勒索软件防范方法与建议

在过去的一年中,勒索软件可谓是一波未平,一波又起。2018年,勒索病毒注定还将继续活跃。为了个人用户以及企业用户能更好的应对勒索病毒,瑞星安全专家为大家梳理一下勒索病毒主要的传播方式,以及防范方法与建议。

勒索病毒传播方式分析

一、针对个人用户常见的攻击方式

通过用户浏览网页下载勒索病毒,攻击者将病毒伪装为盗版软件、外挂软件、色情播放器等,诱导受害者下载运行病毒,运行后加密受害者机器。此外勒索病毒也会通过钓鱼邮件和系统漏洞进行传播。

针对个人用户的攻击流程如下图所示:

图:攻击流程

二、针对组织用户常见的攻击方式

对于医院、学校、公司等组织用户,病毒的传播途除了和个人用户有相似的地方外,还会有其他特点。由于组织局域网中机器较多,系统漏洞和弱口令对整个网络影响较大,并且由于业务需要,服务器中运行了大量的web程序和数据库程序,网络拓扑结构复杂,内外网混用,开放大量端口,给勒索病毒传播打开了方便之门。接下来介绍几种针对组织用户常见的攻击方式:

1. 系统漏洞攻击

系统漏洞是指操作系统在逻辑设计上的缺陷或错误,不法者通过网络植入木马、病毒等方式来攻击或控制整个电脑,窃取电脑中的重要资料和信息,甚至破坏系统。同个人用户一样,组织用户也会受到系统漏洞攻击,由于组织局域网中机器众多,更新补丁费时费力,有时还需要中断业务,因此组织用户不太及时更新补丁,给系统造成严重的威胁,攻击者可以通过漏洞植入病毒,并迅速传播。席卷全球的Wannacry勒索病毒就是利用了永恒之蓝漏洞在网络中迅速传播。

攻击者利用系统漏洞主要有以下两种方式:

一种是通过系统漏洞扫描互联网中的机器,发送漏洞攻击数据包,入侵机器植入后门,然后上传运行勒索病毒。

图:通过系统漏洞扫描网络中的计算机

另外一种是通过钓鱼邮件、弱口令等其他方式,入侵连接了互联网的一台机器,然后再利用漏洞局域网横向传播。大部分组织的网络无法做到绝对的隔离, 一台连接了外网的机器被入侵,内网中存在漏洞的机器也将受到影响。

图:先入侵一台机器,再通过漏洞局域网横向移动

网上有大量的漏洞攻击工具,尤其是武器级别的NSA方程式组织工具的泄露,给网络安全造成了巨大的影响,被广泛用于传播勒索病毒、挖矿病毒、木马等。有攻击者将这些工具,封装为图形化一键自动攻击工具,进一步降低了攻击的门槛。

2. 远程访问弱口令攻击

由于企业机器很多需要远程维护,所以很多机器都开启了远程访问功能。如果密码过于简单,就会给攻击者可乘之机。很多用户存在侥幸心理,总觉得网络上的机器这么多,自己被攻击的概率很低,然而事实上,在全世界范围内,成千上万的攻击者不停的使用工具扫描网络中存在弱口令的机器。有的机器由于存在弱口令,被不同的攻击者攻击,植入了多种病毒。这个病毒还没删除,又中了新病毒,导致机器卡顿,文件被加密。

通过弱口令攻击和漏洞攻击类似,只不过通过弱口令攻击使用的是暴力破解,尝试字典中的账号密码来扫描互联网中的设备。

图:弱口令扫描网络中的计算机

通过弱口令攻击还有另一种方式,一台连接外网的机器被入侵,通过弱口令攻击内网中的机器。

图:先入侵一台机器,再弱口令爆破局域网机器,横向移动

3. 钓鱼邮件攻击

企业用户也会受到钓鱼邮件攻击,相对个人用户,由于企业用户使用邮件频率较高,业务需要不得不打开很多邮件,而一旦打开的附件中含有病毒,就会导致企业整个网络遭受攻击。

钓鱼邮件攻击逻辑图:

图:钓鱼邮件攻击逻辑

通过钓鱼邮件传播勒索病毒,主要有以下方式:

(1)通过漏洞下载运行病毒

钓鱼邮件附件携带攻击者精心构造的,含有漏洞的office文档、PDF文档或者含有浏览器漏洞的网址。如果没有安装对应办公软件补丁、浏览器补丁,打开之后就会触发漏洞,下载并运行勒索病毒。

此外,网上存在大量Exploit Kit(漏洞攻击包),漏洞攻击包里面集成了各种浏览器、Flash和PDF等软件漏洞代码。攻击者一键自动化生成钓鱼邮件,简直是勒索即服务。受害者点击链接或者打开文档就可以触发漏洞,下载运行勒索软件。常见比较著名的EK有Angler、Nuclear、Neutrino和RIG等。

其中一款漏洞攻击包的操作界面如下:

图:钓鱼邮件攻击逻辑

(2)、通过office机制下载运行病毒

除了漏洞之外,office的一些机制也可以被用来传播勒索病毒。office宏脚本、DDE、OLE等都曾被利用传播勒索病毒。

有的攻击者为了防止被查杀,发送邮件时对附件中office文档进行加密,同时在邮件正文中 附带密码。

图:钓鱼邮件

好奇心比较强的用户会输入密码打开文件,如果默认开启宏脚本,输入密码后病毒就会下载执行。

图:加密的文档

如果没有开启宏脚本,文件内容也会诱导用户启用宏。

图:诱导启动宏

(3)、伪装office 、PDF图标的exe程序

邮件附件携带的勒索程序会伪装为office文档图标,实际上是exe程序,如果系统默认不显示文件扩展名,那就很容易中招。

图:伪装图标

4. web服务漏洞和弱口令攻击

很多组织服务器运行了web服务器软件,开源web框架,CMS管理系统等,这些程序也经常会出现漏洞。如果不及时修补,攻击者可以利用漏洞上传运行勒索病毒。此外如果web服务使用弱口令也会被暴力破解,有些组织甚至一直采用默认密码从没有修改过。

常见攻击逻辑如下图所示:

图:web服务攻击逻辑

Apache Struts2是世界上最流行的JavaWeb服务器框架之一, 2017 年Struts2被曝存在重大安全漏洞S2-045,攻击者可在受影响服务器上执行系统命令,进一步可完全控制该服务器,从而上传并运行勒索病毒。

5. 数据库漏洞和弱口令攻击

数据库管理软件也存在漏洞,很多组织多年没有更新过数据库软件,甚至从服务器搭建以来就没有更新过数据库管理软件,有的是因为疏忽,也有的是因为兼容问题,担心数据丢失。如果不及时更新,会被攻击者利用漏洞上传运行勒索病毒。

常见攻击逻辑如下图:

图:针对数据库的攻击逻辑

勒索病毒防御措施

(一)个人用户的防御措施

1、浏览网页时提高警惕,不下载可疑文件,警惕伪装为浏览器更新或者flash更新的病毒。

2、安装杀毒软件,保持监控开启,及时升级病毒库。

3、安装防勒索软件,防御未知勒索病毒。

4、不打开可疑邮件附件,不点击可疑邮件中的链接。

5、及时更新系统补丁,防止受到漏洞攻击。

6、备份重要文件,建议采用 本地备份+脱机隔离备份+云端备份 。

(二)组织用户的防御措施

1、系统漏洞攻击

防御措施:

(1)及时更新系统补丁,防止攻击者通过漏洞入侵系统。

(2)安装补丁不方便的组织,可安装网络版安全软件,对局域网中的机器统一打补丁。

(3)在不影响业务的前提下,将危险性较高的,容易被漏洞利用的端口修改为其它端口号。如139 、445端口。如果不使用,可直接关闭高危端口,降低被漏洞攻击的风险。

2、远程访问弱口令攻击

防御措施:

(1)使用复杂密码

(2)更改远程访问的默认端口号,改为其它端口号

(3)禁用系统默认远程访问,使用其它远程管理软件

3、钓鱼邮件攻击

防御措施:

(1)安装杀毒软件,保持监控开启,及时更新病毒库

(2)如果业务不需要,建议关闭office宏,powershell脚本等

(3)开启显示文件扩展名

(4)不打开可疑的邮件附件

(5)不点击邮件中的可疑链接

4、web服务漏洞和弱口令攻击

防御措施:

(1)及时更新web服务器组件,及时安装软件补丁

(2)web服务不要使用弱口令和默认密码

5、数据库漏洞和弱口令攻击

防御措施:

(1)更改数据库软件默认端口

(2)限制远程访问数据库

(3)数据库管理密码不要使用弱口令

(4)及时更新数据库管理软件补丁

(5)及时备份数据库

上一篇:NSA如何跟踪其他国家的黑客

下一篇:中国互联网络发展状况统计报告(互联网安全管理)