本帖最后由 刘林1 于 2024-3-25 15:55 编辑
勒索病毒应急指南 前言
勒索病毒,是伴随数字货币兴起的一种新型病毒,常以垃圾邮件、服务器入侵、网页挂马、捆绑软件等多种形式进行传播。一旦遭受勒索病毒攻击,绝大多数文件将会被加密算法修改,并添加一个特殊的后缀,使用户无法读取原始文件,造成无法估量的损失。 勒索病毒通常利用非对称加密算法和对称加密算法组合的形式来加密文件,大多数的勒索软件均无法通过技术手段来解密,必须拿到相应的解密私钥才有可能还原被加密的文件。 勒索病毒变种较快,部分能够绕过常规终端防护。黑客通过这样的手段向受害用户勒索高昂赎金,这些赎金通过数字货币支付,很难溯源,因此危害巨大。 本手册包含勒索病毒应急响应措施、通用防护、针对性防护,以帮助用户尽可能遏制勒索病毒、降低损失。
勒索病毒应急响应措施 1. 隔离主机
i. 物理隔离 针对中毒机器第一时间进行断网处理,拔掉网线或禁用网卡,笔记本也要禁用无线网络,避免病毒传播,即便是已知无传播性的勒索病毒,也有可能通过其他工具传播
ii. 逻辑隔离 访问控制、关闭端口、修改密码。访问控制可以由防火墙等设备来设置,禁止已感染主机与其他主机相互访问;视情况关闭 135、139、445、3389 等端口,避免漏洞被利用或RDP(远程桌面服务)利用;
2. 确认影响范围/定位受害主机
i. 当发现主机文件被加密时,应尽快确认加密范围(全盘文件加密或共享文件夹加密);以此排查是当前主机受到勒索病毒加密,或是其他主机感染勒索病毒进而加密共享目录。
ii. 对于共享文件夹被加密的,应当通过工具尽快定位内网感染病毒的主机,通常可分为两种情况:
1. 持续加密中;对此类情况,可以通过网络抓包工具(如Wireshark)进行抓包,并搜索相关字符串(如加密后缀)以定位加密源。
2. 已经完成加密;对此类情况,可以通过排查安全日志/TDA日志等方法定位感染源
iii. 对于全盘加密的(即当前主机已感染勒索病毒),应当可通过TDA/EDR等相关产品定位其他受害主机。
3. 样本定位/勒索病毒家族定位
工程师应当尽快定位勒索病毒进程、样本,以协助用户抑制病毒,步骤如下: i. 确认是否仍在持续加密中,可通过新建文件,观察是否会被加密来判断。新建的文件扩展名应当与已经被加密的文件扩展名一致。
1. 对于持续加密的,应该定位相关进程、 样本文件 2. 对于未发现持续加密的,也应当排查是否存在可疑进程,并排查文件痕迹
ii. 对于定位到样本的,须加密(密码virus)压缩收集病毒样本,并计算原始样本SHA1值。
iii. 亦可收集勒索病毒相关特点,如勒索信息文本,加密后缀,样本文件名,SHA1值,加密后缀等信息
iv. 对于需要进行溯源的情况,应尽可能保留现场,在提取关键日志后再还原受害主机。
4. 系统排查
i. 账户排查 在勒索病毒攻击中,攻击者有时会通过创建新的账户来登录服务器/主机,因此需要对可疑账户进行排查。
1. 命令行方式 net user (无法查看隐藏信息) 若需要查看具体账户信息,则可使用net user username 2. 图形界面 计算机管理→本地用户和组→用户,在此处查询,可以查看到结尾带$的隐藏账户
2. 补丁排查
a. 在勒索病毒攻击中,可以重点排查永恒之蓝漏洞的补丁
3. 文件痕迹排查
勒索病毒传播方式 勒索病毒主要通过黑客入侵、恶意文档、文件共享、带病毒的附件、可移动设备、社会工程学攻击、漏洞攻击等方式传播。 勒索病毒典型的攻击特征: a. 定向攻击 勒索病毒针对大型企事业单位发起定向攻击,勒索更多的赎金,常使用钓鱼邮件进行攻击。 b. 服务器入侵 勒索病毒分发者通过系统/软件漏洞等方法入侵服务器,或通过暴力破解进入企业内部并快速扩散,通常会针对Windows远程桌面服务。在此情况下,黑客具有直接操作主机的权限,终端安全产品的防护将大大受限。 c. 利用漏洞自动化传播 勒索病毒可以通过系统漏洞进行传播,尤其是高危害级别的RCE漏洞;比如Wannacry勒索病毒就是通过"永恒之蓝"漏洞进行传播。随着各类应用、系统漏洞频发,漏洞攻击的使用频次正逐渐增加。 d. 利用挂马网页传播 攻击者入侵主流网站服务器,或搭建相似域名网站,在网页中植入木马。访问者在浏览网页时,其利用IE/Flash等软件漏洞进行攻击。
针对上述情况,建议根据用户实际情况提出以下建议,并制定具体整改措施
1. 增加口令强度
i. 避免使用空口令、弱口令及重复口令。避免使用人名、计算机名、用户名、和邮箱名作为口令 ii. 定期更换口令 iii. 数据库等应用程序也需要设置复杂口令,切忌使用空口令、弱口令及重复口令 iv. 定期检查重要服务器系统日志,确认是否存在被暴力破解的情况
2. 及时更新重要补丁
i. 打开系统自动更新 ii. 及时更新Office、IE和Flash等常用软件 iii. 及时更新应用版本和重要安全补丁 iv. 对于无法更新补丁的,应通过虚拟补丁(VP/DPI)进行防护
3. 加强端口管理
i. 关闭不必要的高危端口,如139/445/3389 ii. 避免将高危端口映射到公网
4. 邮件安全
i. 部署邮件安全网关,对钓鱼邮件、病毒邮件进行有效拦截,从技术层面阻挡病毒攻击 ii. 普及信息安全教育,倡导终端用户不轻易点击邮件中的附件和链接;不轻易提供敏感信息,避免社会工程学攻击。
5. 网络安全防护
i. 应对内网的安全域进行合理划分,各安全域之间严格限制访问控制列表(ACL),限制横向移动 ii. 在内网架设IDS/IPS,以发现和阻断内网横向传播行为 iii. 架设全流量记录设备,以发现和溯源内网传播行为
6. 重视备份 重要文档要注意备份,备份的最佳做法是采取 3-2-1 规则,即至少做三个副本,用两种不同格式保存,并将副本放在异地存储。
7. 产品更新
i. 及时更新产品、引擎、病毒码版本 ii. 开启行为监控以阻止潜在恶意行为
勒索病毒针对性防护建议
针对用户感染勒索病毒的情况,应当及时提出针对性防护建议,以避免用户环境受到更多损失。适当的建议也会体现专业性,增强用户信任。 针对性的防护可以来源于: a. 勒索病毒家族比对 b. 根据事件调查的结果/部分结果,可能会有以下这些情况:
i. 暴力破解,通常会针对RDP(3389)、SMB(445)、MSSQL(1433)等。通过排查Windows系统日志(Security/System/Application等)可以定位到主机是否曾遭受暴力破解攻击。通常,此类攻击会对使用弱口令的主机造成影响; 在此情况下,可以建议用户: 1. 加强口令防护,包括系统、应用等。 2. 排查是否存在将RDP等高危端口映射到公网的情况,并加以遏制。
ii. 对于共享文件夹被加密的情况(通常是FileServer部分目录被加密),应当针对性的排查加密源,可以通过IPS/IDS/Windows系统日志或抓包的方式进行排查。
iii. 漏洞利用;根据不同的漏洞类型,将在不同攻击阶段产生作用。 1. 横向移动阶段,最常见通过永恒之蓝进行攻击。 2. 入口点阶段则有各类应用的漏洞,如WEB\中间件等。 3. 部分勒索病毒样本,本身自带漏洞利用功能,具备蠕虫特性。 具体需要可以通过IDS/IPS进行排查;针对定位到相关漏洞利用的场景,应建议用户尽快对其他主机进行及时更新,或使用DPI/VP进行临时防护。
iv. 钓鱼邮件;此类攻击需要配合邮件安全网关进行调查。其存在以下特点: 1. 较强针对性,其邮件内容可能与真实邮件相似,使普通用户不易辨别。 2. 通常存在超链接诱骗用户点击,以完成下一步恶意行为;或存在各种附件(如带宏病毒的Office文档/带恶意行为的PDF/压缩包,内含可执行文件等)诱骗用户执行。 对此类攻击场景,应定位到事件发生时间、用户,排查此时间点的可疑邮件并尽快添加相关策略进行拦截,避免后续再发生类似事件。
v. 其他攻击类型,如供应链攻击、无文件攻击等。应根据不同情况提出相应建议,如: 1. 针对无文件攻击,可建议用户暂时禁用powershell等经常被利用的系统组件。 2. 针对供应链攻击,应尽快排查受害范围并及时更换软件安装源
解密工具
1. Trend Micro勒索软件解密工具 工具下载地址:https://console.box.lenovo.com/l/X5PFlr
2. AVBTool工具 工具下载链接:https://console.box.lenovo.com/l/nuNWgO
3. 国际刑警组织反勒索病毒网站 国际刑警组织反勒索病毒网站(https://www.nomoreransom.org)提供勒索病毒家族查询及解密工具 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2024-3-25 16:03
技术研究员3级 
