某一台业务虚机发现PING还是通的,但是业务端口已经不通了,由于是放在虚拟环境下的,自然而然的选择通过虚拟化控制台管理找到该虚机进行排查。通过桌面可以很“直观”的发现服务器中勒索了,发现问题后,紧接着就是把网络给“掐断”。打开Windows安全事件管理进行安全日志分析,发现此服务器历史被RDP暴力破解,大量的审核失败的登录日志。对于该事件可以归类到资产中了勒索病毒,进入本文正题,勒索病毒的应急处置及安全加固。
对于从事网安的小伙伴,相信对勒索病毒不陌生了,勒索病毒主要以邮件、程序木马、网页挂马的形式进行传播,利用各种非对称加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。勒索病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。而本例的勒索病毒,攻击者也按流程留下了解密途径,无非是要给“钱”消灾,甚至攻击者细心的给出了指南。
![勒索病毒的应急处置及安全加固]( "勒索病毒的应急处置及安全加固")
对着勒索的资料,我们要衡量电脑或者服务器资料的重要性,如果不重要,可全盘格式化再重装系统。如资料非常重要,目前没有技术可以破解,数据恢复的可能性较小,同时也不建议支付攻击者钱财进行解密。网上也有人交了“赎金”后发现对方不守信还是没给数据或给的数据不可用或不完整,这样可以说是赔了夫人又折兵。
对待勒索病毒处理总结了6条 通用的方法
1、断网处理
防止勒索病毒内网传播感染,造成更大的损失,虚拟机可以禁用虚拟网卡通过控制台管理,而物理机可以直接拔网线!
2、查找样本和勒索相关信息及是否有解密工具
确认是哪个勒索病毒家族的样本后看看是否有相应的解密工具,可以进行解密。但勒索病毒通过技术手段解密可能性感人
3、进行溯源分析
确认是通过哪种方式传播感染的进来的,封堵相关的安全漏洞,更要排查其他主机,隔离已感染主机后,应尽快排查业务系统与备份系统是否受到影响,确定病毒影响范围,准备事后恢复。如果存在备份系统且备份系统是安全的,就可以将损失降到最低,也可以最快的恢复业务。
4、衡量电脑或者服务器资料的重要性
如资料不重要,可全盘格式化再重装系统。如果资料非常重要,便要考虑准备工作开始重新收集资料并根据溯源分析的结果进行安全加固
5、做好相应的安全防护工作,以防再次感染
加强网络安全,评估网络风险情况。清理内网存在的其它已经中毒但还没发作的电脑。拦截外部可能再出现的感染可能性并对主机进行安全加固。
6、数据千万条,备份第一条
在数据还没出现问题之前,一定一定要及时把想备份的内容做个备份
想必大家意识到勒索病毒危害后,都希望自己、公司的资产不被勒索病毒所危害。那么如何进行安全加固呢?本例事件中勒索的资产存在弱口令且未安装终端防护软件,被暴力破解后中招。我们可以针对此类情况如何改进呢?一是定期改密资产并保证密码的复杂度。二是在终端安装EDR、火绒等防护软件。个人用户按上述解决方案,加固服务密码及安装终端防护软件,那么终端资产的安全性会大大提高。
而针对企业级用户,是建议上一套完善的防护(NGFW、WAF、EDR)、安全预警产品进行全方面安全建设,目前好多企业的网络安全产品集成商在交付的过程当中,并未根据实际业务模型进行安全策略的指定的防护,导致间接的为攻击者提供了攻击路径。如下企业用户请仔细查阅自己的防护水平,及时做好纠正和预防措施:
1、边界防火墙交付是any到any的企业或者单位,请根据自身业务场景和使用属性,遵循最小化原则设置网络安全防护策略。守护好自己的大门,做nat的企业请检查映射策略是不是any,鉴于应急过程中发现技术水平次的交付商都是以通了就行的目的交付,导致了后期安全事件频发的根本原因。
2、都是下一代防火墙了,应用特征检测是下一待防火墙的标配,在交付过程中应该根据实际情况及高危软件等做考虑,在边界层指定基础防火策略。
3、WAF为了卖盒子而卖盒子,透明部署,无站点防护策略,对于常见的TOP10的攻击行为,不去根据业务属性指定策略,部分都是上线即交付,所以请企业单位检测WAF的实际防护效果。做好纵深防御,切实做到有效防护。
4、终端安全防护,是端侧的最后一道防线,交付不是安装即可,要善于运营和利用端上的agent挖掘潜在风险。杀毒软件和终端安全不是装上就安全了,要去运营和管理。
以某牌EDR举例,防护措施要打开,且经过手工验证确保真实有效防护。
5、安全告警类无非就是两个维度日志和流量,日志是用于事后溯源取证,关键资产的日志接入,还有就是流量镜像的全量都是企业安全考虑的。也是交付方认真对待的安全的职业基操。
勒索病毒事件中产生了一些思考:据调研报告暴露在互联网上资产攻击更是层出不穷。在本次勒索病毒事件中,可以给大家分享的教训是资产不要存在弱密码,资产多的无法一一管理的情况下可以使用漏扫设备进行检查,特别不要忽略看似复杂实际有含义的密码,有条件的话可以把资产都通过堡垒机管理,这样可以定期改密,也大大节省了精力。而弱密码也不是内容简单就是弱密码。比如各大厂商设备的默认密码,有的确实很复杂,但其实都会被人收集并暴露出来放在字典里面,被人利用。终端防护软件防护能力有限,但是多多少少也可以提升安全性。更重要的是个人本身的安全意识要加强,我们会发现很多安全事件人才是最大的安全漏洞。
上述各个环节没有条件上商业化产品的粉丝,可以私下联系“三沐数安”,开源即免费,能够提供安全防护能力,是三沐数安服务大众的宗旨,希望各位都有基础防护能力,让网络安全事件发生的频率降低。更好的为自身业务保驾护航,如果您觉得我的文章有用,请分享给更多需要安全防护的朋友,您的支持是我前进的动力。
![勒索病毒的应急处置及安全加固]( "勒索病毒的应急处置及安全加固")
原文始发于微信公众号(三沐数安):勒索病毒的应急处置及安全加固
评论