■ 江苏 朱贤斌
编者按: 近年来勒索病毒盛行,给个人和企业造成了无可挽回的损失,本文从实战出发,以实例进行勒索病毒的应急演练,并给出相关防护建议。
从20世界60年代开始,恶意软件就与信息技术的发展相生相伴。随着科技的不断进步,恶意软件本身也在不断演变,从蠕虫病毒、广告软件、流氓软件、木马软件,乃至今天的勒索软件,恶意软件制作者已从最初的技术炫耀变成了如今直接的利益所取。例如2017年的Wannacry勒索病毒,对受害企业重要数据造成严重损失。
网络黑客使用的系列勒索手段包括:频繁创建虚假网站,吸引潜在勒索对象游览;借助网站内钓鱼软件,扫描用户电脑操作系统及游览器所含安全漏洞;向用户电脑内输送勒索软件,继而锁死电脑或加密数据,要求用户支付“赎金”,以换取解除锁定的“密钥”。
图1 演练网络拓扑图
为了让用户认识到勒索病毒的危害,所以很有必要还原勒索病毒入侵,以及发生勒索病毒安全事件后,迅速的应急响应和应急处置,通过应急演练,来提高我们的网络安全意识和技能。
笔者此次使用VMware Workstation搭建两台虚拟机,模拟攻击者和被攻击者,攻击者使用Kali-Linux系统,被攻击者使用Windows 7系统。拓扑如图1所示。
1.攻击者首先使用Nmap端口扫描工具对被攻击者进行端口扫描和漏洞检测。经过扫描,此台虚机开启了445(SMB) 和 3389(RDP)端口,这些端口属于易被攻击的端口。
2.利用Nmap自带的漏洞检测脚本对445端口进行扫描,结果显示存在高危漏洞,漏洞编号MS17-010。
3.该漏洞极易被利用进行远程控制,使用远程桌面登录受控电脑,上传勒索病毒(详细过程省略)。
4.本次使用的勒索病毒为 GANDCRAB V5.0.4,运 行之后将文件加密,文件被添加.yqqhahnck后缀,无法正常打开,受控端桌面被替换成勒索信息,并留下索要赎金的.txt文件。
根据相关技术标准,信息安全事件应急响应工作流程主要有预防预警、事件报告与先期处置、应急处置、应急结束和后期处置。应急响应工作流程如图2所示。
1. 事件报告与先期处置
勒索病毒事件发生后,相关部门做好先期处置的同时应立即组织研判,并做好信息通报工作。
2.应急处置
勒索病毒属于有害程序事件,该类事件的应急处置措施,一是及时将被感染的设备与其他设备进行隔离;二是采取有效措施对有害程序清除。通常采取的措施如下:
(1)当发现信息系统感染有害程序时,工作人员应立即对感染的设备或程序进行确认并上报部门领导。情况紧急的,应先采取隔离、清除、暂停等处理措施,再进行事件报告。
(2)在确认受感染的设备后,应立即将该设备与其他设备进行隔离,并对其进行数据备份,同时启动备用设备保持应用的连续性。
(3)启用反有害程序系统对设备进行查杀处理,同时对其他设备进行有害程序扫描和清除。清除工作完成后,对各类设备进行安全加固,避免有害程序的再次感染。
图2 应急响应工作流程图
图3 显示被添加了恶意账户hacker
(4)如发现反有害程序软件无法清除的,应立即向本级信息安全主管部门报告,情况严重的,应根据信息安全事件级别及时向上级主管部门汇报。
(5)在确认病毒、蠕虫等有害程序被彻底根除之后,可恢复系统运行。如果已启用备用设备的,应切换回原设备。
(6)如果受感染设备是主服务器并被多家单位和用户访问过,在报上级主管部门批准后,信息系统主管部门应履行通告义务,告知各相关单位开展有害程序扫描和清查工作。
根据以上工作流程,本次演练作如下应急处置:
首先将受控端断开网络连接,并逐一登录同网段其他服务器,确认是否感染勒索病毒,并紧急启动备份服务器,将数据恢复至最近备份状态。
然后对受控端进行排查:
对受控端进行全盘病毒扫描,发现存在恶意程序;
检查系统帐号,发现被添加了恶意账户hacker,如图3所示;
查看受控端的日志,发现攻击者登录记录,如图4所示;
检查受控端的进程,存在勒索病毒恶意进程HQnew.exe,如图5所示;
检查受控端是否存在高危漏洞、账户弱口令等安全风险,发现存在Windows远程命令执行漏洞,漏洞编号为MS17-010;
对勒索病毒进行分析,确认勒索病毒类型为GandCrab5.0.2版本,该病毒目前无法解密,如图6所示。
再对受控端进行安全加固:
使用杀毒软件清除服务器上残留的病毒程序;
关 闭 445、135、137、138、139 等不必要的端口,关闭网络共享,关闭Workstation等服务;
修改管理员密码为高强度的复杂密码,重命名系统管理员帐户;
安装操作系统补丁MS17-010;
使用漏扫工具和基线核查工具对受控端进行安全扫描,根据报告,进一步做安全加固,确保没有高、中、低危漏洞和安全配置缺陷。
3.应急结束和后期处置
当信息安全事件得到妥善处置后,可按照程序结束应急响应。对此次勒索病毒事件进行总结,从管理角度和技术角度来预防勒索病毒事件的发生。
图4 在受控端日志中发现攻击者登录记录
图5 发现存在勒索病毒恶意进程HQnew.exe
图6 显示该病毒目前无法解密
应及时对系统进行安全扫描,并及时更新操作系统补丁;严格管理第三方软件的使用,并保证及时更新;加强对系统的监控、审计与管理;定期对上传的Web网页文件进行比对,包括文件的创建、更新时间、文件大小等;定期维护升级网站服务器,检查服务器所存在的漏洞和安全隐患;使用U盘等移动存储设备进行数据交换前要先进行病毒检查,同时禁用U盘的自动播放功能;定期做好系统和重要数据的备份。
在平时使用计算机过程中,怎样有效的免遭勒索病毒的攻击,给出以下建议:
1.养成良好的习惯
计算机必须安装杀毒和安全防护软件,安全软件提示的各类风险行为不要轻易放行;定期更新病毒库,及时更新系统补丁和第三方应用软件;使用高强度的复杂密码,包括英文字母、数字、特殊字符的组合,定期更换密码,不同账户使用不同的密码;重要文件及时备份,定期做全备,适时做增备。
2.减少危险的上网操作
不要游览不良信息网站,这些网站经常会挂马或钓鱼;不要轻易打开陌生人发来的电子邮件,或访问不明的网络链接;不要轻易打开后缀名为 js、vbs、wsf、bat等脚本文件和exe、scr等可执行程序,在网络上接收的文件,先杀毒再打开。