部所有用戶發送釣魚郵件(jiàn)(僞裝成office圖标的exe程序,帶病毒的文檔、播放(fàng)器(qì)等)。用戶無意中打開(kāi)釣魚郵件(jiàn)中的文件(jiàn)導緻被勒索。






攻擊者通(tōng)過爆破等方式獲取企業(yè)内部人員(yuán)vpn賬号,在企業(yè)内網進行系統漏洞/弱口令掃描,一(yī)旦用戶主機(jī)未做好必要防護便會(huì)被勒索。





攻擊者通(tōng)過業(yè)務系統/服務器(qì)漏洞攻陷Web服務器(qì),對其進行加密并勒索。





攻擊者通(tōng)過攻陷業(yè)務系統,獲取相(xiàng)應數據庫信息,在内網進行數據庫漏洞/弱口令掃描,一(yī)旦數據庫未做好必要防護便會(huì)被勒索。





Wanna Cry攻擊原理:


(1)病毒啓動安裝
mssecsvc2.0——服務函數中執行感染功能(néng),對網絡中的計算(suàn)機(jī)進行掃描,利用MS17-010漏洞和DOUBLEPULSAR後門(mén),傳播勒索病毒惡意樣本。
taskche.exe——設置對應的注冊表項實現開(kāi)機(jī)自(zì)啓動。執行勒索軟件(jiàn)加密行為(wèi)。
(2)文件(jiàn)信息搜集
遍曆目錄,如Program Files,Windows
将文件(jiàn)分類帶上(shàng)标簽加入文件(jiàn)容器(qì)

(3)文件(jiàn)加解密(簡化版)——非對稱加密











常見(jiàn)勒索方式演示



攻擊機(jī):kali Linux
目标主機(jī):Windows 7

流程:攻擊者通(tōng)過ms17-010漏洞直接拿到(dào)目标主機(jī)系統權限,上(shàng)傳病毒程序并運行,使目标主機(jī)被加密。



主機(jī):Windows 7 安裝了帶勒索病毒的數據庫連接軟件(jiàn)plsql
數據庫:oracle 11g

流程:使用者使用帶病毒的數據庫連接軟件(jiàn)連接數據庫服務器(qì),導緻服務器(qì)被加密。



業(yè)務系統:某OA系統
數據庫:mysql 8.0
流程:使用者通(tōng)過文件(jiàn)上(shàng)傳等漏洞将WebShell上(shàng)傳至業(yè)務系統,獲取服務器(qì)系統權限,通(tōng)過蟻劍連接數據庫并執行相(xiàng)關加密代碼對數據庫信息進行加密。


勒索防護



組織層面:

1.對于計算(suàn)機(jī)網絡而言,我們要對網絡進行分層分域管理,比如根據不同的職能(néng)和部門(mén)劃分安全域,對于各區域邊界進行嚴格的出入控制。在等保2.0中叫安全邊界管理。

2.對于網絡和主機(jī),都要有嚴格的準入控制系統,不在白(bái)名單内的用戶和主機(jī)不允許接入網絡,不在白(bái)名單内的進程和程序不允許運行。發現可疑主機(jī)要及時隔離處理,發現可疑進程馬上(shàng)啓動相(xiàng)應的應急處理機(jī)制。
3.一(yī)旦發現感染病毒,不要急于格式化重裝系統,一(yī)定要先進行取證溯源,分析攻擊流程,尋找攻擊者以及可能(néng)的被感染者,防止病毒二次傳播。這個(gè)過程是一(yī)個(gè)很重要但也很難的過程,很多(duō)黑(hēi)客攻擊也并不是直接入侵的,而是通(tōng)過一(yī)些僵屍主機(jī)或者跳闆進行。而且攻擊後并不會(huì)隻攻擊一(yī)台,往往是同時攻下(xià)了好多(duō)台電(diàn)腦(nǎo),隻不過隻在其中一(yī)台或幾台實施了破壞,其它沒有被破壞不代表就(jiù)是安全的。通(tōng)過追溯就(jiù)能(néng)發現其他被攻擊的電(diàn)腦(nǎo)有哪些。
4. 加強宣傳,通(tōng)過相(xiàng)應的網絡安全講座,讓大家意識到(dào)網絡安全的重要性,提高(gāo)安全意識,增強基本的安全技(jì)能(néng),養成良好的安全習慣。這樣才能(néng)有效降低(dī)被病毒感染的風險。

使用者層面:

1、 沒有必要不要訪問外網,尤其是一(yī)些非正規網站,減少文件(jiàn)和目錄共享。

2、 使用U盤、打開(kāi)郵件(jiàn)附件(jiàn)都要先掃描病毒再打開(kāi)。

3、 不要下(xià)載和使用盜版軟件(jiàn)以及來路(lù)不明的軟件(jiàn)。

4、 及時為(wèi)系統/數據庫安裝安全更新,安裝個(gè)人防火牆,對進出流量進行控制。

5、 對于電(diàn)腦(nǎo)端口加強防範,使用主機(jī)防火牆關閉不必要的端口。

6、 發現問題要及時反饋給信息中心,不要自(zì)行處理。

7、 了解必要的病毒知識。

8、 要有安全意識,人是網絡安全中最重要也是最薄弱的環節。


結合我們的産品





帕拉迪下(xià)一(yī)代堡壘機(jī)
帕拉迪下(xià)一(yī)代堡壘機(jī)全通(tōng)道文件(jiàn)傳輸控制功能(néng)(支持FTP/SFTP/SCP、剪切闆、磁盤映射等文件(jiàn)傳輸方式進行上(shàng)行、下(xià)行控制)
——通(tōng)過将核心資産納入到(dào)帕拉迪下(xià)一(yī)代堡壘機(jī)之中,徹底掌控核心資産文件(jiàn)上(shàng)傳下(xià)載通(tōng)道,使核心資産免受勒索病毒的侵害。

賬号風險安全管控功能(néng)(服務器(qì)賬号自(zì)動巡檢、賬号安全風險管控等)
——通(tōng)過定期對帕拉迪下(xià)一(yī)代堡壘機(jī)管控的資産進行賬号巡檢,及時發現資産中存在風險的弱口令賬号、異常賬号、僵屍賬号,降低(dī)賬号被盜用的風險。


帕拉迪下(xià)一(yī)代數據庫應用安全防禦系統

       通(tōng)過帕拉迪下(xià)一(yī)代數據庫應用安全防禦系統的網絡防火牆(來源控制)、準入防火牆(準入因子控制)、行為(wèi)防火牆(SQL執行語句控制)和業(yè)務防火牆(業(yè)務建模防護),使一(yī)切對數據庫的攻擊無所遁形,保證企業(yè)的數據安全。



Copyright © 2019 All Rights Reserved Designed
杭州樂桦網絡科技有限公司