您的位置:首页>>业界动态

Windows服务器下勒索木马的防护与对抗

发布时间:2018-04-26 09:58:33  来源:互联网   编辑:张宏伟  背景:

  摘要

  去年的WannCry勒索病毒,让全社会都关注到了这类新生的恶意软件。从去年下半年开始,勒索病毒在国内的攻击重点开始转向了各类服务器,尤其以windows服务器为甚。黑客利用弱口令和各类系统漏洞,软件漏洞向服务器远程渗透投毒,经常出现一个服务集群多台主机被感染的情况,造成的影响轻则服务中断,有严重的更影响到整个公司的运营,已经成为影响企业安全的一大问题。

  趋势与拦截数据

  针对服务器的爆破攻击,一直是服务器主机面临的一大类安全风险,我们对过去近两个月来的爆破攻击拦截量进行了统计,虽然从数据波峰来看涨势并不明显,但波谷却一直在稳步提升,整体趋势还是有进一步提升的风险性。

  自去年(2017年)下半年以来,服务器入侵就成为了勒索病毒传播的主流手段。到本年度,通过入侵服务器植入勒索病毒的疫情已经在所有勒索事件中的绝对主力,反倒是之前规模较大的个人PC用户中招情况有所好转。

  与针对个人用户的勒索攻击有所不同,通过入侵服务器植入勒索病毒的方法受服务器整体数量和植入方式的影响,导致整体感染量级不会像个人PC一样,动辄上千。服务器一般数据资产价值要大大高于个人PC,虽然感染的绝对量没有个人PC用户高,但造成的损失和影响范围缺远高于个人PC用户。此外,值得注意的是,虽然针对服务器的入侵手段目前还是以RDP弱口令入侵为主要的入侵方案——这主要还是得益于该方案技术成熟且广泛适用于大多数Windows服务器系统。但通过漏洞入侵系统也渐成趋势:以目前流行的WebLogic漏洞入侵案例来说,就是利用了WebLogic的WLC组建漏洞对服务器实施渗透入侵。这主要是由于去年爆出的WLC组建CVE-2017-10271漏洞导致——虽然该漏洞已经在去年10月被Oracle修复,但由于服务器系统中运行的服务往往不能轻易中断,更新经常不够及时,也有部分管理员不愿进行更新。导致黑客可以利用已公开的漏洞攻击那些尚未修复漏洞的服务。此类入侵手段将会成为黑客入侵服务器勒索投毒的新突破口,也希望广大的服务器管理员能提起重视,及时关注安全趋势并修复有漏洞的软件。

  被攻击用户分析

  我们对今年被攻击用户的情况从行业分布、地域分布、系统、被攻击原因等多方面做了统计分析,希望能帮助广大管理员提高安全防护效果。

  1. 行业分布

  我们对今年1月到4月中招反馈情况统计分析发现,互联网,工业企业,对外贸易与批发零售,政府机构合计占比超过一半。其中尤以中小企业与中小互联网企业最为突出,企业在网络安全方面投入不足,而产品销售维护又严重依赖互联网信息系统,在中招之后只能选择支付赎金解决,这也进一步刺激了黑客的攻击行为。对外贸易与批发零售行业,由于对外交流广泛,也容易成为境外黑客的攻击目标。地方政府机构服务器、网站,一直以来都是黑客攻击重灾区,由于缺乏专业的安全运维,漏洞修补不及时,被黑客攻击拿下。

  2. 地域分布

  从地域分布看,信息产业发达的广东省首当其冲,位列第一,占比接近一半。之后是江苏,浙江,山东,上海,北京等。地域分布情况看,主要和信息产业发展情况相关。

图:全国各地区感染量占比分布图

  3. 系统分布

  从操作系统分布来看,作为服务器使用,感染勒索病毒的机器中,windows server 2008与windows server 2008 R2是绝对的主力,很多用户使用的还是较老版本的操作系统,甚至有已经停止支持多年的windows server 2003。

  4. 被攻击原因分布

  我们统计到的攻击原因看,第一大类是由“弱口令”造成的,远程桌面服务被爆破,黑客远程登录用户计算机投毒,占比超过一半。从我们实地调查分析情况看,很多远程爆破并不是短时间完成的,而是持续一段时间的攻击。用户在攻击过程中并未察觉异常,直至机器被拿下并投毒,再去查看日志才发现的问题!

  而排第二位的,是共享文件夹被加密的情况,这一类情况相对比较“无辜”。被加密的是在局域网中共享的文件,这类一般是由于局域网中其它机器感染了勒索病毒,勒索病毒通过搜索局域网中共享文件夹,找到并加密了这些文件,共享文件的主机本身并未中木马。

  此外,如前所述,软件漏洞和系统漏洞最近也常被用来投放木马,如上文提到的WebLogic的反序列化漏洞,Apache Struts2的多个任意代码执行漏洞都被用做过远程投毒,对于没有打补丁的机器来说,这些也都是极其危险的!

  攻击来源分析

  我们对勒索木马家族进行了长期对抗和跟踪,在对抗过程中,我们发现了其中的一些特点,我们做了一些整理说明,希望通过我们的分享可以提升广大管理员应对此类攻击的能力。我们也将继续关注这类攻击的后续发展。

  1. 攻击者家族

  GlobeImposter,Crysis,BTCWare三款勒索病毒,是近来针对服务器攻击的主流,占比超过90%。这三款勒索病毒,都属于全球爆发类的勒索病毒,其中GlobeImposter更是多次攻击国内医疗和公共服务机构,国内外安全机构多次发布过该家族的预警。

  2. 使用工具情况

  通过分析用户端被攻击情况,我们发现攻击者使用工具主要有一下几类:

  1. 第一类,扫描爆破工具,此类工具配合“密码字典”对主机实施第一波嗅探打击,使用弱口令的机器很容易在这波扫描中被拿下!

  2. 第二类是各类密码嗅探工具,在完成第一波打击之后,对局域网进行渗透时使用的。这也是经常出现一个集群,多台主机同时中招的原因。

  3. 第三类常用工具是进程管理类工具。攻击者一般在投毒时,通过这些工具结束安全防护软件进程和一些备份程序,数据库服务等,方便木马的投放与效果发挥。针对此类工具,我们也做了相应防护。

  4. 第四类工具是长期驻留工具,常见的有远控和后门程序,通过这类工具实现多主机的长期控制,一般会在渗透阶段使用。

  通过经常被使用到的工具也可以看出,存在弱口令和严重系统漏洞或软件漏洞的机器,最容易成为攻击目标!攻击者通过这些工具的组合使用,对安全防护薄弱的这类服务器实施打击,并进行渗透和长期驻留,这对于服务器集群来说也是比较致命的,一台存在漏洞的主机,就可能造成整个集群的沦陷。

  从被攻击时间角度看,攻击多发生在晚上19点到次日7点这段时间,占比达到62%,而这段时间在国内一般都是非工作时段。管理员经常是在第二天早上来上班时才发现服务器出现故障。

  从留下的勒索信息的联系邮箱统计中,我们发现,较常使用的有qq.com的邮箱和匿名邮箱cock.li,通过我们与攻击者的联系发现,使用邮箱和我们交流的攻击者大多使用了代理工具来访问邮箱,ip地址遍布世界各地,攻击者自身的防范意识较强。沟通使用的语言以英文为主,也有使用俄语等其它语种的联系人。

  攻击手法与防护方案

  弱口令爆破防护

  针对这类最常见的攻击方式,我们增加了远程登录保护,对发现的可疑登录行为进行拦截,以提高这类攻击的门槛。同时防黑加固也会对使用弱口令的机器进行提示,提醒管理员尽快修改密码。

  防黑加固被弱口令攻击的提醒:

  漏洞防护

  通过系统或者软件漏洞,对服务器进行攻击,是仅次于RDP爆破的常见攻击方式,针对此类攻击我们提供了漏洞修复,热补丁,漏洞防护三个维度的防护。当然最稳妥的方式还是安装系统补丁,修复漏洞。但对于一些无法安装补丁,或者没有补丁的机器,我们热补丁技术与漏洞防护技术,可以保护机器免收漏洞攻击的影响,最大限度保护服务器安全。

  解密工具

  针对市面上出现的勒索病毒,我们都做了分析研究。对于其中可以解密的部分,我们制作了一键解密工具。360“解密大师”目前已成为全球最大最有效的勒索病毒恢复工具,可破解勒索病毒达百余种。我们也会继续跟进勒索病毒发展趋势,继续不断补充完善这一工具。

  反勒索服务

  我们从2016年开始,推出了反勒索服务,旨在帮助已经中招的用户,协助解决勒索病毒的后续问题。通过反勒索服务,我们协助用户解密文件,帮助用户查找中招原因,排查机器中存在的安全隐患,提供安全建议,到目前已经服务数千位用户。对之前联系过我们的中招用户,在解密工具发布后,我们也会推送消息给用户协助解密。

  总结

  根据我们对目前情况的分析,勒索病毒在今后一段时间,仍将是企业和个人面临的最严重的一类安全问题。通过积极的防护措施,可以极大地避免勒索病毒带来的风险,而事后补救措施往往代价高昂。针对windows服务器,我们给出以下安全建议:

  1. 遵守安全规范,避免使用简单口令,建议打开组策略中的密码策略,强制要求使用足够复杂度的口令,同时定期更换口令。

  2. 及时更新系统和使用的软件,尤其是有安全补丁放出时,更需要及时安装更新。

  3. 做好权限控制,关闭不必要的服务与端口。对于非对外提供的服务,避免暴露于公网上,控制机器间的访问权限。

  4. 对重要数据定期备份,可以选择离线备份。

  5. 安装专业的安全防护软件,保护系统安全。




关注ITBear科技资讯公众号(itbear365 ),每天推送你感兴趣的科技内容。

  声明:本文仅为传递更多网络信息,不代表ITBear观点和意见,仅供参考了解,更不能作为投资使用依据。


返回网站首页 本文来源:互联网

漫威十年,过去的成功可以一直复制吗?
没有什么能挡得住《复仇者联盟3》的热度。

日期:05-16
想革微软的命,罗永浩没人懂
钛媒体注:5月15日,锤子科技的鸟巢发布会如期举行。除发布坚果手机 R1,最大的亮点是发布了坚果 TN...
日期:05-16
刚刚 滴滴公布了顺风车阶段整改措施!
 日前,滴滴顺风车乘客遇害一事引发广泛关注。滴滴此前已经宣布对顺风车业务全国暂停整顿一周(5月12日零时起)。
日期:05-16
斗鱼联手大疆打造“机甲电竞”新概念 专业级赛事来袭!
机甲格斗综艺在2018年突然火了起来,爱奇艺在3月底上线了《机器人争霸》,优酷紧跟着就在4月初上线...
日期:05-16
共享汽车PonyCar联合自动驾驶AutoX发起未来出行实验室
近日,在接受中国国际电视台(CGTN)采访时,PonyCar马上用车联合创始人&CMO杨深向记者透露,Pony...
日期:05-16
520荣耀国美超品日,荣耀V10最高直降200元
每年520都是小情侣们增进感情的好日子,又恰逢今年520在周末,荣耀似乎要有大动作。
日期:05-16
QuestMobile微信游戏小程序报告:爆款不断、转化效应已经显现……
一、游戏小程序已是微信小程序最大流量构成
  1、小游戏被证明是将微信用户转化为小程序用户...
日期:05-16
酷狗音乐亮相深圳文博会 多元音乐玩法备受关注
 近日第十四届中国国际文化产业博览交易会在深圳会展中心拉开帷幕。
日期:05-16
四月安全舆情:勒索病毒瞄准企业用户 安全漏洞成攻击入口
近日,腾讯安全联合实验室反病毒实验室接连发布《四月安全舆情报告》与《四月勒索病毒月报》,详细...
日期:05-16
清华、浙大、中科大12所高校隔空喊话 TCTF 2018新人邀请赛决赛一触即发
第二届腾讯信息安全争霸赛(TCTF)决赛进入十天倒计时!5月25日-26日,从794支国际战队、163支高校战队...
日期:05-16
怪兽充电亮相中国自主品牌博览会  践行“创新自中国”
5月10日至12日,由国家发改委、中宣部等七部委和上海市政府共同主办的首届中国自主品牌博览会暨中国...
日期:05-16
以智汇,致初心!百度长江学堂三期学员录取名单揭晓
日前,百度与长江商学院创创社区联合开发的互联网创业生态课程——百度长江学堂三期班录...
日期:05-16
新机遇 SHC CHINA擎朗智能成全展人气品牌
第四届上海国际餐饮连锁加盟展览会今日将落下帷幕,作为亚太地区顶级影响力的特许经营与餐饮连锁加...
日期:05-16
OPPO R15星云特别版开启预约 红蓝渐变时尚设计或再成爆款
5月16日上午10点,OPPO官方对外正式公布OPPO R15星云特别版,并正式开启预约。根据官方发出的图片,...
日期:05-16
金融业欲携手蚂蚁金服,建移动智惠金融
突然有一天,传统金融业发觉自己竟然喜欢上了蚂蚁金服,而仅仅在数年前,后者还曾像一条鲶鱼那样,让他们感到不适。
日期:05-16
苹果再诉三星 双方就赔偿标准针锋相对
据CNET北京时间5月16日报道,对于智能手机而言,整体大于各部分之和?苹果就持这种观点。但当地时间...
日期:05-16
515家庭日 国美温情走进千家万户
5月15日是国际家庭日,同时也是国美家庭日。国际家庭日关注工作与家庭的良好平衡关系,国美家庭日更...
日期:05-16
“春笋计划”赋能 网通社构建内容生态闭环
近日,百度正式对外发布熊掌号“春笋计划”,“春笋计划”是熊掌号时代百度搜...
日期:05-16
翼信创新互联网+通讯,以智能服务于人
每天上班前的电梯间2分钟里,小张都会打开“马上办”快速梳理一天工作:今日待办按优先级...
日期:05-16
京东物流服务再升级,京尊达推用户可选功能
“我的意中人是一位盖世英雄,有一天他会身披金甲圣衣、驾着七彩祥云来娶我。”每一个女孩...
日期:05-16