因统一的RDP弱密码,政府、医疗等行业用户受CrySiS勒索!
  

SANGFOR_智安全 6616

{{ttag.title}}
因统一的RDP弱密码,政府、国企、医疗等行业用户受CrySiS勒索!



近日,某公司陆续发现政府、国企、医疗等多个行业用户的业务系统在短时间内出现被勒索加密现象,造成服务器大面积瘫痪,情况危急。受影响的系统包括世界500强企业核心系统、关系民生的某公司系统、医疗系统等。

某公司安全专家团队通过深入追踪分析,发现该勒索病毒为CrySiS变种,CrySiS目前仍然是比较活跃的勒索家族之一。出现大面积业务瘫痪,主要原因在于采用了统一的RDP弱密码。

病毒名称:CrySiS病毒变种
病毒性质:勒索病毒
影响范围:政府、国企、医疗等多个行业受攻击
危害等级:高危
图片24.jpg
病毒分析
黑客主要运用了Mimikatz、IP扫描等黑客工具,进行RDP爆破,利用统一密码特性,使用相同密码对全网业务进行集中攻击,导致重要数据被加密。
图片25.jpg
勒索画面,黑客要求交比特币进行解密,比特币赎金多少取决于回复速度

01、攻击场景
首先,黑客通过钓鱼等方法获取内网某台主机的控制权,接着,尝试对服务器A进行RDP爆破,爆破成功,使用Mimikatz获取密码。
图片26.jpg
服务器A被攻陷后,使用服务器A的密码来入侵其它服务器,主要步骤为:IP Scanner扫描、Mimikatz获取密码、RDP入侵并传播勒索。先对同网段的服务器进行扫描,确定可攻击的对象,接着使用Mimikatz获取密码,最后通过获取到的密码,使用RDP成功将CrySiS勒索病毒打入其它服务器。

02、黑客工具
为了配合实施攻击,服务器A被上传以下黑客工具。
图片27.jpg
Advanced_IP_Scanner_2.5.3581.exe是IP扫描工具,Shaofao.exe是CrySiS勒索病毒体,x64对应的是Mimikatz64位版本,x86对应的是Mimikatz32位版本,下图是x86对应的文件夹。
图片28.jpg
Advanced_IP_Scanner_2.5.3581.exe的功能比较强大,支持多种协议(包括RDP),可对单台,也可对整个网段进行扫描,甚至可实现完全控制。
图片29.jpg
模拟攻击场景截图

03、CrySiS勒索病毒
CrySiS勒索病毒在2017年5月万能密钥被公布之后,消失了一段时间,最近该类勒索病毒的新变种又开始活跃,攻击方法同样是通过远程RDP爆力破解的方式,植入到用户的服务器进行攻击,其加密后的文件的后缀名为.bip,由于CrySiS采用AES+RSA的加密方式,目前无法解密。
捕获的CrySiS勒索病毒变种,其整体功能流程如下:
图片30.jpg
首先,创建互斥量,防止多次运行:
图片31.jpg
CrySiS对应的注册表及启动项:
图片32.jpg
删除卷影,防止数据恢复:
图片33.jpg
遍历局域网共享目录,并加密:
图片34.jpg


04、统一的RDP弱密码有多危险?
对于运维管理人员来说,特别是当服务器数量比较多的时候,为了管理方便,不少管理人员选择使用统一的帐号密码。另外,为了易于记录,防止忘记密码,管理人员有可能设置譬如123456等弱密码。很多时候,用户都误以为内网场景,就不会存在被攻击的可能性。

图片35.jpg
统一的RDP弱密码的危险性。一旦所有服务器都设置统一的弱密码,则意味着每台都极易被攻破,而一旦某台被攻破,其它服务器也可使用相同密码进行入侵,进而出现在极短时间内,大规模瘫痪的现象。
由此可见,不仅要设置强密码,并且最好每台服务器的密码都不相同。安全,本质是一个管理问题。

解决方案
1、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。
2、如果业务上能不使用RDP的,则建议关闭RDP。当出现此类事件时,推荐使用某公司防火墙,或者终端检测响应平台(EDR)的微隔离功能对3389等端口进行封堵,防止扩散!

1) 某公司EDR 封堵RDP协议控制配置
第一步,对需要访问业务系统3389的终端加入允许,如下图配置:
图片36.png
第二步,对不需要访问业务系统3389的终端加入拒绝,如下图配置:
图片37.png

2) 某公司防火墙RDP协议控制配置:


针对内网对外发布的服务器,建议如无特殊要求,一律不允许与外网的RDP协议通信,通过【策略】——【访问控制】——【应用控制策略】——“新增”。开启“应用控制策略”功能,拦截指定源到目的的“rdp协议”具体参照下图:
图片38.png 图片46.png
3、某公司防火墙、终端检测响应平台(EDR)均有防爆破功能,防火墙开启此功能并启用11080051、11080027、11080016规则,EDR开启防爆破功能可进行防御。


1) 某公司EDR防爆破功能配置
打开【设置】——【安全设置】;勾选开启暴力破解实时监测功能,具体配置参考下图:
图片39.png
4、建议对全网进行一次安全检查和杀毒扫描,加强防护工作。推荐使用某公司安全感知+防火墙+EDR,对内网进行感知、查杀和防护。


l 某公司下一代防火墙配置防护步骤:
1) 确认当前设备规则库版本
确认IPS漏洞特征识别库版本,2017年11月及以后的版本均可。【系统】——【系统维护】——【系统更新】——【库升级】,如下图:
图片40.png

2) 开启安全功能
针对服务器网段,开启业务防护功能,【策略】——【安全防护策略】—
—“新增”——“业务防护策略”。开启“漏洞攻击防护”功能,具体参照下图:
图片41.png
图片42.png


l 某公司安全感知平台(SIP)防护配置步骤:
1) 确认IPS漏洞特征识别库为2017年11月以上版本。
图片43.png

2) 配置探针的“漏洞利用攻击检测”,打开【策略管理】——【安全策略】,点击设置“漏洞利用攻击检测”,勾选全部,如下图配置。

图片44.png

l 某公司终端监测响应平台(EDR)检测步骤:
对已经中病毒的主机使用EDR进行威胁检测;打开【威胁监测】——【新建任务】,选择需要监测的终端,点击“立即下发”即可.
图片45.png

打赏鼓励作者,期待更多好文!

打赏
4人已打赏

大侠 发表于 2018-8-1 16:42
  
发表的真详细,继续发表哈!
Zarks 发表于 2018-8-3 08:55
  
国内严重吗?
zoou 发表于 2018-8-7 09:26
  
学习了,现在勒索病毒越来越猖狂了。
痴笑Memory 发表于 2018-8-7 13:20
  
上有政策,下有对策。略略略
新手052073 发表于 2018-8-10 11:32
  
好好学习     按照详细的步骤配置防护
王梅珠 发表于 2018-8-10 16:36
  
之前好多城市的服务器都中了勒索病毒
siubo 发表于 2018-8-11 10:50
  
图片加载不了~~
虾霞丅夏 发表于 2018-8-15 10:32
  
了解了解  
liu1271 发表于 2018-8-18 16:31
  
小手一抖,经验到手,手提酱油,低头猛走。遇贴就回 、捞分就闪。
发表新帖
热门标签
全部标签>
每日一问
信服课堂视频
项目案例
GIF动图学习
技术笔记
产品连连看
专家分享
答题自测
在线直播
新版本体验
技术咨询
技术圆桌
每日一记
功能体验
安装部署配置
原创分享
排障笔记本
玩转零信任
畅聊IT
测试报告
SDP百科
标准化排查
SANGFOR资讯
专家问答
云计算知识
干货满满
网络基础知识
安全攻防
流量管理
运维工具
技术顾问
MVP
升级
上网策略
日志审计
问题分析处理
用户认证
解决方案
sangfor周刊
VPN 对接
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告

本版版主

205
123
130

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

二进制网络

本周分享达人