勒索软件防范指南

admin 2022年3月25日23:58:12评论97 views字数 4140阅读13分48秒阅读模式

近几年频繁爆发新型恶意代码攻击、跨国电信诈骗、数据泄露、网络暴力等黑客攻击事件。尤其是勒索病毒,以其强大的感染能力及快速的变种频率,迅速席卷全球,给各企业带来严重的损失。


由于特征变化快,传统的安全设备难以形成有效的安全防护,勒索病毒很难通过一个产品实现有效的防护,需要基于纵深式防护体系构建多重防护机制,结合勒索病毒特性,进行有针对性的多重检测保护。


据全球攻击数据分析,网络攻击的必经之路最核心且脆弱的两个关键位置,一个是网络边界、一个是终端,勒索病毒等威胁通过网络边界不断的去探测企业内部资产,突破防线,最终在终端不断运行获取企业内部核心资产,达成攻击目的。那么如何保障网络边界的安全及终端业务的平稳运行成为整个勒索病毒防护的重中之重。


说起“勒索病毒”就不得不提2017年5月WannaCry利用“永恒之蓝”漏洞肆虐全球的事件,也是从这个时间起,人们才真正听说、了解、认识到相比传统的病毒木马,“勒索病毒”才是真正令人谈“毒”色变、防不胜防的攻击手段。


情况简述:


和之前一些大面积爆发的病毒比如熊猫烧香等等不同,黑客开发这种病毒并不是为了炫技——单纯地攻击电脑的软硬件——而是为了索财。当电脑受到病毒入侵之后,电脑当中的文件会被加密,导致无法打开。


黑客会要求你提供300美元(2000元人民币)的比特币,才会给你提供解锁的密码。支付的赎金一定要是比特币的原因是,这种电子货币的账户不易被追踪,更容易隐藏黑客的真实身份。


而且如果中了病毒的计算机属于高性能的服务器,病毒还会在这台电脑当中植入“挖矿”程序,让这台计算机成为生产比特币的工具,攻击者可谓无所不用其极,最大程度地榨取受害电脑的经济价值。


电脑中了这种病毒之后,硬盘当中的文件会被AES+RSA4096位的算法加密。值得注意的是,这次的病毒袭击还针对了特定的人群,类似“精准投放”。


大企业的公共邮箱、高级餐厅的官网等等都是攻击的重点对象。起初病毒会伪装成一封标题非常吸引人的电子邮件,或者伪装成PDF、DOC这样的普通文档,如果存在漏洞的电脑打开了这些链接或者文件,就有可能中招。


如果中招的电脑处于一个局域网当中,那么只要一台电脑感染病毒,其他电脑只要开机上网,马上也会被感染。


这是因为一般为这些企业单位架设局域网的IT管理人员为了图方便,在整个局域网当中会把每一台电脑采用相同的设置,而且为了方便局域网当中的用户互相分享文件,像445端口这样的文件共享和网络打印机共享端口是永远开放的。病毒恰恰是利用了这个端口的漏洞展开了攻击。


通过分析病毒,可以看到,以下后缀名的文件会被加密:docx.docb.docm.dot.dotm.dotx.xls.xlsx.xlsm.xlsb.xlw.xlt.xlm.xlc.xltx.xltm.ppt.pptx.pptm.pot.pps.ppsm.ppsx.ppam.potx.potm.pst.ost.msg.eml.edb.vsd.vsdx.txt.csv.rtf.123.wks.wk1.pdf.dwg.onetoc2.snt.hwp.602.sxi.sti.sldx.sldm.sldm.vdi.vmdk.vmx.gpg.aes.ARC.PAQ.bz2.tbk.bak.tar.tgz.gz.7z.rar.zip.backup.iso.vcd.jpeg.jpg.bmp.png.gif.raw.cgm.tif.tiff.nef.psd.ai.svg.djvu.m4u.m3u.mid.wma.flv.3g2.mkv.3gp.mp4.mov.avi.asf.mpeg.vob.mpg.wmv.fla.swf.wav.mp3.sh.class.jar.java.rb.asp.php.jsp.brd.sch.dch.dip.pl.vb.vbs.ps1.bat.cmd.js.asm.h.pas.cpp.c.cs.suo.sln.ldf.mdf.ibd.myi.myd.frm.odb.dbf.db.mdb.accdb.sql.sqlitedb.sqlite3.asc.lay6.lay.mml.sxm.otg.odg.uop.std.sxd.otp.odp.wb2.slk.dif.stc.sxc.ots.ods.3dm.max.3ds.uot.stw.sxw.ott.odt.pem.p12.csr.crt.key.pfx.der。


如何防范:


目前已知的是,Windows 10操作系统只要打开了自动更新,就不会有中毒的风险。而目前国内大量使用的Windows7甚至Windows XP电脑相对比较高危。微软目前已经为所有的Windows系统紧急发布了系统补丁。


微软官方补丁地址:(根据系统版本选择)https://technet.microsoft.com/zh-cn/library/security/ms17-010


另外,像445这样的高危端口,一般的家用电脑也最好关闭掉。


445端口是一个毁誉参半的端口,他和139端口一起是IPC$入侵的主要通道。有了它我们可以在局域网中轻松访问各种共享文件夹或共享打印机,但也正是因为有了它,黑客们才有了可乘之机,他们能通过该端口偷偷共享你的硬盘,甚至会在悄无声息中将你的硬盘格式化掉!我们所能做的就是想办法不让黑客有机可乘,封堵住445端口漏洞。


135端口就是用于远程的打开对方的telnet服务 ,用于启动与远程计算机的 RPC 连接,很容易就可以就侵入电脑.


勒索软件防范指南


然而,国家互联网应急中心(CNCERT)近期发布的《2020年我国互联网网络安全态势综述》显示,2020年勒索软件持续活跃,全年捕获勒索软件78.1万余个,较2019 年同比增长6.8%。


2021年上半年,勒索软件攻击依旧愈发频繁,发生多起重大事件。


例如3月20日,台湾计算机制造商宏碁(Acer)遭REvil 勒索软件攻击,被要求支付 5000 万美元赎金;


5月7日,美国输油管道公司 Colonial Pipeline 遭 Darkside 勒索软件攻击,导致东海岸液体燃料停止运营;


5月26日,国内某大型地产公司遭 REvil 勒索软件攻击,窃取并加密了约 3TB的数据;


5月31日,全球最大的肉类供应商 JBS 遭 REvil 勒索软件攻击,导致澳大利亚所有JBS 肉类工厂停产。


勒索软件防范指南


勒索软件是黑客用来劫持用户资产或资源实施勒索的一种恶意程序。黑客利用勒索软件,通过加密用户数据、更改配臵等方式,使用户资产或资源无法正常使用,并以此为条件要求用户支付费用以获得解密密码或者恢复系统正常运行。


主要的勒索形式包括文件加密勒索、锁屏勒索、系统锁定勒索和数据泄漏勒索等。


主要的传播方式包括钓鱼邮件传播、网页挂马传播、漏洞传播、远程登录入侵传播、供应链传播和移动介质传播等。勒索软件防范九要、四不要。


防范勒索软件要做到以下“九要”:


1.要做好资产梳理与分级分类管理。清点和梳理组织内的信息系统和应用程序,建立完整的资产清单;梳理通信数据在不同信息系统或设备间的流动方向,摸清攻击者横向移动可能路径;识别内部系统与外部第三方系统间的连接关系,尤其是与合作伙伴共享控制的区域,降低勒索软件从第三方系统进入的风险;对信息系统、数据进行分级分类,识别关键业务和关键系统,识别关键业务和关键系统间的依赖关系,确定应急响应的优先级。


2.要备份重要数据和系统。重要的文件、数据和业务系统要定期进行备份,并采取隔离措施,严格限制对备份设备和备份数据的访问权限,防止勒索软件横移对备份数据进行加密。


3.要设置复杂密码并保密。使用高强度且无规律的登录密码,要求包括数字、大小写字母、符号,且长度至少为8 位的密码,并经常更换密码;对于同一局域网内的设备杜绝使用同一密码,杜绝密码与设备信息(例如 IP、设备名)具有强关联性。


4.要定期安全风险评估。定期开展风险评估与渗透测试,识别并记录资产脆弱性确定信息系统攻击面,及时修复系统存在的安全漏洞。


5.要常杀毒 、关端口。安装杀毒软件并定期更新病毒库,定期全盘杀毒;关闭不必要的服务和端口,包括不必要的远程访问服务(3389 端口、22 端口),以及不必要的 135、139、445 等局域网共享端口等。


6.要做好身份验证和权限管理。加强访问凭证颁发、管理、验证、撤销和审计,防止勒索软件非法获取和使用访问凭证,建议使用双因子身份认证;细化权限管理,遵守最小特权原则和职责分离原则,合理配臵访问权限和授权,尽量使用标准用户而非管理员权限用户。


7.要严格访问控制策略。加强网络隔离,使用网络分段、网络划分等技术实现不同信息设备间的网络隔离,禁止或限制网络内机器之间不必要的访问通道;严格远程访问管理,限制对重要数据或系统的访问,如无必要关闭所有远程管理端口,若必须开放远程管理端口,使用白名单策略结合防火墙、身份验证、行为审计等访问控制技术细化访问授权范围,定期梳理访问控制策略。


8.要提高人员安全意识。为组织内人员和合作伙伴提供网络安全意识教育;教育开发人员开发和测试环境要与生产环境分开,防止勒索软件从开发和测试系统传播到生产系统。


9.要制定应急响应预案。针对重要信息系统,制定勒索软件应急响应预案,明确应急人员与职责,制定信息系统应急和恢复方案,并定期开展演练;制定事件响应流程,必要时请专业安全公司协助,分析清楚攻击入侵途径,并及时加固堵塞漏洞。


防范勒索软件要做到以下“四不要”:


1.不要点击来源不明邮件。勒索软件攻击者常常利用受害者关注的热点问题发送钓鱼邮件,甚至还会利用攻陷的受害者单位组织或熟人邮箱发送钓鱼邮件,不要点击此类邮件正文中的链接或附件内容。如果收到了单位组织内或熟人的可疑邮件,可直接拨打电话向其核实。


2.不要打开来源不可靠网站。不浏览色情、赌博等不良信息网站,此类网站经常被勒索软件攻击者发起挂马、钓鱼等攻击。


3.不要安装来源不明软件。不要从不明网站下载安装软件,不要安装陌生人发送的软件,警惕勒索软件伪装为正常软件的更新升级。


4.不要插拔来历不明的存储介质。不要随意将来历不明的 U 盘、移动硬盘、闪存卡等移动存储设备插入机器。

原文始发于微信公众号(信息安全等级保护测评中心):勒索软件防范指南

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年3月25日23:58:12
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   勒索软件防范指南http://cn-sec.com/archives/841353.html

发表评论

匿名网友 填写信息