网络安全应急响应----5、勒索病毒应急响应
文章目录
- 一、勒索病毒简介
- 二、常见勒索病毒
- 三、勒索病毒常见利用漏洞
- 四、勒索病毒的解密
-
- 4.1、常见的可解密勒索家族类型
- 4.2、处理勒索病毒常用工具
- 五、勒索病毒的攻击
-
- 5.1、勒索病毒的攻击方法
- 5.2、勒索病毒的攻击特点
- 六、勒索病毒的应急响应方法
-
- 6.1、隔离被感染的服务器/主机
- 6.2、排查业务系统
- 6.3、确定勒索病毒种类, 进行溯源分析
- 6.4、处置勒索病毒
-
- 6.4.1、文件检查
- 6.4.2、补丁检查
- 6.4.3、账号排查
- 6.4.4、网络连接、进程、任务计划排查
- 6.4.5、网络流量排查
- 6.5、恢复数据和业务、清除加固
- 七、勒索病毒的后续防护建议
-
- 7.1、服务器、终端防护
- 7.2、网络防护与安全监测
- 7.3、应用系统防护及数据备份
- 7.4、个人终端防御技术
- 7.5、企业级终端防御技术
- 八、常见错误处置方法
一、勒索病毒简介
勒索病毒,是一种伴随数字货币兴起的病毒木马,主要以邮件、程序木马、网页挂马的形式进行传播。这种病毒利用各种加密算法对文件进行加密,勒索病毒一般利用非对称加密算法和对称加密算法组合的形式对受害者文件进行加密。绝大多数勒索病毒,被感染者是无法解密的,必须拿到解密的私钥才有可能破解。
勒索病毒文件一旦进入本地,就会自动运行,同时删除勒索软件样本,以躲避查杀和分析。接下来,勒索病毒利用本地的互联网访问权限连接至黑客的C&C服务器,进而上传本机信息并下载加密私钥与公钥,利用私钥和公钥对文件进行加密。除了病毒开发者本人,其他人是几乎不可能解密。
加密完成后,还会修改壁纸,在桌面等明显位置生成勒索提示文件,指导用户去缴纳赎金。且变种类型非常快,对常规的杀毒软件都具有免疫性。攻击的样本以exe、js、wsf、vbe等类型为主,对常规依靠特征检测的安全产品是一个极大的挑战。 据火绒监测,勒索病毒主要通过三种途径传播:漏洞、邮件和广告推广。
一般勒索病毒,运行流程复杂,且针对关键数据以加密函数的方式进行隐藏。以下为APT沙箱分析到样本载体的关键行为:
1、调用加密算法库;
2、通过脚本文件进行Http请求;
3、通过脚本文件下载文件;
4、读取远程服务器文件;
5、通过wscript执行文件;
6、收集计算机信息;
7、遍历文件。
可以从安全技术和安全管理两方面入手,防止感染勒索病毒:
1、不要打开陌生人或来历不明的邮件,防止通过邮件附件的攻击;
2、尽量不要点击office宏运行提示,避免来自office组件的病毒感染;
3、需要的软件从正规(官网)途径下载,不要双击打开.js、.vbs等后缀名文件;
4、升级到最新的防病毒等安全特征库;
5、升级防病毒软件到最新的防病毒库,阻止已存在的病毒样本攻击;
6、定期异地备份计算机中重要的数据和文件,万一中病毒可以进行恢复。
二、常见勒索病毒
1、WannaCry勒索病毒
WannaCry勒索病毒通过MS17-010漏洞进行传播,该病毒感染计算机后会向计算机植入敲诈者病毒,导致计算机大量文件被加密。受害者计算机被攻击者锁定后,病毒会提示需要支付相应赎金方可解密。
1、常见后缀: wncry;
2、传播方法:“永恒之蓝”漏洞;
3、特征:启动时会连接一个不存在的URL (Uniform Resource L ocator,统一资源定位符) ;创建系统服务mssecsvc2.0;释放路径为Windows目录。
2、Globelmposter勒索病毒
Globelmposter勒索病毒主要通过钓鱼邮件进行传播。攻击目标主要是开启远程桌面服务的服务器,攻击者暴力破解服务器密码,对内网服务器发起扫描并人工投放勒索病毒,导致文件被加密,暂时无法解密。
1、常见后缀: auchentoshan、 动物名+4444等;
2、传播方法: RDP暴力破解、钓鱼邮件、捆绑软件等;
3、特征:释放在%appdata%或%localappdata%。
3、Crysis/ Dharma勒索病毒
Crysis/Dharma勒索病毒攻击方法是利用远程RDP暴力破解的方法植入到服务器进行攻击。Crysis采用AES+RSA的加密方法,无法解密。
1、常见后缀: [id] +勒索邮箱+特定后缀。
2、传播方法: RDP暴力破解。
3、特征:勒索信位置在startup目录,样本位置在%windir%\system32、 startup目录、%appdata%目录。
4、GandCrab勒索病毒
GandCrab勒索病毒采用Salsa20和RSA-2048算法对文件进行加密,并将感染主机桌面背景替换为勒索信息图片。
1、常见后缀:随机生成。
2、传播方法: RDP暴力破解、钓鱼邮件、捆绑软件、僵尸网络、漏洞传播等。
3、特征:样本执行完毕后自动删除,并会修改感染主机桌面背景,有后MANUAL.txt、
DECRYPT.txt。
5、Satan勒索病毒
Satan勒索病毒可以对Windows和L inux双平台系统进行攻击。最新版本攻击成功后,会加密文件并修改文件后缀为evopro。除了通过RDP暴力破解,一般还通过多个漏洞传播。
1、常见后缀: evopro、 sick等 。
2、传播方法:“永恒之蓝”漏洞、RDP暴力破解、JBoss系列漏洞、Tomcat系列漏洞、WebLogic组件漏洞等。
3、特征:最新变种暂时无法解密,以前的变种可解密。
6、Sacrab勒索病毒
Scarab勒索病毒最流行的一个版本是通过Necurs僵尸网络进行分发,使用Visual C语言编写而成的,还可通过钓鱼邮件和RDP暴力破解等方法传播。在针对多个变种进行脱壳之后,于2017年12月发现变种Scarabey,其分发方法与其他变种不同,并且它的有效载荷代码也不相同。
1、常见后缀:krab、sacrab、bomber、crash等
2、传播方法: Necurs僵尸网络、RDP暴力破解、钓鱼邮件等。
3、特征:样本释放位置在%appdata%\roaming。
7、Matrix勒索病毒
Matrix勒索病毒是目前为止变种较多的一种勒索病毒,该勒索病毒主要通过入侵远程桌面进行感染安装,攻击者通过暴力枚举直接连入公网的远程桌面服务,从而入侵服务器,获取权限后便会上传该勒索病毒进行感染。勒索病毒启动后会显示感染进度等信息,在过滤部分系统可执行文件类型和系统关键目录后,对其余文件进行加密。
1、常见后缀: grhan、 prcp、 spct、 pedant等 。
2、传播方法: RDP暴力破解。
8、Stop勒索病毒
Stop勒索病毒主要通过钓鱼邮件、捆绑软件、RDP暴力破解进行传播,有某些特殊变种还会释放远控木马。与Matrix勒索病毒类似,Stop勒索病毒也是一个多变种的勒索木马,截至目前变种多达160余种。
1、常见后缀: tro、 djvu、 puma、pumas、pumax、djvuq等。
2、传播方法:钓鱼邮件、捆绑软件和RDP暴力破解。
3、特征:样本释放位置在%appdata%\local\<随机名称>,可能会执行计划任务。
9、Paradise勒索病毒
Paradise勒索病毒最早出现在2018年7月,最初版本会附加一个超长后缀到原文件名末尾。在每个包含加密文件的文件夹中都会生成一封勒索信,Paradise勒索病毒后续的活跃变种版本采用了Crysis/Dharma勒索信样式,
1、常见后缀:文件名_%ID字符串%_ {勒索邮箱}.特定后缀。
2、特征:将勒索弹窗和自身释放到startup启动目录。
| 主流勒索病毒表 | |||||
|---|---|---|---|---|---|
| 7ev3n | 8lock8 | AutoLocky | Alpha | BitCryptor | Brazilian |
| BitMessage | Booyah | BuyUnlockCode | Buddy | CryptoMix | CryptoWall |
| CryptX X | CTB-Locker | Chimera | Crypren | CryptoHasYou | CryptoHitman |
| CoinVault | CryptoTorLocker | Cerber | CryptoFortress | CryptoDefense | CryptoLocker |
| CryptoJoker | DMA | EnCiPhErEd | Enigma | ECLR | GNL |
| GhostCrypt | HydraCrypt | Hi | JobCrypter | Jigsaw | KEYHolder |
| KimcilWare | Kriptovo | KryptoLocker | KeRanger | Lortok | Locky |
| Locker | LeChiffre | MireWare | Mobef | Mischa | Maktub |
| Nemucod | Nemucod-7z | NanoLocker | OMG | Protected | PClock |
| RansomCrypt | Shujin | Surprise | SNSLocker | SuperCrypt | Samas |
| Sanction | Shade | TrueCrypter | TeslaCrypt | UmbreCrypt | VaultCrypt |
| Virlocker | WonderCrypter | XTBL | Xort |
三、勒索病毒常见利用漏洞
| 已知的被勒索病毒利用的常见漏洞 | ||
|---|---|---|
| RDP协议弱密码暴力破解 | Win32k提权漏洞CVE-2018-8120 | Nexus Repository Manager 3远程代码执行漏洞CVE-2019-7238 |
| Windows SMB远程代码执行漏洞MS17-010 | Windows ALPC提权漏洞CVE-2018-8440 | Windows内核信息泄漏CVE-2018-0896 |
| JBoss反序列化漏洞CVE-2017-12149 | JBoss反序列化漏洞CVE-2013-4810 | JBoss默认配置漏洞CVE-CVE-2010CVE-2010-0738 |
| Tomcat Web管理后台弱密码暴力破解 | Spring Data Commons远程命令执行漏洞CVE-2018-1273 | WinRAR代码执行漏洞CVE-2018-20250 |
| WebLogic反序列化漏洞CVE-2017-3248 | WebLogic WLS组件漏洞CVE-2017-10271 | |
| Apache Struts2远程代码执行漏洞S2-045 | Apache Struts2远程代码执行漏洞S2-057 |
四、勒索病毒的解密
4.1、常见的可解密勒索家族类型
| 常见的可解密勒索家族类型 | ||||
|---|---|---|---|---|
| 777 Ransom | AES_NI Ransom | Agent.iih Ransom | Alcatraz Ransom | Alpha Ransom |
| Amnesia Ransom | Amnesia2 Ransom | Annabelle Ransom | Aura Ransom | Aurora Ransom |
| AutoIt Ransom | AutoLocky Ransom | Avest Ransom | BTCWare Ransom | Bitcryptor Ransom |
| BadBlock Ransom | BarRax Ransom | Bart Ransom | BigBobRoss Ransom | Cry9 Ransom |
| CERBER V1 Ransom | Chimera Ransom | Coinvault Ransom | Cry128 Ransom | Cryptokluchen Ransom |
| CrySIS Ransom | Cryakl Ransom | Crybola Ransom | Crypt888 Ransom | CryptON Ransom |
| Crypt X X V1 Ransom | Crypt X X V2 Ransom | Crypt X X V3 Ransom | Crypt X X V4 Ransom | Crypt X X V5 Ransom |
| CryptoMix Ransom | Dharma Ransom | DXXD Ransom | Damage Ransom | Democry Ransom |
| Derialock Ransom | Everbe 1.0 Ransom | EncrypTile Ransom | Fury Ransom | FenixLocker Ransom |
| FilesLocker V1 and V2 Ransom | FortuneCrypt Ransom | GalactiCryper Ransom | GandCrab (V1, V4 and V5 up to V5.2 versions) Ransom | |
| Globe Ransom | GetCrypt Ransom |
对于不可解密的勒索病毒,常规的解密方法主要为支付赎金,通过支付赎金获取解密工具,使用解密工具进行解密。
| 解密方法 | 难度系数 |
|---|---|
| 入侵攻击者的服务器,获取非对称加密的私钥,用非对称加密的私钥解密经过非对称加密公钥加密后的对称加密密钥,进而解密文件数据 | 高 |
| 勒索病毒加密算法设计存在问题,如2018年年底的“微信支付”勒索病毒,加密密钥存放在了本地,故很快被破解 | 高 |
| 暴力破解私钥 | 高 |
| 支付赎金,下载特定的解密器 | 中 |
4.2、处理勒索病毒常用工具
一般在遭到勒索病毒攻击后,我们最关心两个问题:一是确定勒索病毒种类,判断是否能解密,并恢复数据;二是攻击者是怎样实施加密的。以下介绍部分常用工具。
1、勒索病毒查询工具
通过勒索病毒查询网站可判断当前的勒索病毒是否可利用公开的解密工具恢复数据。
腾讯哈勃勒索软件专杀工具:
https://habo.qq.com/tool/index
金山毒霸勒索病毒免疫工具:
http://www.duba.net/dbt/wannacry.html
火绒安全工具下载:
http://bbs.huorong.cn/forum-55-1.html
瑞星解密工具下载:
http://it.rising.com.cn/fanglesuo/index.html
nomoreransom勒索软件解密工具集:
https://www.nomoreransom.org/zh/index.html
MalwareHunterTeam勒索软件解密工具集:
https://id-ransomware.malwarehunterteam.com/
卡巴斯基免费勒索解密器:
https://noransom.kaspersky.com/
Avast免费勒索软件解密工具:
https://www.avast.com/zh-cn/ransomware-decryption-tools
Emsisoft免费勒索软件解密工具:
https://www.emsisoft.com/ransomware-decryption-tools/free-download
Github项目勒索病毒解密工具收集汇总:
https://github.com/jiansiting/Decryption-Tools
360勒索病毒搜索引擎:
http://lesuobingdu.360.cn
腾讯勒索病毒搜索引擎:
https://guanjia.qq.com/pr/ls/
启明VenusEye勒索病毒搜索引擎:
https://lesuo.venuseye.com.cn/
奇安信勒索病毒搜索引擎:
https://lesuobingdu.qianxin.com/
深信服勒索病毒搜索引擎:
https://edr.sangfor.com.cn/#/information/ransom_search
五、勒索病毒的攻击
5.1、勒索病毒的攻击方法
1、服务器入侵传播
攻击者可通过系统或软件漏洞等方法入侵服务器,或通过RDP弱密码暴力破解远程登录服务器。一旦入侵成功,可卸载服务器上的安全软件并手动运行勒索病毒。目前,管理员账号、密码被破解是服务器入侵的主要原因。
2、利用漏洞自动传播
勒索病毒可通过系统自身漏洞进行传播扩散,如WannaCry勒索病毒就是利用“永恒之蓝”漏洞进行传播的。
3、软件供应链攻击传播
软件供应链攻击是指利用软件供应商与最终用户之间的信任关系,在合法软件正常传播和升级过程中,利用软件供应商的各种疏忽或漏洞,对合法软件进行劫持或篡改,从而绕过传统安全产品检查,达到非法目的的攻击。
4、邮件附件传播
通过伪装成产品订单详情或图纸等重要文档类的钓鱼邮件,在附件中夹带含有恶意代码的脚本文件,一旦用户打开邮件附件,便会执行其中的脚本,释放勒索病毒。
5、利用挂马网页传播
攻击者入侵主流网站的服务器,在正常网页中植入木马,访问者在浏览网页时,其利用IE或Flash等软件漏洞进行攻击。
5.2、勒索病毒的攻击特点
1、无C2(命令和控制服务器)服务器加密技术流行
攻击者在对文件加密的过程中,一 般不再使用C2服务器,也就是说现在的勒索病毒在加密时不需要回传私钥。
无C2服务器加密技术的加密过程大致如下:
①在加密前随机生成新的加密密钥对(非对称公、私钥) ;
②使用新生成的公钥对文件进行加密;
③采用攻击者预埋的公钥把新生成的私钥进行加密,保存在一个ID文件中或嵌入加密文件。
无C2服务器加密技术的解密过程大致如下:
①通过邮件或在线提交的方法,提交ID串或加密文件中的加密私钥(一 般攻击者会提供工具提取该私钥) ;
②攻击者使用保留的与预埋公钥对应的私钥解密受害者提交过来的私钥;
③把解密私钥或解密工具交付给受害者进行解密。
通过以上过程可以实现每个受害者的解密私钥都不同,同时避免联网回传私钥。这也就意味着不需要联网,勒索病毒也可以对终端完成加密,甚至在隔离网环境下依然可以对文件和数据进行加密。
2、勒索病毒平台化运营更加成熟
在勒索病毒服务平台上,勒索病毒的核心技术已经直接打包封装好,攻击者直接购买调用其服务,即可得到一个完整的勒索病毒。这种勒索病毒的生成模式称为RaaS服务。
3、勒索病毒攻击的定向化、高级化
从2019年开始,勒索病毒定制化攻击明显,如BitPaymer主要攻击各个行业的供应链解决方案提供商,并且提供定制化的勒索信息。同时,攻击的手法APT化。
4、漏洞利用频率更高、攻击平台更多
勒索病毒除了采用众多Web服务漏洞进行传播,还在其他阶段使用漏洞进行攻击,如Sodinokibi在执行过程中会使用内核提权漏洞进行权限提升。与此同时,使用漏洞针对Linux和MacOS服务器的勒索也在增加。
5、攻击目的多样化
使用勒索病毒发起攻击的目的更加多样化。以网络破坏、组织破坏、信息泄漏为目的的勒索病毒更加频繁。
六、勒索病毒的应急响应方法
如何判断遭遇勒索病毒攻击:
1、业务系统无法访问
勒索病毒的攻击不仅加密核心业务文件,还对服务器和业务系统进行攻击,感染关键系统,破坏受害机构的日常运营,甚至还会延伸至生产线(生产线不可避免地存在一些遗留系统且各种硬件难以升级打补丁,一旦遭到勒索病毒攻击,生产线将停工停产)。
但是,当业务系统出现无法访问时,也有可能是遭受其它攻击。需要结合以下特征继续判断。
2、文件后缀被篡改
操作系统在遭遇勒索病毒攻击后,一般受害机器中的可执行文件、文档等都会被病毒修改成特定的后缀名。
3、勒索信展示
遭受勒索病毒攻击后,受害者通常会在桌面或者磁盘根目录找到勒索信。
6.1、隔离被感染的服务器/主机
当发生应急响应事件时,应急响应工程师需要对勒索病毒事件进行初步判断,了解事态现状、系统架构、感染时间等,并确定感染面;还要及时提供临时处置建议,对已被勒索的服务器/主机下线隔离,对未被勒索的服务器/主机做好防护。
感染时间:
在初步预判遭遇勒索病毒攻击后,需要了解被加密文件的修改时间及勒索信建立时间,以此推断攻击者执行勒索程序的时间轴,以便后续依据此时间进行溯源分析,追踪攻击者的活动路径。
系统架构:
通过了解现场环境的网络拓扑、业务架构及服务器类型等关键信息,可帮助应急响应工程师在前期工作中评估病毒传播范围、利用的漏洞,以及对失陷区域做出初步判断,为接下来控制病毒扩散与根除工作提供支撑。
感染范围:
可以通过安装集中管控软件或全流量安全设备来查看“中招”范围。还可以通过IT系统管理员收集网络信息,首先检查同一网段服务器/主机,再拓展到相邻网段进行排查。同时也可以收集企业内部人员的反馈信息来进行补充,以便全面掌握“中招”范围。
隔离主要可采取以下两种方法:
1、物理隔离主要为断网或断电,关闭服务器/主机的无线网络、蓝牙连接等,禁用网卡,并拔掉服务器/主机上的所有外部存储设备;
2、访问控制主要是指对访问网络资源的权限进行严格认证和控制,常用的操作方法是加策略:在网络侧使用安全设备进行进一步隔离, 如使用防火墙或终端安全监测系统;避免将远程桌面服务(RDP, 默认端口为3389)暴露在公网中(如为了远程运维方便确有必要开启,则可通过VPN登录后访问),并关闭445、139、 135等不必要的端口;修改登录密码:1、立刻修改被感染服务器/主机的登录密码;修改同一局域网下的其他服务器/主机的登录密码;3、修改最高级系统管理员账号的登录密码。
6.2、排查业务系统
在完成了勒索病毒事件判断及临时处置后,应对局域网内的其他机器进行排查,检查核心业务系统是否受到影响,生产线是否受到影响,并检查备份系统是否被加密等,以确定感染的范围。
针对未被勒索服务器/主机:在网络边界防火墙上全局关闭3389端口,或3389端口只对特定IP地址开放;开启Windows防火墙,尽量关闭3389、445、139、135等不用的高危端口;每台服务器/主机设置高强度的复杂密码;安装最新杀毒软件或服务器加固版本,防止被攻击;对系统进行补丁更新;封堵病毒传播途径;若现场设备处在虚拟化环境下,则建议安装虚拟化安全管理系统,进一步提升防恶意软件、防暴力破解等安全防护能力。
针对未明确是否被勒索的服务器/主机:对该服务器/主机做策略隔离或者断网隔离,在确保该服务器/主机未连接网络的情况下,开启检查。
6.3、确定勒索病毒种类, 进行溯源分析
在检查过程中,可以将疑似样本提取出来,通过威胁情报平台分析判断样本是否为恶意样本,也可以联系专业技术人员进行样本分析,确认样本的病毒类型、传播特性及其他恶意行为。
勒索病毒在感染服务器/主机后,攻击者通常会留下勒索提示信息。可以先从被加密的磁盘目录中寻找勒索提示信息,一 些提示信息中会包含勒索病毒的标识,由此可直接判断本次感染的是哪一类勒索病毒,再通过勒索病毒处置工具查看是否能够解密。
溯源分析一般需要查看服务器/主机上保留的日志和样本。通过日志判断勒索病毒可能通过哪种方法侵入服务器/主机,如果日志被删除,就需要在服务器/主机上寻找相关的病毒样本或可疑文件,再通过这些可疑文件判断病毒的入侵途径。
6.4、处置勒索病毒
可点击查看详细Windows入侵排查
可点击查看详细Linux入侵排查
针对被勒索的服务器/主机展开检查工作,检查主要围绕系统和日志两个层面展开:
系统层面主要包括是否有可疑账号、可疑进程、异常的网络连接、可疑任务计划、可疑服务及可疑启动项,确认加密文件是否可以解密;
日志层面主要包括安全日志是否有暴力破解记录、异常IP地址登录记录,对感染的服务器/主机展开溯源分析工作,串联异常登录IP地址情况,最后定位攻击的突破口。
6.4.1、文件检查
勒索病毒文件产生的时间通常都比较接近勒索病毒爆发的时间,因此通过查找距离文件加密时间1~ 3天创建和修改的文件,或查找可疑时间节点创建和修改的文件,就可查找到勒索病毒相关文件。
在确定为可疑文件后,不建议直接删除,可以先对文件进行备份,再清理。若不涉及溯源和证据固定,可手动清除病毒,也可借助杀毒软件查看是否还存在异常文件,并进行病毒查杀。
Windows系统排查方法:
对文件夹内文件列表时间进行排序,根据勒索病毒加密时间,检查桌面及各个盘符根目录下的异常文件,一般可能性较大的目录有:
C:\Windows\Temp;
C:\Users\[user]\AppData\Local\Temp;
C:\Users\[user]\Desktop;
C:\Users\[user]\Downloads;
C:\Users\[user]\Pictures。
病毒/可疑文件名可以伪装成“svchost.exe”“WindowsUpdate.exe”这样的系统文件,也可以伪装成直接使用加密后缀命名的“Ares.exe”“Snake.exe",或者其他异常的名称,大多数病毒/可疑文件可以被找到,但也有一些病毒/可疑文件具有自动删除行为,从而无法被找到。
Linux系统排查方法:
进行Linux系统排查时,可先查看桌面是否存在可疑文件,之后针对可疑文件使用[stat] 命令查看相关时间,若修改时间与文件加密日期接近,有线性关联,则说明可能被篡改。另外,由于权限为777的文件安全风险较高,在查看可疑文件时,也要重点关注此类文件。查看777权限的文件可使用find . *.txt- -perm 777 命令。
由于病毒程序通常会通过隐藏自身来逃避安全人员的检查,因此我们可通过查找隐藏的文件来查找可疑文件。使用命令Is -ar l grep "^\ ."可查以"."开头的具有隐藏属性的文件,“.”代表当前目录,“..”代表上一级目录。
6.4.2、补丁检查
补丁排查只针对Windows系统。使用systeminfo命令,可查看系统补丁情况。
6.4.3、账号排查
在勒索病毒攻击中,攻击者有时会创建新的账户登录服务器/主机,实施提权或其他破坏性的攻击,因此需要对账户进行排查。
Windows系统排查方法:
打开本地用户和组窗口,可查找可疑用户和组。此方法可以查看到隐藏的用户,因此排查更全面。
Linux系统排查方法:
在Linux系统中,重点关注添加root权限的账户或低权限的后门登录账户。root账户的UID为0,如果其他账户的UID也被修改为0,则这个账户就拥有了root权限。可以使用如下命令综合排查可疑用户。
1、cat /etc/passwd :可查看所有用户信息。
2、awk -F: '{if($3==0) print $1}' /etc/passwd :可查看具有root权限的账户。
3、cat /etc/passwd | grep -E "/bin/bash$" :可查看能够登录的账户。
6.4.4、网络连接、进程、任务计划排查
攻击者一般在入侵系统后,会植入木马监听程序,方便后续访问。当攻击者通过远控端进行秘密控制,或通过木马与恶意地址主动外连传输数据时,可查看网络连接,发现可疑的网络监听端口和网络活动连接。勒索病毒需要执行程序才能达到加密数据的目的,通过查找进程对异常程序进行分析,可以定位勒索病毒程序。木马可能会将自身注册为服务,或加载到启动项及注册表中,实现持久化运行。那么在对系统排查时,要重点关注网络连接、进程、任务计划信息,针对Windows系统还需要关注启动项和注册表。
Windows 系统排查方法:
1、查看可疑网络连接
使用netstat -ano命令,可查看目前的网络连接,检查是否存在可疑IP地址、端口、网络连接状态。同时重点查看是否有暴露的135、445、 3389高危端口,很多勒索病毒就是利用这些高危端口在内网中广泛进行传播的。
2、查看可疑进程
当通过网络连接命令定位到可疑进程后,可使用tasklist 命令或在任务管理器窗口查看进程信息。随后可通过威胁情报平台对该进程文件进一步分析, 确认是否为恶意进程。
3、查看可疑任务计划
打开任务计划程序窗口,检查是否存在异常任务计划。重点关注名称异常和操作异常的任务计划。
4、查看CPU、内存占用情况及网络使用率
可通过资源管理器检测是否存在CPU、内存占用过高,网络使用率过高的情况,再结合以上排查进程、网络连接的方法定位可疑进程和任务计划。
5、查看注册表
使用Autoruns工具可对注册表项进行检测,重点查找开机启动项中的可疑启动项,也可命令行输入regedit打开注册表编辑器,查看相关启动项是否存在异常。
6、日志排查
通过日志排查,可发现攻击源、攻击路径、新建账户、新建服务等。
系统日志:在勒索病毒事件处理中,主要查看创建任务计划、安装服务、关机、重启这样的异常操作日志。
(安全日志:主要检查登录失败(事件ID为4625) 和登录成功(事件ID为4624)的日志,查看是否有异常的登录行为。
Linux系统排查方法:
1、查看可疑网络连接和进程
使用netstat命令,可分析可疑端口、可疑IP地址、可疑PID及程序进程;之后使用ps命令,可查看进程,结合使用这两个命令可定位可疑进程信息。
2、可查看CPU、内存占用情况
使用top命令可查看系统CPU占用情况,使用free或cat /proc/meminfo命令,可查看内存占用情况。
3、查看系统任务计划
使用cat /etc/crontab命令,可查看系统任务调度的配置文件是否被修改。
4、查看用户任务计划
除查看系统任务计划外,还需查看不同用户任务计划,如查看root任务计划时,可使用crontab -u root -l命令。
5、查看历史执行命令
使用history /cat /root/.bash_ history 命令,可查看之前执行的所有命令的痕迹,以便进一步排查溯源。有些攻击者会删除该文件以掩盖其行为,如果运行history命令却没有输出任何信息,那么就说明历史文件已被删除。
6、日志排查
lastlog命令,查看系统中所有用户最后登录信息。
lastb命令,查看用户登录失败信息。当出现大量未知IP地址时,可根据登录时间分析,如果在较短时间内出现多次登录,那么可以确定受到SSH攻击。
last 命令,查看用户最近登录信息。Linux主机会记录下有哪些用户,从哪个IP地址,在什么时间登录了,以及登录了多长时间。
last -f /var/run/utmp命令,查看utmp文件中保存的当前正在使用本系统的用户信息,并查看用户是否可疑。
6.4.5、网络流量排查
当现场部署了网络安全设备时,可以通过网络流量排查分析以下内容:
1、分析内网是否有针对445端口的扫描和MS17-010漏洞的利用;
2、分析溯源勒索终端被入侵的过程;
3、分析邮件附件MD5值匹配威胁情报的数据,判定是否为勒索病毒;
4、分析在网络中传播的文件是否被二次打包,进行植入式攻击;
5、分析在正常网页中植入木马,让访问者在浏览网页时利用IE浏览器或Flash等软件漏洞实施攻击的情况;
6.5、恢复数据和业务、清除加固
确认勒索病毒事件后,需要及时对勒索病毒进行清理并进行相应的数据恢复工作,同时对服务器/主机进行安全加固,避免二次感染。
病毒清理及加固:
1、在网络边界防火墙上全局关闭3389端口,或3389端口只对特定IP地址开放;
2、开启Windows防火墙,尽量关闭3389、445、 139、 135等不用的高危端口;
3、每台机器设置唯一登录密码,且密码应为高强度的复杂密码;
4、安装最新杀毒软件,对被感染机器进行安全扫描和病毒查杀;
5、对系统进行补丁更新,封堵病毒传播途径;
6、结合备份的网站日志对网站应用进行全面代码审计,找出攻击者利用的漏洞入口,进行封堵;
7、使用全流量设备(如天眼)对全网中存在的威胁进行分析,排查问题。
感染文件恢复:
1、通过解密工具恢复感染文件;
2、支付赎金进行文件恢复。
七、勒索病毒的后续防护建议
7.1、服务器、终端防护
1、所有服务器、终端应强行实施复杂密码策略,杜绝弱密码;
2、杜绝使用通用密码管理所有机器;
3、安装杀毒软件、终端安全管理软件,并及时更新病毒库;
4、及时安装漏洞补丁;
5、服务器开启关键日志收集功能,为安全事件的追踪溯源提供支撑。
7.2、网络防护与安全监测
1、对内网的安全域进行合理划分,各个安全域之间严格限制访问控制列表(ACL) ,限制横向移动的范围;
2、重要业务系统及核心数据库应设置独立的安全区域,并做好区域边界的安全防御工作,严格限制重要区域的访问权限,并关闭Telnet、Snmp等不必要、不安全的服务;
3、在网络内架设IDS/IPS设备,及时发现、阻断内网的横向移动行为;
4、在网络内架设全流量记录设备,以发现内网的横向移动行为,并为追踪溯源提供支撑。
7.3、应用系统防护及数据备份
1、需要对应用系统进行安全渗透测试与加固,保障应用系统自身安全可控;
2、对业务系统及数据进行及时备份,并定期验证备份系统及备份数据的可用性;
3、建立安全灾备预案,一旦核心系统遭受攻击,需要确保备份业务系统可以立即启用,同时,需要做好备份系统与主系统的安全隔离工作,避免主系统和备份系统同时被攻击,影响业务连续性。
7.4、个人终端防御技术
1、文档自动备份隔离
文档自动备份隔离技术是奇安信提出的一种勒索病毒防御技术。无论勒索病毒如何变种,其一个基本的特点就是会对文档进行篡改。而文档篡改行为具有很多明显的技术特征,通过监测系统中是否存在文档篡改行为,并对可能被篡改的文档加以必要的保护,只要计算机中的文档出现被篡改的情况,该功能模块就会第一时间把文档自动备份在隔离区并保护起来,用户可以随时恢复文件。就可以在相当程度上帮助用户挽回勒索病毒攻击的损失。
2、综合性反勒索病毒技术
使用智能诱捕、行为追踪、智能文件格式分析、数据流分析技术等综合防御。
智能诱捕技术:防护软件在计算机系统的各处设置陷阱文件,当有病毒试图加密文件时,就会首先命中设置的陷阱,从而暴露其攻击行为。
行为追踪技术:是云安全与大数据技术综合运用的一种安全技术。通过对程序行为的多维度智能分析,安全软件可以对可疑的文件操作进行备份或内容检测,一旦发现恶意修改,就立即阻断并恢复文件内容。该技术主要用于拦截各类文件加密和破坏性攻击,能够主动防御新出现的勒索病毒。
智能文件格式分析技术:是一种防护加速技术,目的是尽可能地降低反勒索功能对用户体验造成的影响。
数据流分析技术:是一种将人工智能技术与安全防护技术结合使用的新型文档安全保护技术。基于机器学习的方法,我们可以在计算机内部的数据流层面,分析出勒索病毒对文档的读/写操作与正常使用文档情况下的读/写操作的区别,而这些区别可以用于识别勒索病毒的攻击行为,从而可以在“第一现场” 捕获和过滤勒索病毒,避免勒索病毒的读/写操作实际作用于相关文档,从而实现文档的有效保护。
7.5、企业级终端防御技术
1、云端免疫技术
云端免疫,就是通过终端安全管理系统,由云端直接下发免疫策略或补丁,帮助用户进行防护或打补丁。对于无法打补丁的计算机终端,免疫I具下发的免疫策略本身也具有较强的定向防护能力,可以阻止特定病毒的入侵。除此之外,在云端还可以直接升级本地的免疫库或免疫工具,保护用户的计算机安全。
2、密码保护技术
1、采用弱密码检验技术,强制管理员使用复杂密码;
2、采用反暴力破解技术,对于陌生IP地址用户的登录位置和登录次数进行严格控制;
3、采用VPN或双因子认证技术。
八、常见错误处置方法
1、使用移动存储设备
在确认服务器/主机感染勒索病毒后,在中毒服务器/主机上使用U盘、移动硬盘等移动存储设备。
勒索病毒通常会对感染服务器/主机上的所有文件进行加密,所以当插上U盘、移动硬盘等移动存储设备时,也会立即对其存储的内容进行加密,从而使损失扩大。
2、读/写被勒索服务器/主机中的磁盘文件
在确认服务器/主机感染勒索病毒后,轻信网上的各种解密方法或工具,反复读/写磁盘中的文件,反而降低数据正确恢复的概率。
很多流行的勒索病毒的基本加密过程为:将保存在磁盘中的文件读取到内存中;在内存中对文件进行加密;将修改后的文件重新写到磁盘中,并将原始文件删除。如果用户对磁盘进行反复读/写操作,有可能破坏磁盘空间中的原始文件,最终导致原本还有希望恢复的文件彻底无法恢复。