勒索病毒攻擊事件漏洞分析及應(yīng)對(duì)防護(hù)策略

2018-11-09 02:39:54◆方欽

網(wǎng)絡(luò)安全技術(shù)與應(yīng)用 2018年11期

◆方欽

◆方欽

(廣州市海珠區(qū)疾病預(yù)防控制中心廣東 510288)

2017年5月12日，全球爆發(fā)了Wannacry勒索病毒安全事件，該事件波及面廣、影響深大，全球至少150個(gè)國(guó)家、30萬用戶[1]，近百個(gè)國(guó)家的政府、高校、醫(yī)院等機(jī)構(gòu)計(jì)算機(jī)或服務(wù)器深受其害，系統(tǒng)應(yīng)用文件遭受加密，應(yīng)用業(yè)務(wù)被迫中斷。本文重點(diǎn)介紹廣州市某疾控中心網(wǎng)絡(luò)邊界防火墻DMZ區(qū)一部服務(wù)器遭受勒索病毒攻擊的特征，分析存在的漏洞和危險(xiǎn)因素，在總結(jié)傳統(tǒng)防御攻擊、病毒植入手段的基礎(chǔ)上，著重介紹針對(duì)勒索病毒的應(yīng)對(duì)措施及有效防護(hù)策略，并創(chuàng)新性地提出信息網(wǎng)絡(luò)安全防護(hù)手段的方法論和技術(shù)論。

勒索病毒；傳統(tǒng)防御；方法論；技術(shù)論

0 引言

距2017年5月12日全球爆發(fā)勒索病毒事件兩周后，廣州市某區(qū)疾控中心網(wǎng)絡(luò)邊界防火墻DMZ區(qū)域的一臺(tái)應(yīng)用服務(wù)器也遭受攻擊，服務(wù)器所有的文件均被加密，勒索病毒攻擊者索要一定數(shù)量的比特幣，對(duì)外提供公共衛(wèi)生服務(wù)中斷，數(shù)據(jù)出現(xiàn)損失。

1 勒索病毒事件技術(shù)分析

1.1 勒索病毒攻擊痕跡取樣

中心邊界防火墻DMZ區(qū)域一部應(yīng)用服務(wù)器，操作系統(tǒng)為Windows2012 R2，部署ORACLE數(shù)據(jù)庫，對(duì)外提供公共衛(wèi)生服務(wù)。勒索病毒攻擊后，查找本地和防火墻的安全日志均未發(fā)現(xiàn)記錄，從服務(wù)器對(duì)攻擊源留下的痕跡文件中進(jìn)行取樣觀察，最顯著特征是將本地所有文件加密索取比特幣，否則無法破解使用。如圖1中，勒索病毒在服務(wù)器桌面上留下文件，宣稱服務(wù)器上的所有文件均被加密，提示打開[DECRYPT MY FILES]文件告知付款交易網(wǎng)址。

圖1 勒索病毒攻擊產(chǎn)生文件

1.2 勒索病毒原理及特征分析

勒索病毒是通過對(duì)用戶數(shù)據(jù)文件進(jìn)行加密、系統(tǒng)加鎖等方式使用戶文件或系統(tǒng)資源無法正常使用，進(jìn)而向用戶實(shí)施勒索病毒植入。2017年發(fā)生的Wannacry（想哭）勒索病毒事件，該病毒具備勒索病毒的一般特征，還兼具蠕蟲傳播、漏洞利用等特征[2]，由蠕蟲模塊、永恒之藍(lán)模塊、勒索軟件模塊三個(gè)功能結(jié)構(gòu)組成，其利用“永恒之藍(lán)”SMB漏洞攻擊工具，穿透網(wǎng)絡(luò)邊界進(jìn)入內(nèi)部，掃描內(nèi)網(wǎng)或局域網(wǎng)開放445文件共享端口的Windows用戶，如果該用戶的Windows操作系統(tǒng)沒有及時(shí)安裝MS17-010補(bǔ)丁，Wannacry勒索病毒則利用SMB服務(wù)漏洞植入惡意代碼，傳播病毒到該電腦，同時(shí)還會(huì)繼續(xù)搜索局域網(wǎng)內(nèi)其它存在同樣漏洞的設(shè)備，進(jìn)而繼續(xù)擴(kuò)大傳播面[3]，最終實(shí)現(xiàn)勒索病毒快速傳播、快速感染、磁盤數(shù)據(jù)加密的傳播攻擊鏈條。從中心服務(wù)器受勒索病毒攻擊后文件的后綴名分析（圖2），此次的勒索病毒應(yīng)該是Wannacry勒索病毒的變種，攻擊者身份不同，且手段各異，但其利用病毒軟件的原理不變。服務(wù)器感染病毒后，勒索病毒同樣會(huì)對(duì)本地的電腦文件進(jìn)行遍歷搜索，據(jù)技術(shù)分析高達(dá)170種常見文件，會(huì)查找.docx、.xlsx、.jpg、.txt等文件格式，然后使用RSA-2048和AES加密方法對(duì)其加密，產(chǎn)生大量包含后綴的文件。由于RSA公鑰加密是一種非對(duì)稱加密算法，其算法過程需要一對(duì)密鑰，即公鑰（公開密鑰）和私鑰（私有密鑰），公鑰對(duì)內(nèi)容進(jìn)行加密[3]，私鑰對(duì)公鑰加密的內(nèi)容進(jìn)行解密，由于私鑰被攻擊者所掌握，因此個(gè)人用戶或目前的計(jì)算能力基本上無法實(shí)現(xiàn)破解RSA-2048加密算法。

圖2 服務(wù)器文件受攻擊后的文件名

1.3 漏洞分析及應(yīng)急處置

事件發(fā)生后，對(duì)網(wǎng)絡(luò)架構(gòu)及服務(wù)器的漏洞及危險(xiǎn)因素進(jìn)行排查和對(duì)比，綜合分析潛在不足。服務(wù)器部署在防火墻的DMZ區(qū)域，受2017年5月12日全球的Wannacry勒索病毒事件影響后，防火墻的策略已經(jīng)進(jìn)行了全面的調(diào)整，外網(wǎng)訪問DMZ區(qū)域的服務(wù)端口僅開放預(yù)知和指定的，不存在開放135、445、137、138、139此類端口；服務(wù)器升級(jí)補(bǔ)丁且有安裝正版殺毒軟件，與內(nèi)網(wǎng)的病毒庫實(shí)時(shí)更新，防毒策略也執(zhí)行，唯一開放的端口是3389，主要是用于遠(yuǎn)程維護(hù)；另外公共衛(wèi)生服務(wù)水平提升引起相關(guān)黑客的關(guān)注。綜合分析得知，勒索病毒極大可能是掃描邊界的3389端口，穿越防火墻，將病毒軟件植入到DMZ區(qū)域的服務(wù)器。顯然，外環(huán)境的網(wǎng)絡(luò)安全極需重視和加強(qiáng)防護(hù)，3389等一些服務(wù)端口的不及時(shí)關(guān)閉同樣會(huì)遭受黑客的攻擊，工作中容易忽視。網(wǎng)絡(luò)應(yīng)急處置工作迅速開展，認(rèn)真查看防火墻、服務(wù)器的安全日志，查漏補(bǔ)缺，從網(wǎng)絡(luò)邊界防火墻、DMZ區(qū)、服務(wù)器、內(nèi)網(wǎng)客戶端全方位全鏈條調(diào)整策略，防火墻調(diào)整阻斷策略、訪問控制策略；服務(wù)器操作系統(tǒng)的本地防火墻以及第三方殺毒軟件均再次檢查端口配置、系統(tǒng)的補(bǔ)丁及時(shí)更新、口令強(qiáng)度加大；內(nèi)網(wǎng)客戶端下發(fā)免疫工具包和補(bǔ)丁包，強(qiáng)制執(zhí)行，關(guān)閉常用的文件共享端口，并要求定期執(zhí)行數(shù)據(jù)備份制度。

2 勒索病毒防護(hù)策略

2.1 應(yīng)對(duì)方法論

勒索病毒從發(fā)動(dòng)、感染、發(fā)作到最后的勒索一連貫動(dòng)態(tài)行為中，破壞性非常嚴(yán)重，造成的損失無法追溯和彌補(bǔ)，反映出平時(shí)信息安全維護(hù)思路狹窄及傳統(tǒng)反病毒天生的滯后性，傳統(tǒng)反病毒在解決病毒問題時(shí)必須先獲取病毒樣本，提取特征升級(jí)特征庫來攔截此類惡意樣本[4]。因此，需要?jiǎng)?chuàng)新性地在信息、網(wǎng)絡(luò)安全防護(hù)策略上采用“關(guān)口前移、重心下放”科學(xué)防控方法，“關(guān)口前移”要求在防控勒索病毒上，做好預(yù)測(cè)預(yù)防，響應(yīng)檢測(cè)。2015年賽門鐵克共發(fā)現(xiàn)100種新型勒索軟件，全球勒索病毒攻擊事件激增[4]，再到2017全球的Wannacry勒索病毒安全事件，表明在防護(hù)動(dòng)態(tài)監(jiān)測(cè)上完全可以實(shí)現(xiàn)，病毒防護(hù)的關(guān)口不應(yīng)局限在本單位或本區(qū)域，應(yīng)該前移放眼全國(guó)甚至全球，及時(shí)關(guān)注和預(yù)測(cè)病毒的發(fā)展動(dòng)態(tài)；“重心下放”要求從病毒的利用漏洞分析，防護(hù)手段不應(yīng)局限在一個(gè)防護(hù)邊界上，重心要下放到中心內(nèi)部職工，培養(yǎng)職工的安全意識(shí)、數(shù)據(jù)備份意識(shí)，安全地使用終端可以大大降低風(fēng)險(xiǎn)的傳播。

2.2 應(yīng)對(duì)技術(shù)論

2017年6月1日《國(guó)家網(wǎng)絡(luò)安全法》正式實(shí)施，明確國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)安全等級(jí)保護(hù)制度是一個(gè)參照標(biāo)準(zhǔn)，但在平時(shí)的研究工作當(dāng)中，技術(shù)上如何突破“關(guān)口前移”，一方面各病毒廠商的年報(bào)數(shù)據(jù)可以汲取，另一方面我們可以充分利用百度搜索引擎的百度指數(shù)，利用基于網(wǎng)絡(luò)事件、勒索病毒等關(guān)鍵詞的指數(shù)研究，通過百度指數(shù)的走勢(shì)來預(yù)判勒索病毒事件的動(dòng)態(tài)走向，提供指引性防控措施，提早干預(yù)和做好防護(hù)；“重心下放”技術(shù)上需嚴(yán)格地遵守《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》等的標(biāo)準(zhǔn)和要求，全方位評(píng)估內(nèi)網(wǎng)整個(gè)防護(hù)體系的風(fēng)險(xiǎn)，避免短板效應(yīng)，杜絕漏洞的存在，健全網(wǎng)絡(luò)，減少損失。

3 結(jié)束語

勒索病毒事件熱潮雖漸退但威脅仍在，新的網(wǎng)絡(luò)安全事件也會(huì)發(fā)生。要深刻認(rèn)識(shí)到網(wǎng)絡(luò)安全威脅無處不在。勒索病毒破壞性大、動(dòng)機(jī)多樣化，但可防可控，在網(wǎng)絡(luò)攻擊事件中學(xué)會(huì)提高威脅洞察能力，積累經(jīng)驗(yàn)，不斷增強(qiáng)預(yù)防、抵抗和應(yīng)急處置能力[5]。

[1]王樂東，李孟君，熊偉.勒索病毒的機(jī)理分析與安全防御對(duì)策[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2017.

[2]程三軍，王宇，李思其.Wannacry勒索病毒分析及對(duì)檢察信息化工作的啟示[A].中國(guó)計(jì)算機(jī)學(xué)會(huì).第32次全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集.中國(guó)計(jì)算機(jī)學(xué)會(huì)，2017.

[3]胡小勇，翔湛，張宏.你就是這樣被勒索的勒索病毒解密[J].電腦愛好者，2017.

[4]本刊編輯部.對(duì)話反病毒廠商勒索軟件應(yīng)對(duì)策略[J].中國(guó)信息安全，2017.

[5]竇媛媛.勒索病毒來襲，醫(yī)療系統(tǒng)成了最怕捏的“軟柿子”[J].今日科苑，2017.

廣東省廣州市海珠區(qū)基層醫(yī)療衛(wèi)生專項(xiàng)[海科工商信計(jì)2018-33]。