勒索病毒防护——梁山话安全技术分享会第一期-杭州汉领信息科技有限公司

勒索病毒防护——梁山话安�� Ƴ�� Ƴ�� Ƴ�� Ƴ��全技术分享会第一期

发布时间： �� Ƴ�� Ƴ�� Ƴ�� Ƴ�� 2020.04.10 | 来�� Ƴ�� Ƴ�� Ƴ�� Ƴ��源：汉领信息 �� Ƴ�� Ƴ�� Ƴ�� Ƴ��

梁山话安全为汉武实验室2020年新推�� Ƴ�� Ƴ�� Ƴ�� Ƴ��出的培训交流专题。主旨是与所有安全从业人员�� Ƴ�� Ƴ�� Ƴ�� Ƴ��一起分享在从业过程中遇上到的安全问题，予以剖析分�� Ƴ�� Ƴ�� Ƴ�� Ƴ��享并给出解决方案。

&nb�� Ƴ�� Ƴ�� Ƴ�� Ƴ��sp; &n�� Ƴ�� Ƴ�� Ƴ�� Ƴ��bsp; &�� Ƴ�� Ƴ�� Ƴ�� Ƴ��nbsp; &nb�� Ƴ�� Ƴ�� Ƴ�� Ƴ��sp; ——本文为此次会议的相�� Ƴ�� Ƴ�� Ƴ�� Ƴ��关记录

一、内容概述

此次培训主要分为四部分内�� Ƴ�� Ƴ�� Ƴ�� Ƴ��容：

1.勒索病毒概述——简述勒索病毒及勒索病毒发展史

2.勒索病毒攻击原理分析——简述勒索�� Ƴ�� Ƴ�� Ƴ�� Ƴ��病毒主要攻击方式及Wanna Cry攻击原理�� Ƴ�� Ƴ�� Ƴ�� Ƴ��分析

3.常见勒索场景演示——

a.攻陷主机上传勒�� Ƴ�� Ƴ�� Ƴ�� Ƴ��索病毒进行勒索

b.用户使用被植入恶意�� Ƴ�� Ƴ�� Ƴ�� Ƴ��代码的数据库连接工具导致勒�� Ƴ�� Ƴ�� Ƴ�� Ƴ��索

c.黑客向业务系统�� Ƴ�� Ƴ�� Ƴ�� Ƴ��上传木马攻击数据库导致勒�� Ƴ�� Ƴ�� Ƴ�� Ƴ��索

4.勒索防护——汉武实验室在组织层面，使用者层面给出建议并结合汉领信息科技�� Ƴ�� Ƴ�� Ƴ�� Ƴ��有限公司的安全产品在某些方面给出解�� Ƴ�� Ƴ�� Ƴ�� Ƴ��决方案。

二、主要内容

勒索病毒概述

第一阶段：萌芽期

AIDS trojan是世界上�� Ƴ�� Ƴ�� Ƴ�� Ƴ��第一个被载入史册的勒索病�� Ƴ�� Ƴ�� Ƴ�� Ƴ��毒，从而开启了勒索病毒的时代�� Ƴ�� Ƴ�� Ƴ�� Ƴ��。——1989年,2万张感染了“AIDSTroj�� Ƴ�� Ƴ�� Ƴ�� Ƴ��an”病毒的软盘被分发给国际卫生组织国际�� Ƴ�� Ƴ�� Ƴ�� Ƴ��艾滋病大会的与会者,导致大量文�� Ƴ�� Ƴ�� Ƴ�� Ƴ��件被加密。

早期的勒索病毒主要通过钓鱼邮件，挂马，社�� Ƴ�� Ƴ�� Ƴ�� Ƴ��交网络方式传播，使用转账等方式支付赎�� Ƴ�� Ƴ�� Ƴ�� Ƴ��金，其攻击范畴和持续攻击能力相对有限�� Ƴ�� Ƴ�� Ƴ�� Ƴ��，相对容易追查。

第二阶段：成型期

2013下半年开始，是现代勒索�� Ƴ�� Ƴ�� Ƴ�� Ƴ��病毒正式成型的时期。勒索病毒使用AES和RSA�� Ƴ�� Ƴ�� Ƴ�� Ƴ��对特定文件类型进行加密，使破解几乎不可�� Ƴ�� Ƴ�� Ƴ�� Ƴ��能。同时要求用户使用虚拟货币支付，以�� Ƴ�� Ƴ�� Ƴ�� Ƴ��防其交易过程被跟踪。

这个时期典型的勒索病毒有CryptoLoc�� Ƴ�� Ƴ�� Ƴ�� Ƴ��ker，CTBLocker等。大多数情况下，这些�� Ƴ�� Ƴ�� Ƴ�� Ƴ��恶意软件本身并不具有主动扩散的能力。�� Ƴ�� Ƴ�� Ƴ�� Ƴ��

第三阶段

自2016年开始，然而随着漏洞利用工具包的流行�� Ƴ�� Ƴ�� Ƴ�� Ƴ��，尤其是“The ShadowBr�� Ƴ�� Ƴ�� Ƴ�� Ƴ��okers” （影子经纪人）公布方�� Ƴ�� Ƴ�� Ƴ�� Ƴ��程式黑客组织的工具后，其�� Ƴ�� Ƴ�� Ƴ�� Ƴ��中的漏洞攻击工具被黑客广泛应用。勒索�� Ƴ�� Ƴ�� Ƴ�� Ƴ��病毒也借此广泛传播。典型的例子，就是�� Ƴ�� Ƴ�� Ƴ�� Ƴ��WannaCry勒索蠕虫病毒的�� Ƴ�� Ƴ�� Ƴ�� Ƴ��大发作，两年前的这起遍布全球�� Ƴ�� Ƴ�� Ƴ�� Ƴ��的病毒大破坏，是破坏性病毒和蠕虫传播的联合�� Ƴ�� Ƴ�� Ƴ�� Ƴ��行动，其目的不在于勒索钱财，而是制造�� Ƴ�� Ƴ�� Ƴ�� Ƴ��影响全球的大规模破坏行动。

在此阶段，勒索病毒已呈现产业化、家族�� Ƴ�� Ƴ�� Ƴ�� Ƴ��化持续运营。在整个链条中，各环节分工明确，完整�� Ƴ�� Ƴ�� Ƴ�� Ƴ��的一次勒索攻击流程可能涉及勒索�� Ƴ�� Ƴ�� Ƴ�� Ƴ��病毒作者，勒索实施者，传播渠道商，代理。

第四阶段

自2018年开始，常规的勒索木马技�� Ƴ�� Ƴ�� Ƴ�� Ƴ��术日益成熟。已将攻击目标从最初�� Ƴ�� Ƴ�� Ƴ�� Ƴ��的大面积撒网无差别攻击，转向精�� Ƴ�� Ƴ�� Ƴ�� Ƴ��准攻击高价值目标。比如直接攻击医疗行�� Ƴ�� Ƴ�� Ƴ�� Ƴ��业，企事业单位、政府机关服务器，包括制造业在内�� Ƴ�� Ƴ�� Ƴ�� Ƴ��的传统企业面临着日益严峻的安全形势。

编程人群基数的迅速增加，越来越�� Ƴ�� Ƴ�� Ƴ�� Ƴ��多基于脚本语言开发出的勒索病毒开始�� Ƴ�� Ƴ�� Ƴ�� Ƴ��涌现，意味着将有更多的黑产人群�� Ƴ�� Ƴ�� Ƴ�� Ƴ��进入勒索产业这个领域，也意味�� Ƴ�� Ƴ�� Ƴ�� Ƴ��着该病毒将持续发展泛滥。

勒索病毒攻击原理分析

攻击者通过攻陷企业邮件服务器，向企业内部�� Ƴ�� Ƴ�� Ƴ�� Ƴ��所有用户发送钓鱼邮件（伪装成office图标的�� Ƴ�� Ƴ�� Ƴ�� Ƴ��exe程序，带病毒的文档、播放器等）。用户�� Ƴ�� Ƴ�� Ƴ�� Ƴ��无意中打开钓鱼邮件中的文件�� Ƴ�� Ƴ�� Ƴ�� Ƴ��导致被勒索。

攻击者通过爆破等方式获取企业内部�� Ƴ�� Ƴ�� Ƴ�� Ƴ��人员vpn账号，在企业内网进行系统�� Ƴ�� Ƴ�� Ƴ�� Ƴ��漏洞/弱口令扫描，一旦用户主机未做好必要防护便会�� Ƴ�� Ƴ�� Ƴ�� Ƴ��被勒索。

攻击者通过业务系统/服务器漏洞攻陷Web服�� Ƴ�� Ƴ�� Ƴ�� Ƴ��务器，对其进行加密并勒索。

攻击者通过攻陷业务系统，获取相�� Ƴ�� Ƴ�� Ƴ�� Ƴ��应数据库信息，在内网进行数据库漏洞/弱口令扫描，一旦数�� Ƴ�� Ƴ�� Ƴ�� Ƴ��据库未做好必要防护便会被勒索。

Wanna Cry攻击原理：

（1）病毒启动安装

mssecsvc2.0——�� Ƴ�� Ƴ�� Ƴ�� Ƴ��服务函数中执行感染功能，对网络中的�� Ƴ�� Ƴ�� Ƴ�� Ƴ��计算机进行扫描，利用MS17-010漏洞和DOUBLEPULSAR后门，传播勒索病毒恶意样本。�� Ƴ�� Ƴ�� Ƴ�� Ƴ��

taskche.exe——�� Ƴ�� Ƴ�� Ƴ�� Ƴ��设置对应的注册表项实现开机自�� Ƴ�� Ƴ�� Ƴ�� Ƴ��启动。执行勒索软件加密行为。

（2）文件信息搜集

遍历目录，如Program F�� Ƴ�� Ƴ�� Ƴ�� Ƴ��iles，Windows

将文件分类带上标签加入文件�� Ƴ�� Ƴ�� Ƴ�� Ƴ��容器

（3）文件加解密（简化版）——非�� Ƴ�� Ƴ�� Ƴ�� Ƴ��对称加密

常见勒索方式演示

攻击机：kali Linux

目标主机：Windows 7

流程：攻击者通过ms17�� Ƴ�� Ƴ�� Ƴ�� Ƴ��-010漏洞直接拿到目标主机系统权限�� Ƴ�� Ƴ�� Ƴ�� Ƴ��，上传病毒程序并运行，使目�� Ƴ�� Ƴ�� Ƴ�� Ƴ��标主机被加密。

主机：Windows 7 �� Ƴ�� Ƴ�� Ƴ�� Ƴ��安装了带勒索病毒的数据库连接软件plsql

数据库：oracle 11g

流程：使用者使用带病毒的数据库连接软件�� Ƴ�� Ƴ�� Ƴ�� Ƴ��连接数据库服务器，导致服务器被加密。

业务系统：某OA系统

数据库：mysql 8.0

流程：使用者通过文件上传等漏洞�� Ƴ�� Ƴ�� Ƴ�� Ƴ��将WebShell上传至�� Ƴ�� Ƴ�� Ƴ�� Ƴ��业务系统，获取服务器系统权限，通过蚁剑连接数�� Ƴ�� Ƴ�� Ƴ�� Ƴ��据库并执行相关加密代码对数据�� Ƴ�� Ƴ�� Ƴ�� Ƴ��库信息进行加密。

勒索防护

组织层面：

1.对于计算机网络而言，我们�� Ƴ�� Ƴ�� Ƴ�� Ƴ��要对网络进行分层分域管理，比如根据不同的职�� Ƴ�� Ƴ�� Ƴ�� Ƴ��能和部门划分安全域，对于各区域边界进行严�� Ƴ�� Ƴ�� Ƴ�� Ƴ��格的出入控制。在等保2.�� Ƴ�� Ƴ�� Ƴ�� Ƴ��0中叫安全边界管理。

2.对于网络和主机，都要有�� Ƴ�� Ƴ�� Ƴ�� Ƴ��严格的准入控制系统，不在白名单内的用�� Ƴ�� Ƴ�� Ƴ�� Ƴ��户和主机不允许接入网络，不在白名单内的进程和�� Ƴ�� Ƴ�� Ƴ�� Ƴ��程序不允许运行。发现可疑主机要及时隔离处理�� Ƴ�� Ƴ�� Ƴ�� Ƴ��，发现可疑进程马上启动相应的应�� Ƴ�� Ƴ�� Ƴ�� Ƴ��急处理机制。

3.一旦发现感染病毒，不要急于格式�� Ƴ�� Ƴ�� Ƴ�� Ƴ��化重装系统，一定要先进行取证�� Ƴ�� Ƴ�� Ƴ�� Ƴ��溯源，分析攻击流程，寻找�� Ƴ�� Ƴ�� Ƴ�� Ƴ��攻击者以及可能的被感染者�� Ƴ�� Ƴ�� Ƴ�� Ƴ��，防止病毒二次传播。这个过程是一�� Ƴ�� Ƴ�� Ƴ�� Ƴ��个很重要但也很难的过程，很多黑客攻�� Ƴ�� Ƴ�� Ƴ�� Ƴ��击也并不是直接入侵的，而是通过一些僵尸主机�� Ƴ�� Ƴ�� Ƴ�� Ƴ��或者跳板进行。而且攻击后并不会只�� Ƴ�� Ƴ�� Ƴ�� Ƴ��攻击一台，往往是同时攻下了好�� Ƴ�� Ƴ�� Ƴ�� Ƴ��多台电脑，只不过只在其中一台或几台实施了破坏�� Ƴ�� Ƴ�� Ƴ�� Ƴ��，其它没有被破坏不代表就是安全的。通�� Ƴ�� Ƴ�� Ƴ�� Ƴ��过追溯就能发现其他被攻击的电脑有哪些�� Ƴ�� Ƴ�� Ƴ�� Ƴ��。

4. 加强宣传，通过相应的网络�� Ƴ�� Ƴ�� Ƴ�� Ƴ��安全讲座，让大家意识到网络安全�� Ƴ�� Ƴ�� Ƴ�� Ƴ��的重要性，提高安全意识，增强基�� Ƴ�� Ƴ�� Ƴ�� Ƴ��本的安全技能，养成良好的安�� Ƴ�� Ƴ�� Ƴ�� Ƴ��全习惯。这样才能有效降低被病�� Ƴ�� Ƴ�� Ƴ�� Ƴ��毒感染的风险。

使用者层面：

1、没有必�� Ƴ�� Ƴ�� Ƴ�� Ƴ��要不要访问外网，尤其是一些非正规网站，减少文�� Ƴ�� Ƴ�� Ƴ�� Ƴ��件和目录共享。

2、使用U盘、打开邮件�� Ƴ�� Ƴ�� Ƴ�� Ƴ��附件都要先扫描病毒再打开。

3、不要下载和使�� Ƴ�� Ƴ�� Ƴ�� Ƴ��用盗版软件以及来路不明的软件。

4、及时为系统/数据库安装安全�� Ƴ�� Ƴ�� Ƴ�� Ƴ��更新，安装个人防火墙，对进出流量进行控制。

5、对于电脑端口加强防范，使用主机�� Ƴ�� Ƴ�� Ƴ�� Ƴ��防火墙关闭不必要的端口。

6、发现问题要及时反馈�� Ƴ�� Ƴ�� Ƴ�� Ƴ��给信息中心，不要自行处理。

7、了解必要的病毒知识。

8、要有安全意识，人是网络安�� Ƴ�� Ƴ�� Ƴ�� Ƴ��全中最重要也是最薄弱的环节。

结合我们的产品

帕拉迪下一代堡垒机

帕拉迪下一代堡垒机全通道文�� Ƴ�� Ƴ�� Ƴ�� Ƴ��件传输控制功能（支持FTP/S�� Ƴ�� Ƴ�� Ƴ�� Ƴ��FTP/SCP、剪切板、磁盘映射等文件�� Ƴ�� Ƴ�� Ƴ�� Ƴ��传输方式进行上行、下行控制）

——通过将核心资产纳入到帕拉迪下一代�� Ƴ�� Ƴ�� Ƴ�� Ƴ��堡垒机之中，彻底掌控核心资产�� Ƴ�� Ƴ�� Ƴ�� Ƴ��文件上传下载通道，使核心资产免受勒索病毒的侵害。�� Ƴ�� Ƴ�� Ƴ�� Ƴ��

账号风险安全管控功能（服务器账号自动巡检、�� Ƴ�� Ƴ�� Ƴ�� Ƴ��账号安全风险管控等）

——通过定期对帕拉迪下一代堡垒�� Ƴ�� Ƴ�� Ƴ�� Ƴ��机管控的资产进行账号巡检，及时�� Ƴ�� Ƴ�� Ƴ�� Ƴ��发现资产中存在风险的弱口令账号、异常账号、僵�� Ƴ�� Ƴ�� Ƴ�� Ƴ��尸账号，降低账号被盗用的风险。�� Ƴ�� Ƴ�� Ƴ�� Ƴ��

汉领下一代数据库应用安全防御系统

�� Ƴ�� Ƴ�� Ƴ�� Ƴ��; �� Ƴ�� Ƴ�� Ƴ�� Ƴ�� 通过汉领下一代�� Ƴ�� Ƴ�� Ƴ�� Ƴ��数据库应用安全防御系统的网络防火墙（来源控制�� Ƴ�� Ƴ�� Ƴ�� Ƴ��）、准入防火墙（准入因子控制）、行为防�� Ƴ�� Ƴ�� Ƴ�� Ƴ��火墙（SQL执行语句控制）和业务防火墙�� Ƴ�� Ƴ�� Ƴ�� Ƴ��（业务建模防护），使一切对数据库的攻击无�� Ƴ�� Ƴ�� Ƴ�� Ƴ��所遁形，保证企业的数据安全�� Ƴ�� Ƴ�� Ƴ�� Ƴ��。

下一条：热烈庆祝汉领信息深圳办事处成�� Ƴ�� Ƴ�� Ƴ�� Ƴ��立...上一条：汉领信息第三期全国渠道技术认证..�� Ƴ�� Ƴ�� Ƴ�� Ƴ��.