勒索病毒视角下,企业的安全治理!

内容来源:2018年3月29日,深信服浙江安全业务总监李哲在博学网实践月:信息安全技术在线直播分享进行《勒索病毒视角下,企业的安全治理》主题演讲。博学网作为主办方,经和讲者审阅授权发布。

勒索病毒原理

什么是勒索病毒

主机感染勒索病毒文件后,会在主机上运行勒索程序,遍历本地所有磁盘指定类型文件进行加密操作,加密后文件无法读取。然后生成勒索通知,要求受害者在规定时间内支付一定价值的比特币才能恢复数据,否则会被销毁数据。

什么是挖矿木马

黑客通过木马控制大量肉鸡电脑戒服务器,为其制造虚拟货币,占用大量的系统资源。

勒索病毒传播需要植入到受害者主机的常见四种方式

钓鱼邮件

恶意代码伪装在邮件附件中,诱使打开附件

典型案例:Locky、Petya变种

主要对象:个人PC

蠕虫式传播

通过漏洞和口令进行网络空间中的蠕虫式传播

典型案例:WannaCry、 Petya变种

主要对象无定向,自动传播都有可能

Exploit Kit分发

通过黑色产业链中的Exploit Kit来分发勒索软件

典型案例:Cerber

主要对象:有漏洞的业务Server

暴力破解

通过暴力破解RDP端口、 SSH端口,数据库端口

典型案例:java 、

Globelmposter变种

主要对象:开放远程管理的Server

勒索病毒变种样本及案例分析

勒索病毒的变种1

WannaCry变种

该变种跟之前流行一时的对主机进行勒索的WannaCry主要有以下发化:

1.KillSwitch开关不再有效;

2.勒索程序运行失效;

3.蓝屏症状[堆喷射技术]。

注意:由于该变种病毒不再受KillSwitch影响,可能会像当年的飞客蠕虫一样,感染量较大。

勒索病毒——Globelmposter

Globelmposter家族首次发现在2017年5月份,本次发现的样本为Globelmposter家族的最新样本——

1.没有内网传播功能,其加密文件使用TECHNO.DOC、.CHAK、 .FREEMAN、 .TRUE等形式扩展名;

2.取消了勒索付款的比特币钱包地址以及回传信息的“洋葱”网络地址,而是直接通过邮件地址告知受害者联系,然后取得相应的付款方式;

3.由于Globelmposter采用RSA2048算法加密(高强度非对称加密方式),受害者在没有私钥的情况下无法恢复文件,如需恢复重要资料只能被迫支付赎金。

勒索病毒的变种2——WannaMine

此次攻击,是经过精心设计的,涉及的病毒模块多,感染面广,关系复杂。其最终目的不再是勒索,而是长期潜伏挖矿,默默赚外快。虽经变种,但传播机制一致,故我们将其命名WannaMine.

勒索病毒应急处置与加固

“中招”怎么办?

隔离感染主机:已中毒计算机尽快隔离,关闭所有网络连接,禁用网卡;

切断传播途径:关闭潜在终端的SMB,RDP端口。关闭异常的外联访问;

查找攻击源:手工抓包分析供给源或借助安全感知类产品分析;

查杀病毒,修复漏洞:查杀病毒,打上漏洞补丁,修改口令。

勒索病毒预防措施

1)弱口令

避免弱口令,避免多个系统使用同一口令

2)应用服务

终端:关闭Windows共享服务、远程桌面控制等不必要的服务

网络:防火墙做好应用控制,关闭互联网访问

3)漏洞管理

定期漏扫

及时打补丁,修复漏洞

4)杀毒软件 安装杀毒软件

5)数据备份 对重要的数据文件定期进行非本地备份

6)安全意识宣传

不使用不明来历的U盘、移动硬盘等存储设备

不要点击来源不明的邮件以及附件

不接入公共网络也不允许内部网络接入来历不明外网PC

7)安全体检服务

深信服的最佳实践

1.全方位安全服务

2.勒索病毒风险评估

云扫描:远程云扫描,发现暴露在互联网上的安全脆弱性,防止被勒索病毒戒攻击者利用;

本地安全检查:通过在内网和本地扫描存在的安全威胁,防止被勒索病毒利用进行传播;

口令扫描:扫描开放服务是否存在弱口令,避免通过弱口令入侵植入勒索病毒。

3.流量防御

1.漏洞阻断:阻断病毒传播的漏洞流量;

2. 暴力破解防护:阻断弱口令攻击尝试;

3. 邮件查杀:对邮件附件进行查杀,识别恶意的邮件附件;

4.下载文件云查杀:对下载的可执行文件进行云查杀,阻断勒索病毒的下载。

4.快速响应

1.扫描策略快速下发:快速下发勒索病毒的脆弱性扫描策略,检测是否存在感染隐患。

2.流量端点协同响应:自动阻断木马与黑客通信,端点执行扫描、查杀等动作。

3.高级专家应急处理:全国各地中小城市均设办事处,7*24小时在线专家。

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180413G1CLZR00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。

扫码关注云+社区

领取腾讯云代金券