在过去几年里,勒索软件无疑让那些恶意软件的开发者们赚得盆满钵满。勒索软件的各种典型代表包括:2013 年的 CryptoLocker、2017 年 5 月的 WannaCry 和 2017 年 6 月的 NotPetya。
创新互联建站是专业的京山网站建设公司,京山接单;提供网站设计、成都网站制作,网页设计,网站设计,建网站,PHP网站建设等专业做网站服务;采用PHP框架,可快速的进行京山网站开发网页制作和功能扩展;专业做搜索引擎喜爱的网站,专业的做网站团队,希望更多企业前来合作!
它们的受害者包括各大电话公司、英国国家医疗服务(NHS)、以 FedEx 为首的快递公司、本田和雷诺之类的汽车制造商、以及乌克兰国家机构。
这些攻击目标往往是并无针对性,而且如果不加以防范的话,大多数企业在未来的某个时候还可能面临同类的威胁。
本文分为如下四部分对勒索软件进行深度剖析:
都是“比特币”惹的祸
什么是勒索软件?
勒索软件是一种快速传播的恶意软件,它可以加密计算机上的各种文件以换取赎金。
它通过锁定屏幕、键盘或文件,攻击者能够阻止或限制用户访问自己的系统,并通常以索取付款(一般是比特币之类的电子货币)的方式,换取文件或系统的解锁密钥。
在少数情况下,就算赎金已支付,勒索软件也无法解锁文件,或者文件内容在加密时就已被混乱,导致其永远无法再被访问。
同时,还有另一种风险存在:勒索软件在收到付款之后,可能在影响过的系统上留下痕迹,以便未来再次发起加密攻击。
与比特币的关系
众所周知,比特币是一种全球性的加密货币。由于它能够提供匿名性,因此常被作为赎金支付的首选方式。
鉴于系统中没有中间方(如银行或信用卡公司)的介入,因此交易直接发生在两个用户之间。
什么是电子赎金条?
与现实生活中的赎金条或勒索信类似,这种电子提示是给受害者或第三方留下的,告知他们攻击者已劫持了某些文件。
因此,在恶意软件体系中,它通常能明确地指示受害者如何通过转账(一般是比特币),以换取对被加密文件的破解或继续访问。
赎金条可以有多种形式,这当然会限制计算机的继续启动,但最常见有:
图 1:WannaCrypt 赎金条示例
那么应该付款吗?
当然不!因为如果支付了赎金,您最终将助长该恶意软件产业,给他们去攻击更多的无辜受害者提供资助。
同时,如果您被识别为愿意支付赎金的人,您可能在未来再次成为受害者。就算您付清了赎金,实际上也不能保证一定收到恢复数据的解密密钥。
此外,一些“假的”勒索软件变体,甚至都无法有效地真正加密数据,何况它们中的一些可能已经被破解,并且市面上已有了解密工具。
应该引起关注
在过去的几年里,勒索软件已经成为了大多数企业与个人系统的重大威胁,一些不那么举足轻重的电脑也可能会中招。
而且,因为家庭用户不一定有到位的备份策略,所以针对个人电脑的攻击会更为常见。
勒索攻击的后果一般是非常严重的,除了感染可能导致业务的中断之外,勒索软件攻击所造成的经济损失还会导致:
最重要的是,企业可能遭受到严重的声誉损失、失去现有或潜在客户、并长期削弱其品牌形象。
此外,勒索软件的目的也并不总是靠赎金牟利。在最近的一些案例中,人们发现某些勒索软件只是某些其他恶意目的的“面纱”。
它们给传统的网络攻击和数据盗窃提供了掩护,通过使得 IT 团队忙于应对显著的勒索软件感染事故,而限制或破坏了系统的整体效率。
如何会被感染?
勒索软件最常见的感染媒介是网络钓鱼,即通过诱惑用户去点击电子邮件中的恶意链接、附件或社交网站上的信息,电脑和移动设备就会被感染。
其他感染方式还包括:
“零容忍”地识别
虽然用户看到赎金条是最为明显的被感染迹象,但是勒索软件攻击在早期阶段并不那么明显。
恶意软件作者经常将勒索软件构造为:等到加密完成之后,再让受害者知道,这消耗了受害者及时限制攻击影响的宝贵时间。
在多数情况下,一旦业务环境受到了感染,勒索软件就可以通过网络共享的途径,在后台有条不紊地加密它有所有权访问的各种文件。
勒索软件的直观识别,通常始于用户报告 IT 团队某个文件已被损坏,或被创建了未知的文件扩展名。然后 IT 团队接手查找感染源,以控制正在进行的攻击,并遏制其影响。
以下部分旨在为 IT 团队提供指导,以应对正在进行的勒索软件感染、并标注出那些是被最终用户发现的感染源。
无论感染是正在继续还是已经停止,这些任务都可以被并行执行,同时也能通过组合判断来消除误报。
查看安全警报
请善用已经部署到环境的现有安全工具,包括查看防病毒软件(AV)的日志,入向电子邮件和代理设备上的日志警报。
虽然您会碰到大量的数据,但是这些可以与后面提到的其他任务相关联,以提高结果判断的准确性。
从用户处获取的信息
我们时常会忽略通过咨询 IT 支持人员或用户来确定事故的根源,因为他们对于日常工作中出现的异常现象会更敏锐、更具体。
您最好能提供一个单独的联系点,如某个邮件地址组或支持电话号码,以便用户直接报告问题,从而避免出现各自去频繁地呼叫 IT 支持人员,而耽误了他们实施调查的宝贵时间。
我们可以指导用户按照如下的检查表,逐条报告问题:
图 2:文件无法打开
图 3:桌面背景被修改
调查人员可以根据以下问题来进一步询问用户:
图 4:NanoLocker 的示例
虽然这会产生许多“噪音”,但是这些不但是事故的第一手资料,同时也能培养用户观察与报告问题的基本意识。
文件服务器是否被感染?
单从无法访问的角度来看,我们无法准确定位自己的文件共享服务器或主机是否已被感染。
因此请遵循以下步骤来予以判断:
检查文件所有权
为了加密,勒索软件必须打开并写入文件,这就意味着文件的所有权会被更改成受感染的用户。
另外,赎金条也同样需要有受感染帐户的权限。识别所有者的最快方法就是打开被加密文件的属性,在“详细信息”选项卡中查看其所有者。
图 5:识别所有者的用户名
你也可以用如下 PowerShell 命令来进行查询:
- Get-Acl ‘.\2017-finance_report.doc.wncry’ | Select Owner
我们可以通过手头的用户名来直接联系相关用户,然后通过查询活动目录,以获知用户登录的计算机名称。
虽然活动目录本身本地并不提供此项操作,但是我们可以使用以下的脚本来实现。当然,根据域的大小不同,该脚本的运行时间也有所差异。
- $username = "infected_username"
- $computers = Get-ADComputer -Filter 'Enabled -eq $true' -Properties Enabled | Select Name
- foreach ($comp in $computers) {
- $Computer = $comp.Name
- $ping = new-object System.Net.NetworkInformation.Ping
- $Reply = $null
- $Reply = $ping.send($Computer)
- if ($Reply.status -like 'Success'){
- $proc = gwmi win32_process -computer $Computer -Filter "Name = 'explorer.exe'"
- ForEach ($p in $proc) {
- $temp = ($p.GetOwner()).User
- if ($temp -eq $Username){
- write-host "$Username is logged on $Computer"
- }
- }
- }
- }
另外,用户名也可以作为筛选的条件,来获取某个用户当前所打开的文件列表。
当前文件共享会话
如果攻击针对的是网络共享,那么对于打开文件和当前会话的查询则非常有用。
那些具有多个连接的文件集会特别可疑,它们应该正在创建未知文件类型的文件。
要想显示当前会话,请打开“计算机管理”,用“系统工具→共享文件夹→会话”(如图 6)和“系统工具→共享文件夹→打开文件”(如图 7)来查看当前的各种文件共享和远程连接。
图 6:系统工具→共享文件夹→会话
图 7:系统工具→共享文件夹→打开文件
同样,你也可以使用 PowerShell 命令来查询打开的文件。
如果已知恶意软件的文件扩展名,您可以添加查询参数(-Match“extension_of_encrypted_files”),以限制返回结果的数量:
- Get-SmbOpenFile | Where-Object -Property ShareRelativePath -Match "extension_of_encrypted_files" | Select-Object ClientUserName,ClientComputerName,Path
另外,您可以根据用户名来筛选 Get-SmbOpenFile 的输出结果:
- Get-SmbOpenFile | Where-Object -Property ClientUserName -Match "infected_username" | Select-Object ClientComputerName,Path
关联文件的访问
识别出含有被加密的文件的共享路径,与用户组属性之间的关联。例如,如果财务共享文件夹里的文件被加密,并且只有财务用户才能有权访问,那么感染源很可能使用的是财务用户帐户。
同时,如果有多个受影响的共享路径,那么确定哪个用户组同时有多个访问权限是至关重要的。
例如:如果财务和销售的共享盘里的文件都被加密了,那么感染源很可能是财务用户,因为只有他们部门才有权访问这两个路径。
图 8:财务部用户可访问两个路径
有针对性的防病毒定义
您的防病毒供应商通常可以帮助您,为加密文件所关联的文件扩展名创建有针对性的定义更新(或手动创建特征签名)。这将有助于调查人员确定哪些系统受到了感染。
定义更新通常需要设置警报日志,而不是删除或隔离文件,否则在能够解密时,您的重要文件就已经丢失了。
该更新应该能够被推送到所有系统中,以获取被感染的系统列表,以及识别感染源。
在与防病毒供应商联系时,您可以涉及到如下方面,以便他们对您当前的情况有所了解:
检查连接互联网的主机
许多案例证明:那些面向外部提供终端服务、和远程桌面的主机最容易被恶意软件所感染。各类攻击者每天都会扫描数百万个 IP 地址,以寻找易受攻击的系统。
通过检查自己系统中这些服务的最近登录情况,您可以确定那些频繁使用网络连接的帐户,并限制感染的横向传播。
勒索软件样本
在调查期间,响应与分析团队通常会将潜在的恶意样本提交到事先设计好的沙箱中,进行快速自动的分析。这在很多情况下为分析工作提供了一个很好的起点。
名为 CAPE(Configuration and Payload Extraction,配置和有效负载提取)的开源工具会专门构建出上下文环境、并快速地分析输入样本是否为恶意。
如果在目标网络中发现了未知的可执行文件,你还能够将其上传到 https://cape.contextis.com/submit/ 进行深入分析。
以下是特别针对勒索软件的 CAPE 公开实例。它们分别展示了将文件写入磁盘,以及更改用户文档扩展名等行为。
如果您想构建自己的 CAPE 实例,也可以使用 GitHub 上的链接:https://github.com/ctxis/CAPE
确认过眼神,该行动了
无论是您自己在电脑上发现了令人讨厌的赎金条,还是您的员工报告了可疑的感染,您都需要迅速采取一些步骤来控制和修复,以减少损失。
下面分两部分来具体介绍:
给 C 级别的建议
不要惊慌,不要付款:
通知您的 IT 团队,并考虑获得外部帮助:
迅速行动,并制定公关计划:
确保符合法规和法律的要求:
这就意味着您必须在意识到数据泄露的 72 小时内通知主管部门,以及受影响的个人,以避免受到处罚。
给 IT 团队的技术指导
主要任务
下面列出了可应用于勒索软件感染场景的各项技术步骤:
与网络进行物理隔离,并关闭已识别的主机:这是一个关键性的步骤,应该尽快完成。鉴于最近蠕虫类勒索软件的流行(如 WannaCry 利用了 Windows 核心组件中的漏洞),如果缺少此步,企业将“如临大敌”。
在实践中,我们应该执行一些经过了充分测试的流程,如某种网络访问控制(NAC)的方案。
在需要时,可将主机与网络的连接断开,并提醒用户会出现无法访问共享盘的情况。
从网络中断开被加密的共享盘,或禁用写入权限:此举可以抑制任何新的文件被加密。
如果网络共享确实无法断开的话,请尽可能地根据调查结果撤销对共享盘的写入权限,以便用户仍可以只读的方式访问幸存的文件。
下一步是要确保加密进程已被停止。如果没有,则感染很可能在于服务器端,因此应当及时关闭服务器。
次要任务
为了限制感染的传播范围,并隔离源主机,我们可以采取如下步骤来予以减缓:
识别勒索软件家族:用沙箱进行分析,识别勒索软件的变种与类型会是一个复杂的过程,因此我们需要用到各种工具和信息。
其中包括:Context 的 CAPE(https://cape.contextis.com/)沙箱,它提供对恶意软件样本的详细技术分析;Chronicles 的 Virus Total 则(https://www.virustotal.com/)提供了更为全面的描述。
用 Google 检查文件扩展名:如果该软件已经存在了一段时间,那么在网上会有大量可用的信息。我们通过搜索文件扩展名,就能识别出勒索软件的家族类型。
另外,通过诸如 https://id-ransomware.malwarehunterteam.com/ 这样的第三方网站,我们也能够快速地通过勒索条、加密文件的样本来确定被感染的类型。
清理:在重新连接回网络之前,将主机恢复到之前的“干净”状态是非常必要的。
具体操作包括:完全擦除干净系统,从“黄金映像”中恢复,而不仅仅只是删除已知的感染文件那么简单。
随着虚机技术的发展,现在重新镜像的速度非常快,并且这是首选的可靠清理方法,尤其是在面对恶意软件已影响到硬盘引导扇区的时候。
恢复到已知安全日期的文件:公司的备份策略会影响到恢复的进程,因此需要有一个经过良好测试与实施的日常备份记录,以供不时之需。
另外如下面链接所示,一些防病毒供应商或免费工具网站也能提供第三方工具,以识别勒索软件家族中某些加密机制的弱点,并实现解密的服务。
https://success.trendmicro.com/solution/1114221-downloading-and-using-the-trend-micro-ransomware-file-decryptor
当然,如果发现备份记录失效的话,我们还可以将被加密的文件经过扫描之后,再传输到一个带有最新防病毒软件的干净系统之上,以便后续处理。
未雨绸缪,管好“一亩三分地”
只要恶意软件作者能够持续获利,那么勒索软件的攻击程度与范围就会不降反升。因此,企业的安全团队应时刻做好各种事件响应的准备。
下面我们列出了一些有助于最大限度地降低业务威胁的建议:
其中包括:防火墙和电子邮件安全产品可以阻止已知的恶意发件人、并去除已知的恶意附件类型;浏览器中的广告拦截器和脚本拦截器能够在用户端各司其职。
而新的“沙盒”隔离技术则可以阻止从钓鱼链接、恶意广告、网络驱动器和“水坑”中下载并执行勒索软件。
同时,对于违规所可能引起的公众利益受损,您应当确保有适当的沟通计划,以及具有及时通知媒体的能力。
【原创稿件,合作站点转载请注明原文作者和出处为.com】
当前标题:IT团队避免中招的“神技能”,让勒索软件见鬼去吧!
本文URL:http://www.shufengxianlan.com/qtweb/news11/219061.html
网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联