勒索病毒防护——梁山话安全技术分享会第一期-杭州帕拉迪网络科技有限公司

勒索病毒防护——梁山话安全技术分享会第一期

发布时间： 2020.04.10 | 来源：帕拉迪

梁山话安全为汉武实验室2020年新推出的培训交流专题。主旨是与所有安全从业人员一起分享在从业过程中遇上到的安全问题，予以剖析分享并给出解决方案。

——本文为此次会议的相关记录

一、内容概述

此次培训主要分为四部分内容：

1.勒索病毒概述——简述勒索病毒及勒索病毒发展史

2.勒索病毒攻击原理分析——简述勒索病毒主要攻击方式及Wanna Cry攻击原理分析

3.常见勒索场景演示——

a.攻陷主机上传勒索病毒进行勒索

b.用户使用被植入恶意代码的数据库连接工具导致勒索

c.黑客向业务系统上传木马攻击数据库导致勒索

4.勒索防护——汉武实验室在组织层面，使用者层面给出建议并结合帕拉迪科技有限公司的安全产品在某些方面给出解决方案。

二、主要内容

勒索病毒概述

第一阶段：萌芽期

AIDS trojan是世界上第一个被载入史册的勒索病毒，从而开启了勒索病毒的时代。——1989年,2万张感染了“AIDSTrojan”病毒的软盘被分发给国际卫生组织国际艾滋病大会的与会者,导致大量文件被加密。

早期的勒索病毒主要通过钓鱼邮件，挂马，社交网络方式传播，使用转账等方式支付赎金，其攻击范畴和持续攻击能力相对有限，相对容易追查。

第二阶段：成型期

2013下半年开始，是现代勒索病毒正式成型的时期。勒索病毒使用AES和RSA对特定文件类型进行加密，使破解几乎不可能。同时要求用户使用虚拟货币支付，以防其交易过程被跟踪。

这个时期典型的勒索病毒有CryptoLocker，CTBLocker等。大多数情况下，这些恶意软件本身并不具有主动扩散的能力。

第三阶段

自2016年开始，然而随着漏洞利用工具包的流行，尤其是“The ShadowBrokers” （影子经纪人）公布方程式黑客组织的工具后，其中的漏洞攻击工具被黑客广泛应用。勒索病毒也借此广泛传播。典型的例子，就是WannaCry勒索蠕虫病毒的大发作，两年前的这起遍布全球的病毒大破坏，是破坏性病毒和蠕虫传播的联合行动，其目的不在于勒索钱财，而是制造影响全球的大规模破坏行动。

在此阶段，勒索病毒已呈现产业化、家族化持续运营。在整个链条中，各环节分工明确，完整的一次勒索攻击流程可能涉及勒索病毒作者，勒索实施者，传播渠道商，代理。

第四阶段

自2018年开始，常规的勒索木马技术日益成熟。已将攻击目标从最初的大面积撒网无差别攻击，转向精准攻击高价值目标。比如直接攻击医疗行业，企事业单位、政府机关服务器，包括制造业在内的传统企业面临着日益严峻的安全形势。

编程人群基数的迅速增加，越来越多基于脚本语言开发出的勒索病毒开始涌现，意味着将有更多的黑产人群进入勒索产业这个领域，也意味着该病毒将持续发展泛滥。

勒索病毒攻击原理分析

攻击者通过攻陷企业邮件服务器，向企业内部所有用户发送钓鱼邮件（伪装成office图标的exe程序，带病毒的文档、播放器等）。用户无意中打开钓鱼邮件中的文件导致被勒索。

攻击者通过爆破等方式获取企业内部人员vpn账号，在企业内网进行系统漏洞/弱口令扫描，一旦用户主机未做好必要防护便会被勒索。

攻击者通过业务系统/服务器漏洞攻陷Web服务器，对其进行加密并勒索。

攻击者通过攻陷业务系统，获取相应数据库信息，在内网进行数据库漏洞/弱口令扫描，一旦数据库未做好必要防护便会被勒索。

Wanna Cry攻击原理：

（1）病毒启动安装

mssecsvc2.0——服务函数中执行感染功能，对网络中的计算机进行扫描，利用MS17-010漏洞和DOUBLEPULSAR后门，传播勒索病毒恶意样本。

taskche.exe——设置对应的注册表项实现开机自启动。执行勒索软件加密行为。

（2）文件信息搜集

遍历目录，如Program Files，Windows

将文件分类带上标签加入文件容器

（3）文件加解密（简化版）——非对称加密

常见勒索方式演示

攻击机：kali Linux

目标主机：Windows 7

流程：攻击者通过ms17-010漏洞直接拿到目标主机系统权限，上传病毒程序并运行，使目标主机被加密。

主机：Windows 7 安装了带勒索病毒的数据库连接软件plsql

数据库：oracle 11g

流程：使用者使用带病毒的数据库连接软件连接数据库服务器，导致服务器被加密。

业务系统：某OA系统

数据库：mysql 8.0

流程：使用者通过文件上传等漏洞将WebShell上传至业务系统，获取服务器系统权限，通过蚁剑连接数据库并执行相关加密代码对数据库信息进行加密。

勒索防护

组织层面：

1.对于计算机网络而言，我们要对网络进行分层分域管理，比如根据不同的职能和部门划分安全域，对于各区域边界进行严格的出入控制。在等保2.0中叫安全边界管理。

2.对于网络和主机，都要有严格的准入控制系统，不在白名单内的用户和主机不允许接入网络，不在白名单内的进程和程序不允许运行。发现可疑主机要及时隔离处理，发现可疑进程马上启动相应的应急处理机制。

3.一旦发现感染病毒，不要急于格式化重装系统，一定要先进行取证溯源，分析攻击流程，寻找攻击者以及可能的被感染者，防止病毒二次传播。这个过程是一个很重要但也很难的过程，很多黑客攻击也并不是直接入侵的，而是通过一些僵尸主机或者跳板进行。而且攻击后并不会只攻击一台，往往是同时攻下了好多台电脑，只不过只在其中一台或几台实施了破坏，其它没有被破坏不代表就是安全的。通过追溯就能发现其他被攻击的电脑有哪些。

4. 加强宣传，通过相应的网络安全讲座，让大家意识到网络安全的重要性，提高安全意识，增强基本的安全技能，养成良好的安全习惯。这样才能有效降低被病毒感染的风险。

使用者层面：

1、没有必要不要访问外网，尤其是一些非正规网站，减少文件和目录共享。

2、使用U盘、打开邮件附件都要先扫描病毒再打开。

3、不要下载和使用盗版软件以及来路不明的软件。

4、及时为系统/数据库安装安全更新，安装个人防火墙，对进出流量进行控制。

5、对于电脑端口加强防范，使用主机防火墙关闭不必要的端口。

6、发现问题要及时反馈给信息中心，不要自行处理。

7、了解必要的病毒知识。

8、要有安全意识，人是网络安全中最重要也是最薄弱的环节。

结合我们的产品

帕拉迪下一代堡垒机

帕拉迪下一代堡垒机全通道文件传输控制功能（支持FTP/SFTP/SCP、剪切板、磁盘映射等文件传输方式进行上行、下行控制）

——通过将核心资产纳入到帕拉迪下一代堡垒机之中，彻底掌控核心资产文件上传下载通道，使核心资产免受勒索病毒的侵害。

账号风险安全管控功能（服务器账号自动巡检、账号安全风险管控等）

——通过定期对帕拉迪下一代堡垒机管控的资产进行账号巡检，及时发现资产中存在风险的弱口令账号、异常账号、僵尸账号，降低账号被盗用的风险。

帕拉迪下一代数据库应用安全防御系统

通过帕拉迪下一代数据库应用安全防御系统的网络防火墙（来源控制）、准入防火墙（准入因子控制）、行为防火墙（SQL执行语句控制）和业务防火墙（业务建模防护），使一切对数据库的攻击无所遁形，保证企业的数据安全。

下一条：热烈庆祝帕拉迪深圳办事处成立！上一条：帕拉迪第三期全国渠道技术认证会...