勒索病毒定义
PART 01
勒索病毒,是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。
2017年12月13日,“勒索病毒”入选国家语言资源监测与研究中心发布的“2017年度中国媒体十大新词语”。
从2018年初到9月中旬,勒索病毒总计对超过200万台终端发起过攻击,攻击次数高达1700万余次,且整体呈上升趋势。
勒索病毒攻击手段
PART 02
弱口令攻击
口令爆破攻击依然是当前最为流行的攻击手段,使用过于简单的口令或者已经泄露的口令是造成设备被攻陷的最常见原因。
钓鱼和垃圾邮件
“钓鱼邮件”攻击是最常见的一类攻击手段,在勒索病毒传播中也被大量采用。通过具有诱惑力的邮件标题、内容、附件名称等,诱骗用户打开木马站点或者带毒附件,从而攻击用户计算机。
利用系统与软件漏洞攻击
漏洞功防一直是安全功防的最前沿阵地,利用漏洞发起攻击也是最常见的安全问题之一。“永恒之蓝”工具就是其中利用漏洞的一个典型代表,其被用来传播WannaCry勒索病毒。
网页挂马攻击
挂马攻击一直以来是黑客们热衷的一种攻击方式,常见的有通过攻击正常站点,插入恶意代码实施挂马,也有自己搭建恶意站点诱骗用户访问的。
破解软件与激活工具
破解软件与激活工具通常都涉及到知识产权侵权问题,一般是由个人开发者开发与发布,缺少有效的管理,其中鱼龙混杂,也是夹带木马病毒的重灾区。
通过U盘感染
U盘随意使用U盘拷贝文件,内外网混用等,易于传播病毒毒。
勒索病毒入侵过程
PART 03
病毒入侵的本质“网络杀伤链”
安全防范
PART 04
建立良好的数据备份
既然勒索病毒是对重要文件进行加密,那我们就可以对重要系统做好数据备份。备份策略建议如下:
单位系统:可以是每周一份全备份,每天一份增量备份。同时,至少有一份离线的备份。
个人电脑:每日一份完全拷贝,建议备份到u盘或者移动硬盘的离线介质中。
减少计算机的攻击面
病毒要到达我们的计算机,通常都是借助计算机的漏洞。那么我们就可以通过减少计算机的攻击面来达到防御的效果。减少攻击面的措施建议如下:
保持系统更新,单位系统建议安装WSUS来进行批量更新,安全更新要及时审核并下发。个人电脑建议开启自动更新,并在不影响使用的时段进行安装。这样安全补丁就会及时更新到计算机上,减少系统漏洞。
关闭不必要的服务端口:操作系统默认开放了不少端口,有些软件的执行也会开放一些侦听端口。这些端口只要开放,就有可能成为黑客攻击的目标。我们可以通过nmap或者xscan等软件来扫描自己的系统,找到不需要的端口然后关闭。
加强计算机的防御
减少攻击面不可能关闭一切对外联系,所有病毒还是有机会进来。这个时候,我们还需要通过以下措施来加强计算机的防御能力:
防病毒:有效的防病毒软件可以实时对文件进行安全扫描,可以快速识别出很多病毒(包括已知的勒索病毒)。同时,防病毒软件的病毒库必须保持自动更新。
防火墙:防火墙可以阻断网络连接,可以帮助阻止一些来自网络的攻击。这看起来和勒索病毒无关,但实际上很多勒索病毒是通过网络攻击成功后植入的。
IDS/IPS/态势感知:这些安全设备通常是为企业单位准备的,可以更加高效发现和防御外来攻击及病毒入侵。
提高安全意识
人的因素是安全中最难防范的因素,一个安全意识薄弱的人是很容易因为不理解安全而导致技术手段的效果降低,甚至完全失效。比如:为了运行某个软件而关闭防病毒和防火墙导致计算机门户洞开,又或者为了方便随意开放了远程桌面并设置了很简单的密码。这些对安全来说,都是非常致命的。所以,我们一定要通过不断的学习来提高自己的安全意识。下面是一些安全建议:
计算机必须设置符合复杂度要求,且不容易猜测到的密码。同时,不要轻易告诉他人,不要随便开放远程连接功能;
管理员账户建议关闭,平时使用自己建立的账户即可;
人要离开电脑时,请记得锁屏(必须设置有锁屏密码);
系统自带的网络文件共享建议关闭,要传文件建议采用其他方式,比如:QQ;
接收他人文件或者下载文件时,对.exe、.bat、.cmd、.js、.reg等文件要慎重接受。就算必须要接收后执行,也一定要经过安全扫描后再执行。
上网弹窗不要随意点确定,你的确定可能会不经意间授权给了恶意软件访问系统的权限。
勒索病毒处置流程-Windows篇
PART 05
设备断网
通过拔网线的方式对感染病毒的设备进行断网处置。
临时处置
已感染主机:进⾏⽹络隔离,禁⽌使⽤U盘、移动银盘等移动存储设备
未感染主机:ACL隔离、关闭ssh、rdp等协议,禁⽌使⽤U盘、移动硬盘。
信息收集分析
3.1⽂件排查:
msconfig查看启动项UserProfile%Recent查看最近使⽤的的⽂档
3.2进程排查
netstat -ano查看⽹络连接、定位可疑的ESTABLISHEDtasklist | findstr 1228 根据netstat定位出的pid,在通过tasklist进⾏进程定位wmic process | findstr "vmvare-hostd.exe" 获取进程全路径
3.3系统信息排查
查看环境变量设置windows计划任务(程序-附件-系统⼯具-任务计划程序)windows账号信息,如隐藏账号等(compmgmt.msc)⽤户名以$结尾的为隐藏⽤户查看当前系统⽤户的会话query user,logoff踢出该⽤户查看systeminfo信息,系统版本以及补丁信息
3.4⼯具排查
PC Hunter 信息信息查看ProcessExplorer 系统和应⽤程序监视够⼯具Network Monitor ⽹络协议分析
3.5⽇志排查(计算机管理-事件查看器 eventvwr)
⽇志类型:应⽤程序⽇志(应⽤程序⽇常使⽤记录)系统安全⽇志(谁,使⽤什么权限、⼲了什么事)setup:软件安装、更新安装系统⽇志:组策略更改等系统敏感操作forwarded-Events:暂⽆⽇志信息主要分析安全⽇志,借助⾃带的筛选和查找功能,将帅选⽇志导出使⽤notepad++打开使⽤正则去匹配远程登录过的IP地址((?:(?:25[0-5]|2[0-4]d|((1d{2})|([1-9]?d))).){3}(?:25[0-5]|2[0-4]d|((1d{2})|([1-9]?d))))
利用备份恢复业务
因为勒索病毒具有潜伏性,所以不排除备份中也含有勒索病毒,需要对备份文件进行排查,确认无病毒之后再执行恢复。
大规模杀毒
整个网络内设备进行杀毒,可以联系合作的安全产商提供测试EDR授权。
勒索病毒处置流程-Linux篇
PART 06
文件排查
使⽤stat命令:access time访问时间modify time内容修改时间(⿊客通过菜⼑类⼯具改变的是修改时间,所以如果修改时间在创建时间之前明显是可以⽂件)change time属性改变时间(1)敏感⽬录⽂件分析[类/tmp⽬录、命令⽬录/usr/bin、/usr/sbin]ls -a 查看隐藏⽂件和⽬录(2)查看tmp⽬录下的⽂件 ls -alt /tmp [-t 按更改时间排序](3)查看看机启动项 ls -alt /etc/init.d ,/etc/init.d是/etc/rc.d/init.d的软链接(4)按时间排序查看指定⽬录下的⽂件 ls -alt | head -n 10(5)查看历史命令记录⽂件 cat /root/.bash_history | more(6)查看操作系统⽤户信息⽂件/etc/passwdroot:x:0:0:root:/root:/bin/bash[⽤户名:⼝令:⽤户标识:组标识:注释性描述:主⽬录:登录shell](7)查找新增⽂件查找24⼩时内被修改的php⽂件find ./ -mtime 0 -name "*.php"查找72⼩时内新增的⽂件 find / -ctime 2-mtime -n +n 按更改时间查找 -n n天以内 +n n天以前-atime -n +n 按访问时间查找 -n n天以内 +n n天以前-ctime -n +n 按创建时间查找 -n n天以内 +n n天以前(8)特殊权限⽂件查看查找777权限的⽂件 find / *.php -perm 4777(9)隐藏的⽂件 ls -ar | grep "^."(10)查看分析任务计划 crontab -u <-l、-r、-e>-u 指定⽤户 -l 列出某⽤户任务计划 -r 删除任务-e 编辑某个⽤户的任务(也可以直接修改/etc/crontab⽂件)
进程排查
(1)使⽤netstat -anptl/-pantu | more 查看⽹络连接状况(2)根据netstat 定位出的可疑pid,使⽤ps命令、分析进程ps aux | grep pid | grep -v grep
日志排查
(1)查看系统⽤户登录信息lastlog,查看系统中所有⽤户最近⼀次登录的信息lastb,显⽰⽤户错误的登录列表last,显⽰⽤户最近登录信息。(2)事件处置已感染主机:进⾏断⽹隔离、等待解密进展、重装系统未感染主机:补丁修复(在线补丁、离线补丁)事件加固:安装防护软件(开启实时防护、及时更新病毒库)(3)事件防御预防:定期打补丁、⼝令策略加固监控:部署杀毒软件、部署流量监测设备
END
• 往期精选
下方点击关注发现更多精彩
原文始发于微信公众号(银河护卫队super):勒索病毒可实践性防护和处置建议
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论