因统一的RDP弱密码，政府、医疗等行业用户受CrySiS勒索！

因统一的RDP弱密码，政府、国企、医疗等行业用户受CrySiS勒索！

近日，某公司陆续发现政府、国企、医疗等多个行业用户的业务系统在短时间内出现被勒索加密现象，造成服务器大面积瘫痪，情况危急。受影响的系统包括世界500强企业核心系统、关系民生的某公司系统、医疗系统等。

某公司安全专家团队通过深入追踪分析，发现该勒索病毒为CrySiS变种，CrySiS目前仍然是比较活跃的勒索家族之一。出现大面积业务瘫痪，主要原因在于采用了统一的RDP弱密码。

病毒名称：CrySiS病毒变种

病毒性质：勒索病毒

影响范围：政府、国企、医疗等多个行业受攻击

危害等级：高危

病毒分析

黑客主要运用了Mimikatz、IP扫描等黑客工具，进行RDP爆破，利用统一密码特性，使用相同密码对全网业务进行集中攻击，导致重要数据被加密。

勒索画面，黑客要求交比特币进行解密，比特币赎金多少取决于回复速度

01、攻击场景

首先，黑客通过钓鱼等方法获取内网某台主机的控制权，接着，尝试对服务器A进行RDP爆破，爆破成功，使用Mimikatz获取密码。

服务器A被攻陷后，使用服务器A的密码来入侵其它服务器，主要步骤为：IP Scanner扫描、Mimikatz获取密码、RDP入侵并传播勒索。先对同网段的服务器进行扫描，确定可攻击的对象，接着使用Mimikatz获取密码，最后通过获取到的密码，使用RDP成功将CrySiS勒索病毒打入其它服务器。

02、黑客工具

为了配合实施攻击，服务器A被上传以下黑客工具。

Advanced_IP_Scanner_2.5.3581.exe是IP扫描工具，Shaofao.exe是CrySiS勒索病毒体，x64对应的是Mimikatz64位版本，x86对应的是Mimikatz32位版本，下图是x86对应的文件夹。

Advanced_IP_Scanner_2.5.3581.exe的功能比较强大，支持多种协议（包括RDP），可对单台，也可对整个网段进行扫描，甚至可实现完全控制。

模拟攻击场景截图

03、CrySiS勒索病毒

CrySiS勒索病毒在2017年5月万能密钥被公布之后，消失了一段时间，最近该类勒索病毒的新变种又开始活跃，攻击方法同样是通过远程RDP爆力破解的方式，植入到用户的服务器进行攻击，其加密后的文件的后缀名为.bip，由于CrySiS采用AES+RSA的加密方式，目前无法解密。

捕获的CrySiS勒索病毒变种，其整体功能流程如下：

首先，创建互斥量，防止多次运行：

CrySiS对应的注册表及启动项：

删除卷影，防止数据恢复：

遍历局域网共享目录，并加密：

04、统一的RDP弱密码有多危险？

对于运维管理人员来说，特别是当服务器数量比较多的时候，为了管理方便，不少管理人员选择使用统一的帐号密码。另外，为了易于记录，防止忘记密码，管理人员有可能设置譬如123456等弱密码。很多时候，用户都误以为内网场景，就不会存在被攻击的可能性。

统一的RDP弱密码的危险性。一旦所有服务器都设置统一的弱密码，则意味着每台都极易被攻破，而一旦某台被攻破，其它服务器也可使用相同密码进行入侵，进而出现在极短时间内，大规模瘫痪的现象。

由此可见，不仅要设置强密码，并且最好每台服务器的密码都不相同。安全，本质是一个管理问题。

解决方案

1、更改账户密码，设置强密码，避免使用统一的密码，因为统一的密码会导致一台被攻破，多台遭殃。

2、如果业务上能不使用RDP的，则建议关闭RDP。当出现此类事件时，推荐使用某公司防火墙，或者终端检测响应平台（EDR）的微隔离功能对3389等端口进行封堵，防止扩散！

1) 某公司EDR 封堵RDP协议控制配置

第一步，对需要访问业务系统3389的终端加入允许，如下图配置：

第二步，对不需要访问业务系统3389的终端加入拒绝，如下图配置：

2) 某公司防火墙RDP协议控制配置：

针对内网对外发布的服务器，建议如无特殊要求，一律不允许与外网的RDP协议通信，通过【策略】——【访问控制】——【应用控制策略】——“新增”。开启“应用控制策略”功能，拦截指定源到目的的“rdp协议”具体参照下图：

3、某公司防火墙、终端检测响应平台（EDR）均有防爆破功能，防火墙开启此功能并启用11080051、11080027、11080016规则，EDR开启防爆破功能可进行防御。

1) 某公司EDR防爆破功能配置

打开【设置】——【安全设置】；勾选开启暴力破解实时监测功能，具体配置参考下图：

4、建议对全网进行一次安全检查和杀毒扫描，加强防护工作。推荐使用某公司安全感知+防火墙+EDR，对内网进行感知、查杀和防护。

l 某公司下一代防火墙配置防护步骤：

1) 确认当前设备规则库版本

确认IPS漏洞特征识别库版本，2017年11月及以后的版本均可。【系统】——【系统维护】——【系统更新】——【库升级】，如下图：

2) 开启安全功能

针对服务器网段，开启业务防护功能，【策略】——【安全防护策略】—

—“新增”——“业务防护策略”。开启“漏洞攻击防护”功能，具体参照下图：

l 某公司安全感知平台（SIP）防护配置步骤：

1) 确认IPS漏洞特征识别库为2017年11月以上版本。

2) 配置探针的“漏洞利用攻击检测”，打开【策略管理】——【安全策略】，点击设置“漏洞利用攻击检测”，勾选全部，如下图配置。

l 某公司终端监测响应平台（EDR）检测步骤：

对已经中病毒的主机使用EDR进行威胁检测；打开【威胁监测】——【新建任务】，选择需要监测的终端，点击“立即下发”即可.

发表的真详细，继续发表哈！

国内严重吗？

学习了，现在勒索病毒越来越猖狂了。

上有政策，下有对策。略略略

好好学习     按照详细的步骤配置防护

之前好多城市的服务器都中了勒索病毒

图片加载不了~~

了解了解  

小手一抖，经验到手，手提酱油，低头猛走。遇贴就回 、捞分就闪。