勒索病毒解決方案

 

一.事件概況

l   某行(xíng)業專網爆發勒索病毒變種

         2018年8月22日,政府某垂管單位專網爆發勒索病毒變種。黑(hēi)客通(tōng)過對外發布web業務系統入侵到專網內(nèi)部網絡,以RDP協議(windows系統遠程桌面協議)口令爆破的方式獲取遠程賬号密碼,之後黑(hēi)客人(rén)工方式登錄windows服務器(qì)上(shàng)傳病毒。本次事件涉及數(shù)十個(gè)業務系統服務器(qì)被加密勒索,全國大(dà)部分省份相關單位都受到影(yǐng)響。

l   新型變種Globelmposter2.0隐蔽性較強

本次爆發的Globelmposter勒索病毒變種其加密文件為(wèi)RESERVE擴展名,采用RSA2048算(suàn)法加密文件,目前該病毒樣本加密的文件暫無解密工具。 由于是采用人(rén)工正常登陸投毒的方式,導緻大(dà)量傳統安全産品無法檢測到這種新型病毒。

二.由勒索病毒反思網絡安全建設

勒索病毒并非APT攻擊,僅僅是病毒攻擊行(xíng)為(wèi),并不是不可(kě)防禦的。并且,微軟已在今年4月份發布了SMB 漏洞的補丁,用戶有(yǒu)足夠的時(shí)間(jiān)做(zuò)好預防工作(zuò),為(wèi)什麽還(hái)有(yǒu)大(dà)量用戶受影(yǐng)響?并且其中還(hái)包括一些(xiē)行(xíng)業的與互聯網隔離的專網。究其原因主要是以下幾點:

1)大(dà)量用戶缺乏全過程保護的安全體(tǐ)系

這起事件并非APT攻擊或0DAY攻擊,4月就已經有(yǒu)了解決辦法。但(dàn)是大(dà)部分用戶的安全建設僅僅是在事中堆疊防禦設備,缺乏事前風險預知的能力,使其沒有(yǒu)提前部署好安全防護手段;在威脅爆發後,又沒有(yǒu)持續檢測和(hé)響應的能力,使得(de)這些(xiē)客戶在事件爆發前沒有(yǒu)預防手段、爆發中沒有(yǒu)防禦措施、爆發後沒有(yǒu)及時(shí)檢測和(hé)解決問題的辦法。

2)忽視(shì)了內(nèi)部局域網、專網和(hé)數(shù)據中心的安全防護

經過這段時(shí)間(jiān)的響應,我們發現很(hěn)多(duō)客戶的威脅是與互聯網相對隔離的內(nèi)部網絡中泛濫。比如專網、內(nèi)網、數(shù)據中心,這些(xiē)區(qū)域過去被用戶認為(wèi)是相對安全的區(qū)域,很(hěn)多(duō)客戶在這些(xiē)區(qū)域僅僅部署了傳統防火(huǒ)牆進行(xíng)防護。但(dàn)勒索病毒感染內(nèi)部網絡的途徑很(hěn)多(duō),比如U盤等存儲介質、比如社會(huì)工程學,再或者是與DMZ間(jiān)接相連的網絡都可(kě)能成為(wèi)來(lái)源。

3)過于複雜的安全體(tǐ)系,沒有(yǒu)發揮應有(yǒu)作(zuò)用

這起事件影(yǐng)響的用戶中也不乏安全投入比較高(gāo)、設備購買比較齊全的用戶。但(dàn)是過于複雜的體(tǐ)系,使得(de)安全設備并沒有(yǒu)用好,沒有(yǒu)及時(shí)更新,沒有(yǒu)及時(shí)獲取到安全事件等。用戶通(tōng)過複雜的體(tǐ)系,需要運維很(hěn)多(duō)設備,并且看到的是碎片化的日志(zhì)。複雜的體(tǐ)系和(hé)過多(duō)無效信息,使得(de)很(hěn)多(duō)用戶喪失了對安全的信任,并沒有(yǒu)很(hěn)好的把安全設備用起來(lái),這也是造成用戶被感染的原因。

三.事前防護+事中監測+事後處置的整體(tǐ)安全解決方案

基于勒索病毒的這一類安全事件,我們重新審視(shì)網絡安全建設,提供深信服的解決之道(dào)。因此該解決方案基于事前、事中、事後全過程設計(jì),通(tōng)過下一代防火(huǒ)牆AF、終端檢測響應軟件EDR、全網安全大(dà)數(shù)據檢測平

台和(hé)人(rén)工安全服務等實現:事前風險預知、事中有(yǒu)效防禦、以及事後持續檢測和(hé)快速響應,為(wèi)用戶提供全程的安全保護能力,讓安全更簡單更有(yǒu)效。針對勒索病毒的防護,應當依據病毒感染的完整生(shēng)命周期進行(xíng)防護,必須涵蓋事前的防護、病毒入侵後的持續監測、發現病毒快速處置三個(gè)環節。

| 事前防禦

1)邊界防護:防止病毒從邊界入侵,關閉風險傳輸端口,更新防護規則,阻斷傳播

2)終端防護:防止病毒從終端入侵,提升終端端口開(kāi)放、弱口令、漏洞等安全基線

| 持續監測

病毒入侵後會(huì)橫向掃描、廣泛擴散繁殖。持續監測能第一時(shí)間(jiān)發現入侵事件,及時(shí)止損

| 隔離+處置

發現中毒事件,首先需要應急隔離失陷主機,控制(zhì)疫情,避免反複感染;之後再定點查殺,清除病毒文件。

四.推薦預防加固方案

1、此次勒索病毒事件發生(shēng)在相對隔離的區(qū)域泛濫。建議還(hái)需要重點加固傳統安全建設的薄弱區(qū):在廣域網分支、局域網和(hé)數(shù)據中心內(nèi)部等區(qū)域,在傳統ACL控制(zhì)策略的基礎上(shàng),通(tōng)過增加系統層和(hé)應用層的安全防護技(jì)術(shù),提升防禦有(yǒu)效性。

2、建議采用網絡分級分區(qū)防護措施,下一代防火(huǒ)牆會(huì)過濾邊界中應用層威脅流量,防止病毒、木馬等威脅在網絡內(nèi)部橫向擴散,有(yǒu)效避免分支機構因薄弱的安全建設成為(wèi)黑(hēi)客入侵的短(duǎn)闆,同時(shí)實現安全投資最大(dà)化。封閉RDP協議端口加固防護線:在互聯網出口和(hé)邊界處封堵RDP協議端口(3389),同時(shí)加強對外發布的web業務的應用層防護。對于無需開(kāi)放RDP協議的主機,采用安全策略封堵RDP端口或協議,建議采用下一代應用層防火(huǒ)牆在互聯網出口和(hé)專網邊界部署完成此項功能。

3構建終端防護和(hé)響應能力:在主機上(shàng)部署終端管控軟件,終端管控軟件應能夠防禦最新型的勒索病毒攻擊以及未知風險,并利用微隔離功能封堵RDP協議防止擴散,區(qū)别于傳統殺毒軟件,建議采用下一代EDR終端安全檢測響應軟件,從而提高(gāo)檢出率和(hé)多(duō)層級響應能力。

4持續檢測勒索病毒行(xíng)為(wèi):通(tōng)過部署探針系統,對于沒有(yǒu)防火(huǒ)牆防護節點的辦公網之間(jiān)的通(tōng)訊流量、專網與專網核心交換機上(shàng)的全網流量進行(xíng)抓取,并通(tōng)過部署全網安全大(dà)數(shù)據檢測平台,利用機器(qì)學習和(hé)人(rén)工智能技(jì)術(shù)進行(xíng)綜合分析,持續檢測,從而識别和(hé)捕獲內(nèi)部尚未爆發的潛伏威脅。同時(shí)感知平台還(hái)應該具備同時(shí)接入防火(huǒ)牆、終端管控的流量、策略和(hé)安全內(nèi)容日志(zhì),全面分析新型勒索病毒的攻擊面及其影(yǐng)響範圍,并進行(xíng)實時(shí)呈現,幫助組織提升應急處置速度。

5人(rén)工安全服務:提供專業的威脅分析、威脅處置和(hé)加固建議服務,從而實現威脅發現到處置的閉環安全效果。


  

  


13905190502 南京市玄武區(qū)洪武北路188号長發數(shù)碼大(dà)廈11樓E座
友(yǒu)情鏈接
百度 網絡安全和(hé)信息化委員會(huì) FreeBuf網絡安全行(xíng)業門(mén)戶

分享:
Copyright © 2020-2022 南京斯萊克斯網絡科技有限公司 版權所有(yǒu)  
技(jì)術(shù)支持:飛酷網絡