<aside> 💡 Notion Tip: 勒索病毒.
</aside>
WannaCry
(1)常见后缀:wncry。
(2)传播方法:“永恒之蓝”漏洞。
(3)特征:启动时会连接一个不存在的 URL(Uniform Resource Locator,统一资源定位符);创建系统服务 mssecsvc2.0;释放路径为 Windows 目录。
GlobeImposter
(1)常见后缀:auchentoshan、动物名+4444 等。
(2)传播方法:RDP 暴力破解、钓鱼邮件、捆绑软件等。
(3)特征:释放在%appdata%或%localappdata%。
Crysis/Dharma
(1)常见后缀:【id】+勒索邮箱+特定后缀。
(2)传播方法:RDP 暴力破解。
(3)特征:勒索信位置在 startup 目录,样本位置在%windir%\\system32、startup目录、%appdata%目录。
GandCrab
(1)常见后缀:随机生成。
(2)传播方法:RDP 暴力破解、钓鱼邮件、捆绑软件、僵尸网络、漏洞传
播等。
(3)特征:样本执行完毕后自动删除,并会修改感染主机桌面背景,有后缀MANUAL.txt、DECRYPT.txt。
Satan
(1)常见后缀:evopro、sick 等。
(2)传播方法:“永恒之蓝”漏洞、RDP 暴力破解、JBoss 系列漏洞、Tomcat系列漏洞、WebLogic 组件漏洞等。
(3)特征:最新变种暂时无法解密,以前的变种可解密。
Sacrab
(1)常见后缀:krab、sacrab、bomber、crash 等。
(2)传播方法:Necurs 僵尸网络、RDP 暴力破解、钓鱼邮件等。
(3)特征:样本释放位置在%appdata%\\roaming。
Matrix
(1)常见后缀:grhan、prcp、spct、pedant 等。
(2)传播方法:RDP 暴力破解。
Stop
(1)常见后缀:tro、djvu、puma、pumas、pumax、djvuq 等。
(2)传播方法:钓鱼邮件、捆绑软件和 RDP 暴力破解。
(3)特征:样本释放位置在%appdata%\\local\\<随机名称>,可能会执行计划任务。
Paradise
(1)常见后缀:文件名_%ID 字符串%_{勒索邮箱}.特定后缀。
(2)特征:将勒索弹窗和自身释放到 startup 启动目录。
1.服务器入侵传播
攻击者可通过系统或软件漏洞等方法入侵服务器,或通过 RDP 弱密码暴力破
解远程登录服务器。一旦入侵成功,攻击者就可以在服务器上为所欲为,例如,
可卸载服务器上的安全软件并手动运行勒索病毒。这种传播方法,安全软件一般
很难起作用。
目前,管理员账号、密码被破解是服务器入侵的主要原因。例如,攻击者通
过暴力破解使用弱密码的账号入侵服务器,或者利用病毒、木马潜伏在管理员计
算机中盗取密码,甚至还可从其他渠道直接购买账号、密码来入侵服务器。
2.利用漏洞自动传播
勒索病毒可通过系统自身漏洞进行传播扩散,如 WannaCry 勒索病毒就是利
用“永恒之蓝”漏洞进行传播的。此类勒索病毒在破坏功能上与传统勒索病毒无
异,都是通过加密用户文件来获得勒索赎金的,但因传播方法不同,所以更难防
范,需要用户提高安全意识,及时更新有漏洞的软件或安装对应的安全补丁。
3.软件供应链攻击传播
软件供应链攻击是指利用软件供应商与最终用户之间的信任关系,在合法软
件正常传播和升级过程中,利用软件供应商的各种疏忽或漏洞,对合法软件进行
劫持或篡改,从而绕过传统安全产品检查,达到非法目的的攻击。
Fireball、暗云 III、类 Petya、异鬼 II、Kuzzle、XShellGhost、CCleaner 等后
门事件均属于软件供应链攻击传播。在乌克兰爆发的类 Petya 勒索病毒事件也属
于案例之一,该病毒通过税务软件 M.E.Doc 的升级包投递到内网中并进行传播。
4.邮件附件传播
通过伪装成产品订单详情或图纸等重要文档类的钓鱼邮件,在附件中夹带含
有恶意代码的脚本文件,一旦用户打开邮件附件,便会执行其中的脚本,释放勒
索病毒。这类传播方法针对性较强,主要瞄准机构、企业,攻击的计算机中往往
存储的不是个人文档,而是机构、企业的办公文档。最终目的是破坏机构、企业
的业务运转,迫使其为了止损而不得不交付赎金。
5.利用挂马网页传播
攻击者入侵主流网站的服务器,在正常网页中植入木马,访问者在浏览网页
时,其利用 IE 或 Flash 等软件漏洞进行攻击。这类勒索病毒属于撒网抓鱼式的传
播,没有针对性,“中招”的受害者多数为“裸奔”用户,未安装任何杀毒软件。
隔离被感染的服务器/主机
排查业务系统
确定勒索病毒种类,进行溯源分析
恢复数据和业务
后续防护建议
**文件排查:**
对文件夹内文件列表时间进行排序,根据勒索病毒加密时间,检查桌面及各
个盘符根目录下的异常文件,一般可能性较大的目录有:
C:\\Windows\\Temp;
C:\\Users\\[user]\\AppData\\Local\\Temp;
C:\\Users\\[user]\\Desktop;
C:\\Users\\[user]\\Downloads;
C:\\Users\\[user]\\Pictures。
病毒/可疑文件名可以伪装成“svchost.exe”“WindowsUpdate.exe”这样的系
统文件,也可以伪装成直接使用加密后缀命名的“Ares.exe”“Snake.exe”,或者
其他异常的名称,大多数病毒/可疑文件可以被找到,
但也有一些病毒/可疑文件具有自动删除行为,从而无法被找到。
**补丁排查(永恒之蓝):**
Windows XP 系统补丁号为 KB4012598;
Windows 2003 系统补丁号为 KB4012598;
Windows 2008 R2 系统补丁号为 KB4012212、KB4012215;
Windows 7 系统补丁号为 KB4012212、KB4012215。
**账户排查:**
打开【本地用户和组】窗口,可查找可疑用户和组。此方法可以查看到隐藏
的用户,因此排查更全面。
**网络连接、进程、任务计划排查:**
(1)查看可疑网络连接。
使用【netstat -ano】命令,可查看目前的网络连接,检查是否存在可疑 IP 地
址、端口、网络连接状态。同时重点查看是否有暴露的 135、445、3389 高危端口,
很多勒索病毒就是利用这些高危端口在内网中广泛进行传播的。
(2)查看可疑进程。
当通过网络连接命令定位到可疑进程后,可使用【tasklist】命令或在【任务管理器】窗口查看进程信息。
(3)查看可疑任务计划。
打开【任务计划程序】窗口,检查是否存在异常任务计划。重点关注名称异
常和操作异常的任务计划。
(4)查看 CPU、内存占用情况及网络使用率。
可通过资源管理器检测是否存在 CPU、内存占用过高,网络使用率过高的情
况,再结合以上排查进程、网络连接的方法定位可疑进程和任务计划。
(5)查看注册表。
使用 Autoruns 工具可对注册表项进行检测,重点查找开机启动项中的可疑启
动项,也可手动打开注册表编辑器,查看相关启动项是否存在异常。
除了使用以上方法对 Windows 的网络连接、进程、任务计划进行排查,也可
以借助 PCHunter 工具查看,根据不同颜色内容发现可疑对象。
PCHunter 工具可对检测对象校验数字签名,显示为蓝色的条目为非微软签名
的对象,红色的为检测到的可疑对象,包括可疑进程、启动项、服务和任务计划
等。
**日志排查:**
通过日志排查,可发现攻击源、攻击路径、新建账户、新建服务等。
1)Windows 系统排查方法
需要通过事件查看器查看以下日志内容。
(1)系统日志。
在勒索病毒事件处理中,主要查看创建任务计划、安装服务、关机、重启这
样的异常操作日志。
(2)安全日志。
主要检查登录失败(事件 ID 为 4625)和登录成功(事件 ID 为 4624)的日
志,查看是否有异常的登录行为。
**文件排查:**
可先查看桌面是
否存在可疑文件,之后针对可疑文件使用【stat】命令查看相关时间,若修改时间
与文件加密日期接近,有线性关联,则说明可能被篡改。
另外,由于权限为 777 的文件安全风险较高,在查看可疑文件时,也要重
点关注此类文件。查看 777 权限的文件可使用【find . *.txt -perm 777】命令。
查找隐藏的文件来查找可疑文件。使用命令【ls - ar | grep "^\\ . "】可查看以 "."开
头的具有隐藏属性的文件,“.”代表当前目录,“..”代表上一级目录。
**账户排查:**
重点关注添加 root 权限的账户或低权限的后门登录账户。
root 账户的 UID 为 0,如果其他账户的 UID 也被修改为 0,则这个账户就拥有了
root 权限。可以使用如下命令综合排查可疑用户。
(1)使用【cat /etc/passwd】命令,可查看所有用户信息。
(2)使用【awk -F: '{if($3==0)print $1}' /etc/passwd】命令,可查看具有 root
权限的账户。
(3)使用【cat /etc/passwd | grep -E "/bin/bash$"】命令,可查看能够登录的账户。
**网络连接、进程、任务计划排查:**
(1)查看可疑网络连接和进程。
使用【netstat】命令,可分析可疑端口、可疑 IP 地址、可疑 PID 及程序进程;
之后使用【ps】命令,可查看进程,结合使用这两个命令可定位可疑进程信息。
(2)查看 CPU、内存占用情况。
使用【top】命令,可查看系统 CPU 占用情况,使用【free】或【cat /proc/meminfo】
命令,可查看内存占用情况。
(3)查看系统任务计划。
使用【cat /etc/crontab】命令,可查看系统任务调度的配置文件是否被修改。
(4)查看用户任务计划。
除查看系统任务计划外,还需查看不同用户任务计划,如查看 root 任务计划
时,可使用【crontab -u root -l】命令。
(5)查看历史执行命令。
使用【history (cat /root/.bash_history)】命令,可查看之前执行的所有命令的
痕迹,以便进一步排查溯源。有些攻击者会删除该文件以掩盖其行为,如果运行
【history】命令却没有输出任何信息,那么就说明历史文件已被删除。
**日志排查:**
(1)查看所有用户最后登录信息。
使用【lastlog】命令,可查看系统中所有用户最后登录信息。
(2)查看用户登录失败信息。
使用【lastb】命令,可查看用户登录失败信息。当出现大量未知 IP 地址时,
可根据登录时间分析,如果在较短时间内出现多次登录,那么可以确定受到 SSH
攻击。
(3)查看用户最近登录信息。
使用【last】命令,可查看用户最近登录信息。Linux 主机会记录下有哪些用
户,从哪个 IP 地址,在什么时间登录了,以及登录了多长时间。
使用【last -f /var/run/utmp】命令,可查看 utmp 文件中保存的当前正在本系
统中的用户的信息,并查看用户是否可疑。
确认勒索病毒事件后,需要及时对勒索病毒进行清理并进行相应的数据恢复
工作,同时对服务器/主机进行安全加固,避免二次感染。
1)病毒清理及加固
(1)在网络边界防火墙上全局关闭 3389 端口,或 3389 端口只对特定 IP 地
址开放。
(2)开启 Windows 防火墙,尽量关闭 3389、445、139、135 等不用的高危
端口。
(3)每台机器设置唯一登录密码,且密码应为高强度的复杂密码,一般要求
采用大小写字母、数字、特殊符号混合的组合结构,密码位数要足够长(15 位、
两种组合以上)。
(4)安装最新杀毒软件,对被感染机器进行安全扫描和病毒查杀。
(5)对系统进行补丁更新,封堵病毒传播途径。
(6)结合备份的网站日志对网站应用进行全面代码审计,找出攻击者利用的
漏洞入口,进行封堵。
(7)使用全流量设备(如天眼)对全网中存在的威胁进行分析,排查问题。
2)感染文件恢复
(1)通过解密工具恢复感染文件。
(2)支付赎金进行文件恢复。