2017年，美國國家安全局(National Security Agency，NSA)的部分漏洞利用工具被公開，包括“永恒之藍”“永恒浪漫”等，導(dǎo)致以“WannaCry”為代表的蠕蟲式勒索病毒肆虐全球。它通過加密電腦里的重要文件進行勒索，要求被害者支付一定數(shù)量比特幣才有可能解鎖文件，從醫(yī)院到學(xué)校到企事業(yè)單位無不談之色變，可以說是近10年來影響最大的一次網(wǎng)絡(luò)安全事件[1]。2018年，虛擬貨幣的去中心化、隱匿性等特點，已徹底改變了病毒木馬黑色產(chǎn)業(yè)。隨著虛擬貨幣的不斷升溫，大量的新型勒索病毒、挖礦病毒進入人們的視野，勒索病毒和挖礦病毒成為影響企業(yè)網(wǎng)絡(luò)安全的最大威脅[2]。

1 挖礦病毒簡介及安全風(fēng)險

目前，通過挖礦獲得1個比特幣所需的成本大約為2萬6千元，其中電費占了成本的絕大部分。為了降低成本，不法分子以病毒的形式入侵他人計算機，通過消耗他人計算資源、電力資源和機器性能為自己牟取巨額利益。挖礦病毒和勒索病毒使用同樣的入侵傳播路徑：利用黑客技術(shù)(如釣魚郵件、網(wǎng)頁掛馬、高危漏洞、端口爆破等)入侵局域網(wǎng)內(nèi)的一臺終端或服務(wù)器，以此為跳板再利用“永恒之藍”等多個漏洞利用工具，以蠕蟲病毒的方式通過自我復(fù)制在局域網(wǎng)內(nèi)快速橫向傳播，是傳播勒索病毒還是挖礦病毒，取決于攻擊者的目的。挖礦病毒隱蔽性好，能夠在局域網(wǎng)長期潛伏，在進行挖礦操作和橫向滲透的同時，可在局域網(wǎng)進行信息收集及后門安裝等探測性活動，不僅占用系統(tǒng)資源造成終端卡頓，也會因為集中爆發(fā)造成系統(tǒng)癱瘓，給醫(yī)院網(wǎng)絡(luò)和信息安全埋下了很大的安全隱患。

2 醫(yī)院局域網(wǎng)病毒威脅安全挑戰(zhàn)

青島某公立醫(yī)院采用核心業(yè)務(wù)網(wǎng)與辦公網(wǎng)邏輯隔離的方式，分別建有內(nèi)、外兩套局域網(wǎng)，并以防火墻和網(wǎng)閘為基礎(chǔ)，應(yīng)用入侵防御系統(tǒng)IPS、Web防火墻、日志審計、漏洞掃描、桌面終端管理系統(tǒng)、上網(wǎng)行為管理系統(tǒng)、防病毒系統(tǒng)和入侵檢測系統(tǒng)IDS等，從被動防護和主動防護兩個方面，構(gòu)造了較完善的網(wǎng)絡(luò)完全防護體系[3](圖1)。隨著局域網(wǎng)病毒威脅的日益嚴峻，這些安全設(shè)備面臨著新挑戰(zhàn)。

圖1 醫(yī)院網(wǎng)絡(luò)防護拓撲

一是面對內(nèi)部威脅應(yīng)急響應(yīng)困難?，F(xiàn)有的安全設(shè)備大都部署在網(wǎng)絡(luò)邊界，防外不防內(nèi)，如防火墻、網(wǎng)閘、防DDOS、IPS系統(tǒng)，若攻擊者繞過這些設(shè)備進入內(nèi)部或威脅由內(nèi)部人員發(fā)起時,缺乏自動處置能力，無法阻斷威脅在內(nèi)部擴散。另外，安全設(shè)備只抓取網(wǎng)絡(luò)核心處的流量進行分析，如流量回溯分析系統(tǒng)、入侵檢測系統(tǒng)IDS，若終端網(wǎng)絡(luò)流量不經(jīng)過核心交換機，則無法進行預(yù)警與分析。

二是內(nèi)部終端之間安全防護困難。日志審計、堡壘機、Web防火墻、容災(zāi)備份只對服務(wù)器區(qū)進行防護，終端雖已部署殺毒軟件和終端管理軟件，并設(shè)置準入管理、外設(shè)管理、外聯(lián)管理等安全策略[4]，但沒有針對性地進行安全風(fēng)險預(yù)防及安全加固工作，且缺乏對終端的安全日志、CPU和內(nèi)存、磁盤占用率、服務(wù)進程、線程數(shù)據(jù)、網(wǎng)絡(luò)帶寬、端口流量等資產(chǎn)變化情況的主動分析和風(fēng)險控制。

三是安全日志數(shù)量龐大分析困難，各設(shè)備告警之間分散獨立、缺乏聯(lián)系，部分安全規(guī)則老舊，對新威脅缺乏新規(guī)則，存在較多的誤報和重復(fù)告警，安全管理人員從海量日志中提取有效信息的難度大、效率低，且無法實現(xiàn)人工7×24小時實時監(jiān)控，為病毒在局域網(wǎng)爆發(fā)提供了可能。

四是終端種類復(fù)雜度高管理困難。數(shù)字化、移動化、云和物聯(lián)網(wǎng)、專線網(wǎng)絡(luò)都可導(dǎo)致終端種類的復(fù)雜性，包括云端服務(wù)器、醫(yī)療設(shè)備、網(wǎng)絡(luò)打印機、膠片自助打印機、手術(shù)室信息屏、接入專線網(wǎng)絡(luò)的終端等。這些終端大都難以部署安全軟件或難以監(jiān)測，極可能會成為感染源且很難被發(fā)現(xiàn)和查殺，成為醫(yī)院終端安全的薄弱環(huán)節(jié)。

五是攻擊手段日益隱蔽防控困難。出現(xiàn)大量“供應(yīng)鏈”攻擊、“無文件”攻擊[5]和基于“圖像隱寫術(shù)”的攻擊[6]時讓人防不勝防。此類病毒若在院內(nèi)擴散造成的影響不容小覷，一方面?zhèn)鞑シ秶鷱V危害性大，影響正常業(yè)務(wù)甚至造成系統(tǒng)癱瘓；另一方面病毒影響周期長，手工處理效率低，且存在反復(fù)感染的可能。

世界上沒有攻不破的網(wǎng)絡(luò)，也沒有不存在漏洞的系統(tǒng)，網(wǎng)絡(luò)安全威脅防不勝防,網(wǎng)絡(luò)安全風(fēng)險也是一種常態(tài)[7]。面對現(xiàn)有網(wǎng)絡(luò)安全設(shè)備不能100%保證網(wǎng)絡(luò)安全的現(xiàn)狀，當(dāng)安全威脅發(fā)生在局域網(wǎng)內(nèi)部時，如何準確發(fā)現(xiàn)威脅、快速定位威脅、有效控制威脅擴散顯得越來越重要。下面結(jié)合一個“無文件”型挖礦病毒安全事件對此進行闡述說明。此次安全事件發(fā)生在外網(wǎng)局域網(wǎng)。

3 挖礦病毒事件分析

3.1 事件背景

2018年9月10日，筆者查看殺毒軟件日志時發(fā)現(xiàn)有多臺外網(wǎng)辦公終端發(fā)出相同告警，受感染的文件為cohernece.exe和java-log-9528.log，這是惡意軟件產(chǎn)生的垃圾文件。入侵防御系統(tǒng)IPS顯示此病毒為挖礦病毒，對其連接礦池的行為進行攔截后(圖2)，殺毒軟件日志顯示威脅已清除，但告警仍在持續(xù)，說明殺毒軟件不能有效清除病毒，或者局域網(wǎng)內(nèi)仍存在感染源。

圖2 IPS告警日志

3.2 病毒分析

此挖礦病毒是一個名叫PowershellMiner的“無文件”惡意軟件，利用系統(tǒng)提供的WMI(Windows Management Instrumentation)功能實現(xiàn)定時啟動，并利用PowerShell工具執(zhí)行經(jīng)過了混淆處理的惡意腳本[8]。該病毒有如下特點。

一是隱蔽性強，難以查殺?！盁o文件”惡意軟件直接將惡意代碼寫入內(nèi)存或注冊表中，或利用受信任軟件或系統(tǒng)工具實現(xiàn)激活或駐留。由于沒有病毒文件落地，傳統(tǒng)的基于病毒特征碼的防病毒軟件無法清除它們。

二是利用多個漏洞，擴散迅速。該病毒具備兩種橫向傳染機制，分別為Mimikatz+WMIExec自動化爆破和MS17-010“永恒之藍”漏洞攻擊，極易在局域網(wǎng)內(nèi)迅速傳播。

3.3 應(yīng)急響應(yīng)

3.3.1 威脅控制

通過終端桌面管理系統(tǒng)的“應(yīng)用程序管理”功能，為終端統(tǒng)一下發(fā)禁用powershell.exe策略，病毒宿主進程無法運行，被感染終端無法繼續(xù)進行挖礦和橫向滲透，無需隔離和斷網(wǎng)可暫時繼續(xù)使用。告警日志如圖3所示。

圖3 終端管理系統(tǒng)告警日志

3.3.2 攻擊溯源

根據(jù)挖礦病毒和勒索病毒的傳播特性，通過網(wǎng)絡(luò)流量回溯分析系統(tǒng)[9]的“文件共享流量”回溯分析，可迅速定位正在橫向傳播的終端(圖4)。當(dāng)病毒入侵到內(nèi)網(wǎng)局域網(wǎng)而IPS上無告警記錄時，可通過此方法對已感染終端進行定位。雖然供應(yīng)商已設(shè)置“疑似WannaCry蠕蟲”告警，但誤報率高且告警級別低，早已淹沒在每日數(shù)以十萬計的告警記錄中。

圖4 文件共享流量回溯分析

3.3.3 數(shù)據(jù)包分析

通過流量回溯系統(tǒng)分析數(shù)據(jù)包發(fā)現(xiàn)已感染終端在橫向滲透的同時，會連接數(shù)字加密幣礦池，并向礦池發(fā)送特定數(shù)據(jù)包(圖5)。

“xmr-*.nanopool.org”等為礦池域名，“jsonrpc”是一個無狀態(tài)且輕量級的遠程過程調(diào)用(RPC)傳送協(xié)議，“l(fā)ogin”輸入的是礦池錢包地址，“pass”為密碼，“agent”為礦機信息。

圖5 連接礦池數(shù)據(jù)包分析

3.3.4 手動查殺

此病毒為“無文件”病毒，殺毒軟件無法查殺，需要手動查殺。

首先結(jié)束powershell.exe宿主進程，然后刪除相關(guān)計劃任務(wù)，再使用Autoruns工具(微軟官網(wǎng)可以下載)刪除WMI啟動項(圖6)。

圖6 微軟Autoruns工具

3.4 事件追責(zé)

通過流量分析工具發(fā)現(xiàn)局域網(wǎng)內(nèi)最早出現(xiàn)445端口掃描的終端為192.168.*.55，該IP于9月9日19點10分開始橫向滲透。查看IPS告警記錄發(fā)現(xiàn)該IP于9月9日17點40分開始嘗試連接礦池。調(diào)查后確認該IP為分院一物聯(lián)網(wǎng)設(shè)備地址，該網(wǎng)段為新增視頻會議專用網(wǎng)段，沒有及時加入到準入管理范圍內(nèi)。某科室研究生自行將網(wǎng)線拔下，更改自己筆記本配置后非法接入醫(yī)院網(wǎng)絡(luò)，挖礦病毒通過此臺筆記本在醫(yī)院外網(wǎng)局域網(wǎng)傳播。

4 安全風(fēng)險防控

4.1 人是最大的安全漏洞

從整個事件可以看出，人是最大的安全漏洞。科室人員的安全意識不強，違規(guī)接入個人終端，科室其他人員沒有進行阻止，網(wǎng)絡(luò)管理人員沒有對新網(wǎng)段進行準入管理，安全管理人員沒有及時查看告警記錄更新安全規(guī)則，運維管理人員終端安全防護工作做得不夠細致等。因此需要增強全員安全意識，提升信息安全防護的敏感性，定期對全體員工進行安全培訓(xùn)，從而提升醫(yī)院信息安全整體水平。要根據(jù)相關(guān)法律法規(guī)制定全面的信息安全制度，嚴格規(guī)定終端尤其外來終端申請入網(wǎng)、延期、注銷的整個流程。要針對終端安全明確責(zé)任和操作規(guī)范，并將終端安全無事故運行納入人員和科室的評優(yōu)體系[10]。管理人員需加強團結(jié)協(xié)作，并在供應(yīng)商之間共享安全情報，全面分析可能面臨的潛在威脅。對新威脅開展風(fēng)險分析，通過增加現(xiàn)有安全設(shè)備的新規(guī)則防范新的安全威脅。

4.2 終端安全基本要求

進行終端安全加固，提升終端安全防護能力。外網(wǎng)終端應(yīng)用上網(wǎng)行為管理系統(tǒng)禁止訪問與工作無關(guān)的網(wǎng)站，內(nèi)網(wǎng)終端按照醫(yī)院信息化網(wǎng)絡(luò)工作站的安全管理要求進行設(shè)置[11]。

在此基礎(chǔ)上參照《信息安全技術(shù)政府聯(lián)網(wǎng)計算機終端安全管理基本要求》[12]和行業(yè)經(jīng)驗做如下限制：應(yīng)使用非系統(tǒng)管理員賬號作為日常辦公的賬號，刪除或禁止系統(tǒng)中的特殊賬號、臨時賬號；應(yīng)更改默認administrator管理賬號，來賓賬號設(shè)置高強度密碼并禁用；應(yīng)設(shè)置開機賬號為高強度密碼，杜絕空口令登錄系統(tǒng)，避免使用相同或類似的登錄口令；應(yīng)關(guān)閉不必要的遠程維護和遠程桌面，遠程管理工具設(shè)置強密碼；應(yīng)設(shè)置系統(tǒng)登錄賬戶鎖定策略，防止暴力破解；密碼口令長度不得低于8位，口令必須為數(shù)字、字母大小寫、特殊符號組合，并定期更新；應(yīng)禁止Windows系統(tǒng)自動播放功能，關(guān)閉對移動存儲介質(zhì)的自動播放功能；應(yīng)開啟日志審計功能，成功和失敗均需審計，日志文件大小至少為28M，按需要覆蓋事件；應(yīng)開啟屏幕保護功能，在恢復(fù)時使用密碼保護；應(yīng)打開終端自動更新，及時更新安全補??；應(yīng)打開終端防火墻，并設(shè)置訪問規(guī)則；應(yīng)安裝終端防護軟件，確保終端管理軟件和殺毒軟件的完整性和可用性；應(yīng)禁用OFFICE宏，設(shè)置為禁用且不通知；U盤等移動介質(zhì)使用前，須通過病毒檢測；專線網(wǎng)終端和內(nèi)外網(wǎng)終端杜絕混用，切勿將專線網(wǎng)與互聯(lián)網(wǎng)串網(wǎng)；不從不明網(wǎng)站下載相關(guān)的軟件，不要點擊來源不明的郵件及附件；重視數(shù)據(jù)保護，對重要的數(shù)據(jù)文件定期進行非本地備份；假如終端已感染病毒，需將此終端盡快斷網(wǎng)隔離等。

4.3 桌面終端管理系統(tǒng)

準入管理，嚴格按照終端安全基本要求對需要入網(wǎng)的終端進行檢測，對終端使用人員進行安全教育，確定無病毒無安全隱患后才能入網(wǎng)。對于需要增加例外的物聯(lián)網(wǎng)等設(shè)備，須要求供應(yīng)商做好安全策略，并進行IP/MAC地址綁定。外設(shè)管理，外網(wǎng)終端設(shè)置U盤禁止運行和復(fù)制可執(zhí)行文件，內(nèi)網(wǎng)終端禁止使用U盤。外聯(lián)管理，杜絕內(nèi)外網(wǎng)互聯(lián)。修補漏洞，應(yīng)用終端管理系統(tǒng)的軟件分發(fā)功能，設(shè)置程序執(zhí)行參數(shù)為“/quiet/warnrestart”，為終端靜默安裝service Pack 1基礎(chǔ)包和MS17-010補丁及其他重要漏洞補丁，無法安裝“永恒之藍”漏洞補丁的關(guān)閉SMBv1[13]。端口管理，應(yīng)用上網(wǎng)權(quán)限管理功能，關(guān)閉不必要的高危端口，如135、139、445、3389等，一定需要遠程的更改遠程訪問端口號。文件共享管理，應(yīng)用共享資源管理功能，禁止不必要的文件資源共享。服務(wù)管理，應(yīng)用系統(tǒng)資產(chǎn)清單功能，禁用不必要的WMI服務(wù)，降低WMI攻擊風(fēng)險。進程管理，應(yīng)用程序管理功能，禁用powershell.exe。

4.4 流量回溯分析系統(tǒng)

目前挖礦病毒有3種典型的445端口掃描方式：一種是針對公網(wǎng)任意地址進行掃描，第二種是針對本地局域網(wǎng)地址范圍如進行掃描，第三種是針對本機同一網(wǎng)段以及與本機有通信的網(wǎng)段進行掃描，如若本機地址為192.168.12.33，與本機有TCP通信的地址為192.168.15.33，則掃描的范圍為192.168.12.1～192.168.12.254及192.168.15.1～192.168.15.254。第三種屬于慢攻擊型，因突發(fā)流量和并發(fā)進程少，所以隱蔽性好不易被檢測；因終端需要與服務(wù)器進行通信，所以服務(wù)器網(wǎng)段極易受到攻擊；因管理員終端需要遠程維護其他終端，所以管理員網(wǎng)段也極易受到攻擊。

在流量分析系統(tǒng)中設(shè)置如下告警，可進行實時監(jiān)控，并在科室大屏展示。一是設(shè)置“虛擬蜜罐[14]”告警。各網(wǎng)段包括服務(wù)器網(wǎng)段選取多個地址作為預(yù)留地址，組成“預(yù)留地址”網(wǎng)段，設(shè)置該網(wǎng)段有流量即告警，告警級別為高。二是設(shè)置“高危端口掃描[15]”告警，應(yīng)用報警設(shè)置“高危端口”135、136、137、138、139、445 、593、1025、2745、3127、6129、3389、5900，時間桶為10秒，一方面設(shè)置并發(fā)會話數(shù)>50，且連接請求無響應(yīng)次數(shù)>10或連接請求被重置次數(shù)>10，告警級別為高；另一方面設(shè)置并發(fā)會話數(shù)>50，告警級別為中。三是設(shè)置“連接礦池”告警。將"id":1,"jsonrpc":"2.0"、"method":"login","params"、"method":"submit","params"加入到數(shù)據(jù)流特征值報警，告警級別為高。四是設(shè)置“疑似powershell攻擊”告警。將IEX(New-Object、Net.WebClient).Download加入到數(shù)據(jù)流特征值報警，告警級別為高，此方法只能檢測未經(jīng)混淆的攻擊[16]。應(yīng)用以上告警規(guī)則有效檢測出了多起初始滲透行為，安全管理人員根據(jù)告警及時進行了應(yīng)急處置。告警記錄如圖7所示。

圖7 安全事件告警

5 結(jié)語

此次安全事件是一個典型的來自內(nèi)部終端的安全威脅事件，由于事件發(fā)生在非工作時間，直到第二天才得到有效控制。惡意程序感染終端后，迅速在局域網(wǎng)擴散，給終端業(yè)務(wù)造成一定影響。若感染的是勒索病毒，后果不堪設(shè)想。從網(wǎng)內(nèi)個別終端不幸感染到病毒在局域網(wǎng)大規(guī)模爆發(fā)，有平均4～5個小時的窗口時間，及時從源頭對安全事件進行響應(yīng)與處置，可避免整個網(wǎng)絡(luò)陷落，將損害降至最低。在增強安全意識、做好安全工作的同時，應(yīng)增強對突發(fā)網(wǎng)絡(luò)事件的應(yīng)急處置能力。針對局域網(wǎng)病毒威脅，如何通過基線分析、異常檢測算法，借助機器學(xué)習(xí)技術(shù)和行為建模技術(shù)智能化地識別網(wǎng)絡(luò)中的攻擊，對孤立的安全事件進行整合、去偽存真，在威脅發(fā)生時進行主動報警，如語音報警、短信報警和電話報警，并能根據(jù)風(fēng)險級別自動應(yīng)急處置高危終端，如一鍵斷網(wǎng)、自動阻斷等，是當(dāng)下終端安全急需解決的問題。隨著醫(yī)院引進安全態(tài)勢感知平臺，利用大數(shù)據(jù)實時分析，采取主動的安全分析和實時態(tài)勢感知，并與安全防護設(shè)備聯(lián)動，進而快速發(fā)現(xiàn)威脅、控制威脅，相信以上問題一定會迎刃而解。