Windows服務(wù)器下勒索木馬的防護(hù)與對(duì)抗

摘要

去年的WannCry勒索病毒，讓全社會(huì)都關(guān)注到了這類新生的惡意軟件。從去年下半年開始，勒索病毒在國內(nèi)的攻擊重點(diǎn)開始轉(zhuǎn)向了各類服務(wù)器，尤其以windows服務(wù)器為甚。黑客利用弱口令和各類系統(tǒng)漏洞，軟件漏洞向服務(wù)器遠(yuǎn)程滲透投毒，經(jīng)常出現(xiàn)一個(gè)服務(wù)集群多臺(tái)主機(jī)被感染的情況，造成的影響輕則服務(wù)中斷，有嚴(yán)重的更影響到整個(gè)公司的運(yùn)營，已經(jīng)成為影響企業(yè)安全的一大問題。

趨勢與攔截?cái)?shù)據(jù)

針對(duì)服務(wù)器的爆破攻擊，一直是服務(wù)器主機(jī)面臨的一大類安全風(fēng)險(xiǎn)，我們對(duì)過去近兩個(gè)月來的爆破攻擊攔截量進(jìn)行了統(tǒng)計(jì)，雖然從數(shù)據(jù)波峰來看漲勢并不明顯，但波谷卻一直在穩(wěn)步提升，整體趨勢還是有進(jìn)一步提升的風(fēng)險(xiǎn)性。

自去年(2017年)下半年以來，服務(wù)器入侵就成為了勒索病毒傳播的主流手段。到本年度，通過入侵服務(wù)器植入勒索病毒的疫情已經(jīng)在所有勒索事件中的絕對(duì)主力，反倒是之前規(guī)模較大的個(gè)人PC用戶中招情況有所好轉(zhuǎn)。

與針對(duì)個(gè)人用戶的勒索攻擊有所不同，通過入侵服務(wù)器植入勒索病毒的方法受服務(wù)器整體數(shù)量和植入方式的影響，導(dǎo)致整體感染量級(jí)不會(huì)像個(gè)人PC一樣，動(dòng)輒上千。服務(wù)器一般數(shù)據(jù)資產(chǎn)價(jià)值要大大高于個(gè)人PC，雖然感染的絕對(duì)量沒有個(gè)人PC用戶高，但造成的損失和影響范圍缺遠(yuǎn)高于個(gè)人PC用戶。此外，值得注意的是，雖然針對(duì)服務(wù)器的入侵手段目前還是以RDP弱口令入侵為主要的入侵方案——這主要還是得益于該方案技術(shù)成熟且廣泛適用于大多數(shù)Windows服務(wù)器系統(tǒng)。但通過漏洞入侵系統(tǒng)也漸成趨勢：以目前流行的WebLogic漏洞入侵案例來說，就是利用了WebLogic的WLC組建漏洞對(duì)服務(wù)器實(shí)施滲透入侵。這主要是由于去年爆出的WLC組建CVE-2017-10271漏洞導(dǎo)致——雖然該漏洞已經(jīng)在去年10月被Oracle修復(fù)，但由于服務(wù)器系統(tǒng)中運(yùn)行的服務(wù)往往不能輕易中斷，更新經(jīng)常不夠及時(shí)，也有部分管理員不愿進(jìn)行更新。導(dǎo)致黑客可以利用已公開的漏洞攻擊那些尚未修復(fù)漏洞的服務(wù)。此類入侵手段將會(huì)成為黑客入侵服務(wù)器勒索投毒的新突破口，也希望廣大的服務(wù)器管理員能提起重視，及時(shí)關(guān)注安全趨勢并修復(fù)有漏洞的軟件。

被攻擊用戶分析

我們對(duì)今年被攻擊用戶的情況從行業(yè)分布、地域分布、系統(tǒng)、被攻擊原因等多方面做了統(tǒng)計(jì)分析，希望能幫助廣大管理員提高安全防護(hù)效果。

1. 行業(yè)分布

我們對(duì)今年1月到4月中招反饋情況統(tǒng)計(jì)分析發(fā)現(xiàn)，互聯(lián)網(wǎng)，工業(yè)企業(yè)，對(duì)外貿(mào)易與批發(fā)零售，政府機(jī)構(gòu)合計(jì)占比超過一半。其中尤以中小企業(yè)與中小互聯(lián)網(wǎng)企業(yè)最為突出，企業(yè)在網(wǎng)絡(luò)安全方面投入不足，而產(chǎn)品銷售維護(hù)又嚴(yán)重依賴互聯(lián)網(wǎng)信息系統(tǒng)，在中招之后只能選擇支付贖金解決，這也進(jìn)一步刺激了黑客的攻擊行為。對(duì)外貿(mào)易與批發(fā)零售行業(yè)，由于對(duì)外交流廣泛，也容易成為境外黑客的攻擊目標(biāo)。地方政府機(jī)構(gòu)服務(wù)器、網(wǎng)站，一直以來都是黑客攻擊重災(zāi)區(qū)，由于缺乏專業(yè)的安全運(yùn)維，漏洞修補(bǔ)不及時(shí)，被黑客攻擊拿下。

2. 地域分布

從地域分布看，信息產(chǎn)業(yè)發(fā)達(dá)的廣東省首當(dāng)其沖，位列第一，占比接近一半。之后是江蘇，浙江，山東，上海，北京等。地域分布情況看，主要和信息產(chǎn)業(yè)發(fā)展情況相關(guān)。

圖：全國各地區(qū)感染量占比分布圖

3. 系統(tǒng)分布

從操作系統(tǒng)分布來看，作為服務(wù)器使用，感染勒索病毒的機(jī)器中，windows server 2008與windows server 2008 R2是絕對(duì)的主力，很多用戶使用的還是較老版本的操作系統(tǒng)，甚至有已經(jīng)停止支持多年的windows server 2003。

4. 被攻擊原因分布

我們統(tǒng)計(jì)到的攻擊原因看，第一大類是由“弱口令”造成的，遠(yuǎn)程桌面服務(wù)被爆破，黑客遠(yuǎn)程登錄用戶計(jì)算機(jī)投毒，占比超過一半。從我們實(shí)地調(diào)查分析情況看，很多遠(yuǎn)程爆破并不是短時(shí)間完成的，而是持續(xù)一段時(shí)間的攻擊。用戶在攻擊過程中并未察覺異常，直至機(jī)器被拿下并投毒，再去查看日志才發(fā)現(xiàn)的問題!

而排第二位的，是共享文件夾被加密的情況，這一類情況相對(duì)比較“無辜”。被加密的是在局域網(wǎng)中共享的文件，這類一般是由于局域網(wǎng)中其它機(jī)器感染了勒索病毒，勒索病毒通過搜索局域網(wǎng)中共享文件夾，找到并加密了這些文件，共享文件的主機(jī)本身并未中木馬。

此外，如前所述，軟件漏洞和系統(tǒng)漏洞最近也常被用來投放木馬，如上文提到的WebLogic的反序列化漏洞，Apache Struts2的多個(gè)任意代碼執(zhí)行漏洞都被用做過遠(yuǎn)程投毒，對(duì)于沒有打補(bǔ)丁的機(jī)器來說，這些也都是極其危險(xiǎn)的!

攻擊來源分析

我們對(duì)勒索木馬家族進(jìn)行了長期對(duì)抗和跟蹤，在對(duì)抗過程中，我們發(fā)現(xiàn)了其中的一些特點(diǎn)，我們做了一些整理說明，希望通過我們的分享可以提升廣大管理員應(yīng)對(duì)此類攻擊的能力。我們也將繼續(xù)關(guān)注這類攻擊的后續(xù)發(fā)展。

1. 攻擊者家族

GlobeImposter,Crysis,BTCWare三款勒索病毒，是近來針對(duì)服務(wù)器攻擊的主流，占比超過90%。這三款勒索病毒，都屬于全球爆發(fā)類的勒索病毒，其中GlobeImposter更是多次攻擊國內(nèi)醫(yī)療和公共服務(wù)機(jī)構(gòu)，國內(nèi)外安全機(jī)構(gòu)多次發(fā)布過該家族的預(yù)警。

2. 使用工具情況

通過分析用戶端被攻擊情況，我們發(fā)現(xiàn)攻擊者使用工具主要有一下幾類：

1. 第一類，掃描爆破工具，此類工具配合“密碼字典”對(duì)主機(jī)實(shí)施第一波嗅探打擊，使用弱口令的機(jī)器很容易在這波掃描中被拿下!

2. 第二類是各類密碼嗅探工具，在完成第一波打擊之后，對(duì)局域網(wǎng)進(jìn)行滲透時(shí)使用的。這也是經(jīng)常出現(xiàn)一個(gè)集群，多臺(tái)主機(jī)同時(shí)中招的原因。

3. 第三類常用工具是進(jìn)程管理類工具。攻擊者一般在投毒時(shí)，通過這些工具結(jié)束安全防護(hù)軟件進(jìn)程和一些備份程序，數(shù)據(jù)庫服務(wù)等，方便木馬的投放與效果發(fā)揮。針對(duì)此類工具，我們也做了相應(yīng)防護(hù)。

4. 第四類工具是長期駐留工具，常見的有遠(yuǎn)控和后門程序，通過這類工具實(shí)現(xiàn)多主機(jī)的長期控制，一般會(huì)在滲透階段使用。

通過經(jīng)常被使用到的工具也可以看出，存在弱口令和嚴(yán)重系統(tǒng)漏洞或軟件漏洞的機(jī)器，最容易成為攻擊目標(biāo)!攻擊者通過這些工具的組合使用，對(duì)安全防護(hù)薄弱的這類服務(wù)器實(shí)施打擊，并進(jìn)行滲透和長期駐留，這對(duì)于服務(wù)器集群來說也是比較致命的，一臺(tái)存在漏洞的主機(jī)，就可能造成整個(gè)集群的淪陷。

從被攻擊時(shí)間角度看，攻擊多發(fā)生在晚上19點(diǎn)到次日7點(diǎn)這段時(shí)間，占比達(dá)到62%，而這段時(shí)間在國內(nèi)一般都是非工作時(shí)段。管理員經(jīng)常是在第二天早上來上班時(shí)才發(fā)現(xiàn)服務(wù)器出現(xiàn)故障。

從留下的勒索信息的聯(lián)系郵箱統(tǒng)計(jì)中，我們發(fā)現(xiàn)，較常使用的有qq.com的郵箱和匿名郵箱cock.li，通過我們與攻擊者的聯(lián)系發(fā)現(xiàn)，使用郵箱和我們交流的攻擊者大多使用了代理工具來訪問郵箱，ip地址遍布世界各地，攻擊者自身的防范意識(shí)較強(qiáng)。溝通使用的語言以英文為主，也有使用俄語等其它語種的聯(lián)系人。

攻擊手法與防護(hù)方案

弱口令爆破防護(hù)

針對(duì)這類最常見的攻擊方式，我們?cè)黾恿诉h(yuǎn)程登錄保護(hù)，對(duì)發(fā)現(xiàn)的可疑登錄行為進(jìn)行攔截，以提高這類攻擊的門檻。同時(shí)防黑加固也會(huì)對(duì)使用弱口令的機(jī)器進(jìn)行提示，提醒管理員盡快修改密碼。

防黑加固被弱口令攻擊的提醒：

漏洞防護(hù)

通過系統(tǒng)或者軟件漏洞，對(duì)服務(wù)器進(jìn)行攻擊，是僅次于RDP爆破的常見攻擊方式，針對(duì)此類攻擊我們提供了漏洞修復(fù)，熱補(bǔ)丁，漏洞防護(hù)三個(gè)維度的防護(hù)。當(dāng)然最穩(wěn)妥的方式還是安裝系統(tǒng)補(bǔ)丁，修復(fù)漏洞。但對(duì)于一些無法安裝補(bǔ)丁，或者沒有補(bǔ)丁的機(jī)器，我們熱補(bǔ)丁技術(shù)與漏洞防護(hù)技術(shù)，可以保護(hù)機(jī)器免收漏洞攻擊的影響，最大限度保護(hù)服務(wù)器安全。

解密工具

針對(duì)市面上出現(xiàn)的勒索病毒，我們都做了分析研究。對(duì)于其中可以解密的部分，我們制作了一鍵解密工具。360“解密大師”目前已成為全球最大最有效的勒索病毒恢復(fù)工具，可破解勒索病毒達(dá)百余種。我們也會(huì)繼續(xù)跟進(jìn)勒索病毒發(fā)展趨勢，繼續(xù)不斷補(bǔ)充完善這一工具。

反勒索服務(wù)

我們從2016年開始，推出了反勒索服務(wù)，旨在幫助已經(jīng)中招的用戶，協(xié)助解決勒索病毒的后續(xù)問題。通過反勒索服務(wù)，我們協(xié)助用戶解密文件，幫助用戶查找中招原因，排查機(jī)器中存在的安全隱患，提供安全建議，到目前已經(jīng)服務(wù)數(shù)千位用戶。對(duì)之前聯(lián)系過我們的中招用戶，在解密工具發(fā)布后，我們也會(huì)推送消息給用戶協(xié)助解密。

總結(jié)

根據(jù)我們對(duì)目前情況的分析，勒索病毒在今后一段時(shí)間，仍將是企業(yè)和個(gè)人面臨的最嚴(yán)重的一類安全問題。通過積極的防護(hù)措施，可以極大地避免勒索病毒帶來的風(fēng)險(xiǎn)，而事后補(bǔ)救措施往往代價(jià)高昂。針對(duì)windows服務(wù)器，我們給出以下安全建議：

1. 遵守安全規(guī)范，避免使用簡單口令，建議打開組策略中的密碼策略，強(qiáng)制要求使用足夠復(fù)雜度的口令，同時(shí)定期更換口令。

2. 及時(shí)更新系統(tǒng)和使用的軟件，尤其是有安全補(bǔ)丁放出時(shí)，更需要及時(shí)安裝更新。

3. 做好權(quán)限控制，關(guān)閉不必要的服務(wù)與端口。對(duì)于非對(duì)外提供的服務(wù)，避免暴露于公網(wǎng)上，控制機(jī)器間的訪問權(quán)限。

4. 對(duì)重要數(shù)據(jù)定期備份，可以選擇離線備份。

5. 安裝專業(yè)的安全防護(hù)軟件，保護(hù)系統(tǒng)安全。