近日多地接连爆出被勒索病毒攻击的事件,勒索病毒一旦中招,就几乎无法通过技术手段进行解密——用户只能被迫舍弃数据或交付赎金来解决。
因此与其它病毒木马的“事前防御+事后查杀”的常规防治策略有所不同,对于勒索病毒重在防御,几乎需要完全放在“事前防御”这一项上——因为一旦中了,损失几乎是不可挽回的,即便查杀往往也于事无补。
今天, 360主动防御归纳入侵方式提出8大建议希望通过对目前外网流行的勒索病毒所常规采用的入侵手段进行一个简要汇总,希望广大用户能够有所防范。
Step 1. 打开城门,从外部入侵 随着勒索病毒的攻击目标的转移,投放手段也在进行对应的转变。早年以普通用户为主要目标的时代,勒索病毒的传播方式与传统木马病毒无异——主要采用钓鱼邮件、IM扩散、诱导下载、网页挂马等形式进行传播。这种传播方式虽然自动化程度较高,影响范围较大,但相应的针对性较低,而且大多数普通用户由于数据重要性不高而选择直接舍弃被加密数据,这也直接导致了病毒的勒索成功率很低。
而这两年,勒索病毒转向更有针对性的攻击各种服务器,故此原有的传播方式已不再适用于针对服务器的攻击,相应的——RDP弱口令暴力破解成为了入侵的主力方式。
使用这种方式进行入侵的黑客,首先会使用网络工具在互联网上进行无差别的扫描,查找有可用端口暴露在互联网中的服务器。一旦发现,可再配合字典工具对端口对应的服务登录口令进行暴力破解,如果管理员设置的登录口令不够强,则黑客可能在短时间内轻松破解并成功登录。
360互联网安全中心在实际处理用户反馈的过程中,就捕获过黑客使用Intercepter-NG、NetworkShare等网络扫描工具进行初步网络扫描发动攻击的案例。 图1. 网络扫描工具Intercepter-NG运行界面
某反馈案例中,360互联网安全中心就曾接到某科技公司求助,称自己公司多台服务器同时收到勒索病毒攻击,无法正常运行,数据损失严重。
而经过我们分析,该公司服务器最初暴露在互联网中的机器直有一台财务服务器,而恰恰是由于该服务器开启了远程桌面服务器,并且设置了一个较弱的登录口令,导致最终被一个外部可疑IP(据公开数据查询,可能来自于越南)破解了登录口令,直接成功登录到了管理员账户(Administrator)中: 图2. 外部可疑IP成功登录到系统管理员账户
图3. 可疑IP归属地查询
Step 2. 内部渗透,通过失陷机器攻击内部网络 在完成了上述的步骤后,入侵者并不会止步于当前的成果。而是会利用当前登录的这台机器作为跳板,进一步对同一局域网内的其他机器进行二次入侵。在这一步骤中,黑客主要运用三种手段:
其一,在第一步中我们提及的各种网络扫描工具,同样适用于局域网内部。故此在此步骤中同样可以使用前文所提到的工具进行局域网内的二次入侵扫描。
其二,基于以往案例,360互联网安全中心层多次捕获过mimikatz、WebBrowserPassView等各类密码嗅探工具在此类二次入侵的攻击中被使用。此类工具主要用于获取存储在机器本地的密码,从而大幅提高入侵内网其他机器的成功率。 图4. 密码提取工具mimikatz使用界面
其三,最近还开始出现了不少利用漏洞进行网络入侵并投放勒索病毒的案例:如之前发现的JBOSS的漏洞利用(CVE-2017-12149、CVE-2010-0738)、WebLogic的漏洞利用(CVE-2017-10271)、Tomcat的漏洞利用等。
此外,需要特别注意的是近期多地爆发的勒索病毒事件。经分析,造成此事件的是GlobeImposter家族的最新变种Ox4444.此变种在核心功能代码方面,与之前的几款该家族变种几乎无差别。 图5. Ox4444变种与稍早前NACRO变种的功能代码相似度99%以上
但我们通过分析中招用户系统,发现此次变种的核心点并不在于勒索病毒本身,而是在于入侵方式:在该变种的传播中,首次用到了此间用于利用永恒之蓝漏洞的工具包——ShadowBrokers. 图6. 用于利用永恒之蓝漏洞的ShadowBrokers工具包
可见虽然该漏洞早已修复,且曾经的大规模利用更是让不少管理人员早有防备,但黑客依然不会放过任何一个可能成功入侵方式。
说回到具体案例:同样是在上面提到的反馈案例中,在我们继续分析其他中招机器的时候,发现这些机器大多没有直接连接互联网,而入侵这些内部服务器的源头,则正是我们上面提到直接被外部可疑IP入侵的财务服务器: 图7. 遭到局域网IP二次入侵的机器
Step 3. 干掉守卫,通过各类工具创造投毒环境 而无论是外部的直接入侵,还是通过跳板的二次入侵。在入侵之后,黑客的核心目的依然是对服务器系统中的数据进行加密。而在这之前,首先要对系统的环境做一个简单的“清理”用以给病毒投放铺路。
此时,各种进程管理类工具或Rootkit工具就派上了用场。基于以往案例,ProcessHacker由于其功能的强大成为了出场率最高的工具。黑客往往会使用它结合获取到的系统管理员权限,结束安全软件或其他一些备份类软件的进程,有时也会用于清理数据库服务,以免勒索病毒无法顺理加密数据文件: 图8. 进程管理工具ProcessHacker运行界面
Step 4. 投放病毒&打扫战场 最终,一切前期工作完成,此时黑客已经拥有了系统管理员权限,并且系统中也不再有任何安全、备份类软件干扰病毒发挥作用。此时的黑客便可肆无忌惮的直接向系统内投放勒索病毒进行加密、勒索工作。
此外,有些黑客还会同时投放远控木马或后门程序,方便以后的再次登录,实现对被入侵机器的后续长期控制。
综上所述,完整的一套入侵投毒流程,先决条件是黑客可以成功入侵到一台暴露在互联网上的机器中。这一步失败,则黑客无计可施,而这一步成功,黑客就已经成功了大半。而如果此时内网的机器同样存在弱口令或存在漏洞等问题,即便这些机器并未直接暴露于互联网中,也会在存在内网跳板的情况下遭到黑客的毒手,甚至有时会出现内网机器反复互相感染的情况。 图9. 黑客入侵投毒流程图
归纳和建议 由上述归纳可见,黑客在前两步的时候已经拿到了服务器的管理员权限,可见后两步完全是水到渠成的操作,所以对当前勒索病毒的防范重点,必须放在防止黑客入侵上面。 主动防御给出如下八点建议: 1. 避免在服务器中使用过于简单的口令。登录口令尽量采用大小写字母、数字、特殊符号混用的组合方式,并且保持口令由足够的长度。同时添加限制登录失败次数的安全策略并定期更换登录口令。 2. 多台机器不要使用相同或类似的登录口令,以免出现“一台沦陷,全网瘫痪”的惨状。 3. 重要资料一定要定期隔离备份。此处尤其注意隔离,在以往的反馈案例中从来不乏确有备份,但由于在同一网络内,导致备份服务器一同被加密的情况。 4. 及时修补系统漏洞,同时不要忽略各种常用服务的安全补丁。 5. 关闭非必要的服务和端口如135、139、445、3389等高危端口。 6. 严格控制共享文件夹权限,在需要共享数据的部分,尽可能的多采取云协作的方式。 7. 提高安全意识,不随意点击陌生链接、来源不明的邮件附件、陌生人通过即时通讯软件发送的文件,在点击或运行前进行安全扫描,尽量从安全可信的渠道下载和安装软件。 8. 安装专业的安全防护软件并确保安全监控正常开启并运行,及时对安全软件进行更新。
|