一次云端排查讓勒索病毒當眾“伏法” | 反勒索病毒暗戰(zhàn)第一期

2021-05-13 09:48:01 作者：來源：CTI論壇評論：0 　點擊：

　　提到勒索病毒，總能和巨額贖金、信息泄露等等重大安全隱患事件聯(lián)系起來。比如近期發(fā)生的勒索攻擊致美國半個能源系統(tǒng)停擺的事情。

　　但不是所有的勒索病毒都能成功入侵。

　　最近，深信服終端安全團隊就發(fā)現(xiàn)了這樣一起“勒索未遂”的故事——勒索病毒在用戶開啟 RDP 服務時入侵，利用暴力破解手段試圖入侵破壞企業(yè)數(shù)據(jù)，被深信服 EDR 安全團隊發(fā)現(xiàn)及時排查清除。

　　那么，該勒索病毒的具體入侵路徑究竟是怎樣的呢？

　　我們一起來看下。

　　反勒索病毒入侵全紀錄

　　發(fā)現(xiàn)威脅

　　首先，代入一下場景。

　　某天，深信服終端安全專家君哥正在通過深信服 EDR 云端查殺數(shù)據(jù)分析監(jiān)控著世界各地的病毒去向。

　　突然，深信服終端安全專家發(fā)現(xiàn)用戶的客戶端收到了一條告警提醒，仔細一看事情不妙，馬上開始排查。

　　按照規(guī)矩，深信服終端安全專家立刻用云端日志展開了遠程“調查”，通過安全云腦威脅情報獲取到對應的樣本文件，安全專家在本地進行了行為分析，證實確實為勒索病毒，該勒索病毒分別名為 Makop、Milleni500。

　　不過，大家也不必擔心，這個過程不會涉及任何敏感信息。

　　云端數(shù)據(jù)只上傳病毒查殺日志，包括設備 ID、查殺時間、病毒文件哈希、查殺路徑，但不會上傳用戶文件，未告警的正常文件也不會上傳任何信息，不會造成敏感信息泄露。

　　附勒索病毒詳細信息：

　　1、Makop 勒索病毒的勒索信息如下：

　　2、Milleni500 勒索病毒的勒索信息如下：

　　于是，安全專家聯(lián)系到對應的用戶對 EDR 管理平臺和告警終端進行詳細排查。

　　那么，這個病毒究竟是如何入侵的？

　　我們一步步往下看。

　　首先，通過對 EDR 管理平臺檢測日志的分析，發(fā)現(xiàn)產生告警的來源于一臺監(jiān)控服務器，該服務器對外網開啟了 RDP 服務。其中，靜態(tài)文件檢測進行了告警，并對勒索病毒文件進行了自動處置：

　　緊接著，深信服終端安全專家對該勒索病毒進行了更深層次的溯源發(fā)現(xiàn)，該用戶終端一直在遭受持續(xù)的暴力破解攻擊。

　　根據(jù) EDR 日志告警的勒索病毒上傳目錄，與該勒索病毒一同檢出的還有大量黑客工具：包括 NS（用于內網掃描）、everything（正常的文件搜索工具，沒有實際威脅）、ClearLock（一款鎖屏軟件）、bat 腳本（用于刪除備份卷影）。

　　但通過 everything 排查主機上的EXE文件，未發(fā)現(xiàn)其他可疑情況，排查 asp、aspx、jsp、php 等后綴的文件，未發(fā)現(xiàn)異常。

　　此外，由于服務器系統(tǒng)日志保留時間較短，無法查到入侵時間點的日志信息，且排查未發(fā)現(xiàn) WebShell 和明顯入侵途徑，入侵方式暫不明確，因此無法溯源到最初的入侵 IP。

　　不過，好在該用戶開啟了 EDR 文件實時監(jiān)控、勒索病毒防護實時監(jiān)控以及自動處置策略，成功攔截了本次事件中上傳的勒索病毒，避免了一次“慘劇”發(fā)生。

　　深信服終端安全團隊來給您提個醒

　　雖然這一次該用戶“逃過一劫”，但對付勒索病毒除了依靠深信服 EDR 實時監(jiān)測外，更需要平時的自我防護，才能讓勒索病毒無可乘之機。

　　因此，針對該用戶的具體情況，深信服終端安全團隊也給出了一套行之有效的建議：

建議關閉 RDP 服務，不要對外網直接映射 RDP 服務，如有業(yè)務需要，建議使用 EDR 的微隔離對于威脅端口進從策略訪問控制并封堵或者使用 VPN；
使用 EDR 的基線檢查功能，查找系統(tǒng)中存在的弱密碼，并及時通知相關責任人進行修改；
服務器密碼使用復雜密碼，且不要與其他主機密碼重復、不要與外部賬號密碼重復，防止泄露；并使用 KeePass 等密碼管理器對相關密碼進行加密存儲，避免使用本地明文文本的方式進行存儲；
系統(tǒng)相關用戶杜絕使用弱口令，同時，應該使用高復雜強度的密碼，盡量包含大小寫字母、數(shù)字、特殊符號等的混合密碼，加強運維人員安全意識，禁止密碼重用的情況出現(xiàn)，并定期對密碼進行更改；
已開啟 EDR 的 RDP 暴力破解并自動封堵功能，當出現(xiàn)暴力破解事件時，及時檢查密碼強度，并通知相關終端的責任人及時修改相關密碼；
建議開啟 EDR 的 RDP 二次登錄驗證功能；
使用 EDR 進行全網的漏洞掃描，發(fā)現(xiàn)并及時修補高危漏洞，及時打上補��；

　　定期進行全盤掃描，建議安排安全人員定期進行日志分析，提前規(guī)避高危風險點。也可以聯(lián)系安服團隊進行公司網絡安全的全面檢查。

　　作為下一代終端安全產品，深信服 EDR 致力于為企業(yè)級用戶提供「輕量易用，實時保護，東西向可視可控」的終端安全防護能力。

　　目前深信服 EDR 已經廣泛應用在政府、金融、教育、醫(yī)療、企業(yè)等諸多行業(yè)，部署端點超過 1200W+，全面保障政企事業(yè)單位的終端安全。
　　來源：深信服科技微信公眾號

【免責聲明】本文僅代表作者本人觀點，與CTI論壇無關。CTI論壇對文中陳述、觀點判斷保持中立，不對所包含內容的準確性、可靠性或完整性提供任何明示或暗示的保證。請讀者僅作參考，并請自行承擔全部責任。