生鲜农产品网站建设,上海家居网站建设,8g流量网站,wordpress自带播放器进度条文章目录 一、勒索病毒简介二、常见勒索病毒三、勒索病毒常见利用漏洞四、勒索病毒的解密4.1、常见的可解密勒索家族类型4.2、处理勒索病毒常用工具 五、勒索病毒的攻击5.1、勒索病毒的攻击方法5.2、勒索病毒的攻击特点 六、勒索病毒的应急响应方法6.1、隔离被感染的服务器/主机… 文章目录 一、勒索病毒简介二、常见勒索病毒三、勒索病毒常见利用漏洞四、勒索病毒的解密4.1、常见的可解密勒索家族类型4.2、处理勒索病毒常用工具 五、勒索病毒的攻击5.1、勒索病毒的攻击方法5.2、勒索病毒的攻击特点 六、勒索病毒的应急响应方法6.1、隔离被感染的服务器/主机6.2、排查业务系统6.3、确定勒索病毒种类 进行溯源分析6.4、处置勒索病毒6.4.1、文件检查6.4.2、补丁检查6.4.3、账号排查6.4.4、网络连接、进程、任务计划排查6.4.5、网络流量排查 6.5、恢复数据和业务、清除加固 七、勒索病毒的后续防护建议7.1、服务器、终端防护7.2、网络防护与安全监测7.3、应用系统防护及数据备份7.4、个人终端防御技术7.5、企业级终端防御技术 八、常见错误处置方法 一、勒索病毒简介
勒索病毒是一种伴随数字货币兴起的病毒木马主要以邮件、程序木马、网页挂马的形式进行传播。这种病毒利用各种加密算法对文件进行加密勒索病毒一般利用非对称加密算法和对称加密算法组合的形式对受害者文件进行加密。绝大多数勒索病毒被感染者是无法解密的必须拿到解密的私钥才有可能破解。
勒索病毒文件一旦进入本地就会自动运行同时删除勒索软件样本以躲避查杀和分析。接下来勒索病毒利用本地的互联网访问权限连接至黑客的CC服务器进而上传本机信息并下载加密私钥与公钥利用私钥和公钥对文件进行加密。除了病毒开发者本人其他人是几乎不可能解密。
加密完成后还会修改壁纸在桌面等明显位置生成勒索提示文件指导用户去缴纳赎金。且变种类型非常快对常规的杀毒软件都具有免疫性。攻击的样本以exe、js、wsf、vbe等类型为主对常规依靠特征检测的安全产品是一个极大的挑战。 据火绒监测勒索病毒主要通过三种途径传播漏洞、邮件和广告推广。
一般勒索病毒运行流程复杂且针对关键数据以加密函数的方式进行隐藏。以下为APT沙箱分析到样本载体的关键行为
1、调用加密算法库
2、通过脚本文件进行Http请求
3、通过脚本文件下载文件
4、读取远程服务器文件
5、通过wscript执行文件
6、收集计算机信息
7、遍历文件。可以从安全技术和安全管理两方面入手防止感染勒索病毒
1、不要打开陌生人或来历不明的邮件防止通过邮件附件的攻击
2、尽量不要点击office宏运行提示避免来自office组件的病毒感染
3、需要的软件从正规官网途径下载不要双击打开.js、.vbs等后缀名文件
4、升级到最新的防病毒等安全特征库
5、升级防病毒软件到最新的防病毒库阻止已存在的病毒样本攻击
6、定期异地备份计算机中重要的数据和文件万一中病毒可以进行恢复。二、常见勒索病毒
1、WannaCry勒索病毒 WannaCry勒索病毒通过MS17-010漏洞进行传播该病毒感染计算机后会向计算机植入敲诈者病毒导致计算机大量文件被加密。受害者计算机被攻击者锁定后病毒会提示需要支付相应赎金方可解密。
1、常见后缀: wncry
2、传播方法:“永恒之蓝”漏洞
3、特征:启动时会连接一个不存在的URL (Uniform Resource L ocator,统一资源定位符) ;创建系统服务mssecsvc2.0;释放路径为Windows目录。2、Globelmposter勒索病毒 Globelmposter勒索病毒主要通过钓鱼邮件进行传播。攻击目标主要是开启远程桌面服务的服务器攻击者暴力破解服务器密码对内网服务器发起扫描并人工投放勒索病毒导致文件被加密暂时无法解密。
1、常见后缀: auchentoshan、 动物名4444等
2、传播方法: RDP暴力破解、钓鱼邮件、捆绑软件等
3、特征释放在%appdata%或%localappdata%。3、Crysis/ Dharma勒索病毒 Crysis/Dharma勒索病毒攻击方法是利用远程RDP暴力破解的方法植入到服务器进行攻击。Crysis采用AESRSA的加密方法无法解密。
1、常见后缀: [id] 勒索邮箱特定后缀。
2、传播方法: RDP暴力破解。
3、特征:勒索信位置在startup目录样本位置在%windir%\system32、 startup目录、%appdata%目录。4、GandCrab勒索病毒 GandCrab勒索病毒采用Salsa20和RSA-2048算法对文件进行加密并将感染主机桌面背景替换为勒索信息图片。
1、常见后缀:随机生成。
2、传播方法: RDP暴力破解、钓鱼邮件、捆绑软件、僵尸网络、漏洞传播等。
3、特征:样本执行完毕后自动删除并会修改感染主机桌面背景有后MANUAL.txt、
DECRYPT.txt。5、Satan勒索病毒 Satan勒索病毒可以对Windows和L inux双平台系统进行攻击。最新版本攻击成功后会加密文件并修改文件后缀为evopro。除了通过RDP暴力破解一般还通过多个漏洞传播。
1、常见后缀: evopro、 sick等 。
2、传播方法:“永恒之蓝”漏洞、RDP暴力破解、JBoss系列漏洞、Tomcat系列漏洞、WebLogic组件漏洞等。
3、特征:最新变种暂时无法解密以前的变种可解密。6、Sacrab勒索病毒 Scarab勒索病毒最流行的一个版本是通过Necurs僵尸网络进行分发使用Visual C语言编写而成的还可通过钓鱼邮件和RDP暴力破解等方法传播。在针对多个变种进行脱壳之后于2017年12月发现变种Scarabey其分发方法与其他变种不同并且它的有效载荷代码也不相同。
1、常见后缀krab、sacrab、bomber、crash等
2、传播方法: Necurs僵尸网络、RDP暴力破解、钓鱼邮件等。
3、特征:样本释放位置在%appdata%\roaming。7、Matrix勒索病毒 Matrix勒索病毒是目前为止变种较多的一种勒索病毒该勒索病毒主要通过入侵远程桌面进行感染安装攻击者通过暴力枚举直接连入公网的远程桌面服务从而入侵服务器获取权限后便会上传该勒索病毒进行感染。勒索病毒启动后会显示感染进度等信息在过滤部分系统可执行文件类型和系统关键目录后对其余文件进行加密。
1、常见后缀: grhan、 prcp、 spct、 pedant等 。
2、传播方法: RDP暴力破解。8、Stop勒索病毒 Stop勒索病毒主要通过钓鱼邮件、捆绑软件、RDP暴力破解进行传播有某些特殊变种还会释放远控木马。与Matrix勒索病毒类似Stop勒索病毒也是一个多变种的勒索木马截至目前变种多达160余种。
1、常见后缀: tro、 djvu、 puma、pumas、pumax、djvuq等。
2、传播方法:钓鱼邮件、捆绑软件和RDP暴力破解。
3、特征:样本释放位置在%appdata%\local\随机名称可能会执行计划任务。9、Paradise勒索病毒 Paradise勒索病毒最早出现在2018年7月最初版本会附加一个超长后缀到原文件名末尾。在每个包含加密文件的文件夹中都会生成一封勒索信Paradise勒索病毒后续的活跃变种版本采用了Crysis/Dharma勒索信样式
1、常见后缀:文件名_%ID字符串%_ {勒索邮箱}.特定后缀。
2、特征:将勒索弹窗和自身释放到startup启动目录。主流勒索病毒表7ev3n8lock8AutoLockyAlphaBitCryptorBrazilianBitMessageBooyahBuyUnlockCodeBuddyCryptoMixCryptoWallCryptX XCTB-LockerChimeraCryprenCryptoHasYouCryptoHitmanCoinVaultCryptoTorLockerCerberCryptoFortressCryptoDefenseCryptoLockerCryptoJokerDMAEnCiPhErEdEnigmaECLRGNLGhostCryptHydraCryptHiJobCrypterJigsawKEYHolderKimcilWareKriptovoKryptoLockerKeRangerLortokLockyLockerLeChiffreMireWareMobefMischaMaktubNemucodNemucod-7zNanoLockerOMGProtectedPClockRansomCryptShujinSurpriseSNSLockerSuperCryptSamasSanctionShadeTrueCrypterTeslaCryptUmbreCryptVaultCryptVirlockerWonderCrypterXTBLXort 三、勒索病毒常见利用漏洞
已知的被勒索病毒利用的常见漏洞RDP协议弱密码暴力破解Win32k提权漏洞CVE-2018-8120Nexus Repository Manager 3远程代码执行漏洞CVE-2019-7238Windows SMB远程代码执行漏洞MS17-010Windows ALPC提权漏洞CVE-2018-8440Windows内核信息泄漏CVE-2018-0896JBoss反序列化漏洞CVE-2017-12149JBoss反序列化漏洞CVE-2013-4810JBoss默认配置漏洞CVE-CVE-2010CVE-2010-0738Tomcat Web管理后台弱密码暴力破解Spring Data Commons远程命令执行漏洞CVE-2018-1273WinRAR代码执行漏洞CVE-2018-20250WebLogic反序列化漏洞CVE-2017-3248WebLogic WLS组件漏洞CVE-2017-10271Apache Struts2远程代码执行漏洞S2-045Apache Struts2远程代码执行漏洞S2-057 四、勒索病毒的解密
4.1、常见的可解密勒索家族类型
常见的可解密勒索家族类型777 RansomAES_NI RansomAgent.iih RansomAlcatraz RansomAlpha RansomAmnesia RansomAmnesia2 RansomAnnabelle RansomAura RansomAurora RansomAutoIt RansomAutoLocky RansomAvest RansomBTCWare RansomBitcryptor RansomBadBlock RansomBarRax RansomBart RansomBigBobRoss RansomCry9 RansomCERBER V1 RansomChimera RansomCoinvault RansomCry128 RansomCryptokluchen RansomCrySIS RansomCryakl RansomCrybola RansomCrypt888 RansomCryptON RansomCrypt X X V1 RansomCrypt X X V2 RansomCrypt X X V3 RansomCrypt X X V4 RansomCrypt X X V5 RansomCryptoMix RansomDharma RansomDXXD RansomDamage RansomDemocry RansomDerialock RansomEverbe 1.0 RansomEncrypTile RansomFury RansomFenixLocker RansomFilesLocker V1 and V2 RansomFortuneCrypt RansomGalactiCryper RansomGandCrab (V1, V4 and V5 up to V5.2 versions) RansomGlobe RansomGetCrypt Ransom
对于不可解密的勒索病毒常规的解密方法主要为支付赎金通过支付赎金获取解密工具使用解密工具进行解密。
解密方法难度系数入侵攻击者的服务器获取非对称加密的私钥用非对称加密的私钥解密经过非对称加密公钥加密后的对称加密密钥进而解密文件数据高勒索病毒加密算法设计存在问题如2018年年底的“微信支付”勒索病毒加密密钥存放在了本地故很快被破解高暴力破解私钥高支付赎金下载特定的解密器中
4.2、处理勒索病毒常用工具
一般在遭到勒索病毒攻击后我们最关心两个问题一是确定勒索病毒种类判断是否能解密并恢复数据二是攻击者是怎样实施加密的。以下介绍部分常用工具。
1、勒索病毒查询工具 通过勒索病毒查询网站可判断当前的勒索病毒是否可利用公开的解密工具恢复数据。
腾讯哈勃勒索软件专杀工具 https://habo.qq.com/tool/index 金山毒霸勒索病毒免疫工具 http://www.duba.net/dbt/wannacry.html 火绒安全工具下载 http://bbs.huorong.cn/forum-55-1.html 瑞星解密工具下载 http://it.rising.com.cn/fanglesuo/index.html nomoreransom勒索软件解密工具集 https://www.nomoreransom.org/zh/index.html MalwareHunterTeam勒索软件解密工具集 https://id-ransomware.malwarehunterteam.com/ 卡巴斯基免费勒索解密器 https://noransom.kaspersky.com/ Avast免费勒索软件解密工具 https://www.avast.com/zh-cn/ransomware-decryption-tools Emsisoft免费勒索软件解密工具 https://www.emsisoft.com/ransomware-decryption-tools/free-download Github项目勒索病毒解密工具收集汇总 https://github.com/jiansiting/Decryption-Tools 360勒索病毒搜索引擎 http://lesuobingdu.360.cn 腾讯勒索病毒搜索引擎 https://guanjia.qq.com/pr/ls/ 启明VenusEye勒索病毒搜索引擎 https://lesuo.venuseye.com.cn/ 奇安信勒索病毒搜索引擎 https://lesuobingdu.qianxin.com/ 深信服勒索病毒搜索引擎 https://edr.sangfor.com.cn/#/information/ransom_search 五、勒索病毒的攻击
5.1、勒索病毒的攻击方法
1、服务器入侵传播 攻击者可通过系统或软件漏洞等方法入侵服务器或通过RDP弱密码暴力破解远程登录服务器。一旦入侵成功可卸载服务器上的安全软件并手动运行勒索病毒。目前管理员账号、密码被破解是服务器入侵的主要原因。
2、利用漏洞自动传播 勒索病毒可通过系统自身漏洞进行传播扩散如WannaCry勒索病毒就是利用“永恒之蓝”漏洞进行传播的。
3、软件供应链攻击传播 软件供应链攻击是指利用软件供应商与最终用户之间的信任关系在合法软件正常传播和升级过程中利用软件供应商的各种疏忽或漏洞对合法软件进行劫持或篡改从而绕过传统安全产品检查达到非法目的的攻击。
4、邮件附件传播 通过伪装成产品订单详情或图纸等重要文档类的钓鱼邮件在附件中夹带含有恶意代码的脚本文件一旦用户打开邮件附件便会执行其中的脚本释放勒索病毒。
5、利用挂马网页传播 攻击者入侵主流网站的服务器在正常网页中植入木马访问者在浏览网页时其利用IE或Flash等软件漏洞进行攻击。
5.2、勒索病毒的攻击特点
1、无C2命令和控制服务器服务器加密技术流行 攻击者在对文件加密的过程中一 般不再使用C2服务器也就是说现在的勒索病毒在加密时不需要回传私钥。
无C2服务器加密技术的加密过程大致如下:
①在加密前随机生成新的加密密钥对(非对称公、私钥) ;
②使用新生成的公钥对文件进行加密;
③采用攻击者预埋的公钥把新生成的私钥进行加密保存在一个ID文件中或嵌入加密文件。无C2服务器加密技术的解密过程大致如下:
①通过邮件或在线提交的方法提交ID串或加密文件中的加密私钥(一 般攻击者会提供工具提取该私钥) ;
②攻击者使用保留的与预埋公钥对应的私钥解密受害者提交过来的私钥;
③把解密私钥或解密工具交付给受害者进行解密。通过以上过程可以实现每个受害者的解密私钥都不同同时避免联网回传私钥。这也就意味着不需要联网勒索病毒也可以对终端完成加密甚至在隔离网环境下依然可以对文件和数据进行加密。
2、勒索病毒平台化运营更加成熟 在勒索病毒服务平台上勒索病毒的核心技术已经直接打包封装好攻击者直接购买调用其服务即可得到一个完整的勒索病毒。这种勒索病毒的生成模式称为RaaS服务。
3、勒索病毒攻击的定向化、高级化 从2019年开始勒索病毒定制化攻击明显如BitPaymer主要攻击各个行业的供应链解决方案提供商并且提供定制化的勒索信息。同时攻击的手法APT化。
4、漏洞利用频率更高、攻击平台更多 勒索病毒除了采用众多Web服务漏洞进行传播还在其他阶段使用漏洞进行攻击如Sodinokibi在执行过程中会使用内核提权漏洞进行权限提升。与此同时使用漏洞针对Linux和MacOS服务器的勒索也在增加。
5、攻击目的多样化 使用勒索病毒发起攻击的目的更加多样化。以网络破坏、组织破坏、信息泄漏为目的的勒索病毒更加频繁。 六、勒索病毒的应急响应方法
如何判断遭遇勒索病毒攻击 1、业务系统无法访问 勒索病毒的攻击不仅加密核心业务文件还对服务器和业务系统进行攻击感染关键系统破坏受害机构的日常运营甚至还会延伸至生产线(生产线不可避免地存在一些遗留系统且各种硬件难以升级打补丁一旦遭到勒索病毒攻击生产线将停工停产)。 但是当业务系统出现无法访问时也有可能是遭受其它攻击。需要结合以下特征继续判断。 2、文件后缀被篡改 操作系统在遭遇勒索病毒攻击后一般受害机器中的可执行文件、文档等都会被病毒修改成特定的后缀名。 3、勒索信展示 遭受勒索病毒攻击后受害者通常会在桌面或者磁盘根目录找到勒索信。
6.1、隔离被感染的服务器/主机
当发生应急响应事件时应急响应工程师需要对勒索病毒事件进行初步判断了解事态现状、系统架构、感染时间等并确定感染面还要及时提供临时处置建议对已被勒索的服务器/主机下线隔离对未被勒索的服务器/主机做好防护。
感染时间 在初步预判遭遇勒索病毒攻击后需要了解被加密文件的修改时间及勒索信建立时间以此推断攻击者执行勒索程序的时间轴以便后续依据此时间进行溯源分析追踪攻击者的活动路径。
系统架构 通过了解现场环境的网络拓扑、业务架构及服务器类型等关键信息可帮助应急响应工程师在前期工作中评估病毒传播范围、利用的漏洞以及对失陷区域做出初步判断为接下来控制病毒扩散与根除工作提供支撑。
感染范围 可以通过安装集中管控软件或全流量安全设备来查看“中招”范围。还可以通过IT系统管理员收集网络信息首先检查同一网段服务器/主机再拓展到相邻网段进行排查。同时也可以收集企业内部人员的反馈信息来进行补充以便全面掌握“中招”范围。
隔离主要可采取以下两种方法 1、物理隔离主要为断网或断电关闭服务器/主机的无线网络、蓝牙连接等禁用网卡并拔掉服务器/主机上的所有外部存储设备; 2、访问控制主要是指对访问网络资源的权限进行严格认证和控制常用的操作方法是加策略在网络侧使用安全设备进行进一步隔离 如使用防火墙或终端安全监测系统避免将远程桌面服务(RDP 默认端口为3389)暴露在公网中(如为了远程运维方便确有必要开启则可通过VPN登录后访问)并关闭445、139、 135等不必要的端口修改登录密码1、立刻修改被感染服务器/主机的登录密码修改同一局域网下的其他服务器/主机的登录密码3、修改最高级系统管理员账号的登录密码。
6.2、排查业务系统
在完成了勒索病毒事件判断及临时处置后应对局域网内的其他机器进行排查检查核心业务系统是否受到影响生产线是否受到影响并检查备份系统是否被加密等以确定感染的范围。
针对未被勒索服务器/主机在网络边界防火墙上全局关闭3389端口或3389端口只对特定IP地址开放开启Windows防火墙尽量关闭3389、445、139、135等不用的高危端口每台服务器/主机设置高强度的复杂密码安装最新杀毒软件或服务器加固版本防止被攻击对系统进行补丁更新封堵病毒传播途径若现场设备处在虚拟化环境下则建议安装虚拟化安全管理系统进一步提升防恶意软件、防暴力破解等安全防护能力。
针对未明确是否被勒索的服务器/主机对该服务器/主机做策略隔离或者断网隔离在确保该服务器/主机未连接网络的情况下开启检查。
6.3、确定勒索病毒种类 进行溯源分析
在检查过程中可以将疑似样本提取出来通过威胁情报平台分析判断样本是否为恶意样本也可以联系专业技术人员进行样本分析确认样本的病毒类型、传播特性及其他恶意行为。
勒索病毒在感染服务器/主机后攻击者通常会留下勒索提示信息。可以先从被加密的磁盘目录中寻找勒索提示信息一 些提示信息中会包含勒索病毒的标识由此可直接判断本次感染的是哪一类勒索病毒再通过勒索病毒处置工具查看是否能够解密。
溯源分析一般需要查看服务器/主机上保留的日志和样本。通过日志判断勒索病毒可能通过哪种方法侵入服务器/主机如果日志被删除就需要在服务器/主机上寻找相关的病毒样本或可疑文件再通过这些可疑文件判断病毒的入侵途径。
6.4、处置勒索病毒
可点击查看详细Windows入侵排查 可点击查看详细Linux入侵排查
针对被勒索的服务器/主机展开检查工作检查主要围绕系统和日志两个层面展开 系统层面主要包括是否有可疑账号、可疑进程、异常的网络连接、可疑任务计划、可疑服务及可疑启动项确认加密文件是否可以解密 日志层面主要包括安全日志是否有暴力破解记录、异常IP地址登录记录对感染的服务器/主机展开溯源分析工作串联异常登录IP地址情况最后定位攻击的突破口。
6.4.1、文件检查
勒索病毒文件产生的时间通常都比较接近勒索病毒爆发的时间因此通过查找距离文件加密时间1~ 3天创建和修改的文件或查找可疑时间节点创建和修改的文件就可查找到勒索病毒相关文件。 在确定为可疑文件后不建议直接删除可以先对文件进行备份再清理。若不涉及溯源和证据固定可手动清除病毒也可借助杀毒软件查看是否还存在异常文件并进行病毒查杀。
Windows系统排查方法 对文件夹内文件列表时间进行排序根据勒索病毒加密时间检查桌面及各个盘符根目录下的异常文件一般可能性较大的目录有:
C:\Windows\Temp;
C:\Users\[user]\AppData\Local\Temp;
C:\Users\[user]\Desktop;
C:\Users\[user]\Downloads;
C:\Users\[user]\Pictures。病毒/可疑文件名可以伪装成“svchost.exe”“WindowsUpdate.exe”这样的系统文件也可以伪装成直接使用加密后缀命名的“Ares.exe”“Snake.exe,或者其他异常的名称大多数病毒/可疑文件可以被找到但也有一些病毒/可疑文件具有自动删除行为从而无法被找到。
Linux系统排查方法 进行Linux系统排查时可先查看桌面是否存在可疑文件之后针对可疑文件使用[stat] 命令查看相关时间若修改时间与文件加密日期接近有线性关联则说明可能被篡改。另外由于权限为777的文件安全风险较高在查看可疑文件时也要重点关注此类文件。查看777权限的文件可使用find . *.txt- -perm 777 命令。 由于病毒程序通常会通过隐藏自身来逃避安全人员的检查因此我们可通过查找隐藏的文件来查找可疑文件。使用命令Is -ar l grep ^\ .可查以.开头的具有隐藏属性的文件“.”代表当前目录“..”代表上一级目录。
6.4.2、补丁检查
补丁排查只针对Windows系统。使用systeminfo命令可查看系统补丁情况。
6.4.3、账号排查
在勒索病毒攻击中攻击者有时会创建新的账户登录服务器/主机实施提权或其他破坏性的攻击因此需要对账户进行排查。 Windows系统排查方法 打开本地用户和组窗口可查找可疑用户和组。此方法可以查看到隐藏的用户因此排查更全面。 Linux系统排查方法 在Linux系统中重点关注添加root权限的账户或低权限的后门登录账户。root账户的UID为0如果其他账户的UID也被修改为0则这个账户就拥有了root权限。可以使用如下命令综合排查可疑用户。
1、cat /etc/passwd 可查看所有用户信息。
2、awk -F: {if($30) print $1} /etc/passwd 可查看具有root权限的账户。
3、cat /etc/passwd grep -E /bin/bash$ 可查看能够登录的账户。6.4.4、网络连接、进程、任务计划排查
攻击者一般在入侵系统后会植入木马监听程序方便后续访问。当攻击者通过远控端进行秘密控制或通过木马与恶意地址主动外连传输数据时可查看网络连接发现可疑的网络监听端口和网络活动连接。勒索病毒需要执行程序才能达到加密数据的目的通过查找进程对异常程序进行分析可以定位勒索病毒程序。木马可能会将自身注册为服务或加载到启动项及注册表中实现持久化运行。那么在对系统排查时要重点关注网络连接、进程、任务计划信息针对Windows系统还需要关注启动项和注册表。
Windows 系统排查方法 1、查看可疑网络连接 使用netstat -ano命令可查看目前的网络连接检查是否存在可疑IP地址、端口、网络连接状态。同时重点查看是否有暴露的135、445、 3389高危端口很多勒索病毒就是利用这些高危端口在内网中广泛进行传播的。
2、查看可疑进程 当通过网络连接命令定位到可疑进程后可使用tasklist 命令或在任务管理器窗口查看进程信息。随后可通过威胁情报平台对该进程文件进一步分析 确认是否为恶意进程。
3、查看可疑任务计划 打开任务计划程序窗口检查是否存在异常任务计划。重点关注名称异常和操作异常的任务计划。
4、查看CPU、内存占用情况及网络使用率 可通过资源管理器检测是否存在CPU、内存占用过高网络使用率过高的情况再结合以上排查进程、网络连接的方法定位可疑进程和任务计划。
5、查看注册表 使用Autoruns工具可对注册表项进行检测重点查找开机启动项中的可疑启动项也可命令行输入regedit打开注册表编辑器查看相关启动项是否存在异常。
6、日志排查 通过日志排查可发现攻击源、攻击路径、新建账户、新建服务等。 系统日志在勒索病毒事件处理中主要查看创建任务计划、安装服务、关机、重启这样的异常操作日志。 (安全日志主要检查登录失败(事件ID为4625) 和登录成功(事件ID为4624)的日志查看是否有异常的登录行为。
Linux系统排查方法 1、查看可疑网络连接和进程 使用netstat命令可分析可疑端口、可疑IP地址、可疑PID及程序进程之后使用ps命令可查看进程结合使用这两个命令可定位可疑进程信息。
2、可查看CPU、内存占用情况 使用top命令可查看系统CPU占用情况使用free或cat /proc/meminfo命令可查看内存占用情况。
3、查看系统任务计划 使用cat /etc/crontab命令可查看系统任务调度的配置文件是否被修改。
4、查看用户任务计划 除查看系统任务计划外还需查看不同用户任务计划如查看root任务计划时可使用crontab -u root -l命令。
5、查看历史执行命令 使用history /cat /root/.bash_ history 命令可查看之前执行的所有命令的痕迹以便进一步排查溯源。有些攻击者会删除该文件以掩盖其行为如果运行history命令却没有输出任何信息那么就说明历史文件已被删除。
6、日志排查 lastlog命令查看系统中所有用户最后登录信息。 lastb命令查看用户登录失败信息。当出现大量未知IP地址时可根据登录时间分析如果在较短时间内出现多次登录那么可以确定受到SSH攻击。 last 命令查看用户最近登录信息。Linux主机会记录下有哪些用户从哪个IP地址在什么时间登录了以及登录了多长时间。 last -f /var/run/utmp命令查看utmp文件中保存的当前正在使用本系统的用户信息并查看用户是否可疑。
6.4.5、网络流量排查
当现场部署了网络安全设备时可以通过网络流量排查分析以下内容 1、分析内网是否有针对445端口的扫描和MS17-010漏洞的利用 2、分析溯源勒索终端被入侵的过程 3、分析邮件附件MD5值匹配威胁情报的数据判定是否为勒索病毒 4、分析在网络中传播的文件是否被二次打包进行植入式攻击 5、分析在正常网页中植入木马让访问者在浏览网页时利用IE浏览器或Flash等软件漏洞实施攻击的情况
6.5、恢复数据和业务、清除加固
确认勒索病毒事件后需要及时对勒索病毒进行清理并进行相应的数据恢复工作同时对服务器/主机进行安全加固避免二次感染。 病毒清理及加固 1、在网络边界防火墙上全局关闭3389端口或3389端口只对特定IP地址开放 2、开启Windows防火墙尽量关闭3389、445、 139、 135等不用的高危端口 3、每台机器设置唯一登录密码且密码应为高强度的复杂密码 4、安装最新杀毒软件对被感染机器进行安全扫描和病毒查杀 5、对系统进行补丁更新封堵病毒传播途径 6、结合备份的网站日志对网站应用进行全面代码审计找出攻击者利用的漏洞入口进行封堵 7、使用全流量设备(如天眼)对全网中存在的威胁进行分析排查问题。 感染文件恢复 1、通过解密工具恢复感染文件 2、支付赎金进行文件恢复。 七、勒索病毒的后续防护建议
7.1、服务器、终端防护
1、所有服务器、终端应强行实施复杂密码策略杜绝弱密码; 2、杜绝使用通用密码管理所有机器; 3、安装杀毒软件、终端安全管理软件并及时更新病毒库; 4、及时安装漏洞补丁; 5、服务器开启关键日志收集功能为安全事件的追踪溯源提供支撑。
7.2、网络防护与安全监测
1、对内网的安全域进行合理划分各个安全域之间严格限制访问控制列表(ACL) 限制横向移动的范围; 2、重要业务系统及核心数据库应设置独立的安全区域并做好区域边界的安全防御工作严格限制重要区域的访问权限并关闭Telnet、Snmp等不必要、不安全的服务; 3、在网络内架设IDS/IPS设备及时发现、阻断内网的横向移动行为; 4、在网络内架设全流量记录设备以发现内网的横向移动行为并为追踪溯源提供支撑。
7.3、应用系统防护及数据备份
1、需要对应用系统进行安全渗透测试与加固保障应用系统自身安全可控; 2、对业务系统及数据进行及时备份并定期验证备份系统及备份数据的可用性; 3、建立安全灾备预案一旦核心系统遭受攻击需要确保备份业务系统可以立即启用同时需要做好备份系统与主系统的安全隔离工作避免主系统和备份系统同时被攻击影响业务连续性。
7.4、个人终端防御技术
1、文档自动备份隔离 文档自动备份隔离技术是奇安信提出的一种勒索病毒防御技术。无论勒索病毒如何变种其一个基本的特点就是会对文档进行篡改。而文档篡改行为具有很多明显的技术特征通过监测系统中是否存在文档篡改行为并对可能被篡改的文档加以必要的保护只要计算机中的文档出现被篡改的情况该功能模块就会第一时间把文档自动备份在隔离区并保护起来用户可以随时恢复文件。就可以在相当程度上帮助用户挽回勒索病毒攻击的损失。
2、综合性反勒索病毒技术 使用智能诱捕、行为追踪、智能文件格式分析、数据流分析技术等综合防御。 智能诱捕技术防护软件在计算机系统的各处设置陷阱文件当有病毒试图加密文件时就会首先命中设置的陷阱从而暴露其攻击行为。 行为追踪技术是云安全与大数据技术综合运用的一种安全技术。通过对程序行为的多维度智能分析安全软件可以对可疑的文件操作进行备份或内容检测一旦发现恶意修改就立即阻断并恢复文件内容。该技术主要用于拦截各类文件加密和破坏性攻击能够主动防御新出现的勒索病毒。 智能文件格式分析技术是一种防护加速技术目的是尽可能地降低反勒索功能对用户体验造成的影响。 数据流分析技术是一种将人工智能技术与安全防护技术结合使用的新型文档安全保护技术。基于机器学习的方法我们可以在计算机内部的数据流层面分析出勒索病毒对文档的读/写操作与正常使用文档情况下的读/写操作的区别而这些区别可以用于识别勒索病毒的攻击行为从而可以在“第一现场” 捕获和过滤勒索病毒避免勒索病毒的读/写操作实际作用于相关文档从而实现文档的有效保护。
7.5、企业级终端防御技术
1、云端免疫技术 云端免疫就是通过终端安全管理系统由云端直接下发免疫策略或补丁帮助用户进行防护或打补丁。对于无法打补丁的计算机终端免疫I具下发的免疫策略本身也具有较强的定向防护能力可以阻止特定病毒的入侵。除此之外在云端还可以直接升级本地的免疫库或免疫工具保护用户的计算机安全。
2、密码保护技术
1、采用弱密码检验技术强制管理员使用复杂密码
2、采用反暴力破解技术对于陌生IP地址用户的登录位置和登录次数进行严格控制
3、采用VPN或双因子认证技术。八、常见错误处置方法
1、使用移动存储设备 在确认服务器/主机感染勒索病毒后在中毒服务器/主机上使用U盘、移动硬盘等移动存储设备。 勒索病毒通常会对感染服务器/主机上的所有文件进行加密所以当插上U盘、移动硬盘等移动存储设备时也会立即对其存储的内容进行加密从而使损失扩大。 2、读/写被勒索服务器/主机中的磁盘文件 在确认服务器/主机感染勒索病毒后轻信网上的各种解密方法或工具反复读/写磁盘中的文件反而降低数据正确恢复的概率。 很多流行的勒索病毒的基本加密过程为将保存在磁盘中的文件读取到内存中在内存中对文件进行加密将修改后的文件重新写到磁盘中并将原始文件删除。如果用户对磁盘进行反复读/写操作有可能破坏磁盘空间中的原始文件最终导致原本还有希望恢复的文件彻底无法恢复。
