在討論如何防勒索病毒話題之前,先來(lái)了解一下什么是勒索病毒。
什么是勒索病毒?
勒索病毒并不是某一個(gè)病毒,而是一類病毒的統(tǒng)稱,主要以郵件、程序、木馬、網(wǎng)頁(yè)掛馬的形式進(jìn)行傳播,利用各種加密算法對(duì)文件進(jìn)行加密,被感染者一般無(wú)法解密,必須拿到解密的私鑰才有可能破解。
已知最早的勒索軟件出現(xiàn)于 1989 年,名為“艾滋病信息木馬”(Trojan/DOS.AidsInfo,亦稱“PC Cyborg木馬”),其作者為 Joseph Popp。早期的勒索病毒主要通過(guò)釣魚(yú)郵件,掛馬,社交網(wǎng)絡(luò)方式傳播,使用轉(zhuǎn)賬等方式支付贖金,其攻擊范疇和持續(xù)攻擊能力相對(duì)有限,相對(duì)容易追查。2006 年出現(xiàn)的 Redplus 勒索木馬(Trojan/Win32.Pluder),是國(guó)內(nèi)首個(gè)勒索軟件。2013下半年開(kāi)始,是現(xiàn)代勒索病毒正式成型的時(shí)期。勒索病毒使用AES和RSA對(duì)特定文件類型進(jìn)行加密,使破解幾乎不可能。同時(shí)要求用戶使用虛擬貨幣支付,以防其交易過(guò)程被跟蹤。這個(gè)時(shí)期典型的勒索病毒有CryptoLocker,CTBLocker等。自2016年開(kāi)始,WannaCry勒索蠕蟲(chóng)病毒大爆發(fā),且目的不在于勒索錢財(cái),而是制造影響全球的大規(guī)模破壞行動(dòng)。
戲劇性的是,在此階段,勒索病毒已呈現(xiàn)產(chǎn)業(yè)化、家族化持續(xù)運(yùn)營(yíng)狀態(tài)。
自2018年開(kāi)始,勒索木馬技術(shù)日益成熟,已將攻擊目標(biāo)從最初的大面積撒網(wǎng)無(wú)差別攻擊,轉(zhuǎn)向精準(zhǔn)攻擊高價(jià)值目標(biāo)。比如直接攻擊醫(yī)療行業(yè),企事業(yè)單位、政府機(jī)關(guān)服務(wù)器,包括制造業(yè)在內(nèi)的傳統(tǒng)企業(yè)面臨著日益嚴(yán)峻的安全形勢(shì)。
(勒索病毒19年一季度行業(yè)分布情況)
(2019年最具代表性的勒索病毒家族排行榜)
勒索病毒工作原理
勒索病毒文件一旦進(jìn)入被攻擊者本地,就會(huì)自動(dòng)運(yùn)行,同時(shí)刪除勒病毒母體,以躲避查殺、分析和追蹤(變異速度快,對(duì)常規(guī)的殺毒軟件都具有免疫性)。接下來(lái)利用權(quán)限連接黑客的服務(wù)器,上傳本機(jī)信息并下載加密私鑰與公鑰,利用私鑰和公鑰對(duì)文件進(jìn)行加密(先使用 AES-128 加密算法把電腦上的重要文件加密,得到一個(gè)密鑰;再使用 RSA-2048 的加密算法把這個(gè)密鑰進(jìn)行非對(duì)稱加密。)。除了病毒開(kāi)發(fā)者本人,其他人是幾乎不可能解密。如果想使用計(jì)算機(jī)暴力破解,根據(jù)目前的計(jì)算能力,幾十年都算不出來(lái)。如果能算出來(lái),也僅僅是解開(kāi)了一個(gè)文件。(當(dāng)然,理論上來(lái)說(shuō),也可以嘗試破解被 RSA-2048 算法加密的總密鑰,至于破解所需要的時(shí)間,恐怕地球撐不到那個(gè)時(shí)候。)加密完成后,還會(huì)鎖定屏幕,修改壁紙,在桌面等顯眼的位置生成勒索提示文件,指導(dǎo)用戶去繳納贖金。
值得一提的是,有的勒索方式索要贖金是比特幣,如果你不會(huì)交易流程,可能會(huì)遭到勒索者的二次嘲諷:自己上網(wǎng)查!( Ĭ ^ Ĭ )
以下為APT沙箱分析到勒索病毒樣本載體的主要行為:
1、調(diào)用加密算法庫(kù);
2、通過(guò)腳本文件進(jìn)行Http請(qǐng)求;
3、通過(guò)腳本文件下載文件;
4、讀取遠(yuǎn)程服務(wù)器文件;
5、通過(guò)wscript執(zhí)行文件;
6、收集計(jì)算機(jī)信息;
7、遍歷文件。
該樣本主要特點(diǎn)是通過(guò)自身的解密函數(shù)解密回連服務(wù)器地址,通過(guò)HTTP GET 請(qǐng)求訪問(wèn)加密數(shù)據(jù),保存加密數(shù)據(jù)到TEMP目錄,然后通過(guò)解密函數(shù)解密出數(shù)據(jù)保存為DLL,然后再運(yùn)行DLL (即勒索者主體)。該DLL樣本才是導(dǎo)致對(duì)數(shù)據(jù)加密的關(guān)鍵主體,且該主體通過(guò)調(diào)用系統(tǒng)文件生成密鑰,進(jìn)而實(shí)現(xiàn)對(duì)指定類型的文件進(jìn)行加密,即無(wú)需聯(lián)網(wǎng)下載密鑰即可實(shí)現(xiàn)對(duì)文件加密。同時(shí),在沙箱分析過(guò)程中發(fā)現(xiàn)了該樣本大量的反調(diào)試行為,用于對(duì)抗調(diào)試器的分析,增加了調(diào)試和分析的難度。
如何防勒索病毒?
不要打開(kāi)陌生人或來(lái)歷不明的郵件,防勒索病毒通過(guò)郵件的攻擊;
需要的軟件從正規(guī)(官網(wǎng))途徑下載;
升級(jí)殺毒軟件到最新版本,阻止已存在的病毒樣本攻擊;
Win7、Win 8.1、Win 10用戶,盡快安裝微軟MS17-010的官方補(bǔ)丁;
定期異地備份計(jì)算機(jī)中重要的數(shù)據(jù)和文件,萬(wàn)一中病毒可以進(jìn)行恢復(fù);
定期進(jìn)行安全培訓(xùn),日常安全管理可參考“三不三要”(三不:不上鉤、不打開(kāi)、不點(diǎn)擊。三要:要備份、要確認(rèn)、要更新)思路。
1. 物理,網(wǎng)絡(luò)隔離染毒機(jī)器;
2. 對(duì)于內(nèi)網(wǎng)其他未中毒電腦,排查系統(tǒng)安全隱患:
a)系統(tǒng)和軟件是否存在漏洞
b)是否開(kāi)啟了共享及風(fēng)險(xiǎn)服務(wù)或端口,如135、137、139、445、3389
c)只允許辦公電腦,訪問(wèn)專門的文件服務(wù)器。使用FTP,替代文件夾共享。
d)檢查機(jī)器ipc空連接及默認(rèn)共享是否開(kāi)啟
e)檢查是否使用了統(tǒng)一登錄密碼或者弱密碼
3. 盡量不要點(diǎn)擊office宏運(yùn)行提示,避免來(lái)自office組件的病毒感染;
4. 盡量不要雙擊打開(kāi).js、.vbs等后綴名文件;
5. 事后處理
在無(wú)法直接獲得安全專業(yè)人員支持的情況下,可考慮如下措施:
通過(guò)管家勒索病毒搜索引擎搜索,獲取病毒相關(guān)信息。搜索引擎地址(https://guanjia.qq.com/pr/ls/#navi_0),若支持解密,可直接點(diǎn)擊下載工具對(duì)文件進(jìn)行解密:
在如何防勒索病毒這個(gè)話題中,人們常規(guī)的防御思維綜上所述。雖然沒(méi)什么毛病,但怎么看都像是“坐以待斃”,被動(dòng)挨打。不過(guò)也無(wú)可厚非,畢竟見(jiàn)招拆招是慣性思維。
正確的防勒索病毒手段,一定是以不變應(yīng)萬(wàn)變。
舉個(gè)栗子:
農(nóng)場(chǎng)主養(yǎng)了一群羊,毛發(fā)油亮,膘肥體壯,賣相極好,農(nóng)場(chǎng)主甚是欣慰。
有一天農(nóng)場(chǎng)主發(fā)現(xiàn)少了幾只羊,還發(fā)現(xiàn)了狼的蹤跡,便明白了有狼偷羊。
農(nóng)場(chǎng)主跟蹤狼的蹤跡,設(shè)置陷阱,日夜監(jiān)督,身心俱疲,但還是沒(méi)有捉到狼,羊的數(shù)量還在減少。
最后,農(nóng)場(chǎng)主把茅草的羊圈換成了花崗巖羊圈,羊再也沒(méi)少過(guò),農(nóng)場(chǎng)主也再也不用去尋找狼。
主機(jī)加固的概念便是如此。
所以如何防勒索病毒,主機(jī)加固的思路才是良策。
主機(jī)加固的核心要點(diǎn):
系統(tǒng)加固
將調(diào)試好的系統(tǒng)鎖定,變成可信系統(tǒng)。
在可信系統(tǒng)下,非法程序、腳本都無(wú)法運(yùn)行。而且不會(huì)影響數(shù)據(jù)進(jìn)出。
即使系統(tǒng)有漏洞,甚至管理員權(quán)限丟失,這個(gè)可信系統(tǒng)都是安全的。
2.程序加固
采用可信簽名方式對(duì)可執(zhí)行程序、腳本的啟動(dòng)進(jìn)行實(shí)時(shí)的hash值校驗(yàn),校驗(yàn)不通過(guò)拒絕啟動(dòng),并且可信程序無(wú)法被偽裝。
3.文件加固
保護(hù)指定類型的文件不被篡改。
4.磁盤加密
創(chuàng)建安全沙盒,該沙盒對(duì)外隔離,對(duì)沙盒內(nèi)的數(shù)據(jù)進(jìn)行加密,確保數(shù)據(jù)只能在授權(quán)管理有效前提下,才能被解密。如果沒(méi)有授權(quán),即使管理員也無(wú)法拷貝使用這些數(shù)據(jù),即使系統(tǒng)克隆也無(wú)效。
5.數(shù)據(jù)庫(kù)加固
第一層:數(shù)據(jù)庫(kù)文件禁止陌生程序訪問(wèn)和篡改。確保數(shù)據(jù)庫(kù)文件級(jí)安全。
第二層:數(shù)據(jù)庫(kù)端口訪問(wèn)可信過(guò)濾,只允許業(yè)務(wù)程序進(jìn)行數(shù)據(jù)庫(kù)端口通信連接,在連接字符串的IP+端口+賬號(hào)密碼中,追加進(jìn)程身份識(shí)別。
第三層:數(shù)據(jù)庫(kù)連接SQL文進(jìn)行智能過(guò)濾,防止關(guān)鍵數(shù)據(jù)被檢索和訪問(wèn),防止數(shù)據(jù)庫(kù)內(nèi)數(shù)據(jù)被非法訪問(wèn),防止數(shù)據(jù)庫(kù)表單的危險(xiǎn)操作行為。
很多問(wèn)題換一種思維可能就迎刃而解。如何防勒索病毒,顯然用主機(jī)加固的策略更佳。至于主機(jī)加固產(chǎn)品如何選型,各位仁者見(jiàn)仁智者見(jiàn)智吧。個(gè)人推薦MCK主機(jī)加固。這個(gè)產(chǎn)品所屬公司在數(shù)據(jù)安全領(lǐng)域可是老前輩了,而且他們的另一個(gè)產(chǎn)品SDC沙盒在源代碼安全領(lǐng)域是很能打的。
最后,澀情網(wǎng)站君莫入,陌生郵件小心讀,美女果聊需當(dāng)心,勒索病毒助你貧。
不要謝我,叫我雷鋒,深藏功名。
該文章在 2024/3/8 11:59:30 編輯過(guò)
400 186 1886
