■ 江蘇 朱賢斌

編者按： 近年來(lái)勒索病毒盛行，給個(gè)人和企業(yè)造成了無(wú)可挽回的損失，本文從實(shí)戰(zhàn)出發(fā)，以實(shí)例進(jìn)行勒索病毒的應(yīng)急演練，并給出相關(guān)防護(hù)建議。

從20世界60年代開(kāi)始，惡意軟件就與信息技術(shù)的發(fā)展相生相伴。隨著科技的不斷進(jìn)步，惡意軟件本身也在不斷演變，從蠕蟲(chóng)病毒、廣告軟件、流氓軟件、木馬軟件，乃至今天的勒索軟件，惡意軟件制作者已從最初的技術(shù)炫耀變成了如今直接的利益所取。例如2017年的Wannacry勒索病毒，對(duì)受害企業(yè)重要數(shù)據(jù)造成嚴(yán)重?fù)p失。

網(wǎng)絡(luò)黑客使用的系列勒索手段包括：頻繁創(chuàng)建虛假網(wǎng)站，吸引潛在勒索對(duì)象游覽；借助網(wǎng)站內(nèi)釣魚(yú)軟件，掃描用戶電腦操作系統(tǒng)及游覽器所含安全漏洞；向用戶電腦內(nèi)輸送勒索軟件，繼而鎖死電腦或加密數(shù)據(jù)，要求用戶支付“贖金”，以換取解除鎖定的“密鑰”。

演練目的

圖1 演練網(wǎng)絡(luò)拓?fù)鋱D

為了讓用戶認(rèn)識(shí)到勒索病毒的危害，所以很有必要還原勒索病毒入侵，以及發(fā)生勒索病毒安全事件后，迅速的應(yīng)急響應(yīng)和應(yīng)急處置，通過(guò)應(yīng)急演練，來(lái)提高我們的網(wǎng)絡(luò)安全意識(shí)和技能。

演練環(huán)境

筆者此次使用VMware Workstation搭建兩臺(tái)虛擬機(jī)，模擬攻擊者和被攻擊者，攻擊者使用Kali-Linux系統(tǒng)，被攻擊者使用Windows 7系統(tǒng)。拓?fù)淙鐖D1所示。

勒索病毒攻擊

1.攻擊者首先使用Nmap端口掃描工具對(duì)被攻擊者進(jìn)行端口掃描和漏洞檢測(cè)。經(jīng)過(guò)掃描，此臺(tái)虛機(jī)開(kāi)啟了445（SMB） 和 3389（RDP）端口，這些端口屬于易被攻擊的端口。

2.利用Nmap自帶的漏洞檢測(cè)腳本對(duì)445端口進(jìn)行掃描,結(jié)果顯示存在高危漏洞，漏洞編號(hào)MS17-010。

3.該漏洞極易被利用進(jìn)行遠(yuǎn)程控制，使用遠(yuǎn)程桌面登錄受控電腦，上傳勒索病毒（詳細(xì)過(guò)程省略）。

4.本次使用的勒索病毒為 GANDCRAB V5.0.4，運(yùn) 行之后將文件加密，文件被添加.yqqhahnck后綴，無(wú)法正常打開(kāi)，受控端桌面被替換成勒索信息，并留下索要贖金的.txt文件。

應(yīng)急響應(yīng)流程

根據(jù)相關(guān)技術(shù)標(biāo)準(zhǔn)，信息安全事件應(yīng)急響應(yīng)工作流程主要有預(yù)防預(yù)警、事件報(bào)告與先期處置、應(yīng)急處置、應(yīng)急結(jié)束和后期處置。應(yīng)急響應(yīng)工作流程如圖2所示。

1. 事件報(bào)告與先期處置

勒索病毒事件發(fā)生后，相關(guān)部門(mén)做好先期處置的同時(shí)應(yīng)立即組織研判，并做好信息通報(bào)工作。

2.應(yīng)急處置

勒索病毒屬于有害程序事件，該類事件的應(yīng)急處置措施，一是及時(shí)將被感染的設(shè)備與其他設(shè)備進(jìn)行隔離；二是采取有效措施對(duì)有害程序清除。通常采取的措施如下：

（1）當(dāng)發(fā)現(xiàn)信息系統(tǒng)感染有害程序時(shí)，工作人員應(yīng)立即對(duì)感染的設(shè)備或程序進(jìn)行確認(rèn)并上報(bào)部門(mén)領(lǐng)導(dǎo)。情況緊急的，應(yīng)先采取隔離、清除、暫停等處理措施，再進(jìn)行事件報(bào)告。

（2）在確認(rèn)受感染的設(shè)備后，應(yīng)立即將該設(shè)備與其他設(shè)備進(jìn)行隔離，并對(duì)其進(jìn)行數(shù)據(jù)備份，同時(shí)啟動(dòng)備用設(shè)備保持應(yīng)用的連續(xù)性。

（3）啟用反有害程序系統(tǒng)對(duì)設(shè)備進(jìn)行查殺處理，同時(shí)對(duì)其他設(shè)備進(jìn)行有害程序掃描和清除。清除工作完成后，對(duì)各類設(shè)備進(jìn)行安全加固，避免有害程序的再次感染。

圖2 應(yīng)急響應(yīng)工作流程圖

圖3 顯示被添加了惡意賬戶hacker

（4）如發(fā)現(xiàn)反有害程序軟件無(wú)法清除的，應(yīng)立即向本級(jí)信息安全主管部門(mén)報(bào)告，情況嚴(yán)重的，應(yīng)根據(jù)信息安全事件級(jí)別及時(shí)向上級(jí)主管部門(mén)匯報(bào)。

（5）在確認(rèn)病毒、蠕蟲(chóng)等有害程序被徹底根除之后，可恢復(fù)系統(tǒng)運(yùn)行。如果已啟用備用設(shè)備的，應(yīng)切換回原設(shè)備。

（6）如果受感染設(shè)備是主服務(wù)器并被多家單位和用戶訪問(wèn)過(guò)，在報(bào)上級(jí)主管部門(mén)批準(zhǔn)后，信息系統(tǒng)主管部門(mén)應(yīng)履行通告義務(wù)，告知各相關(guān)單位開(kāi)展有害程序掃描和清查工作。

根據(jù)以上工作流程，本次演練作如下應(yīng)急處置：

首先將受控端斷開(kāi)網(wǎng)絡(luò)連接，并逐一登錄同網(wǎng)段其他服務(wù)器，確認(rèn)是否感染勒索病毒，并緊急啟動(dòng)備份服務(wù)器，將數(shù)據(jù)恢復(fù)至最近備份狀態(tài)。

然后對(duì)受控端進(jìn)行排查：

對(duì)受控端進(jìn)行全盤(pán)病毒掃描，發(fā)現(xiàn)存在惡意程序；

檢查系統(tǒng)帳號(hào)，發(fā)現(xiàn)被添加了惡意賬戶hacker，如圖3所示；

查看受控端的日志，發(fā)現(xiàn)攻擊者登錄記錄，如圖4所示；

檢查受控端的進(jìn)程，存在勒索病毒惡意進(jìn)程HQnew.exe，如圖5所示；

檢查受控端是否存在高危漏洞、賬戶弱口令等安全風(fēng)險(xiǎn)，發(fā)現(xiàn)存在Windows遠(yuǎn)程命令執(zhí)行漏洞，漏洞編號(hào)為MS17-010；

對(duì)勒索病毒進(jìn)行分析，確認(rèn)勒索病毒類型為GandCrab5.0.2版本，該病毒目前無(wú)法解密，如圖6所示。

再對(duì)受控端進(jìn)行安全加固：

使用殺毒軟件清除服務(wù)器上殘留的病毒程序；

關(guān) 閉 445、135、137、138、139 等不必要的端口，關(guān)閉網(wǎng)絡(luò)共享，關(guān)閉Workstation等服務(wù)；

修改管理員密碼為高強(qiáng)度的復(fù)雜密碼，重命名系統(tǒng)管理員帳戶；

安裝操作系統(tǒng)補(bǔ)丁MS17-010；

使用漏掃工具和基線核查工具對(duì)受控端進(jìn)行安全掃描，根據(jù)報(bào)告，進(jìn)一步做安全加固，確保沒(méi)有高、中、低危漏洞和安全配置缺陷。

3.應(yīng)急結(jié)束和后期處置

當(dāng)信息安全事件得到妥善處置后，可按照程序結(jié)束應(yīng)急響應(yīng)。對(duì)此次勒索病毒事件進(jìn)行總結(jié)，從管理角度和技術(shù)角度來(lái)預(yù)防勒索病毒事件的發(fā)生。

圖4 在受控端日志中發(fā)現(xiàn)攻擊者登錄記錄

圖5 發(fā)現(xiàn)存在勒索病毒惡意進(jìn)程HQnew.exe

圖6 顯示該病毒目前無(wú)法解密

應(yīng)及時(shí)對(duì)系統(tǒng)進(jìn)行安全掃描，并及時(shí)更新操作系統(tǒng)補(bǔ)?。粐?yán)格管理第三方軟件的使用，并保證及時(shí)更新；加強(qiáng)對(duì)系統(tǒng)的監(jiān)控、審計(jì)與管理；定期對(duì)上傳的Web網(wǎng)頁(yè)文件進(jìn)行比對(duì)，包括文件的創(chuàng)建、更新時(shí)間、文件大小等；定期維護(hù)升級(jí)網(wǎng)站服務(wù)器，檢查服務(wù)器所存在的漏洞和安全隱患；使用U盤(pán)等移動(dòng)存儲(chǔ)設(shè)備進(jìn)行數(shù)據(jù)交換前要先進(jìn)行病毒檢查，同時(shí)禁用U盤(pán)的自動(dòng)播放功能；定期做好系統(tǒng)和重要數(shù)據(jù)的備份。

建議

在平時(shí)使用計(jì)算機(jī)過(guò)程中，怎樣有效的免遭勒索病毒的攻擊，給出以下建議：

1.養(yǎng)成良好的習(xí)慣

計(jì)算機(jī)必須安裝殺毒和安全防護(hù)軟件，安全軟件提示的各類風(fēng)險(xiǎn)行為不要輕易放行；定期更新病毒庫(kù)，及時(shí)更新系統(tǒng)補(bǔ)丁和第三方應(yīng)用軟件；使用高強(qiáng)度的復(fù)雜密碼，包括英文字母、數(shù)字、特殊字符的組合，定期更換密碼，不同賬戶使用不同的密碼；重要文件及時(shí)備份，定期做全備，適時(shí)做增備。

2.減少危險(xiǎn)的上網(wǎng)操作

不要游覽不良信息網(wǎng)站，這些網(wǎng)站經(jīng)常會(huì)掛馬或釣魚(yú)；不要輕易打開(kāi)陌生人發(fā)來(lái)的電子郵件，或訪問(wèn)不明的網(wǎng)絡(luò)鏈接；不要輕易打開(kāi)后綴名為 js、vbs、wsf、bat等腳本文件和exe、scr等可執(zhí)行程序，在網(wǎng)絡(luò)上接收的文件，先殺毒再打開(kāi)。