安基網 首頁 資訊 安全報 查看內容

2019勒索事件回顧:RDP弱口令滲透愈演愈烈

2020-1-15 09:16| 投稿: xiaotiger |來自: 互聯網


免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

摘要: 一、簡述根據“火絨在線支持和響應中心”平臺數據顯示,2019年中,國內遭受勒索病毒攻擊的政企逐漸增加,勒索病毒依舊是企業網絡安全的嚴重威脅之一。犯罪組織的運營方式越發正規,通過RaaS(Ransomware-as-a-Service勒索軟件即服務)方式運營的勒索病毒愈來愈多,通過在“暗網”招收不同地區的代理進行 ...



一、簡述

根據“火絨在線支持和響應中心”平臺數據顯示,2019年中,國內遭受勒索病毒攻擊的政企逐漸增加,勒索病毒依舊是企業網絡安全的嚴重威脅之一。

犯罪組織的運營方式越發正規,通過RaaS(Ransomware-as-a-Service勒索軟件即服務)方式運營的勒索病毒愈來愈多,通過在“暗網”招收不同地區的代理進行合作,利用RDP弱口令滲透、釣魚郵件、軟件捆綁、漏洞等多種手段進行傳播。

除加密文件勒索贖金外,如Maze勒索還增加了盜取企業數據的行為,如不交付贖金將泄露被盜取的數據,逼迫企業即使在有文件備份的情況下,為了數據不被泄露不得不交付贖金,并且此行為得到其他勒索病毒運營者的認同,未來盜取數據可能成為勒索病毒的主流行為。

本文會以火絨2019年處理的勒索病毒事件內,所處理的病毒種類、數量、易受攻擊用戶等進行說明,并介紹火絨企業版對勒索病毒的防護方式與使用火絨后的安全建議。

二、2019年勒索病毒攻擊數據

根據“火絨在線支持和響應中心”平臺統計,2019年勒索病毒攻擊事件呈現以下三大特點:

病毒數量不斷上升。在2019年內,火絨攔截到的勒索病毒的種類、家族(包含變種)復雜多樣,且數量巨大,與往年相比依舊呈現上升現象。其中,活躍度前三的勒索病毒為:GlobeImposter、Crysis(Dharma)、Sodinokibi。(如下圖)


以政企單位為主。根據火絨全年內對客戶提供的技術支持得出,遭遇勒索攻擊的多為企業用戶。分析原因是由于企業用戶的網絡(如服務器)多暴露在公共網絡,加上企業多使用老舊系統存在未修復的漏洞,以及管理人員安全意識薄弱等各類因素,共同造成企業用戶較個人用戶而言,更容易被勒索病毒識別攻擊的結果。

僅以火絨提供數據顯示,典型的如制造業、電子與互聯網、醫療、政府單位以及教育行業等,在2019年內均受到較為嚴重的勒索攻擊。(如下圖)



傳播方式多樣。火絨安全2019年內處理的勒索事件中,RDP弱口令滲透依舊是勒索病毒最常見的傳播方式,占總攻擊次數的6成以上。其次為釣魚郵件傳播,通過海量釣魚郵件傳播勒索病毒。其余的攻擊方式有利用僵尸網絡傳播、利用高危漏洞傳播、使用激活工具傳播與利用下載器傳播等。(如下圖)



除了RDP弱口令滲透以外,犯罪組織還會通過釣魚郵件、僵尸網絡、激活工具、高危漏洞等方式傳播勒索病毒:

釣魚郵件會通過構造迷惑性內容,如偽裝成政府機構或快遞信息,欺騙用戶下載郵件內附件或點擊郵件內連接,使病毒成功運行。

僵尸網絡、銀行木馬等與勒索病毒的合作也越來越多,例如MegaCortex勒索病毒會通過Qakbot銀行木馬傳播,Ryuk勒索病毒會通過Trickbot銀行木馬傳播。

此外,個人用戶常會遇到以激活工具、破解軟件、下載器方式進行傳播的勒索病毒,如計算機并未安裝安全軟件,即有文件被加密的可能。例如STOP勒索會藏匿在激活工具、下載器、破解軟件內,”微信支付”勒索偽裝成薅羊毛軟件等。

三、RDP弱口令滲透與勒索病毒的相互借助

1、RDP弱口令如何成為勒索病毒的“幫手”

遠程桌面協議RDP,此協議為”遠程桌面”類工具常用協議,Windows內的"遠程桌面",Linux內的"rdesktop",第三方軟件"wfreerdp"均使用此協議。只需主機的賬戶與密碼,即可訪問主機內資源,多用于遠程協助與遠程運維。

犯罪組織通過RDP暴破,或于黑市上購買RDP憑證(最低只需6美元),通過有管理員權限的賬戶進行登錄。在成功登錄后,黑客會使用Mimikatz類憑據獲取工具,獲取本機或域內憑據,用作內網滲透,同時使用內網掃描工具,尋找網絡內高價值服務器(OA、文件服務器、數據庫服務器)等,在進行文件加密前,會使用工具破壞服務器內的安全環境(關閉Windows Defender,破壞安全軟件),以上操作成功后,運行勒索病毒加密文件。



2、RDP弱口令傳播成為勒索病毒入侵主要方式原因

在火絨2019年處理的勒索事件中,勒索病毒多選擇使用RDP進行傳播,占全部勒索事件的61%。

火絨工程師分析,出現此類問題,多為企業內存在密碼強度弱、密碼復用等安全問題,除RDP外,無論是遠程控制使用的VNC,還是Sql Server、Tomcat、FTP,都有因弱口令,被暴破成功后入侵的可能。

值得一提的是,在本文統計的2019年8款高危勒索病毒一覽(見后附錄部分)中,有6類均是以RDP弱口令滲透傳播為主。

四、勒索病毒與安全廠商的攻防趨勢

1、勒索病毒的攻擊形式不容樂觀

犯罪組織攻擊渠道不斷轉變。在過去的2019年里,勒索病毒的攻擊方式從漏洞、郵件、激活工具等大比例轉變為RDP弱口令滲透,讓安全防御難度增大。

病毒攻擊次數呈現遞增形式。雖然在過去的幾年內,安全廠商不斷研發技術,并向用戶普及勒索病毒的危害、基礎防御方法,但在利益的驅使下,勒索病毒攻擊依舊高漲,甚至形成了完整的產業鏈。

對病毒的破解手段單一。目前,絕大多數的勒索病毒使用的是非對稱的加密手段,幾乎無法破解。只有極少數的勒索病毒在使用對稱加密或主動留下密鑰,才有機會破解。

2、安全防御由單一的對抗(攔截、查殺)轉為對傳播渠道的主動封堵。

對終端進行全面加固。高危漏洞、暴露在外網的服務器、各類程序軟件的漏洞成為勒索病毒入侵終端的一大方式,因此,對系統、軟件的漏洞防御,對服務器的保護成為過去的一年中重要防御方向。

對傳播渠道的遏制。上述RDP弱口令滲透愈演愈烈,讓勒索病毒借助并大肆傳播。如何遏制此類攻擊,成為2019年后,安全領域亟待完善和加強的防御領域。

3、火絨的策略

主防的進一步加強。除了常規的病毒攔截以外,火絨在去年推出“漏洞攻擊攔截”功能、“應用加固”以及“僵尸網絡防護”、“Web服務保護”等功能都是針對終端脆弱點進行防護,極大減少勒索病毒進入的風險。

RDP登錄防護。2019年中,火絨除了在個人版5.0上新增“遠程登錄防護”功能預防弱口令滲透外,火絨企業版也推出"遠程登陸防護"功能,可通過設置IP白名單,拒絕并追蹤陌生可疑設備進行RDP登錄。此外,火絨也將RDP弱口令滲透作為重點防御領域,未來也將制定完整的防護策略,遏制此類攻擊。


圖示:在開啟此功能后,進行RDP登錄,并被火絨阻止,并記錄日志,其中包含遠程主機IP,與登錄使用的用戶名


五、針對勒索病毒的防御措施

1、部署安全軟件,防御以郵件、惡意捆綁、僵尸網絡等方式傳播的勒索病毒,對其查殺或阻止其運行,提高終端安全性。

2、使用復雜密碼,Windows賬戶所用密碼需符合密碼復雜度要求(密碼長度需大于等于8位,至少含有大/小寫字母、數字、特殊字符中的三種)。

3、對無相關業務的端口進行限制,例如禁用445,修改RDP默認端口3389等。如無法禁用,可對此類端口進行限制,例如對共享目錄設置相關ACL權限,在組策略內對遠程桌面登錄進行限制等。

4、及時安裝補丁,對存在漏洞的服務進行升級,防止勒索病毒通過漏洞進行傳播。

5、對重要業務、文件進行異地備份。

6、提高員工安全意識,對激活工具、可疑郵件、未知來源軟件等,謹慎打開和使用,使用陌生可移動設備前,先進行查殺。

7、火絨使用過程中,您可按照火絨官網內的《部署火絨后的安全加固建議》,對火絨進行設置,以提高安全性。


附錄:2019高危流行勒索病毒一覽

1、GlobeImposter

該病毒根據不同版本,又名"十二生肖勒索"、"十二主神勒索"等,該勒索常見后綴為".(動物、希臘主神)+4444666865qqz",勒索信名稱為"HOW TO BACK YOUR FILES.exe"。

GlobeImposter自進入國內以來,主要的攻擊目標為醫療行業。主要傳播方式為RDP弱口令,在成功登陸后繼續進行內網滲透,同時加密多臺服務器內的文件,造成較大損失。由于使用RSA+AES算法對文件進行加密,被加密的文件如沒有相應的RSA私鑰基本無法解密。



2、Crysis(Dharma)

Crysis勒索病毒多通過RDP弱口令傳播,Dharma為Crysis勒索病毒變種,該勒索病毒使用RSA+AES或RSA+DES算法加密文件,在沒有相應RSA私鑰的情況下無法解密。文件后綴為此格式:"id-XXXXXXXX.[郵箱].文件后綴",勒索信名稱為"FILES ENCRYPTED.txt"、"Info.hta"。



3、Phobos

Phobos勒索病毒復用了Crysis的部分代碼,與Crysis高度相似(文件后綴與勒索信),該勒索病毒多通過RDP弱口令進行傳播,使用RSA+AES算法加密文件,在沒有相應RSA私鑰的情況下無法解密,文件后綴為此格式".id[XXXXXXXX-XXXX].[郵箱].后綴名"或"id-XXXXXXXX.[郵箱].后綴名",勒索信名稱為"info.txt"、"info.hta"。



4、Sodinokibi

據傳,該勒索病毒繼承了部分GandCrab勒索病毒的代碼與傳播渠道,在GandCrab停止運營后,此勒索病毒活躍度逐漸提升。該勒索多通過RDP弱口令、釣魚郵件、Oracle WebLogic CVE-2019-2725漏洞進行傳播,其中釣魚郵件多偽裝成海關、公安、法院、DHL快遞等內容。



該病毒使用Salsa20算法加密文件,目前無法解密。被加密文件后綴為5-10個隨機字符,勒索信名稱為"隨機字符-readme.txt",在文件加密結束后,會修改桌面壁紙為藍色,并提示您文件已被加密,閱讀勒索信。




5、STOP

STOP勒索,又名STOP-Djvu勒索,該勒索多偽裝成激活工具、軟件下載器、破解軟件進行傳播。最初該勒索使用AES-256對文件進行加密,后期使用salsa20與RSA算法。該勒索較老的版本,如果加密環境不能連接黑客服務器,會選擇使用離線密鑰加密文件,此種情況下可以解密文件,如在線獲取密鑰或被新版本STOP勒索病毒加密的情況下,無法解密文件。經國外安全研究人員統計,該勒索病毒根據變種不同,文件被加密后所使用過的不同文件后綴有上百個,勒索信也根據版本有不同名稱。



6、RYUK

RYUK勒索,攻擊目標多為大型企業與政府機構,通過Emotet渠道下發的Trickbot銀行木馬進行傳播。此勒索病毒多根據企業規模進行定制性攻擊,攻擊成功后索要贖金數額巨大。該勒索使用RSA+AES算法對文件進行加密,在沒有相應RSA私鑰的情況下無法解密。被加密文件后綴多為.RYK,勒索信名稱多為"RyukReadMe.html"或"RyukReadMe.txt"。



7、MedusaLocker

MedusaLocker勒索多通過RDP弱口令傳播,早期勒索信與GlobeImposter非常相似,曾被認為是GlobeImposter的變種。該勒索病毒使用RSA+AES算法對文件進行加密,在沒有相應RSA私鑰的情況下無法解密。近期出現較多的文件后綴為".ReadTheInstructions"和".READINSTRUCTIONS",勒索信名稱多為"RECOVER_INSTRUCTIONS.html"和"INSTRUCTIONS.html"



8、CryptON

CryptON勒索,又名X3M、Cry9等等,該勒索多通過RDP弱口令進行傳播,使用3DES和RC4算法加密文件,因加密后,密鑰文件會保存在本地(temp000000.txt),所以該勒索可以解密。但目前發現的用戶現場內,該文件多被黑客取走,導致無法解密。目前常見的,被加密文件后綴多為"X3M"、"firex3m"、"WECANHELP"、"YOU_LAST_CHANCE",勒索信名稱為"!!!DECRYPT MY FILES!!!.txt"、"_RESTORE FILES_.txt"。




小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

本文出自:https://www.toutiao.com/i6781730715722580492/

免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


鮮花

握手

雷人

路過

雞蛋

相關閱讀

最新評論

 最新
返回頂部
创业如何赚钱