适用于企业级的勒索软件风险防范规范

最新推荐文章于 2024-04-26 11:32:13 发布

LaoYuanPython

最新推荐文章于 2024-04-26 11:32:13 发布

阅读量302

点赞数 1

分类专栏：老猿Python 互联网知识文章标签：勒索病毒网络安全风险防范

本文链接：https://blog.csdn.net/LaoYuanPython/article/details/118028567

版权

老猿Python 同时被 2 个专栏收录

1123 篇文章 665 订阅

订阅专栏

互联网知识

23 篇文章 0 订阅

订阅专栏

☞ ░ 前往老猿Python博客 ░ https://blog.csdn.net/LaoYuanPython

一、勒索软件概述

勒索软件是一种从2014年开始流行的恶意程序，主要通过加密用户计算机的文件数据致使用户数据资产或计算资源无法正常使用继而向目标用户勒索钱财。赎金形式主要为比特币等虚拟货币。自2019年起，部分新型勒索软件还会盗取用户的敏感数据，以泄露数据相威胁，进一步索要赎金，进行双重勒索。根据威胁情报分析，截止2021年5月，已有超过33个勒索软件家族具备双重勒索能力。

按照勒索软件的表现形式常见的勒索软件主要包括：文件加密类、锁屏类、磁盘加密类、数据窃取类及移动设备移动设备类勒索软件。

勒索软件传播方式主要以远程桌面入侵为主，其次为通过海量的钓鱼邮件传播，或利用网站挂马和高危漏洞等方式传播，整体攻击方式呈现多元化的特征。

二、勒索软件预防

2.1、事前安全预防

网络架构
业务、数据、服务分离，不同部门与区域之间通过虚拟局域网（ VLAN）和子网分离，减少因为单点沦陷造成大范围的网络受到攻击。
口令权限
各系统含个人社保采用高强度且无规律的密码，并定期更换口令。位的密码，并定期更换口令。对于各类系统和软件中的默认账户，应该及时修改默认密码，同时清理不再使用的账户。
不使用相同口令管理多台关键设备，尽可能地限制使用特权账户。
不对外提供服务的设备不要暴露于公网之上，对外提供服务的系统，应保持较低权限。原则上以最小权限提供服务。
端口及文件共享
关闭非必要使用的高危端口，如 139、 445、 3389等端口。
尽量关闭不必要的文件共享或者限制文件共享范围。
邮件安全
不要点击来源不明的邮件附件，不从不明网站下载软件，警惕伪装成浏览器更新或者 Flash更新的恶意程序。
不要轻易打开扩展名为 js、 vbs、 wsf、 bat、 cmd、 ps1等脚本文件和 exe、 scr、 com等可执行程序，对于陌生人发来的压缩文件包，提高警惕，先使用安全软件进行检查后再打开。
杀毒与补丁
确保所有病毒库保持更新定期对木马、恶意程序进行查杀，并检测杀毒软件是否存在异常拦截情况；
在验证安全性的前提下及时给终端、服务器打补丁，包括操作系统以及关键应用系统的补丁定期执行漏洞扫描，修复漏洞，防止攻击者通过漏洞利用入侵系统；
由于其他原因不能及时安装补丁的系统，考虑在网络边界、路由器、防火墙上设置严格的访问控制策略，以保证网络的动态安全。
数据存储与备份
针对敏感数据应进行加密存储，降低数据泄露及双重勒索的风险。根据重要文件、数据的分类、分级，确定备份的范围、内容及周期等，定期进行备份，如离线备份、异地备份、云备份等，增加文件损坏或丢失后及时找回的可能性。
网站浏览
使用安全浏览器，减少遭遇网站挂马、网站钓鱼的风险。
浏览网页时提高警惕，不浏览色情、赌博等不良信息网站，此类网站经常被用于发起挂马、钓鱼攻击。
安全设备
在企业终端和网络关键节点部署安全设备，并日常排查设备告警情况。安装具有主动防御的安全软件，不随意退出安全软件或关闭防护功能，对安全软件提示的各类风险行为不轻易执行放行操作；
部署流量监控 /阻断类设备 /软件，便于事前发现、事中阻断和事后回溯；
制定应用软件白名单，及时保持列表的准确性、完整性、实时性；
必要时禁用 Microsoft Office软件的宏指令。
日志检测
定期检测系统日志是否存在异常；
定期排查域控和管控设备日志，检查登录和下发情况。
外接设备
对经常外接的移动存储设备（ U盘、移动硬盘）定期进行查杀。不应混用工作与私人外接设备。
电脑连接移动存储设备（如 U盘、移动硬盘）时，应关闭自动播放并使用安全软件检测其安全性。
安全检测评估
关键应用系统定期进行安全测试和加固。
定期对关键系统开展安全自查、自评，也可委托专业第三方检测机构开展安全检测评估，及时发现问题并积极整改。
减少关键应用系统暴露于公共互联网上。

2.2、事中应急处置

隔离受感染设备
当确认已感染勒索软件，应立即隔离被感染设备，进行断网、关机。其中断网主要操作步骤包括：拔掉网线、禁用网卡，如果是笔记本电脑还需关闭无线网络。防止感染设备自动通过连接的网络继续感染并操控其他机器。
感染情况分析
在已经隔离被感染主机后，应对感染影响情况进行分析，检查核心业务系统是否受到影响，具体包括：
 设备受到攻击影响情况，是否存在备份，备份是否可用；
 设备感染勒索软件的开始时间；
 网络拓扑情况，被感染设备和未被感染设备在网络中的分布情况；
 存储有敏感信息的设备是否被异常访问，是否存在数据泄露风险。

对于感染情况不明，已经关闭下线的设备，如需排查损失情况，建议对磁盘或环境做备份后，在隔离网内开机查损失情况，以免有残存的开机自启动恶意程序再次启动后加密文件。
勒索软件分析与排查
可通过恶意程序留下的勒索信息、被加密的文件、被加密的桌面背景、留下的可疑样本、弹窗信息等借助工具对勒索软件进行分析，并求助专业人员对攻击方式进行排查。
解码尝试
在分析确认被植入的勒索软件勒索原理的基础上，可尝试进行勒索软件破解，常见的破解原理包括：

利用泄露的私钥破解
通过各种渠道获取到恶意程序作者的私钥实现破解。如知名的GandCrab的私钥就被警方获取并公开，可以制作解密工具来进行解密。

利用加密流程漏洞进行破解
通过分析挖掘恶意程序本身编写的不规范问题获取密钥生成方式，从而获得密钥进行解密。例如动态虚拟专用网络（ DVPN）采用的加密算法，利用文件大小作为密钥。

明密文碰撞解密
通过明密文对比计算得到勒索软件使用的加密密钥，此类密钥通常为流加密生成的一个固定长度的密钥串。

数据修复解密
很多勒索软件勒索软件为了保证加密效率不会全文加密，通常为了保证加密效率不会全文加密，通常只加密文件头部分，或者加密整个文件的其他其他部分片段。由于被加密部分占比小，可通过一些技术手段对文件进行修复，再依靠文件格式自身的容错能力，恢复绝大部分有价值信息。

暴力破解暴力破解
通过对勒索软件有限的密钥空间进行穷尽，暴力破解获取密钥。常见是利用时间做种子产生伪随机数作为密钥。
未感染设备处理
更换同一内网下的所有设备口令。
根据排查发现的攻击方式与隐患，及时修补漏洞。
感染设备再使用
感染设备如果要再次投入使用的，应按事前安全预防的要求对安全问题进行一一排查。在未查清被感染原因之前，不建议进行如下操作：
 格式化磁盘、重装系统、恢复系统等彻底破坏环境的其它操作；
 直接删除发现的可疑程序，恶意文件；
 清除所有的勒索信息和被加密文件；
 在感染设备上使用 U盘、移动硬盘等移动存储设备；
 反复读取磁盘上的文件等降低数据正确恢复概率的行为。

2.3、事后加固防御

在紧急事件处理后，应在保证网络环境安全的情况下对数据进行恢复和备份，排查事件原因，加固系统漏洞。

数据恢复
依据数据备份与恢复相关制度、备份日志，通过衡量时间成本、数据重要性确认数据恢复范围、顺序以及使用的备份数据版本。如果技术条件满足可以对接事先备份好的数据进行数据热恢复。

安全加固
根据勒索攻击事件的问题节点进行加固，通过执行内部和外部渗透测试，确定暴露于互联网的任何潜在易受攻击的系统、服务器和网络远程连接（例如 VPN或 RDP），更新端点和服务器的操作系统和所运行软件的补丁。