年后勒索病毒活跃瑞星提供全面分析与防范建议 bbs.ikaka.com

麦青儿 - 2018-3-7 11:51:00

近日，国内某医院系统遭受GlobeImposter勒索病毒攻击，导致医院业务系统瘫痪，患者无法就医。据悉该医院多台服务器感染勒索病毒，数据库文件被病毒加密破坏，攻击者要求院方必须在六小时内为每台中招机器支付1比特币赎金才能解密文件。

GlobeImposter是目前流行的一类勒索病毒，它会加密磁盘文件并篡改后缀名为.Techno、.DOC、.CHAK、.FREEMAN、.TRUE等形式。由于其采用高强度非对称加密方式，受害者在没有私钥的情况下无法恢复文件，如需恢复重要资料只能被迫支付赎金。

在过去的一年中，勒索软件可谓是一波未平，一波又起。2018年，勒索病毒注定还将继续活跃。为了个人用户以及企业用户能更好的应对勒索病毒，瑞星安全专家为大家梳理一下勒索病毒主要的传播方式，以及防范方法与建议。

勒索病毒传播方式分析

一、针对个人用户常见的攻击方式

通过用户浏览网页下载勒索病毒，攻击者将病毒伪装为盗版软件、外挂软件、色情播放器等，诱导受害者下载运行病毒，运行后加密受害者机器。此外勒索病毒也会通过钓鱼邮件和系统漏洞进行传播。

针对个人用户的攻击流程如下图所示：

图：攻击流程

麦青儿 - 2018-3-7 11:52:00

二、针对组织用户常见的攻击方式

对于医院、学校、公司等组织用户，病毒的传播途除了和个人用户有相似的地方外，还会有其他特点。由于组织局域网中机器较多，系统漏洞和弱口令对整个网络影响较大，并且由于业务需要，服务器中运行了大量的web程序和数据库程序，网络拓扑结构复杂，内外网混用，开放大量端口，给勒索病毒传播打开了方便之门。接下来介绍几种针对组织用户常见的攻击方式：

1. 系统漏洞攻击

系统漏洞是指操作系统在逻辑设计上的缺陷或错误，不法者通过网络植入木马、病毒等方式来攻击或控制整个电脑，窃取电脑中的重要资料和信息，甚至破坏系统。同个人用户一样，组织用户也会受到系统漏洞攻击，由于组织局域网中机器众多，更新补丁费时费力，有时还需要中断业务，因此组织用户不太及时更新补丁，给系统造成严重的威胁，攻击者可以通过漏洞植入病毒，并迅速传播。席卷全球的Wannacry勒索病毒就是利用了永恒之蓝漏洞在网络中迅速传播。

攻击者利用系统漏洞主要有以下两种方式：

一种是通过系统漏洞扫描互联网中的机器，发送漏洞攻击数据包，入侵机器植入后门，然后上传运行勒索病毒。

图：通过系统漏洞扫描网络中的计算机

另外一种是通过钓鱼邮件、弱口令等其他方式，入侵连接了互联网的一台机器，然后再利用漏洞局域网横向传播。大部分组织的网络无法做到绝对的隔离，一台连接了外网的机器被入侵，内网中存在漏洞的机器也将受到影响。

图：先入侵一台机器，再通过漏洞局域网横向移动

网上有大量的漏洞攻击工具，尤其是武器级别的NSA方程式组织工具的泄露，给网络安全造成了巨大的影响，被广泛用于传播勒索病毒、挖矿病毒、木马等。有攻击者将这些工具，封装为图形化一键自动攻击工具，进一步降低了攻击的门槛。

麦青儿 - 2018-3-7 11:53:00

2. 远程访问弱口令攻击

由于企业机器很多需要远程维护，所以很多机器都开启了远程访问功能。如果密码过于简单，就会给攻击者可乘之机。很多用户存在侥幸心理，总觉得网络上的机器这么多，自己被攻击的概率很低，然而事实上，在全世界范围内，成千上万的攻击者不停的使用工具扫描网络中存在弱口令的机器。有的机器由于存在弱口令，被不同的攻击者攻击，植入了多种病毒。这个病毒还没删除，又中了新病毒，导致机器卡顿，文件被加密。

通过弱口令攻击和漏洞攻击类似，只不过通过弱口令攻击使用的是暴力破解，尝试字典中的账号密码来扫描互联网中的设备。

图：弱口令扫描网络中的计算机

通过弱口令攻击还有另一种方式，一台连接外网的机器被入侵，通过弱口令攻击内网中的机器。

图：先入侵一台机器，再弱口令爆破局域网机器，横向移动

麦青儿 - 2018-3-7 11:54:00

3. 钓鱼邮件攻击

企业用户也会受到钓鱼邮件攻击，相对个人用户，由于企业用户使用邮件频率较高，业务需要不得不打开很多邮件，而一旦打开的附件中含有病毒，就会导致企业整个网络遭受攻击。

钓鱼邮件攻击逻辑图：

图：钓鱼邮件攻击逻辑

通过钓鱼邮件传播勒索病毒，主要有以下方式：

（1）通过漏洞下载运行病毒

钓鱼邮件附件携带攻击者精心构造的，含有漏洞的office文档、PDF文档或者含有浏览器漏洞的网址。如果没有安装对应办公软件补丁、浏览器补丁，打开之后就会触发漏洞，下载并运行勒索病毒。

此外，网上存在大量Exploit Kit（漏洞攻击包），漏洞攻击包里面集成了各种浏览器、Flash和PDF等软件漏洞代码。攻击者一键自动化生成钓鱼邮件，简直是勒索即服务。受害者点击链接或者打开文档就可以触发漏洞，下载运行勒索软件。常见比较著名的EK有Angler、Nuclear、Neutrino和RIG等。

其中一款漏洞攻击包的操作界面如下：

图：钓鱼邮件攻击逻辑

麦青儿 - 2018-3-7 11:54:00

（2）、通过office机制下载运行病毒

除了漏洞之外，office的一些机制也可以被用来传播勒索病毒。office宏脚本、DDE、OLE等都曾被利用传播勒索病毒。

有的攻击者为了防止被查杀，发送邮件时对附件中office文档进行加密，同时在邮件正文中附带密码。

图：钓鱼邮件

好奇心比较强的用户会输入密码打开文件，如果默认开启宏脚本，输入密码后病毒就会下载执行。

图：加密的文档

如果没有开启宏脚本，文件内容也会诱导用户启用宏。

图：诱导启动宏

（3）、伪装office 、PDF图标的exe程序

邮件附件携带的勒索程序会伪装为office文档图标，实际上是exe程序，如果系统默认不显示文件扩展名，那就很容易中招。

图：伪装图标

麦青儿 - 2018-3-7 11:55:00

4. web服务漏洞和弱口令攻击

很多组织服务器运行了web服务器软件，开源web框架，CMS管理系统等，这些程序也经常会出现漏洞。如果不及时修补，攻击者可以利用漏洞上传运行勒索病毒。此外如果web服务使用弱口令也会被暴力破解，有些组织甚至一直采用默认密码从没有修改过。

常见攻击逻辑如下图所示：

图：web服务攻击逻辑

Apache Struts2是世界上最流行的JavaWeb服务器框架之一， 2017 年Struts2被曝存在重大安全漏洞S2-045，攻击者可在受影响服务器上执行系统命令，进一步可完全控制该服务器，从而上传并运行勒索病毒。

麦青儿 - 2018-3-7 11:55:00

5. 数据库漏洞和弱口令攻击

数据库管理软件也存在漏洞，很多组织多年没有更新过数据库软件，甚至从服务器搭建以来就没有更新过数据库管理软件，有的是因为疏忽，也有的是因为兼容问题，担心数据丢失。如果不及时更新，会被攻击者利用漏洞上传运行勒索病毒。

常见攻击逻辑如下图：

图：针对数据库的攻击逻辑

麦青儿 - 2018-3-7 11:56:00

勒索病毒防御措施

（一）个人用户的防御措施

1、浏览网页时提高警惕，不下载可疑文件，警惕伪装为浏览器更新或者flash更新的病毒。

2、安装杀毒软件，保持监控开启，及时升级病毒库。

3、安装防勒索软件，防御未知勒索病毒。

4、不打开可疑邮件附件，不点击可疑邮件中的链接。

5、及时更新系统补丁，防止受到漏洞攻击。

6、备份重要文件，建议采用本地备份+脱机隔离备份+云端备份。

麦青儿 - 2018-3-7 11:56:00

（二）组织用户的防御措施

1、系统漏洞攻击

防御措施：

（1）及时更新系统补丁，防止攻击者通过漏洞入侵系统。

（2）安装补丁不方便的组织，可安装网络版安全软件，对局域网中的机器统一打补丁。

（3）在不影响业务的前提下，将危险性较高的，容易被漏洞利用的端口修改为其它端口号。如139 、445端口。如果不使用，可直接关闭高危端口，降低被漏洞攻击的风险。

2、远程访问弱口令攻击

防御措施：

（1）使用复杂密码

（2）更改远程访问的默认端口号，改为其它端口号

（3）禁用系统默认远程访问，使用其它远程管理软件

3、钓鱼邮件攻击

防御措施：

（1）安装杀毒软件，保持监控开启，及时更新病毒库

（2）如果业务不需要，建议关闭office宏，powershell脚本等

（3）开启显示文件扩展名

（4）不打开可疑的邮件附件

（5）不点击邮件中的可疑链接

4、web服务漏洞和弱口令攻击

防御措施：

（1）及时更新web服务器组件，及时安装软件补丁

（2）web服务不要使用弱口令和默认密码

5、数据库漏洞和弱口令攻击

防御措施：

（1）更改数据库软件默认端口

（2）限制远程访问数据库

（3）数据库管理密码不要使用弱口令

（4）及时更新数据库管理软件补丁

（5）及时备份数据库

麦青儿 - 2018-3-7 11:56:00

瑞星网络安全完整解决方案

通过以上分析，个人用户和组织用户都需要提高安全防范意识，采取必要的防御措施，抵御勒索软件等网络安全威胁。

1、对个人用户推荐安装的软件：

（1）个人版安全软件

瑞星杀毒软件是基于瑞星“云安全”（Cloud Security）计划和“主动防御”技术开发的新一代信息安全产品，该产品采用了全新的软件架构和最新引擎，全面优化病毒特征库，极大提高了运行效率并降低了资源占用。软件新增加了欺诈钓鱼保护、恶意访问保护、注册表监控、内核加固等功能。

（2）防勒索软件

瑞星之剑是一款针对未知与已知勒索病毒的防御工具，可进一步阻止勒索病毒破坏文件。采用了智能诱饵、基于机器学习的文件格式判定规则、智能勒索代码行为监测等技术，可有效阻止已知勒索病毒，有效防御未知勒索病毒破坏文件。

麦青儿 - 2018-3-7 11:57:00

2、对于组织用户推荐部署的软硬件：

（1）各计算机终端设备部署网络版杀毒软件

对于规模较大，设备类型众多，维护工作繁重的组织，推荐使用网络版杀毒软件统一查杀，统一打补丁。

瑞星ESM（瑞星下一代网络版杀毒软件）集病毒防护、网络防护、桌面管理、终端准入、舆情监控于一体，全网络环境适用，可以实现物理机、虚拟机、Windows、Linux一体化管理，为企业用户提供了一整套终端安全解决方案。

多种防护模式自由设定，ATM机、银行自助终端机、地铁闸机、售检票系统、医院挂号机等终端设备按需设置。

对全网终端漏洞进行扫描，自由设定修复策略，终端可同时设定多个补丁中心，多个补丁服务器支持树形级联。

（2）网络入口部署防毒墙

瑞星防毒墙是集病毒扫描、入侵检测和网络监视功能于一身的网络安全产品。它可在网关处对病毒进行初次拦截，配合瑞星病毒库上亿条记录，可将绝大数病毒彻底剿灭在企业网络之外，帮助企业将病毒威胁降至最低。

（3）虚拟化设备，部署虚拟化专用版安全软件

越来越多的组织，开始大范围应用虚拟化技术，提升物理硬件资源利用率。但随之而来的问题是，传统的安全方案无法适应虚拟环境，存在资源占用过高、资源存储过于集中、设备老化、安全终端防护间隙等问题。因此虚拟化设备部署虚拟化专用版安全软件，就显得尤为重要了。

瑞星虚拟化系统安全软件是瑞星公司推出的国内首家企业级云安全防护解决方案，支持对虚拟化环境与非虚拟化环境的统一管控，包括VMware vSphere、VMware NSX、HUAWEI FusionSphere、浪潮InCloud Sphere、Windows系统与Linux系统等，可以有效保障企业内部虚拟系统和实体网络环境不受病毒侵扰。

瑞星虚拟化系统安全软件的完整防护体系由管理中心、升级中心、日志中心、扫描服务器、安全虚拟设备、安全终端Linux杀毒和安全防护终端等子系统组成，各个子系统均包括若干不同的模块，除承担各自的任务外，还与其它子系统通讯，协同工作，共同完成企业内部的安全防护。

（4）部署数据备份恢复系统

无论网络防护级别有多高，备份是必不可少的。组织用户由于业务复杂，数据库类型众多，无法手动实时备份，建议使用专业的备份恢复系统实时备份。

瑞星备份恢复系统可作为本地机房针对各种常见服务器故障的应急系统。一台安装了瑞星备份恢复系统的设备可通过和其他备用服务器建立“集中应急平台”实现200-300台X86服务器故障应急系统应急切换，几分钟完全顶替原机使用，实现系统及数据同步。

服务器的一体化备份和应急，可支持windows平台；VMware、Hyper-V等虚拟化平台以及Oracle、SqlServer、MySql、Sybase、达梦等所有数据库。

瑞星卡卡安全论坛