Windows勒索病毒应急思路及常见问题
2022-9-7 14:40:17 Author: 微步在线研究响应中心(查看原文) 阅读量:22 收藏

听说了吗?某某企业被勒索了、员工没办法开机办公,甚至还有某某行业巨头被勒索了,赎金高达成百上千万!时不时,网上就会有这样一些消息被披露出来,被勒索的企业覆盖医疗、制造等行业居多,不乏行业巨头。

当然,被勒索企业的入侵手法不尽相同。作为一个常年处在一线的应急响应工程师,日常看到很多应对勒索病毒入侵事件的真实场景,普遍都相对被动,不知所措,每次都觉得非常可惜。

本文更偏向一个科普性的文章,是一些常见的Windows勒索病毒应急思路和常见问题的梳理。然而,面对当下主流的勒索事件,笔者相信如果将一些事情前置,至少可以规避大范围的受损,而非在事后投入大量人力物力财力挽救。

每一次勒索事件背后,都一定程度反映一个道理:当企业的业务发展程度与安全建设水平严重不匹配时,就很大概率被黑客锁定为目标,同时又给黑客有可乘之机,最终成为受害者。

01 勒索病毒背景介绍

勒索病毒,是一种新型电脑病毒,主要以RDP爆破、邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。2019年末,勒索已然呈现出“双重勒索”的趋势,即先窃取商业数据,然后实施勒索,如果未能在规定时间内支付赎金,将于网上(通常是暗网)公开售卖企业的商业数据。

常见的勒索病毒事件一般都是被加密后才发现被勒索了,而并不是在勒索释放前或者攻击前就被发现并及时处理,其实很多勒索在攻击前或者攻击中是能够发现的,在很多现场见到过安全设备一大堆,但是没有办法判断是不是勒索,杀毒软件已经清理勒索并告警了但是也没有人去在意,或者说告警的信息根本就不知道是什么信息,甚至不知道什么是勒索,一直等到被加密才后悔莫及。

02 如果你正在遭受勒索病毒攻击,那么快速处置的方法有哪些?

(1)物理隔离,最好是直接拔网线,云环境及时修改安全组策略,将被感染的机器隔离,确保被感染的机器不能和内网其他机器通讯,防止内网感染,如果被勒索的机器和未被勒索的机器存在相同的登录口令,及时修改未感染机器的登录口令。(如远程连接的登录账号密码口令相同)

(2)不要破坏被勒索的服务器环境,禁止杀毒/关机/重启/修改后缀等操作,最好保持原封不动,在不了解的情况下,任何动作都可能导致数据永远无法恢复。

(3)及时关闭或更改未感染机器远程桌面/共享端口(如:22/135/139/445/3389/3306/1521)

(4)对未感染的机器进行备份,备份后及时物理隔离开备份数据(如:硬盘或者u盘备份后需要及时拔掉)

(5)在不了解勒索病毒的情况下,建议不要直接联系黑客(容易钱财两空)

03 勒索病毒加密时的特征现象有哪些?

(1)系统瞬时CPU占用高,接近100%,这个现象主要是在批量加密文件。

(2)所有应用都被无法使用和打开。

(3)系统应用文档被加密无法修改。

(4)文件后缀被修改并留下勒索信。

(5)桌面主题被修改。

(6)杀毒软件告警。(可能你并不懂告警了CrySiS是什么东西)

04 勒索病毒常见的家族有哪些?

(1)LockBit:LockBit于 2019 年 9 月首次以 ABCD勒索软件的形式出现,2021年发布2.0版本,相比第一代,LockBit 2.0号称是世界上最快的加密软件,加密100GB的文件仅需4分半钟。经过多次改进成为当今最多产的勒索软件系列之一。LockBi使用勒索软件即服务 (RaaS)模型,并不断构思新方法以保持领先于竞争对手。它的双重勒索方法也给受害者增加了更大的压力(加密和窃取数据),据作者介绍和情报显示LockBi3.0版本已经诞生,并且成功地勒索了很多企业。

(2)Gandcrab/Sodinokibi/REvil:REvil勒索软件操作,又名Sodinokibi,是一家臭名昭著的勒索软件即服务 (RaaS) 运营商,可能位于独联体国家(假装不是老毛子)。它于 2019 年作为现已解散的 GandCrab 勒索软件的继任者出现,并且是暗网上最多产的勒索软件之一,其附属机构已将目标锁定全球数千家技术公司、托管服务提供商和零售商,一直保持着60家合作商的模式。(2021年暂停止运营,抓了一部分散播者)。

(3)Dharma/CrySiS/PhobosDharma勒索软件最早在 2016 年初被发现, 其传播方式主要为 RDP 暴力破解和钓鱼邮件,经研究发现 Phobos勒索软件、CrySiS勒索软件与 Dharma勒索软件有 许多相似之处,故怀疑这几款勒索软件的 作者可能是同一组织。

(4)Globelmposter(十二生肖)Globelmposter又名十二生肖,十二主神,十二.....他于2017年开始活跃,2019年前后开始对勒索程序进行了大的改版变更。攻击者具有一定的地域划分,比如国内最常见的一个攻击者邮箱为[email protected]

(5)WannaRen(已公开私钥)WannaRen勒索家族的攻击报道最早于2020年4月,通过下载站进行传播,最终在受害者主机上运行,并加密几乎所有文件;同时屏幕会显示带有勒索信息的窗口,要求受害者支付赎金,但WannaRen始终未获得其要求的赎金金额,并于几天后公开密钥。

(6)Conti:Conti勒索家族的攻击最早追踪到2019年,作为“勒索软件即服务(RaaS)”,其幕后运营团伙管理着恶意软件和Tor站点,然后通过招募合作伙伴执行网络漏洞和加密设备。在近期,因为分赃不均,合作伙伴多次反水,直接爆料攻击工具、教学视频、以及部分源代码。

(7)WannaCry:WannaCry(又叫Wanna Decryptor),一种“蠕虫式”的勒索病毒软件,由不法分子利用NSA(National Security Agency,美国国家安全局)泄露的危险漏洞“EternalBlue”(永恒之蓝)进行传播,WannaCry的出现也为勒索病毒开启了新的篇章。

(8)其他家族:当然,勒索病毒的家族远远不止如此。

05 勒索病毒家族的判断方式有哪些?

通过加密的文件格式即可判断勒索病毒家族,如加密的文件格式,桌面,邮箱,勒索信,当然也可以通过威胁情报或者沙箱来判断家族。

(1)通过加密格式来判断,以Phobos家族为例,加密的文件格式为:源文件格式.id[].勒索者邮箱.后缀,比如PurgeAcrylicCacheData.bat.id[CC5D85EE-2423].[[email protected]].deal,其中PurgeAcrylicCacheData.bat为源文件名称,id[CC5D85EE-2423].[[email protected]].deal,为Phobos常用格式,注意,ID、邮箱和后缀都是可以根据攻击者的信息修改的,所以要以源文件格式.id[].勒索者邮箱.后缀来判断。

(2)通过桌面的形式来判断,以Revil家族为例,加密后桌面会设置为蓝色,并且在桌面标记有固定勒索格式。

(3)通过勒索者的邮箱来判断家族,可以通过搜索引擎来搜索勒索罪留下的邮箱信息,即可获得勒索家族信息,如[email protected]为十二生肖家族勒索传播者使用。

(4)通过勒索者留下的勒索信为例,可以判断是啥家族,以Lockbit为例,勒索信中包含以Lockbit为开头的的联系方式,以下分别为Lockbit2.0和Lockbit3.0的勒索信。

(5)通过微步云沙箱/威胁情报/暗网论坛:除了以上方法还可以使用这些方式来确定勒索家族,记得要灵活使用哦。

06 确定勒索动作

为什么要确定勒索动作发生的时间,虽然在实际勒索中,勒索者通常以很快的速度完成勒索,但是也遇到过只要手速够快,就能避免勒索或者减少勒索的情况。对付勒索最有效的办法就是断网,断网是指断开当前主机所有网络链接,最好是直接禁用网卡,看起来暴力,实际上这是避免勒索的最好手段。

在疑似发生勒索事件前,如发现RDP远程异常登录成功或者爆破成功,接收到了钓鱼邮件,系统或者应用被攻破,杀毒终端告警,那么建议立即定位终端进行综合研判,当勒索者刚开始勒索时或者勒索发生已经超过八小时,那么断网也是必须操作,也是做快最有效的操作,虽然断网的行为看起来有一些不成熟,但是在多次实战中,不管勒索是发生在那个间断,断网都是必须操作的一步,只要你断网手速快,就能减少损失,这不是一句空话。

07 勒索病毒取证分析的思路有哪些?

1)入侵时间

通过文件修改时间、恶意程序落地时间、安全设备告警时间、系统日志等可以获得勒索者入侵时间。

(2)入侵范围/勒索的范围

通过网络结构及被害机器确定入侵范围,其中分为已经获取全部权限并全部加密的机器有多少。通过内网扫描加密其他设备开启的文件共享系统加密有多少。未能加密被杀毒软件清理掉的或者未及时加密的有多少。

(3)确定攻击范围及手法

通过网络拓扑、是否有域、有哪些对外服务及应用以及有哪些安全设备,如全流量/终端杀毒/防火墙/IDS/IPS日志分析系统来快速确认攻击手法、攻击路径、攻击手段等。常见的勒索病毒大部分是使用RDP爆破作为攻击方式进行突破互联网边界,在勒索病毒取证排查中可以作为第一优先级,比如哪些机器对外开放了RDP远程登录,是否为弱口令,安全设备日志系统是否记录RDP爆破或者异地登陆行为。

(4)常见攻击手法及流程

首先通过RDP爆破、钓鱼、漏洞、软件捆绑等等方式突破边界,使用弱口令、漏洞、密码读取、网络嗅探等方式横移,使用系统远程、远程工具、远控进行投递,部分勒索家族会使用Rclone等工具进行窃密。当然还会使用一些手段进行对抗杀软或者EDR,这里就不过多介绍了

(5)窃密排查

根据不同的家族可以作为是否被窃密,如LockBit家族通常就使用勒索加窃密双重威胁手段,当然也可以关注暗网地下交易论坛来确定数据是否泄漏。

08 逐步恢复

(1)数据恢复

数据恢复的方式大概分为如下几种:

1)通过备份来恢复数据,这是最简单有效低成本的方式,当然在日常处置勒索事件中,要么是没有备份,要么是备份也没加密了,当然关于备份这个详细方案日后再说。

2)通过缴赎金来拿回密钥解密,而往往缴赎金需要虚拟货币,而且联系语言多数为非中文且需要提前支付,能不能拿回密钥就看勒索者的信誉度。

3)通过第三方机构进行解密,第三方机构基本分为2种,一种是可以恢复数据库文件,因为数据库文件较大,勒索一般不会全加密,基于数据库的恢复机制进行恢复,而普通文件则无法恢复,另一种是第三方机构找勒索者购买密钥进行恢复。

4)找到勒索病毒设计漏洞,通过漏洞拿回加密密钥。

5)等待勒索发布解密密钥,这种几率很小很小。

(2)网络恢复

如果遭受勒索病毒的机器为单台且不是复杂网络环境,那么可以重装系统,安装预防勒索病毒守则进行防御。如果多台机器被勒索,且网络环境复杂,建议寻找专业人员按照应急流程进行恢复,不要盲目恢复,因为勒索者如果没拿到钱那么盲目恢复可能再次勒索,如果拿到钱了盲目恢复可能未找到问题源头会被二次勒索。

09 总结

其实导致勒索病毒的发生多数情况是因为安全意识不足系统老旧不升级、漏洞百出,例如最常见的就是把RDP远程放在公网且系统为弱口令,据HFish全球蜜罐捕捉到的攻击弱口令数据来看,现在最长的弱口令已经达到32位。

当勒索事件发生时应该毫不犹豫的断网处置,因为只要发生勒索,迟早是要断网的,断网是最最最有效简单的处理方法;然后再根据具体情况进行取证分析溯源,以及网络恢复、数据恢复,同时根据实际情况采取防护、加固措施。

最后,万一真的遭遇了大面积勒索,即便被索要天价赎金,作为相关负责人千万要稳住,按照应急流程开展处置工作,以免因为慌了阵脚,导致数据被二次加密,二次勒索等情况。

10 勒索病毒防御守则

(1)不要对外开放危险端口,如RDP远程,如果需要对外开放建议开启白名单模式和随机12位以上字母加数字加符号密码。

(2)多台机器,不要使用相同的账号和口令

(3)登录口令要有足够的长度和复杂性,并定期更换登录口令

(4)重要资料的共享文件夹应设置访问权限控制,并进行定期冷备份

(5)Windows系统日志是否存在异常

(6)杀毒软件是否存在异常拦截情况

(7)安装安全防护软件,并确保其正常运行。

(8)永远不要单击不安全的链接:避免单击垃圾邮件或者未知网站上的链接。单击恶意链接可能会启动自动下载,会导致计算机感染。

(9)避免透露个人信息:如果收到不信任来源的电话、短信或者电子邮件,要求您提供个人信息,不要回复。正在计划进行勒索软件攻击的网络犯罪分子可能会尝试提前收集个人信息,然后用这些信息制作专门针对您的钓鱼消息。如果对于消息是否合法有任何疑问,请直接联系发送者。

(10)不要打开可疑的电子邮件附件:勒索软件也可以通过电子邮件附件到您的设备。避免打开任何看起来可疑的附件。为了确保电子邮件可信,请注意发件人并检查地址是否正确。永远不要打开提醒您运行宏指令进行查看的附件。如果附件被感染,打开它将会运行恶意宏指令,让恶意软件控制您的计算机。永远不要使用未知U盘:永远不要把不知道来源的U盘或者其它存储媒体连接到您的计算机。网络犯罪分子可能感染了存储媒体,然后把它放在公众地方引诱人使用它。

(11)保持您的程序和操作系统最新:定期更新程序和操作系统有助于您防御恶意软件。执行更新时,请确保获得最新安全补丁的益处。这会让网络犯罪分子更难利用您的程序中的漏洞。

(12)只使用已知的下载来源:为了最小化下载勒索软件的风险,永远不要从未知站点下载软件或者媒体文件。从经过验证的和信任网站进行下载。这种网站可以通过信任印章进行识别。请确保您正在使用的页面的浏览器地址栏用的是 "https" 而不是 "http"。地址栏中如果有一个盾牌或者锁头符号,也可以表明页面安全。下载任何东西到移动设备时也请注意。

(13)在公共 Wi-Fi 网络上使用 VPN 服务:谨慎使用公共 Wi-Fi 网络是防御勒索软件的明智保护措施。使用公共 Wi-Fi 网络时,您的计算机更容易受到攻击。为了受到保护,请避免使用公共 Wi-Fi 进行敏感交易,或者使用安全的 VPN 服务。

微步在线应急响应团队为企业客户提供应急响应服务。当企业遭遇突发重大安全事件(APT攻击、勒索加密、数据窃取、漏洞攻击、主机被控等),微步在线可提供快速事件定位取证、隔离清除、溯源分析、安全加固等专业安全服务,帮助企业信息系统在最短时间内恢复正常工作,将事件影响降到最低。


文章来源: http://mp.weixin.qq.com/s?__biz=Mzg5MTc3ODY4Mw==&mid=2247496152&idx=1&sn=b8392684f191b9a5e29828aecc92bbd6&chksm=cfca92ccf8bd1bda2cafa781284cedfad7a16cbb1daea8a66e422d5ad990a96535b03ba363c6#rd
如有侵权请联系:admin#unsafe.sh