勒索病毒 Life-Cycle 解析：从远程桌面的 3389 讲起

家人们

点击上方蓝字关注我

3389 端口是微软远程桌面协议（RDP）的默认端口，它允许我们远程访问和控制自己的 Windows 主机，我随便用 ZoomEye 或 Shodan 搜索一下就可以发现，全球范围内依旧还有大量暴露在互联网上的3389端口：

本文将剖析勒索病毒攻击的生命周期，从3389端口的脆弱性入手，探讨攻击者如何利用RDP入侵、驻留、泄露数据，最终部署勒索病毒。

3389端口，是微软远程桌面协议（RDP）的默认端口，远程桌面大家都知道，类似常用的向日葵、ToDesk 和 TeamViewer，可以很方便的远控我们的主机，然而，这种远控也会伴生相当多的安全风险，攻击者可以利用暴露在互联网上的 3389 端口，入侵未受保护的系统。

首先，RDP 本身存在一些不安全特性，例如：

• 弱口令导致暴力破解：许多用户未能设置强密码或更改默认凭据，使得攻击者可以用大字典暴力破解。

• 未打补丁的漏洞：老版本的 RDP 可能存在已知的漏洞，常见的例如 CVE-2019-0708、CVE-2019-1181/CVE-2019-1182 等。

• 3389 端口暴露在互联网上：就像前面我们用 ZoomEye 或 Shodan 搜到的机器，这类机器可以说是肉鸡最佳选择之一吧。

• DDoS：这也是蛮常见的问题，即使攻击者无法通过暴力破解入侵系统，他们还可以通过UDP反射等方式发动DDoS攻击，使目标机器瘫痪，无法正常提供服务。

为了降低风险，我们可以采取以下安全措施：

• 更改默认端口： 将 RDP 端口更改为非默认端口，可以增加攻击者发现的难度（几乎没用）；

• 强密码： 设置强密码，长度足够且最好是随机密码，让暴力破解变难就行；定期更改密码也是个办法；

• 白名单： 允许特定 IP 地址或用户通过 RDP 连接，可以使用防火墙或 VPN 等技术进行限制；

• 启用网络级身份验证 (NLA)： NLA 可以增加一层安全保护，要求用户在建立 RDP 连接之前进行身份验证；

• 更新： 有更新及时安上，尽快修复已知漏洞；

• 审计： 定期看 RDP 的连接日志，早发现早治疗；

虽说上面这些措施可以降低3389端口的风险，不过最好的办法还是直接关闭3389端口，或者采用更安全的替代方案。例如，Cloudflare的零信任访问方案（Cloudflare Access）可以有效防止未经授权的远程桌面连接，从而最大程度地保护我们的机器。

https://blog.cloudflare.com/cloudflare-access-now-supports-rdp/

勒索病毒的生命周期（Life-Cycle）是指勒索病毒从入侵到完成攻击的整个过程，其生命周期可以分为以下几个关键阶段：

钓鱼（Phishing）：攻击者通过发送恶意附件或链接，诱使我们点击并感染恶意软件。

漏洞利用（Exploiting Vulnerabilities）：利用软件或系统漏洞直接进入目标系统，前面说的利用 RDP 3389 端口就是这类方式。

恶意广告（Malvertising）：通过在线广告将恶意代码传播到目标系统。

水坑 (Watering Hole Attack): 攻击者入侵受害者常访问的网站，植入恶意代码。

社工 (Social Engineering): 攻击者通过欺骗或操纵受害者，诱使其执行恶意操作，其实钓鱼也算社工的一种吧。

恶意软件下载（Malware Download）：一旦进入系统，勒索病毒会下载自身或其他恶意组件。

持久化机制（Persistence Mechanisms）：使用后门、注册表修改、启动项、计划任务、创建服务等方法确保在系统重启后仍能生存。

网络扫描（Network Scanning）：扫描网络以发现其他可攻击的设备和系统。

凭据窃取（Credential Stealing）：通过键盘记录、钓鱼、哈希传递、Golden Ticket（伪造 Kerberos 票据，获得域管理员权限）或其他手段获取有效的用户凭据。

远程访问工具（Remote Access Tools）：使用合法或非法的远程访问工具在网络中横向移动，从一个设备转移到另一个设备，扩大感染范围。

文件加密（File Encryption）：加密目标系统中的文件，使其无法访问。

显示勒索信息（Ransom Note Display）：向受害者显示赎金要求和支付指示的消息，通常通过加密货币支

赎金支付（Ransom Payment）：受害者支付赎金后，攻击者可能提供解密密钥（但不保证，毕竟你属于在和 criminal 做交易）。

解密文件（File Decryption）：使用提供的解密密钥恢复文件访问（假设 criminal 守承诺）。

数据泄露（Data Exfiltration）：有些变态的勒索病毒还会在加密之前窃取敏感数据。

双重勒索（Further Extortion）：攻击者可能威胁要公开或出售窃取的数据，以逼迫受害者支付更多赎金。

以上只是一个大概，实际上勒索病毒的生命周期并不是一成不变的，不同的勒索病毒家族可能有不同的行为模式，而且入侵者可能会在各个阶段采取不同的策略和技术，以提高攻击的成功率和隐蔽性。

了解勒索病毒的生命周期，有助于我们更好地理解其攻击方式和特点，从而采取更有针对性的防范措施。

先说最坏情况，假设你的机器全被勒索病毒加密了，可以说除了交钱你没有任何办法能解密文件...就算你找安全厂商，可能某些非常古老的勒索病毒（TeslaCrypt、Petya、CryptoLocker 之类）他们有办法处理，新勒索病毒用的强加密他们也搞不定。

那有一些企业不方便交钱给勒索者，这些企业就会招标找一家安全厂商，厂商也很有默契的报一个略高于赎金的价格，交钱解密...这也算是行业内公开的秘密吧^o^

也给大伙提个醒：

大多数勒索病毒无法破解，即使可以破解，也需要很多时间和费用，最好的防御措施是预防，通过定期备份数据、更新软件、加强安全意识等措施来降低感染勒索病毒的风险。

所以早发现早治疗，提前做好防御，把勒索病毒挡在外圈即可，说说我的想法吧：

1. 定期备份：最重要的防御方式，没有之一；备份数据做好隔离，别让勒索病毒把备份也加密了就行；按照你司给出的 SLA 保障 RPO 和 RTO 即可。

2. 敏感数据：文件服务、数据库列加密、磁盘加密、应用层加密等全搞上，密钥用 KMS 管好，将损失降到最低，即使被勒索，保证敏感数据不泄露是底线。

3. 网络分段：做的越细越好，最细致的叫微隔离，我很反感安全行业创造新词的能力，whatever 各位看官理解即可。

4. 访问控制：最小权限（有难度）、强密码策略、MFA等

5. EDR、XDR、IPS、IPS 等等，从终端到网络构建好纵深，有更新有补丁尽快全量推送。

通过以上防御措施，可以大大降低勒索病毒攻击的风险，但是没有人敢保证万无一失，做好备份是第一步也是最重要的，其他步骤可以随着安全基建慢慢做。

勒索病毒有点像 DDoS，没有什么特别有效的防御手段，只能预先准备好恢复和尽量降低我们的损失，特别是定期备份数据，设置敏感数据加密，实施网络分段和访问控制等是比较有效的方式。尽管没有绝对的安全保障，但通过这些措施可以大大降低被勒索病毒攻击的风险，确保企业和个人的数据安全。

总之做好备份是防御勒索病毒的第一步，也是最重要的一步，其它安全措施可以随着你做安全基建的同时逐步完善。希望本文的内容能帮助大家更好地应对和防范勒索病毒攻击。

点点赞 点点关注 点点文末广告 抱拳了家人们

创作不易

关注一下

帮忙点点文末广告

原文始发于微信公众号（imBobby的自留地）：勒索病毒 Life-Cycle 解析：从远程桌面的 3389 讲起