您當(dāng)前的位置是:  首頁(yè) > 資訊 > 國(guó)內(nèi) >
 首頁(yè) > 資訊 > 國(guó)內(nèi) >

一次云端排查讓勒索病毒當(dāng)眾“伏法” | 反勒索病毒暗戰(zhàn)第一期

2021-05-13 09:48:01   作者:   來(lái)源:CTI論壇   評(píng)論:0  點(diǎn)擊:

  提到勒索病毒,總能和巨額贖金、信息泄露等等重大安全隱患事件聯(lián)系起來(lái)。比如近期發(fā)生的勒索攻擊致美國(guó)半個(gè)能源系統(tǒng)停擺的事情。
  但不是所有的勒索病毒都能成功入侵。
  最近,深信服終端安全團(tuán)隊(duì)就發(fā)現(xiàn)了這樣一起“勒索未遂”的故事——勒索病毒在用戶(hù)開(kāi)啟 RDP 服務(wù)時(shí)入侵,利用暴力破解手段試圖入侵破壞企業(yè)數(shù)據(jù),被深信服 EDR 安全團(tuán)隊(duì)發(fā)現(xiàn)及時(shí)排查清除。
  那么,該勒索病毒的具體入侵路徑究竟是怎樣的呢?
  我們一起來(lái)看下。
  反勒索病毒入侵全紀(jì)錄
  發(fā)現(xiàn)威脅
  首先,代入一下場(chǎng)景。
  某天,深信服終端安全專(zhuān)家君哥正在通過(guò)深信服 EDR 云端查殺數(shù)據(jù)分析監(jiān)控著世界各地的病毒去向。
  突然,深信服終端安全專(zhuān)家發(fā)現(xiàn)用戶(hù)的客戶(hù)端收到了一條告警提醒,仔細(xì)一看事情不妙,馬上開(kāi)始排查。
  按照規(guī)矩,深信服終端安全專(zhuān)家立刻用云端日志展開(kāi)了遠(yuǎn)程“調(diào)查”,通過(guò)安全云腦威脅情報(bào)獲取到對(duì)應(yīng)的樣本文件,安全專(zhuān)家在本地進(jìn)行了行為分析,證實(shí)確實(shí)為勒索病毒,該勒索病毒分別名為 Makop、Milleni500。
  不過(guò),大家也不必?fù)?dān)心,這個(gè)過(guò)程不會(huì)涉及任何敏感信息。
  云端數(shù)據(jù)只上傳病毒查殺日志,包括設(shè)備 ID、查殺時(shí)間、病毒文件哈希、查殺路徑,但不會(huì)上傳用戶(hù)文件,未告警的正常文件也不會(huì)上傳任何信息,不會(huì)造成敏感信息泄露。
  附勒索病毒詳細(xì)信息:
  1、Makop 勒索病毒的勒索信息如下:
  2、Milleni500 勒索病毒的勒索信息如下:

  于是,安全專(zhuān)家聯(lián)系到對(duì)應(yīng)的用戶(hù)對(duì) EDR 管理平臺(tái)和告警終端進(jìn)行詳細(xì)排查。
  • 如何入侵
  那么,這個(gè)病毒究竟是如何入侵的?
  我們一步步往下看。
  首先,通過(guò)對(duì) EDR 管理平臺(tái)檢測(cè)日志的分析,發(fā)現(xiàn)產(chǎn)生告警的來(lái)源于一臺(tái)監(jiān)控服務(wù)器,該服務(wù)器對(duì)外網(wǎng)開(kāi)啟了 RDP 服務(wù)。其中,靜態(tài)文件檢測(cè)進(jìn)行了告警,并對(duì)勒索病毒文件進(jìn)行了自動(dòng)處置:
  緊接著,深信服終端安全專(zhuān)家對(duì)該勒索病毒進(jìn)行了更深層次的溯源發(fā)現(xiàn),該用戶(hù)終端一直在遭受持續(xù)的暴力破解攻擊。
  根據(jù) EDR 日志告警的勒索病毒上傳目錄,與該勒索病毒一同檢出的還有大量黑客工具:包括 NS(用于內(nèi)網(wǎng)掃描)、everything(正常的文件搜索工具,沒(méi)有實(shí)際威脅)、ClearLock(一款鎖屏軟件)、bat 腳本(用于刪除備份卷影)。
  但通過(guò) everything 排查主機(jī)上的EXE文件,未發(fā)現(xiàn)其他可疑情況,排查 asp、aspx、jsp、php 等后綴的文件,未發(fā)現(xiàn)異常。
  此外,由于服務(wù)器系統(tǒng)日志保留時(shí)間較短,無(wú)法查到入侵時(shí)間點(diǎn)的日志信息,且排查未發(fā)現(xiàn) WebShell 和明顯入侵途徑,入侵方式暫不明確,因此無(wú)法溯源到最初的入侵 IP。
  不過(guò),好在該用戶(hù)開(kāi)啟了 EDR 文件實(shí)時(shí)監(jiān)控、勒索病毒防護(hù)實(shí)時(shí)監(jiān)控以及自動(dòng)處置策略,成功攔截了本次事件中上傳的勒索病毒,避免了一次“慘劇”發(fā)生。
  深信服終端安全團(tuán)隊(duì)來(lái)給您提個(gè)醒
  雖然這一次該用戶(hù)“逃過(guò)一劫”,但對(duì)付勒索病毒除了依靠深信服 EDR 實(shí)時(shí)監(jiān)測(cè)外,更需要平時(shí)的自我防護(hù),才能讓勒索病毒無(wú)可乘之機(jī)。
  因此,針對(duì)該用戶(hù)的具體情況,深信服終端安全團(tuán)隊(duì)也給出了一套行之有效的建議:
  • 建議關(guān)閉 RDP 服務(wù),不要對(duì)外網(wǎng)直接映射 RDP 服務(wù),如有業(yè)務(wù)需要,建議使用 EDR 的微隔離對(duì)于威脅端口進(jìn)從策略訪問(wèn)控制并封堵或者使用 VPN;
  • 使用 EDR 的基線檢查功能,查找系統(tǒng)中存在的弱密碼,并及時(shí)通知相關(guān)責(zé)任人進(jìn)行修改;
  • 服務(wù)器密碼使用復(fù)雜密碼,且不要與其他主機(jī)密碼重復(fù)、不要與外部賬號(hào)密碼重復(fù),防止泄露;并使用 KeePass 等密碼管理器對(duì)相關(guān)密碼進(jìn)行加密存儲(chǔ),避免使用本地明文文本的方式進(jìn)行存儲(chǔ);
  • 系統(tǒng)相關(guān)用戶(hù)杜絕使用弱口令,同時(shí),應(yīng)該使用高復(fù)雜強(qiáng)度的密碼,盡量包含大小寫(xiě)字母、數(shù)字、特殊符號(hào)等的混合密碼,加強(qiáng)運(yùn)維人員安全意識(shí),禁止密碼重用的情況出現(xiàn),并定期對(duì)密碼進(jìn)行更改;
  • 已開(kāi)啟 EDR 的 RDP 暴力破解并自動(dòng)封堵功能,當(dāng)出現(xiàn)暴力破解事件時(shí),及時(shí)檢查密碼強(qiáng)度,并通知相關(guān)終端的責(zé)任人及時(shí)修改相關(guān)密碼;
  • 建議開(kāi)啟 EDR 的 RDP 二次登錄驗(yàn)證功能;
  • 使用 EDR 進(jìn)行全網(wǎng)的漏洞掃描,發(fā)現(xiàn)并及時(shí)修補(bǔ)高危漏洞,及時(shí)打上補(bǔ)丁;
  定期進(jìn)行全盤(pán)掃描,建議安排安全人員定期進(jìn)行日志分析,提前規(guī)避高危風(fēng)險(xiǎn)點(diǎn)。也可以聯(lián)系安服團(tuán)隊(duì)進(jìn)行公司網(wǎng)絡(luò)安全的全面檢查。
  作為下一代終端安全產(chǎn)品,深信服 EDR 致力于為企業(yè)級(jí)用戶(hù)提供「輕量易用,實(shí)時(shí)保護(hù),東西向可視可控」的終端安全防護(hù)能力。
  目前深信服 EDR 已經(jīng)廣泛應(yīng)用在政府、金融、教育、醫(yī)療、企業(yè)等諸多行業(yè),部署端點(diǎn)超過(guò) 1200W+,全面保障政企事業(yè)單位的終端安全。
  來(lái)源:深信服科技微信公眾號(hào)
【免責(zé)聲明】本文僅代表作者本人觀點(diǎn),與CTI論壇無(wú)關(guān)。CTI論壇對(duì)文中陳述、觀點(diǎn)判斷保持中立,不對(duì)所包含內(nèi)容的準(zhǔn)確性、可靠性或完整性提供任何明示或暗示的保證。請(qǐng)讀者僅作參考,并請(qǐng)自行承擔(dān)全部責(zé)任。

專(zhuān)題

CTI論壇會(huì)員企業(yè)