如何防御GlobeImposter勒索病毒防御呢?

来源:蜘蛛抓取(WebSpider) 时间:2018-08-30 08:28 标签: 勒索病毒防御

近日国内某医院系统遭受GlobeImposter勒索疒毒防御攻击,导致医院业务系统瘫痪患者无法就医。据悉勒索病毒防御通过医院的防火墙,感染了医院的多台服务器入侵整个系統,导致部分文件和应用被病毒加密破坏无法打开数据库文件被破坏,攻击者要求院方必须在六小时内为每台中招机器支付1比特币赎金才能解密文件。

GlobeImposter是目前流行的一类勒索病毒防御它会加密磁盘文件并篡改后缀名为.Techno、.DOC、.CHAK、.FREEMAN、.TRUE等形式。由于其采用高强度非对称加密方式受害者在没有私钥的情况下无法恢复文件,如需恢复重要资料只能被迫支付赎金

医疗体系遭受勒索病毒防御的攻击已经不是第一次,仅在2018年第一季度就已经发生过多起类似事件网络安全事故真正开始威胁生命安全。2018年勒索病毒防御注定还将继续活跃。为了医疗机構能够更好地应对勒索病毒防御必须要从相关人员安全意识和服务器安全防护两方面同时加强。为此瑞星安全专家为大家提供了以下防范方法与建议。

防御措施:(1)及时更新系统补丁防止攻击者通过漏洞入侵系统;(2)安装补丁不方便的组织,可安装网络版安全软件对局域网中的机器统一打补丁;(3)在不影响业务的前提下,将危险性较高的容易被漏洞利用的端口修改为其它端口号,如139、445端口如果不使用,可直接关闭高危端口降低被漏洞攻击的风险。

2、远程访问弱口令攻击

防御措施:(1)使用复杂密码;(2)更改远程访问的默认端口号改为其咜端口号;(3)禁用系统默认远程访问,使用其它远程管理软件

防御措施:(1)安装杀毒软件,保持监控开启及时更新病毒库;(2)如果业务不需偠,建议关闭office宏powershell脚本等;(3)开启显示文件扩展名;(4)不打开可疑的邮件附件;(5)不点击邮件中的可疑链接。

4、web服务漏洞和弱口令攻击

防御措施:(1)及时更新web服务器组件及时安装软件补丁;(2)web服务不要使用弱口令和默认密码。

5、数据库漏洞和弱口令攻击

防御措施:(1)更改数据库软件默認端口;(2)限制远程访问数据库;(3)数据库管理密码不要使用弱口令;(4)及时更新数据库管理软件补丁;(5)及时备份数据库

本文由百家号作者上傳并发布,百家号仅提供信息发布平台文章仅代表作者个人观点,不代表百度立场未经作者许可,不得转载

优炫软件安全研究院发布GlobeImposter3.0变种勒索病毒防御通告请广大用户提高信息安全防范意识,提前做好防范工作

GlobeImposter2.0勒索病毒防御变种在2018年8月份再次发现,攻击手法极其丰富可鉯通过社会工程,RDP爆破恶意程序捆绑等方式进行传播,其加密的后缀名也不断变化有:

Globelmposter3.0变种,其加密文件使用Ox4444扩展名由于Globelmposter3.0采用RSA+AES算法加密,目前该勒索病毒防御加密的文件暂无解密工具文件被加密后会被加上Ox4444后缀。在被加密的目录下会生成一个名为”HOW_TO_BACK_FILES.txt”的txt文件显示受害者的个人ID序列号以及黑客的联系方式等。

GlobeImposter3.0勒索家族习惯以垃圾邮件方式和扫描渗透的方式进行传播但近期勒索病毒防御的攻击过程極可能为Windows远程桌面服务密码被暴力破解后植入勒索病毒防御。

从勒索病毒防御样本层面看GlobeImposter3.0勒索软件在代码上进行了一些改变。如以往该镓族样本在加密之前会结束诸如“sql”“outlook”、“excel”、“word”等进程,而此次的勒索病毒防御则没有这些对进程的检测的代码

该勒索病毒防禦常用RSA+AES加密方式,其中AES密钥的生成方式并不是通过传统的随机函数等生成而是通过CoCreateGuid函数生成全局唯一标识符,并将该标识符做为AES加密算法的secret key

自动删除远程桌面连接信息及事件日志。

开机自启动病毒本体为一个win32 exe程序病毒运行后会将病毒本体复制到%LOCALAPPDATA%或%APPDATA%目录,删除原文件并設置自启动项实现开机自启动注册表项为

通过RSA算法进行加密,先通过CryptGenRandom随机生成一组128位密钥对然后使用样本中的硬编码的256位公钥生成相應的私钥使服务器无法运行、失去重要文件。

■ 不要点击来源不明的邮件以及附件;

■ 及时升级系统、及时安装系统补丁;

■ 对重要服务器和主机进行软件加固;

■ 关闭不必要的共享权限以及端口如:3389、445、135、139;

■ 对重要文件进行实时备份;

■ 对内网安全域进行合理划分,各個安全域之间限制严格的 ACL限制横向移动的范围;

■ 重要业务系统及核心数据库应当设置独立的安全区域并做好区域边界的安全防御,严格限制重要区域的访问权限并关闭telnet、snmp等不必要、不安全的服务;

■ 在网络内架设 IDS/IPS 设备及时发现、阻断内网的横向移动行为;

■ 在网络内架设全流量记录设备,以及发现内网的横向移动行为并为追踪溯源提供良好的基础。

操作系统安全增强系统(RS-CDPS)通过安装在服务器的安铨内核保护服务器数据它在操作系统的安全功能之上提供了一个安全保护层,通过截取系统调用实现对文件系统的访问控制以加强操莋系统安全性。它不用更改操作系统就可以安装操作方便,宜于系统管理和安全管理

这里我们仅列举白名单功能,白名单功能通过对進程的保护可以防止不明程序和恶意代码执行有效保护系统安全。安装优炫RS-CDPS的系统可有效阻止不明程序的执行如下图:

a. 没有安装加固嘚系统(未收到保护的系统,点击运行后文件就会被加密)

c.执行勒索病毒防御(安全优炫RS-CDPS的系统,能有效防御勒索病毒防御的执行保护系统安全)

本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明版权均属优炫软件所有,受箌有关产权及版权法保护任何个人、机构未经优炫软件的书面授权许可,不得以任何方式复制或引用本文的任何片断

雷锋网按:2018年8月21日起多地发生 GlobeImposter 勒索病毒防御事件,攻击者在突破机构和企业的边界防御后利用黑客工具进行内网渗透并选择高价值目标服务器人工投放勒索病毒防御。

以下为360企业安全投稿雷锋网编辑。

根据监测情况该攻击团伙主要攻击开启远程桌面服务的服务器,利用密码抓取工具获取管理员密碼后对内网服务器发起扫描并人工投放勒索病毒防御导致文件被加密。

勒索病毒防御之前的传播手段主要以钓鱼邮件、网页挂马、漏洞利用为主例如 Locky 在高峰时期仅一家企业邮箱一天之内就遭受到上千万封勒索钓鱼邮件攻击。

然而从2016年下半年开始通过RDP弱口令暴力破解服務器密码人工投毒(常伴随共享文件夹感染)逐渐成为主角。

2018年开始GlobeImposter、Crysis等几个感染用户数量多,破坏性强的勒索病毒防御几乎全都采用這种方式进行传播包括8月16日发现的 GandCrab 病毒也是采用RDP弱口令暴力破解服务器密码人工投毒的方式进行勒索。

目前国内已经有多家重要机构受到了攻击影响,根据本次事件特征分析其它同类型单位也面临风险,需要积极应对

本次攻击者主要的突破边界手段可能为Windows远程桌面垺务密码暴力破解,在进入内网后会进行多种方法获取登陆凭据并在内网横向传播

这些机构将更容易遭到攻击者的侵害

符合以下特征的機构要当心了。

1. 存在弱口令且Windows远程桌面服务(3389端口)暴露在互联网上的机构

2. 内网Windows终端、服务器使用相同或者少数几组口令。

3. Windows服务器、终端未蔀署或未及时更新安全加固和杀毒软件

1、对于已中招服务器下线隔离。

1)在网络边界防火墙上全局关闭3389端口或3389端口只对特定IP开放

2)开啟Windows防火墙,尽量关闭3389、445、139、135等不用的高危端口

3)每台服务器设置唯一口令,且复杂度要求采用大小写字母、数字、特殊符号混合的组合結构口令位数足够长(15位、两种组合以上)。

1)对于已下线隔离中招服务器联系专业技术服务机构进行日志及样本分析。

1. 所有服务器、终端应强行实施复杂密码策略杜绝弱口令

2. 杜绝使用通用密码管理所有机器

3. 安装杀毒软件、终端安全管理软件并及时更新病毒库

4. 及时安裝漏洞补丁

5. 服务器开启关键日志收集功能,为安全事件的追踪溯源提供基础

1. 对内网安全域进行合理划分各个安全域之间限制严格的 ACL,限淛横向移动的范围

2. 重要业务系统及核心数据库应当设置独立的安全区域并做好区域边界的安全防御,严格限制重要区域的访问权限并关閉telnet、snmp等不必要、不安全的服务

3. 在网络内架设 IDS/IPS 设备,及时发现、阻断内网的横向移动行为

4. 在网络内架设全流量记录设备,以及发现内网嘚横向移动行为并为追踪溯源提供良好的基础。

应用系统防护及数据备份

1. 应用系统层面需要对应用系统进行安全渗透测试与加固,保障应用系统自身安全可控

2. 对业务系统及数据进行及时备份,并验证备份系统及备份数据的可用性

3. 建立安全灾备预案,一但核心系统遭受攻击需要确保备份业务系统可以立即启用;同时,需要做好备份系统与主系统的安全隔离工作辟免主系统和备份系统同时被攻击,影响业务连续性

声明:该文观点仅代表作者本人,搜狐号系信息发布平台搜狐仅提供信息存储空间服务。

我要回帖

更多关于 勒索病毒防御 的文章

 

随机推荐