根據(jù)“火絨威脅情報(bào)系統(tǒng)”監(jiān)測,近期出現(xiàn)多起勒索病毒加密文件后綴名為“shanghai3”和“beijing”事件,極具地域性和本土特色,請(qǐng)廣大用戶小心。
需要注意的是,此前同一個(gè)勒索病毒加密文件后綴名具有固定格式,作為和其它勒索病毒區(qū)分特征之一。比如勒索病毒Globelmposter加密文件的后綴名通常為某希臘主神名或動(dòng)物名+數(shù)字(“Zeus666”或“Pig4444”等)。
而此次火絨監(jiān)測到的兩個(gè)同為地名的勒索病毒加密后綴名,雖然格式極為相似,但卻分屬兩個(gè)不同的病毒所為。
這一現(xiàn)象側(cè)面反映了,勒索病毒在活躍的同時(shí),也在時(shí)刻變化著。而根據(jù)“火絨威脅情報(bào)系統(tǒng)”的監(jiān)測以及在服務(wù)用戶問題中發(fā)現(xiàn),勒索病毒的攻擊渠道、攻擊方式等也在增加和改變,導(dǎo)致用戶面臨的安全風(fēng)險(xiǎn)進(jìn)一步增加。因此,對(duì)于勒索病毒的認(rèn)知和對(duì)抗,重點(diǎn)依舊在于提前防護(hù)和及時(shí)響應(yīng)。
在此,我們根據(jù)“火絨威脅情報(bào)系統(tǒng)”的監(jiān)測和統(tǒng)計(jì),選出幾個(gè)典型的場景加以說明,并提供相對(duì)應(yīng)的有效預(yù)防方式,幫助用戶避免風(fēng)險(xiǎn)。
一、漏洞利用或逐漸增加
在以往,勒索病毒運(yùn)營商遠(yuǎn)程主動(dòng)向用戶發(fā)起攻擊的方式有兩個(gè):1、直接通過弱口令暴力破解進(jìn)入用戶系統(tǒng);2、通過黑市購買遠(yuǎn)程登錄憑證進(jìn)行入侵。
而在近期,火絨“威脅情報(bào)系統(tǒng)”監(jiān)測到有漏洞攻擊在大面積、高頻次的爆發(fā)(詳見報(bào)告《注意!近期漏洞攻擊頻次均值上漲282% 》 )。值得警惕的是,我們在被這次漏洞攻擊影響的用戶現(xiàn)場發(fā)現(xiàn)了勒索病毒。
要知道,此前WannaCry勒索病毒席卷全球,正是利用“永恒之藍(lán)”漏洞大面積傳播。而上述火絨監(jiān)測到的漏洞攻擊除了通過“永恒之藍(lán)”外,還有CVE-2020-0796和CVE-2019-0708等多種漏洞。
上述現(xiàn)象或許表明,勒索病毒已經(jīng)具備了可以穩(wěn)定使用漏洞主動(dòng)發(fā)起范圍性攻擊的可能。這對(duì)于用戶而言,特別是IP暴露在外網(wǎng),又不方便脫產(chǎn)打補(bǔ)丁的企業(yè)用戶,無疑又增加了被勒索的風(fēng)險(xiǎn)。
預(yù)防響應(yīng):
1、及時(shí)打補(bǔ)丁。
2、對(duì)于不便打補(bǔ)丁的用戶,可開啟火絨【網(wǎng)絡(luò)入侵?jǐn)r截】功能(企業(yè)產(chǎn)品為【黑客入侵?jǐn)r截】),對(duì)服務(wù)器提供"虛擬補(bǔ)丁"進(jìn)行防御,降低因暫時(shí)無法安裝補(bǔ)丁帶來的風(fēng)險(xiǎn)。
二、借助黑客工具精準(zhǔn)勒索
通過“火絨威脅情報(bào)系統(tǒng)”發(fā)現(xiàn),在不少企業(yè)終端上,存在被入侵并留下黑客滲透工具的現(xiàn)象。
這些黑客工具原本屬于正常程序(如PowerShell、PsExec等),但會(huì)被黑客用來尋找企業(yè)終端中的關(guān)鍵服務(wù)器,從而在后續(xù)的入侵中,幫助勒索病毒對(duì)重要的信息數(shù)據(jù)進(jìn)行精準(zhǔn)的加密,更“順利”的勒索贖金。
實(shí)際上,在目前發(fā)生的安全事件中,有30%都與正常工具遭黑客利用有關(guān)。這種入侵模式,已然成為一條完整的勒索病毒攻擊產(chǎn)業(yè)鏈:通過黑客工具,尋找合適服務(wù)器,然后將信息提供給勒索病毒作者,最后合作完成勒索任務(wù)。這種精準(zhǔn)有預(yù)謀的勒索形式,對(duì)企業(yè)的危害也將是巨大的。
預(yù)防響應(yīng):
1、增加口令強(qiáng)度。
2、企業(yè)用戶安裝火絨企業(yè)版并定期掃描(火絨對(duì)黑客工具會(huì)做報(bào)毒處理),發(fā)現(xiàn)黑客工具可及時(shí)聯(lián)系火絨,獲取專業(yè)的、有針對(duì)性的安全加固。
3、 個(gè)人用戶可開啟【訪問控制】-【程序執(zhí)行控制】中,開啟【風(fēng)險(xiǎn)工具】功能,阻止黑客工具運(yùn)行。
三、利用“關(guān)聯(lián)單位” 作為攻擊跳板
在不同企業(yè)之間,因?yàn)闃I(yè)務(wù)需求和聯(lián)系而建立互相訪問的網(wǎng)絡(luò),或者職能相近的政企單位共用一個(gè)網(wǎng)絡(luò),已經(jīng)是常見的網(wǎng)絡(luò)管理現(xiàn)象。
這種網(wǎng)絡(luò)共享的方式在一定程度上方便了企業(yè)之間的辦公,但也同時(shí)也讓企業(yè)面臨更多的安全風(fēng)險(xiǎn)。因?yàn)楣蚕砭W(wǎng)絡(luò)就像一個(gè)安全防護(hù)缺口,黑客可以在入侵網(wǎng)絡(luò)內(nèi)任何一家企業(yè)后,以之為跳板,攻擊其它的企業(yè)。一旦被攻擊的其它企業(yè)未做防護(hù),將面臨各類安全風(fēng)險(xiǎn)。
在火絨幫助企業(yè)用戶現(xiàn)場查看問題時(shí),經(jīng)常在火絨中心日志上發(fā)現(xiàn)攔截大量來源于不同企業(yè)、單位甚至相鄰部門的攻擊信息。
防御響應(yīng):
1、對(duì)于同一網(wǎng)絡(luò)環(huán)境下的其它企業(yè)或部門,在無業(yè)務(wù)需求的情況下,進(jìn)行網(wǎng)絡(luò)隔離。
2、企業(yè)或單位統(tǒng)一部署終端安全軟件,并在安全工程師指導(dǎo)下開啟相關(guān)防護(hù)功能。
安全總結(jié):
勒索病毒對(duì)用戶的傷害在于加密文件索要贖金的行為,在安全響應(yīng)策略中,提前防御、攔截的重要程度要更高于中毒后的查殺掃描。
無論是企業(yè)還是個(gè)人用戶,都應(yīng)該做好終端與服務(wù)器的安全防護(hù),加固易被攻破入侵的安全缺口。更重要的是,在做好防御策略后,還要堅(jiān)持不斷地執(zhí)行,謹(jǐn)防出現(xiàn)因業(yè)務(wù)需求關(guān)閉防護(hù)措施造成的風(fēng)險(xiǎn)缺口。
