干货分享 | 几种典型勒索病毒事件应对与处置案例

自5月12日“永恒之蓝”勒索病毒大面积扩散以来，安恒信息为保障客户资产安全，对所有客户第一时间提供安全预警；同时加班加点生产200多台明御APT攻击（网络战）预警平台（以下简称APT设备），在为客户提供免费技术支持的基础上还提供了专家现场支持，帮助用户分析病毒感染情况。

在近几天的支持过程中，安恒信息通过APT设备不但捕获到了勒索病毒大面积扩散的证据，还及时捕获到了勒索病毒变种后的样本和扩散源。以下是安恒信息技术专家在客户现场进行技术支持中捕获到的几起典型案例样本，以及样本进行及时处置的说明。

客户案例一

事件起源：

5月12日晚上22点24分，勒索病毒急剧扩散。部署在某客户的APT设备发现多次SMB远程命令执行攻击，攻击采用基于445端口尝试SMB远程溢出，随后发现攻击源来自四川地区的某个外网IP，由此判断该IP已经被感染了“永恒之蓝”勒索病毒，正在尝试向内网IP进行感染。客户发现该紧急事件后，第一时间向安恒信息求助。安恒信息的工作人员立即响应，对此事件进行处理。

事件处理：

1) 发现感染行为后，安恒信息的工作人员火速通知客户对445端口进行关闭，限制了双向请求数据。

2) 快速定位并分析受感染主机，确认该主机感染情况，对受感染主机进行断网处置。

3) 建议客户对内部主机安装微软MS17-010安全补丁。

4) 事件分析完成之后，将所得数据进行收集，形成对此次事件的事件后续处理方案。

客户案例二

事件起源：

5月14日晚上20点43分，部署在某客户的APT设备发现几起恶意文件攻击，从APT可视化攻击的界面可以看到当天恶意文件数量为5，攻击源分别来自国外和国内，从攻击地图可直观发现该恶意行为。

进一步对告警信息进行深入分析，发现5个恶意文件均通过邮件方式传播，在内部沙箱系统中验证典型行为有：遍历文件、打开服务控制管理器、获取当前用户名、通过脚本文件发送HTTP请求、调用加密算法库等，这些行为表明该恶意文件就是我们一直关注的勒索病毒。

事件处理：

1) 发现该攻击事件后，安恒信息的技术人员第一时间通知客户不要打开邮件附件，及时对该邮件和附件进行删除。

2) 然后进一步基于沙箱报告对C&C服务器请求URL进行封堵，确保不再遭受类似攻击。

3) 将防御勒索病毒措施的实施方法报告交给客户，并帮助其对445端口进行关闭，以及对内部主机安装微软MS17-010安全补丁。

客户案例三

事件起源：

5月14日凌晨12点50分开始到1点35分左右，部署在某客户的APT设备发现多达11次的勒索病毒攻击事件，攻击方式均为邮件，发件人和收件人都不相同，怀疑这些邮件为精心构造。以下为其中一起事件中样本行为的沙箱分析：

事件处理：

1)发现该攻击事件后，安恒信息的技术人员第一时间通知客户，及时对该邮件和附件进行删除。

2) 基于沙箱报告对C&C服务器请求URL进行封堵，确保不再遭受类似攻击。

3) 帮助客户对445端口进行关闭，对内部主机安装微软MS17-010安全补丁。

客户案例四

事件起源：

5月14日下午，部署在某网络中的APT设备发现多次SMB远程溢出攻击告警，攻击采用方式为trans2 request，攻击源IP为内部某区域主机，经判断该IP已经被感染了“永恒之蓝”勒索病毒，正在尝试向其他主机IP进行感染。安恒信息现场技术人员立即通知客户，通过交换机对该区域445端口进行封堵，暂时抑制了攻击行为。

事件处理：

1) 通过对攻击源感染病毒IP进行追溯，发现位于某区域，但该IP对应无线路由器，该路由器下挂10台办公终端，均采用Windows操作系统，给追溯造成了一定难度。

2) 技术人员先通过进程监控工具对各终端主机进行分析，迅速发现其中一台可疑主机，然后对相关进程进行关闭，对应文件进行删除，问题从根源解决。

3) 帮助客户对445端口进行关闭，以及对内部主机安装微软MS17-010安全补丁。

客户案例五

事件起源：

5月15日下午，部署在某客户网络中的APT设备发现了一个PDF文件，沙箱分析结果显示行为有溢出成功、使用ShellExecute执行恶意文件等敏感行为，经过进一步分析发现，该PDF样本包含一个OpenAction，并直接指向ID：5的JS流，然后进一步通过指定服务器下载恶意程序，对本地文件进行加密操作，是典型的勒索病毒。

事件处理：

1)发现该攻击事件后，安恒信息第一时间通知客户，追踪收件人，及时对该邮件和附件进行删除。

2) 针对回连服务器URL进行封堵，确保不再遭受类似攻击。

3) 持续在APT设备上观察后续告警数据，确定后续攻击事件。

客户案例六

事件起源：

和客户案例五类似，5月15日下午同一时间，部署在另外一个客户网络中的APT设备发现同样类型的PDF文件，告警显示行为完全一致。进一步分析发现，都具有溢出成功，使用ShellExecute执行恶意文件等敏感行为，该PDF样本包含一个OpenAction，并直接指向ID：5的JS流，然后进一步通过指定服务器下载恶意程序，对本地文件进行加密操作，是典型的勒索病毒。

经过分析判断，该类型样本极为隐蔽，且已经形成了规模性攻击事件，建议各行业客户都引起重视，及时进行处置和防护。

安恒APT设备应对勒索病毒能力

对勒索病毒样本传播进行监控

APT设备可以实时检测网络流量，发现网络中勒索病毒样本传播情况。主要采用了流量分析技术和沙箱分析技术，从流量中分离下载的文件、传输的邮件附件等，然后再基于APT设备的动态沙箱虚拟执行引擎，可以对js、exe、vbs等各种类型的勒索病毒运行分析，提取其中的关键行为，包括进程行为、文件行为、网络行为等信息，基于勒索病毒的典型行为，识别勒索软件。

快速发现SMB远程溢出攻击行为

APT设备通过实时对445端口流量进行监控，可以发现利用SMB协议进行远程命令执行的行为，即感染源在向更多主机进行感染的行为，快速发现攻击的具体方式，攻击持续的时间，攻击的源和目的等情况。

发现并定位勒索病毒感染源

在网络中部署APT设备及时发现勒索病毒感染情况，如勒索病毒传播的感染源、感染目标、感染方式等，快速对感染途径和感染源进行处理，可以切断传播途径，形成针对性的防护策略。