自从Wannacry勒索病毒事件爆发后,勒索病毒走入了公众的视野。对黑产而言,勒索病毒是一类“收益”颇丰的攻击方式,因而在技术上也投入颇多,导致目前市面上能见到的勒索病毒版本快速迭代、变种层出不穷,查杀躲避检测技术也愈发狡猾……这些变化都对企业的业务产生了严重威胁。
应对勒索病毒的风险迫在眉睫,基于此,安全狗针对当前面对的勒索病毒的现状进行了初步的总结,并推出一些针对性的解决方案,希望对行业和用户有所补益。
勒索病毒的分类有很多种方式,考虑到对于企业而言进行防御的便利性,我们这里以传播途径为标准进行了若干总结。
社会工程学传播
如Locky病毒,该病毒一般是通过邮件方式进行传播,黑客对目标对象发送带有附件的恶意邮件,员工或者领导一旦打开附件后,电脑、手机上的各种重要文件,包括软件源代码、Word、PPT、PDF、图片等都会被加密,无法正常使用。
漏洞传播
漏洞传播存在多种类型。
1、通过服务器弱口令传播
如Rapid勒索病毒,根据部分网友在部分论坛中的反馈发现,该病毒通过服务器弱口令方式传播。
2、永恒之蓝系列
①Wannacry及其变种可谓该系列病毒中最为臭名昭著的一类了,爆发以来造成的损失不计其数,包括安全狗在内的众多厂商均针对该系列病毒推出过解决方案。
②Petya勒索病毒的变种。使用的传播攻击形式和WannaCry类似,但该病毒除了使用了永恒之蓝(MS17-010)漏洞,还罕见的使用了黑客的横向渗透攻击技术,利用WMIC/PsExec/mimikatz等
③Satan勒索病毒。通过永恒之蓝漏洞攻击工具在局域网内横向传播,主动入侵未安装补丁的服务器
复合传播方式
1、GandCrab家族勒索病毒
传播渠道相对其他家族丰富很多,包括挂马攻击、水坑攻击、漏洞攻击和钓鱼邮件攻击,其中水坑攻击令人防不胜防。水坑攻击传播通过入侵网站后台,将网页内容篡改为乱码,并且提示需要更新字体,诱导用户下载运行“字体更新程序”,实际上用户下载到的是GandCrab2勒索病毒。GandCrab3勒索病毒还通过Bondat蠕虫下载传播。
2、Crysis勒索软件
有的厂商认为Crysis这个勒索软件主要通过垃圾邮件、钓鱼邮件、游戏修补程序、注册机、捆绑破解软件等方式传播;有的厂商则认为主要传播方式是利用服务器弱口令漏洞,爆破远程登录用户名和密码,进而通过RDP(远程桌面协议)远程登录目标服务器运行勒索病毒,黑客远程登录服务器后手动操作。
我们认为这些传播方式可能均存在,只是基于厂商的立足点不同和统计方式的区别而存在差异,如基于个人PC端统计到的传播方式社会工程学方式居多,然而对于服务器则是以服务器弱口令漏洞传播居多,故而分类为复合传播方式。
3、GlobeImposter勒索者病毒
GlobeImposter勒索者病毒可以利用电子邮件、文件传输等方式进行扩散,更主要的特点是利用系统的漏洞发起动态攻击。针对企业服务器的攻击以弱口令爆破服务器后远程登录的方式最为常见。黑客使用自动化攻击脚本,暴力破解服务器管理员账号密码,入侵后可秘密控制服务器,卸载服务器上的杀毒软件并植入勒索病毒。
根据我们的推测,大多没有发现传播模块的勒索病毒,其实并不是没有传播模块,只是,在传播过程中,传播模块并没有一起传播,部分黑客限于技术或有意控制传播范围只针对某些目标时,只进行勒索而不大范围感染传播,也有些是因为黑客防止被他人探测出传播手段,发现漏洞后手动利用漏洞释放病毒,而不使用自动传播模块,避免手段泄露。
针对多种传播类型的勒索软件,也需要多样的手段来进行防御,我们总结了这些可以进行的防御方式。
事前加固
1、检测并修复弱口令
2、制定严格的端口管理策略
3、设置防爆破策略
4、一键更新漏洞补丁
5、病毒木马检测
事中防御
1、通过对网络内部主机的进程、会话、资源等指标参数进行监测以发现异常的可疑行为。
2、结合威胁情报提供的远控或高危黑IP,感知可能正在发生的攻击事件
事后处置
1、隔离感染主机:已中毒计算机尽快隔离,关闭所有网络连接,禁用网卡。
2、切断传播途径:关闭潜在终端的SMB 445等网络共享端口,关闭异常的外联访问。可开启IPS和僵尸网络功能进行封堵。
3、查找攻击源:手工抓包分析或借助安全狗啸天态势感知平台快速查找攻击源,避免更多主机持续感染。
4、查杀病毒:推荐使用安全狗进行病毒查杀,快速分析流行事件,实现终端威胁闭环处置响应。
领取专属 10元无门槛券
私享最新 技术干货