《惡意代碼基礎(chǔ)與防范（微課版）》 課件 第8章 勒索型惡意代碼

勒索型惡意代碼本章內(nèi)容概念及背景知識勒索型惡意軟件的原理勒索型惡意軟件示例勒索型惡意軟件防范勒索型惡意軟件的概念主機感染勒索病毒文件后，會在主機上運行勒索程序，遍歷本地所有磁盤指定類型文件進行加密操作，加密后文件無法讀取。然后生成勒索通知，要求受害者在規(guī)定時間內(nèi)支付一定價值的比特幣才能恢復數(shù)據(jù)，否則會被銷毀數(shù)據(jù)。什么是勒索病毒？WannaCry勒索病毒2017年5月12日WannaCry在全球爆發(fā)，勒索病毒使用MS17-010永恒之藍漏洞進行傳播感染。短時間內(nèi)感染全球30w+用戶，包括學校、醫(yī)療、政府等各個領(lǐng)域Globelmposter勒索病毒首次出現(xiàn)在2017年5月，主要釣魚郵件傳播，期間出現(xiàn)多種變種會利用RDP進行傳播

。2018年2月中旬新年開工之際Globelmposter變種再度來襲。受害者勒索界面勒索病毒的發(fā)展和進化勒索即服務(wù)（RaaS）市場規(guī)模年增長25

倍無特定目標勒索手段粗糙AIDS木馬世界首例勒索病毒1989Archievus木馬首次采用非對稱加密LockerPin首例安卓勒索軟件WannaCry軍用級漏洞利用200620152017針對特定目標難以解密、追蹤15年損失約3.15億美元大規(guī)模破壞損失2年增長15倍2019每14秒一次勒索攻擊病毒數(shù)量指數(shù)級增加損失將達到115億美元利用機器學習物聯(lián)網(wǎng)設(shè)備……計算機感染案例無孔不入的感染全球主流的敲詐者病毒家族（類型）有75種之多.CryptoHasYou.,777,7ev3n,7h9r,8lock8,AlfaRansomware,AlmaRansomware,AlphaRansomware,AMBA,Apocalypse,ApocalypseVM,AutoLocky,BadBlock,BaksoCrypt,Bandarchor,Bart,BitCryptor,BitStak,BlackShades

Crypter,Blocatto,Booyah,Brazilian,BrLock,Browlock,Bucbi,BuyUnlockCode,Cerber,Chimera,CoinVault,Coverton,Cryaki,Crybola,CryFile,CryLocker,CrypMIC,Crypren,Crypt38,Cryptear,CryptFile2,CryptInfinite,CryptoBit,CryptoDefense,CryptoFinancial,CryptoFortress,CryptoGraphicLocker,CryptoHost,CryptoJoker,CryptoLocker,Cryptolocker2.0,CryptoMix,CryptoRoger,CryptoShocker,CryptoTorLocker2015,CryptoWall1,CryptoWall2,CryptoWall3,CryptoWall4,CryptXXX,CryptXXX2.0,CryptXXX3.0,CryptXXX3.1,CTB-Faker,CTB-Locker,CTB-LockerWEB,CuteRansomware,DeCryptProtect,DEDCryptor,DetoxCrypto,DirtyDecrypt,DMALocker,DMALocker3.0,Domino,EDA2/HiddenTear,EduCrypt,El-Polocker,Enigma,FairWare,Fakben,Fantom,Fonco,Fsociety,Fury,GhostCrypt,Globe,GNLLocker,Gomasom,Goopic,Gopher,Harasom,Herbst,HiBuddy!,Hitler,HolyCrypt,HydraCrypt,iLock,iLockLight,InternationalPoliceAssociation,JagerDecryptor,Jeiphoos,Jigsaw,JobCrypter,KeRanger,KeyBTC,KEYHolder,KimcilWare,Korean,Kozy.Jozy,KratosCrypt,KryptoLocker,LeChiffre,Linux.Encoder,Locker,Locky,Lortok,LowLevel04,Mabouia,Magic,MaktubLocker,MIRCOP,MireWare,Mischa,MMLocker,Mobef,NanoLocker,Nemucod,NoobCrypt,Nullbyte,ODCODC,Offlineransomware,OMG!Ransomware,OperationGlobalIII,PadCrypt,Pclock,Petya,PizzaCrypts,PokemonGO,PowerWare,PowerWorm,PRISM,R980,RAAencryptor,Radamant,Rakhni,,Rannoh,Ransom32,RansomLock,Rector,RektLocker,RemindMe,Rokku,Samas-Samsam,Sanction,Satana,Scraper,Serpico,Shark,ShinoLocker,Shujin,Simple_Encoder,SkidLocker/Pompous,Smrss32,SNSLocker,Sport,Stampado,Strictor,Surprise,SynoLocker,SZFLocker,TeslaCrypt0.x-2.2.0,TeslaCrypt3.0+,TeslaCrypt4.1A,TeslaCrypt4.2,ThreatFinder,TorrentLocker,TowerWeb,Toxcrypt,Troldesh,TrueCrypter,TurkishRansom,UmbreCrypt,Ungluk,Unlock92,VaultCrypt,VenusLocker,Virlock,Virus-Encoder,WildFireLocker,Xorist,XRTN,Zcrypt,Zepto,Zimbra,Zlader/Russian,Zyklon200個加密型的RansomWareRansomWare上升趨勢勒索型惡意軟件原理

勒索病毒傳播需要植入到受害者主機的常見四種方式釣魚郵件惡意代碼偽裝在郵件附件中，誘使打開附件典型案例：Locky、Petya變種主要對象：個人PC蠕蟲式傳播通過漏洞和口令進行網(wǎng)絡(luò)空間中的蠕蟲式傳播典型案例：WannaCry、Petya變種主要對象無定向，自動傳播都有可能ExploitKit分發(fā)通過黑色產(chǎn)業(yè)鏈中的ExploitKit來分發(fā)勒索軟件典型案例：Cerber主要對象：有漏洞的業(yè)務(wù)Server勒索病毒常見傳播方式暴力破解通過暴力破解RDP端口、SSH端口，數(shù)據(jù)庫端口典型案例：.java、Globelmposter變種主要對象：開放遠程管理的Server勒索病毒常見傳播方式

網(wǎng)閘

醫(yī)院外網(wǎng)

醫(yī)院內(nèi)網(wǎng)

終端響應

邊界防護

邊界防護INTERNET

微信公眾號Web服務(wù)0Day漏洞暴力破解釣魚郵件社工攻擊移動存儲工具勒索病毒運行后對預定的文件類型進行加密文件加密完成文件加密后，彈出勒索對話框引起受害者注意彈框勒索對內(nèi)部網(wǎng)絡(luò)主機進行弱點探測網(wǎng)絡(luò)探測對存在弱點的內(nèi)網(wǎng)主機進行弱點利用并傳播勒索病毒內(nèi)網(wǎng)傳播內(nèi)網(wǎng)傳播感染勒索病毒內(nèi)網(wǎng)傳播方式OSDiskLocalDisk(s)ConnectedDevice(s)(USB)(e.g.BackupDisk)MappedNetworkDrive(s)(e.g.NAS/FileServers)OtherAccessibleFolders/SharedLocalNetwork

(e.g.NAS/FileServers)DropboxOneDrive破壞對象SocialEngineeringFlow勒索病毒的特點和挑戰(zhàn)網(wǎng)絡(luò)勒索病毒變異虛擬貨幣傳播手段傳統(tǒng)殺軟難以檢驗難以人力收集樣本盈利方式直接難以監(jiān)管追蹤多種傳播手段單一防御檢測方法難以應對勒索型惡意軟件案例

——WannaCryWannaCry怎么來的？2016.08ShadowBrokers入侵了EquaitonGroup,并竊取了大量機密文件。公開&出售公開了部分文件100萬比特幣出售其他的。怒而公開由于沒人接手，怒而公開機密工具。其中包括EnternalBlueWannaCry產(chǎn)生黑客們利用EnternalBlue的原理制作勒索型惡意代碼WannaCry是什么？WannaCry，一種電腦軟件勒索病毒。該惡意軟件會掃描電腦上的TCP445端口以類似于蠕蟲病毒的方式傳播，攻擊主機并加密主機上存儲的文件，然后要求以比特幣的形式支付贖金。永恒之藍是什么？EternalBlue這個工具就是利用windows系統(tǒng)的WindowsSMB遠程執(zhí)行代碼漏洞向Microsoft服務(wù)器消息塊(SMBv1)服務(wù)器發(fā)送經(jīng)特殊設(shè)計的消息，就能允許遠程代碼執(zhí)行。“MS017-010”漏洞，SMB漏洞。開放445文件共享端口的Windows機器。利用Metasploit中針對ms17-101漏洞的攻擊載荷進行攻擊獲取主機控制權(quán)限。WannaCry的危害范圍2017年5月12日，WannaCry勒索病毒事件造成99個國家遭受了攻擊，其中包括英國、美國、中國、俄羅斯、西班牙和意大利。WannaCry的危害范圍2017年5月14日，WannaCry勒索病毒出現(xiàn)了變種：WannaCry2.0，取消KillSwitch將會使傳播速度或更快。截止2017年5月15日，WannaCry造成至少有150個國家受到網(wǎng)絡(luò)攻擊，已經(jīng)影響到金融，能源，醫(yī)療等行業(yè)，造成嚴重的危機管理問題。中國部分Window操作系統(tǒng)用戶遭受感染，校園網(wǎng)用戶首當其沖，受害嚴重，大量實驗室數(shù)據(jù)和畢業(yè)設(shè)計被鎖定加密。我們該如何防范WannaCry入侵你的電腦呢？微軟聲稱如果用戶采用全新版本的Windows10系統(tǒng)，并開啟WindowsDefender的話，他們將會免疫這些勒索病毒。也就是說Windows10用戶大可放心，將不會受到這個勒索病毒的傳播。另一方面，失去安全更新支持的WindowsXP和WindowsVista操作系統(tǒng)非常容易遭受此類病毒的感染，微軟建議用戶盡早更新至全新操作系統(tǒng)應對。確保運行Windows操作系統(tǒng)的設(shè)備均安裝了全部補丁，并在部署時遵循了最佳實踐。此外，組織還應確保關(guān)閉所有外部可訪問的主機上的SMB端口(445,135,137,138,139端口，關(guān)閉網(wǎng)絡(luò)共享)。勒索病毒應急處置與加固平均長達243天未能發(fā)現(xiàn)平均60-90天才能修復如今那些有威脅的攻擊未被檢測到的威脅可修復的感染C&C通信加密勒索橫向傳播下一代防火墻端點檢測響應安全感知平臺郵件勒索病毒檢測惡意域名DGA勒索病毒檢測進程阻斷病毒查殺SMB解析勒索病毒檢測漏洞修復下一代防火墻EDR勒索病毒全網(wǎng)勒索情報云災備服務(wù)人工智能引擎安全專家值守響應檢測防御能力生成安全云腦持續(xù)對抗快速響應全生命周期的勒索防護勒索病毒防御體系勒索病毒是一個動態(tài)的攻擊過程，沒有一勞永逸的解決方案勒索病毒預防措施----安全管理制度建立完善的安全管理制度并嚴格執(zhí)行嚴格管理互聯(lián)網(wǎng)訪問權(quán)限，避免引入外部風險；嚴格控制內(nèi)網(wǎng)終端接入移動存儲設(shè)備，避免引入安全風險；網(wǎng)絡(luò)管理員應該周期性的使用網(wǎng)絡(luò)檢查設(shè)備檢查網(wǎng)絡(luò)或關(guān)注和整理網(wǎng)絡(luò)安全設(shè)備生成的日志報表，了解網(wǎng)絡(luò)是否存在安全風險，及時整改；禁止人為關(guān)閉計算機終端防病毒軟件等安全軟件；私人計算機終端禁止接入醫(yī)院網(wǎng)絡(luò)；強制所有安全設(shè)備/軟件每天更新規(guī)則庫并每隔一段時間檢查更新情況；……勒索病毒預防措施----網(wǎng)絡(luò)層面根據(jù)企業(yè)內(nèi)網(wǎng)絡(luò)實際情況，重新規(guī)劃安全隔離區(qū)域，通過防火墻設(shè)備修改配置策略實現(xiàn)區(qū)域與區(qū)域之間的安全隔離，避免勒索病毒在內(nèi)網(wǎng)擴散；嚴格配置外聯(lián)網(wǎng)絡(luò)的邊界訪問控制策略，例如互聯(lián)網(wǎng)接入?yún)^(qū)、外聯(lián)網(wǎng)絡(luò)接入?yún)^(qū)等（默認外聯(lián)機構(gòu)的網(wǎng)絡(luò)都是不安全的）；關(guān)閉不必要的端口訪問，僅開放必須的業(yè)務(wù)端口；加強邊界安全防護設(shè)備的策略配置，重新檢查配置情況，避免因策略配置缺失帶來的安全風險；及時更新內(nèi)外網(wǎng)所有安全設(shè)備/安全軟件的規(guī)則庫，目前絕大部分安全產(chǎn)品都是基于特征庫匹配的防護模式，更新到最新的規(guī)則庫有助于防御最新的安全風險；勒索病毒預防措施----邊界隔離H3C邊界防護解決方案可徹底解決以上問題，是針對邊界安全防護的最佳方案。方案由安全網(wǎng)關(guān)、入侵防御系統(tǒng)和安全管理平臺組成。安全網(wǎng)關(guān)SecPath防火墻/UTM融合2-4層的包過濾、狀態(tài)檢測等技術(shù)，配合SecPathIPS4-7層的入侵防御系統(tǒng)，實現(xiàn)全面的2-7層安全防護，有效地抵御了非法訪問、病毒、蠕蟲、頁面篡改等攻擊；并通過安全管理平臺對安全網(wǎng)關(guān)、入侵防御系統(tǒng)以及網(wǎng)絡(luò)設(shè)備進行統(tǒng)一安全管理。勒索病毒預防措施----系統(tǒng)及應用層面避免使用弱口令，口令強度要符合規(guī)范，并且定期更換，禁止多個終端/服務(wù)器使用同一口令；關(guān)閉Windows共享服務(wù)、遠程桌面控制