瑞星卡卡安全论坛企业产品讨论区瑞星ESM防病毒终端安全防护系统 年后勒索病毒活跃 瑞星提供全面分析与防范建议

12   1  /  2  页   跳转

[经验分享] 年后勒索病毒活跃 瑞星提供全面分析与防范建议

收藏
麦青儿
头像
管理员
  • 帖子:17112
  • 注册: 2004-03-26
  • 来自:
论坛8周年活动礼物09欢乐圣诞
发表于: 2018-03-07 11:51 | 只看楼主 短消息 资料
字号: 1楼

年后勒索病毒活跃 瑞星提供全面分析与防范建议





近日,国内某医院系统遭受GlobeImposter勒索病毒攻击,导致医院业务系统瘫痪,患者无法就医。据悉该医院多台服务器感染勒索病毒,数据库文件被病毒加密破坏,攻击者要求院方必须在六小时内为每台中招机器支付1比特币赎金才能解密文件。

GlobeImposter是目前流行的一类勒索病毒,它会加密磁盘文件并篡改后缀名为.Techno、.DOC、.CHAK、.FREEMAN、.TRUE等形式。由于其采用高强度非对称加密方式,受害者在没有私钥的情况下无法恢复文件,如需恢复重要资料只能被迫支付赎金。

在过去的一年中,勒索软件可谓是一波未平,一波又起。2018年,勒索病毒注定还将继续活跃。为了个人用户以及企业用户能更好的应对勒索病毒,瑞星安全专家为大家梳理一下勒索病毒主要的传播方式,以及防范方法与建议。

勒索病毒传播方式分析


一、针对个人用户常见的攻击方式

通过用户浏览网页下载勒索病毒,攻击者将病毒伪装为盗版软件、外挂软件、色情播放器等,诱导受害者下载运行病毒,运行后加密受害者机器。此外勒索病毒也会通过钓鱼邮件和系统漏洞进行传播。

针对个人用户的攻击流程如下图所示:

图:攻击流程

最后编辑麦青儿 最后编辑于 2018-03-08 17:03:05
分享到:
gototop
 
麦青儿
头像
管理员
  • 帖子:17112
  • 注册: 2004-03-26
  • 来自:
论坛8周年活动礼物09欢乐圣诞
发表于: 2018-03-07 11:52 | 只看楼主 短消息 资料
字号: 2楼

回复: 年后勒索病毒活跃 瑞星提供全面分析与防范建议

二、针对组织用户常见的攻击方式

对于医院、学校、公司等组织用户,病毒的传播途除了和个人用户有相似的地方外,还会有其他特点。由于组织局域网中机器较多,系统漏洞和弱口令对整个网络影响较大,并且由于业务需要,服务器中运行了大量的web程序和数据库程序,网络拓扑结构复杂,内外网混用,开放大量端口,给勒索病毒传播打开了方便之门。接下来介绍几种针对组织用户常见的攻击方式:

1. 系统漏洞攻击

系统漏洞是指操作系统在逻辑设计上的缺陷或错误,不法者通过网络植入木马、病毒等方式来攻击或控制整个电脑,窃取电脑中的重要资料和信息,甚至破坏系统。同个人用户一样,组织用户也会受到系统漏洞攻击,由于组织局域网中机器众多,更新补丁费时费力,有时还需要中断业务,因此组织用户不太及时更新补丁,给系统造成严重的威胁,攻击者可以通过漏洞植入病毒,并迅速传播。席卷全球的Wannacry勒索病毒就是利用了永恒之蓝漏洞在网络中迅速传播。

攻击者利用系统漏洞主要有以下两种方式:

一种是通过系统漏洞扫描互联网中的机器,发送漏洞攻击数据包,入侵机器植入后门,然后上传运行勒索病毒。

图:通过系统漏洞扫描网络中的计算机


另外一种是通过钓鱼邮件、弱口令等其他方式,入侵连接了互联网的一台机器,然后再利用漏洞局域网横向传播。大部分组织的网络无法做到绝对的隔离, 一台连接了外网的机器被入侵,内网中存在漏洞的机器也将受到影响。

图:先入侵一台机器,再通过漏洞局域网横向移动


网上有大量的漏洞攻击工具,尤其是武器级别的NSA方程式组织工具的泄露,给网络安全造成了巨大的影响,被广泛用于传播勒索病毒、挖矿病毒、木马等。有攻击者将这些工具,封装为图形化一键自动攻击工具,进一步降低了攻击的门槛。
最后编辑麦青儿 最后编辑于 2018-03-07 12:02:08
gototop
 
麦青儿
头像
管理员
  • 帖子:17112
  • 注册: 2004-03-26
  • 来自:
论坛8周年活动礼物09欢乐圣诞
发表于: 2018-03-07 11:53 | 只看楼主 短消息 资料
字号: 3楼

回复: 年后勒索病毒活跃 瑞星提供全面分析与防范建议

2. 远程访问弱口令攻击

由于企业机器很多需要远程维护,所以很多机器都开启了远程访问功能。如果密码过于简单,就会给攻击者可乘之机。很多用户存在侥幸心理,总觉得网络上的机器这么多,自己被攻击的概率很低,然而事实上,在全世界范围内,成千上万的攻击者不停的使用工具扫描网络中存在弱口令的机器。有的机器由于存在弱口令,被不同的攻击者攻击,植入了多种病毒。这个病毒还没删除,又中了新病毒,导致机器卡顿,文件被加密。

通过弱口令攻击和漏洞攻击类似,只不过通过弱口令攻击使用的是暴力破解,尝试字典中的账号密码来扫描互联网中的设备。

图:弱口令扫描网络中的计算机


通过弱口令攻击还有另一种方式,一台连接外网的机器被入侵,通过弱口令攻击内网中的机器。


图:先入侵一台机器,再弱口令爆破局域网机器,横向移动

最后编辑麦青儿 最后编辑于 2018-03-07 12:03:19
gototop
 
麦青儿
头像
管理员
  • 帖子:17112
  • 注册: 2004-03-26
  • 来自:
论坛8周年活动礼物09欢乐圣诞
发表于: 2018-03-07 11:54 | 只看楼主 短消息 资料
字号: 4楼

回复: 年后勒索病毒活跃 瑞星提供全面分析与防范建议

3. 钓鱼邮件攻击

企业用户也会受到钓鱼邮件攻击,相对个人用户,由于企业用户使用邮件频率较高,业务需要不得不打开很多邮件,而一旦打开的附件中含有病毒,就会导致企业整个网络遭受攻击。

钓鱼邮件攻击逻辑图:

图:钓鱼邮件攻击逻辑


通过钓鱼邮件传播勒索病毒,主要有以下方式:

(1)通过漏洞下载运行病毒

钓鱼邮件附件携带攻击者精心构造的,含有漏洞的office文档、PDF文档或者含有浏览器漏洞的网址。如果没有安装对应办公软件补丁、浏览器补丁,打开之后就会触发漏洞,下载并运行勒索病毒。

此外,网上存在大量Exploit Kit(漏洞攻击包),漏洞攻击包里面集成了各种浏览器、Flash和PDF等软件漏洞代码。攻击者一键自动化生成钓鱼邮件,简直是勒索即服务。受害者点击链接或者打开文档就可以触发漏洞,下载运行勒索软件。常见比较著名的EK有Angler、Nuclear、Neutrino和RIG等。

其中一款漏洞攻击包的操作界面如下:


图:钓鱼邮件攻击逻辑

最后编辑麦青儿 最后编辑于 2018-03-07 12:04:59
gototop
 
麦青儿
头像
管理员
  • 帖子:17112
  • 注册: 2004-03-26
  • 来自:
论坛8周年活动礼物09欢乐圣诞
发表于: 2018-03-07 11:54 | 只看楼主 短消息 资料
字号: 5楼

回复: 年后勒索病毒活跃 瑞星提供全面分析与防范建议

(2)、通过office机制下载运行病毒

除了漏洞之外,office的一些机制也可以被用来传播勒索病毒。office宏脚本、DDE、OLE等都曾被利用传播勒索病毒。

有的攻击者为了防止被查杀,发送邮件时对附件中office文档进行加密,同时在邮件正文中 附带密码。

图:钓鱼邮件


好奇心比较强的用户会输入密码打开文件,如果默认开启宏脚本,输入密码后病毒就会下载执行。

图:加密的文档


如果没有开启宏脚本,文件内容也会诱导用户启用宏。

图:诱导启动宏


(3)、伪装office 、PDF图标的exe程序

邮件附件携带的勒索程序会伪装为office文档图标,实际上是exe程序,如果系统默认不显示文件扩展名,那就很容易中招。


图:伪装图标

最后编辑麦青儿 最后编辑于 2018-03-07 14:41:50
gototop
 
麦青儿
头像
管理员
  • 帖子:17112
  • 注册: 2004-03-26
  • 来自:
论坛8周年活动礼物09欢乐圣诞
发表于: 2018-03-07 11:55 | 只看楼主 短消息 资料
字号: 6楼

回复: 年后勒索病毒活跃 瑞星提供全面分析与防范建议

4. web服务漏洞和弱口令攻击

很多组织服务器运行了web服务器软件,开源web框架,CMS管理系统等,这些程序也经常会出现漏洞。如果不及时修补,攻击者可以利用漏洞上传运行勒索病毒。此外如果web服务使用弱口令也会被暴力破解,有些组织甚至一直采用默认密码从没有修改过。

常见攻击逻辑如下图所示:


图:web服务攻击逻辑


Apache Struts2是世界上最流行的JavaWeb服务器框架之一, 2017 年Struts2被曝存在重大安全漏洞S2-045,攻击者可在受影响服务器上执行系统命令,进一步可完全控制该服务器,从而上传并运行勒索病毒。
最后编辑麦青儿 最后编辑于 2018-03-07 14:43:11
gototop
 
麦青儿
头像
管理员
  • 帖子:17112
  • 注册: 2004-03-26
  • 来自:
论坛8周年活动礼物09欢乐圣诞
发表于: 2018-03-07 11:55 | 只看楼主 短消息 资料
字号: 7楼

回复: 年后勒索病毒活跃 瑞星提供全面分析与防范建议

5. 数据库漏洞和弱口令攻击

数据库管理软件也存在漏洞,很多组织多年没有更新过数据库软件,甚至从服务器搭建以来就没有更新过数据库管理软件,有的是因为疏忽,也有的是因为兼容问题,担心数据丢失。如果不及时更新,会被攻击者利用漏洞上传运行勒索病毒。

常见攻击逻辑如下图:


图:针对数据库的攻击逻辑

最后编辑麦青儿 最后编辑于 2018-03-07 14:43:50
gototop
 
麦青儿
头像
管理员
  • 帖子:17112
  • 注册: 2004-03-26
  • 来自:
论坛8周年活动礼物09欢乐圣诞
发表于: 2018-03-07 11:56 | 只看楼主 短消息 资料
字号: 8楼

回复: 年后勒索病毒活跃 瑞星提供全面分析与防范建议

勒索病毒防御措施

(一)个人用户的防御措施

1、浏览网页时提高警惕,不下载可疑文件,警惕伪装为浏览器更新或者flash更新的病毒。

2、安装杀毒软件,保持监控开启,及时升级病毒库。

3、安装防勒索软件,防御未知勒索病毒。

4、不打开可疑邮件附件,不点击可疑邮件中的链接。

5、及时更新系统补丁,防止受到漏洞攻击。

6、备份重要文件,建议采用 本地备份+脱机隔离备份+云端备份 。
最后编辑麦青儿 最后编辑于 2018-03-07 14:44:49
gototop
 
麦青儿
头像
管理员
  • 帖子:17112
  • 注册: 2004-03-26
  • 来自:
论坛8周年活动礼物09欢乐圣诞
发表于: 2018-03-07 11:56 | 只看楼主 短消息 资料
字号: 9楼

回复: 年后勒索病毒活跃 瑞星提供全面分析与防范建议

(二)组织用户的防御措施

1、系统漏洞攻击

防御措施:

(1)及时更新系统补丁,防止攻击者通过漏洞入侵系统。

(2)安装补丁不方便的组织,可安装网络版安全软件,对局域网中的机器统一打补丁。

(3)在不影响业务的前提下,将危险性较高的,容易被漏洞利用的端口修改为其它端口号。如139 、445端口。如果不使用,可直接关闭高危端口,降低被漏洞攻击的风险。

2、远程访问弱口令攻击

防御措施:

(1)使用复杂密码

(2)更改远程访问的默认端口号,改为其它端口号

(3)禁用系统默认远程访问,使用其它远程管理软件

3、钓鱼邮件攻击

防御措施:

(1)安装杀毒软件,保持监控开启,及时更新病毒库

(2)如果业务不需要,建议关闭office宏,powershell脚本等

(3)开启显示文件扩展名

(4)不打开可疑的邮件附件

(5)不点击邮件中的可疑链接

4、web服务漏洞和弱口令攻击

防御措施:

(1)及时更新web服务器组件,及时安装软件补丁

(2)web服务不要使用弱口令和默认密码

5、数据库漏洞和弱口令攻击

防御措施:

(1)更改数据库软件默认端口

(2)限制远程访问数据库

(3)数据库管理密码不要使用弱口令

(4)及时更新数据库管理软件补丁

(5)及时备份数据库
最后编辑麦青儿 最后编辑于 2018-03-07 15:16:00
gototop
 
麦青儿
头像
管理员
  • 帖子:17112
  • 注册: 2004-03-26
  • 来自:
论坛8周年活动礼物09欢乐圣诞
发表于: 2018-03-07 11:56 | 只看楼主 短消息 资料
字号: 10楼

回复: 年后勒索病毒活跃 瑞星提供全面分析与防范建议

瑞星网络安全完整解决方案

通过以上分析,个人用户和组织用户都需要提高安全防范意识,采取必要的防御措施,抵御勒索软件等网络安全威胁。

1、对个人用户推荐安装的软件:

(1)个人版安全软件

瑞星杀毒软件是基于瑞星“云安全”(Cloud Security)计划和“主动防御”技术开发的新一代信息安全产品,该产品采用了全新的软件架构和最新引擎,全面优化病毒特征库,极大提高了运行效率并降低了资源占用。软件新增加了欺诈钓鱼保护、恶意访问保护、注册表监控、内核加固等功能。



(2)防勒索软件

星之剑是一款针对未知与已知勒索病毒的防御工具,可进一步阻止勒索病毒破坏文件。采用了智能诱饵、基于机器学习的文件格式判定规则、智能勒索代码行为监测等技术,可有效阻止已知勒索病毒,有效防御未知勒索病毒破坏文件。

最后编辑麦青儿 最后编辑于 2018-03-07 15:17:57
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT