|
文档使用说明【重要】 执行以下操作前,请确认已断开VMP/VDC与互联网的连接(拔除连接互联网的网线),即VMP/VDC处于纯内网环境中。 本次VDC补丁包支持通过VDC控制台(路径:VDC控制台-系统维护-系统升级-升级到其他版本)进行升级(推荐)。如需使用升级客户端,建议下载离线升级客户端进行升级。 第1章 “永恒之蓝”勒索病毒事件 2019年5月12日晚上20时左右,全球爆发大规模勒索软件感染事件,用户只要开机上网就可被攻击。五个小时内,包括英国、俄罗斯、整个欧洲以及国内多个高校校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金(有的需要比特币)才能解密恢复文件,这场攻击甚至造成了教学系统瘫痪,包括校园一卡通系统。 这次事件是不法分子通过改造之前泄露的NSA 黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件。“永恒之蓝”勒索蠕虫,是NSA 网络军火民用化的全球第一例。恶意代码会扫描开放445 文件共享端口的Windows 机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。目前,“永恒之蓝”传播的勒索病毒以ONION和WNCRY两个家族为主,受害机器的磁盘文件会被篡改为相应的后缀,图片、文档、视频、压缩包等各类资料都无法正常打开,只有支付赎金才能解密恢复。这两类勒索病毒,勒索金额分别是5个比特币和300美元,折合人民币分别为5 万多元和2000 多元,安全专家还发现,ONION勒索病毒还会与挖矿机(运算生成虚拟货币)、远控木马组团传播,形成一个集合挖矿、远控、勒索多种恶意行为的木马病毒“大礼包”,专门选择高性能服务器挖矿牟利,对普通电脑则会加密文件敲诈钱财,最大化地压榨受害机器的经济价值。 第2章 桌面云的勒索病毒整体解决方案 针对勒索病毒的防范和保护,除了通过在互联网出口进行安全防护外,桌面云提供在虚拟机批量快速安装微软补丁包+备份/快照恢复的解决方案。 第3章 分布式防火墙封堵端口 医院是勒索病毒的重灾区。由于 PC 分散,难以管控。导致勒索病毒的封堵速度 根本赶不上病毒传播速度。缺乏统一封堵的有效手段。 针对勒索病毒,桌面云可以通过分布式防火墙对端口进行统一封堵。通过软件分发把补丁快速部署到桌面云上。支持安装多种杀毒软件,进行集中杀毒。处理效率指数提升。 功能说明:分布式防火墙一种网络安全控制机制,用于限制用户或虚拟机对网络的访问权限 配置步骤: 1、登录VDC控制台, 在【VDI设置】-【策略管理】 -【 分布式防火墙策略 】页面下,点击<新建>,选择“新建策略” ,打开策略新建页面。 2、 依据实际需求,配置相应分布式防火墙策略 源对象: 用于指定此条策略匹配网络流量的源地址,支持选择IP组、用户和虚拟机; 目的对象: 用于指定此条策略匹配网络流量的目的地址,支持选择IP组、用户和虚拟机。 第4章 还原模式虚拟机解决方案 【注意事项】 此方式适用所有windows操作系统,包括windows XP,win7 32位,win7 64位,win10等; 对于还原模式虚拟机,通过在虚拟机模板中安装更新对应的微软补丁包,并执行“更新模板虚拟机”的操作,即可完成对于本次勒索病毒的预防。 对于win7 32位和win7 64位未升级sp1的虚拟机,需要首先在虚拟机上更新微软sp1补丁包。 模板虚拟机需更新的微软补丁包如下: 【windows XP】 防勒索病毒文件: windowsxp-kb4012598-x86-custom-chs_dca9b5adddad778cfd4b7349ff54b51677f36775.exe(大小: 683760 字节) MD5: 88359240CC291902270AB625BF1421F2 检查是否安装更新成功: 【windows7 32位】 SP1补丁包文件: windows6.1-KB976932-X86.exe (大小: 563934504 字节) MD5: 4BF28FC00D86C936C89E2D91EF46758B 防勒索病毒文件: windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu (大小: 19729107 字节) MD5: D745F8983F0433BE76E0D08B76113563 检查是否安装更新成功: 【windows7 64位】 SP1补丁包文件: windows6.1-KB976932-X64.exe (大小: 947070088 字节) MD5: 28D3932F714BF71D78E75D36AA2E0FB8 防勒索病毒文件: windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu (大小: 34790450 字节) MD5: 883A7D1DC0075116789EA5FF5C204AFC 检查是否安装更新成功:同windows7 32位 【windows 10 32位】 防勒索病毒文件: windows10.0-kb4013429-x86_8b376e3d0bff862d803404902c4191587afbf065.msu (大小: 607275721 字节) MD5: 9AFA38C055FC990F11C8C5003BD59E5E 检查是否安装更新成功: 【windows 10 64位】 防勒索病毒文件: windows10.0-kb4013429-x64_ddc8596f88577ab739cade1d365956a74598e710.msu (大小: 1105744002 字节) MD5: 06127C78540AE0F49C3CF9B14AA716D2 检查是否安装更新成功:同windows10 32位 第5章 专有模式虚拟机解决方案 5.1 win7 32位和win7 64位虚拟机 对于win7 SP1以上(包括win7 32位和win7 64位)的专用模式虚拟机, 通过打上VDC补丁包(20170514_CTI-Support-hyq+zhouyong+ccm-20170514.ssu),然后虚拟机通过Agent下发安装微软补丁包,即可完成对于本次勒索病毒的预防。详见《Windows比特病毒安全补丁VDC升级说明文档》。 对于win7 32位和win7 64位未升级sp1的专用模式虚拟机,需要手动在每台虚拟机上更新微软sp1补丁包,更新完成后,即可通过打上VDC补丁包(20170514_CTI-Support-hyq+zhouyong+ccm-20170514.ssu)的方式,完成对于本次勒索病毒的预防。 【win7 32位 sp1补丁包】 文件: windows6.1-KB976932-X86.exe (大小: 563934504 字节) MD5: 4BF28FC00D86C936C89E2D91EF46758B
【win7 64位 sp1补丁包】 文件: windows6.1-KB976932-X64.exe (大小: 947070088 字节) MD5: 28D3932F714BF71D78E75D36AA2E0FB8 5.2 winxp和win10虚拟机 对于windows XP,win10的专用模式虚拟机,需要手动在每台虚拟机上更新微软补丁包或进行免疫操作。 【windows XP】 防勒索病毒文件: windowsxp-kb4012598-x86-custom-chs_dca9b5adddad778cfd4b7349ff54b51677f36775.exe(大小: 683760 字节) MD5: 88359240CC291902270AB625BF1421F2 检查是否安装更新成功: file:///C:/Users/iamli/AppData/Local/Temp/ksohtml/wpsA217.tmp.jpg 【windows 10 32位】 防勒索病毒文件: windows10.0-kb4013429-x86_8b376e3d0bff862d803404902c4191587afbf065.msu (大小: 607275721 字节) MD5: 9AFA38C055FC990F11C8C5003BD59E5E 检查是否安装更新成功: file:///C:/Users/iamli/AppData/Local/Temp/ksohtml/wpsA218.tmp.jpg 【windows 10 64位】 防勒索病毒文件: windows10.0-kb4013429-x64_ddc8596f88577ab739cade1d365956a74598e710.msu (大小: 1105744002 字节) MD5: 06127C78540AE0F49C3CF9B14AA716D2 检查是否安装更新成功:同windows10 32位 第6章 虚拟机备份/快照及恢复的解决办法 【注意事项】 虚拟机备份/快照前,确保虚拟机已更新微软对应补丁包,虚拟机更新补丁包方法详细参考第1章和第二章。 通过虚拟机备份/快照的方式,可在虚拟机被感染后第一时间进行数据恢复; 对于存储空间足够的客户,可以选择对所有虚拟机进行备份,或者对模板虚拟机进行备份,并对所有虚拟机进行快照; 6.1 手动快照与恢复 【创建快照】 1.登录VMP控制台 2.点击【虚拟机】进入虚拟机界面 3.鼠标悬浮于虚拟机选项卡之上,点击【更多】-【创建备份】 file:///C:/Users/iamli/AppData/Local/Temp/ksohtml/wpsA219.tmp.jpg 4.选择与原存储位置相同的备份位置 file:///C:/Users/iamli/AppData/Local/Temp/ksohtml/wpsA21A.tmp.jpg 【回滚快照】 1.选择将会恢复快照的虚拟机 2.鼠标悬浮于选项卡之上,点击【更多】-【备份恢复】 file:///C:/Users/iamli/AppData/Local/Temp/ksohtml/wpsA21B.tmp.jpg 3.选择恢复到“原位置”或其他位置,以“原位置”举例,确认完成后点击【确认】 file:///C:/Users/iamli/AppData/Local/Temp/ksohtml/wpsA21C.tmp.jpg 6.2 手动备份与恢复 备份时,虚拟机磁盘和配置文件备份到异地存储上; 【创建备份】 1.登录VMP控制台 2.点击【虚拟机】进入虚拟机界面 3.鼠标悬浮于虚拟机选项卡之上,点击【更多】-【创建备份】 file:///C:/Users/iamli/AppData/Local/Temp/ksohtml/wpsA22D.tmp.jpg 4.选择与原存储位置不同的备份位置 file:///C:/Users/iamli/AppData/Local/Temp/ksohtml/wpsA22E.tmp.jpg 【恢复备份】 1.选择将会恢复快照的虚拟机 2.鼠标悬浮于选项卡之上,点击【更多】-【备份恢复】 file:///C:/Users/iamli/AppData/Local/Temp/ksohtml/wpsA22F.tmp.jpg 3.选择恢复到“原位置”或其他位置,以“原位置”举例,确认完成后点击【确认】 【注意事项】 备份操作要求备份的原位置与目的位置为不同存储。 6.3 自动备份 可配置自动备份策略,指定某些虚拟机,在某个时间自动进行备份。 【操作步骤】 1.登录VMP控制台 2.点击【管理】-【虚拟机备份与恢复】 3.点击【备份】-【新增】,新增备份策略 file:///C:/Users/iamli/AppData/Local/Temp/ksohtml/wpsA232.tmp.jpg 4.需编辑以下内容: (1)策略名称 (2)备份虚拟机:选择需要执行备份策略的虚拟机 (3)备份位置:选择备份文件的存储位置 (4)备份方式:选择一周当中的哪几天来执行备份操作以及备份操作的开始时间和最长持续的时间 (5)备份保留个数:选择备份文件保留的个数,超过配置个数时将自动删除最早的备份 第7章 已感染虚拟机的解决方案 对于已经感染的虚拟机,第一时间在VMP管理控制台【关闭虚拟机】,避免感染虚拟机将病毒扩散。 例如将Win7x86虚拟机关机
如用户开启了【备份】功能,并已存在备份/快照,可以尝试通过备份/快照恢复功能恢复数据及系统。 【恢复备份】 1.选择将会恢复快照的虚拟机 2.鼠标悬浮于选项卡之上,点击【更多】-【备份恢复】 3.选择恢复到“原位置”或其他位置,以“原位置”举例,确认完成后点击【确认】 【恢复快照】 1.选择将会恢复快照的虚拟机 2.鼠标悬浮于选项卡之上,点击【更多】-【备份恢复】 3.选择恢复到“原位置”或其他位置,以“原位置”举例,确认完成后点击【确认】 【漏洞封堵】 通过桌面云分布式防火墙(可升级到5.4.2版本或者打定制包获得分布式防火墙功能模块)对勒索病毒的传输端口,进行统一封堵。阻断病毒的继续传播。或者通过EDR 进行端口的一键封堵。 【补丁安装及杀毒】 1. 对于还原桌面,可直接在模板中安装补丁并更新即可。 2. 对于专属桌面,可通过共享文件夹或者统一分发软件,把补丁安装包分发到虚拟机上,再进行安装。 3. 桌面云支持统一杀毒,杀毒兼容EDR、瑞星、芬氏、天擎等国内外主流杀毒软件 第8章 深信服安全感知+下一代防火墙+EDR对内网进行勒索病毒感知、查杀和防护 近日,深信服安全团队发现一款合法的磁盘加密软件BestCrypt Volume Encryption被黑客利用作为勒索工具。 黑客通过RDP暴破等方式远程登录目标服务器后,人工运行BestCrypt Volume Encryption进行勒索加密。由于用于加密的是合法软件而非病毒,通过文件查杀的方式通常无法防御。 现象描述 深信服安全团队近日收到一起特殊的勒索求助。不同于通常的勒索病毒对文件进行加密并修改文件后缀,而是直接对磁盘进行了加密,加密后的磁盘无法打开,如下图所示: 并在桌面等目录存在如下勒索信息txt文件: 排查过程 通过对系统近期创建文件进行排查,发现C盘根目录近期被放入了一个可疑程序“best.exe”,如下: 经验证,“best.exe”是一个合法的商用加密软件BestCrypt Volume Encryption,主界面如下: 可以使用该软件加密并卸载磁盘,如下: 另外在主机中还发现了一个bat脚本,用于将勒索信息txt文件复制到桌面以及开机启动目录并关机,如下: 结合上述线索,初步怀疑本次勒索事件是黑客远程登录了受害主机并人工运行了加密软件进行了勒索加密,通过分析事件日志,果然发现了在加密软件“best.exe”放入前有异常远程桌面登录,如下: 因此我们可以还原出此次勒索攻击的场景: 黑客通过RDP暴力破解等方式远程登录了目标主机; 上传合法加密软件BestCrypt Volume Encryption、勒索信息文件Readme unlock.txt以及脚本文件copys.bat; 人工运行BestCrypt Volume Encryption对磁盘进行加密卸载,然后运行copys.bat复制勒索信息文件到指定目录并关机。
整个过程不存在病毒文件,无法通过文件查杀的方式进行防御。 解决方案 深信服安全团队通过海量勒索病毒攻击事件溯源分析,构建出不同场景勒索病毒攻击画像,其中远程桌面登录是勒索病毒攻击最常用的手段,通常具有以下特点:
攻击者通过RDP暴力破解,登录目标主机,登录时段通常为凌晨或节假日等不易被运维人员察觉异常的业务空闲期;
通过目标主机进行内网渗透,使用黑客工具对杀毒软件进行安全对抗,即使内网部署了安全软件,也不能确保能够防护攻击者的人工对抗;
投放勒索病毒进行加密勒索,勒索病毒可能会做免杀处理,或者同本文案例一样使用合法工具进行磁盘加密,进行安全软件绕过。 由于在成功入侵后攻击者便具有随意操作的自由,因此远程桌面登录防护显得尤为重要。
深信服EDR针对远程桌面登录的勒索病毒攻击场景新增远程登录保护功能,开启后可以配置远程登录保护敏感时间段,在该时间段远程访问服务器需要进行二次验证: 即使黑客远程桌面登录了服务器,依然需要在如下窗口输入正确的二次验证密码才能进行操作,从源头阻断勒索病毒攻击,有效防御通过远程桌面实施的攻击: 病毒防御 深信服安全团队再次提醒广大用户,勒索病毒以防为主,目前大部分勒索病毒加密后的文件都无法解密,注意日常防范措施:
1、及时给电脑打补丁,修复漏洞。
2、对重要的数据文件定期进行非本地备份。
3、不要点击来源不明的邮件附件,不从不明网站下载软件。
4、尽量关闭不必要的文件共享权限。
5、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。
6、如果业务上无需使用RDP的,建议关闭RDP。当出现此类事件时,推荐使用深信服防火墙,或者终端检测响应平台(EDR)的微隔离功能对3389等端口进行封堵,防止扩散!
7、深信服下一代防火墙、终端检测响应平台(EDR)均有防爆破功能,防火墙开启此功能并启用11080051、11080027、11080016规则,EDR开启防爆破功能可进行防御。
8、深信服防火墙客户,建议升级到AF805版本,并开启人工智能引擎Save,以达到最好的防御效果。
9、使用深信服安全产品,接入安全云脑,使用云查服务可以即时检测防御新威胁。
10、深信服推出安全运营服务,通过以“人机共智”的服务模式帮助用户快速扩展安全能力,针对此类威胁安全运营服务提供设备安全设备策略检查、安全威胁检查、相关漏洞检查等服务,确保第一时间检测风险以及更新策略,防范此类威胁。 第9章 附录 补丁包地址如下: 【云盘地址】 【官方地址】 Windows Vista、Windows Server 2008 Windows 7、Windows Server 2008 R2 Windows 8.1、Windows Server 2012 R2 Windows RT 8.1 Windows Server 2012 3、针对微软不提供补丁支持的操作系统,Windows XP和Windows 2003,可以禁止使用smb服务的445端口,禁用方法: https://jingyan.baidu.com/article/d621e8da0abd192865913f1f.html | 
发表于 2024-6-12 17:29
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
技术员3级 
