听说了吗?某某企业被勒索了、员工没办法开机办公,甚至还有某某行业巨头被勒索了,赎金高达成百上千万!时不时,网上就会有这样一些消息被披露出来,被勒索的企业覆盖医疗、制造等行业居多,不乏行业巨头。
当然,被勒索企业的入侵手法不尽相同。作为一个常年处在一线的应急响应工程师,日常看到很多应对勒索病毒入侵事件的真实场景,普遍都相对被动,不知所措,每次都觉得非常可惜。
本文更偏向一个科普性的文章,是一些常见的Windows勒索病毒应急思路和常见问题的梳理。然而,面对当下主流的勒索事件,笔者相信如果将一些事情前置,至少可以规避大范围的受损,而非在事后投入大量人力物力财力挽救。
每一次勒索事件背后,都一定程度反映一个道理:当企业的业务发展程度与安全建设水平严重不匹配时,就很大概率被黑客锁定为目标,同时又给黑客有可乘之机,最终成为受害者。
01 勒索病毒背景介绍
勒索病毒,是一种新型电脑病毒,主要以RDP爆破、邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。2019年末,勒索已然呈现出“双重勒索”的趋势,即先窃取商业数据,然后实施勒索,如果未能在规定时间内支付赎金,将于网上(通常是暗网)公开售卖企业的商业数据。
常见的勒索病毒事件一般都是被加密后才发现被勒索了,而并不是在勒索释放前或者攻击前就被发现并及时处理,其实很多勒索在攻击前或者攻击中是能够发现的,在很多现场见到过安全设备一大堆,但是没有办法判断是不是勒索,杀毒软件已经清理勒索并告警了但是也没有人去在意,或者说告警的信息根本就不知道是什么信息,甚至不知道什么是勒索,一直等到被加密才后悔莫及。
02 如果你正在遭受勒索病毒攻击,那么快速处置的方法有哪些?
(1)物理隔离,最好是直接拔网线,云环境及时修改安全组策略,将被感染的机器隔离,确保被感染的机器不能和内网其他机器通讯,防止内网感染,如果被勒索的机器和未被勒索的机器存在相同的登录口令,及时修改未感染机器的登录口令。(如远程连接的登录账号密码口令相同)
(2)不要破坏被勒索的服务器环境,禁止杀毒/关机/重启/修改后缀等操作,最好保持原封不动,在不了解的情况下,任何动作都可能导致数据永远无法恢复。
(3)及时关闭或更改未感染机器远程桌面/共享端口(如:22/135/139/445/3389/3306/1521)
(4)对未感染的机器进行备份,备份后及时物理隔离开备份数据(如:硬盘或者u盘备份后需要及时拔掉)
(5)在不了解勒索病毒的情况下,建议不要直接联系黑客(容易钱财两空)
03 勒索病毒加密时的特征现象有哪些?
(1) 系统瞬时CPU占用高,接近100%,这个现象主要是在批量加密文件。
(2) 所有应用都被无法使用和打开。
(3) 系统应用文档被加密无法修改。
(4) 文件后缀被修改并留下勒索信。
(5) 桌面主题被修改。
(6) 杀毒软件告警。(可能你并不懂告警了CrySiS是什么东西)
04 勒索病毒常见的家族有哪些?
(1)LockB it: LockBit于 2019 年 9 月首次以 ABCD勒索软件的形式出现,2021年发布2.0版本,相比第一代,LockBit 2.0号称是世界上最快的加密软件,加密100GB的文件仅需4分半钟。经过多次改进成为当今最多产的勒索软件系列之一。LockBi使用勒索软件即服务 (RaaS)模型,并不断构思新方法以保持领先于竞争对手。它的双重勒索方法也给受害者增加了更大的压力(加密和窃取数据),据作者介绍和情报显示LockBi3.0版本已经诞生,并且成功地勒索了很多企业。
(2)Gandcrab/Sodinokibi/REvi l: REvil勒索软件操作,又名Sodinokibi,是一家臭名昭著的勒索软件即服务 (RaaS) 运营商,可能位于独联体国家(假装不是老毛子)。它于 2019 年作为现已解散的 GandCrab 勒索软件的继任者出现,并且是暗网上最多产的勒索软件之一,其附属机构已将目标锁定全球数千家技术公司、托管服务提供商和零售商,一直保持着60家合作商的模式。(2021年暂停止运营,抓了一部分散播者)。
(3)Dharma/CrySiS/Phobos : Dharma勒索软件最早在 2016 年初被发现, 其传播方式主要为 RDP 暴力破解和钓鱼邮件,经研究发现 Phobos勒索软件、CrySiS勒索软件与 Dharma勒索软件有 许多相似之处,故怀疑这几款勒索软件的 作者可能是同一组织。
(4)Globelmposter(十二生肖) : Globelmposter又名十二生肖,十二主神,十二.....他于2017年开始活跃,2019年前后开始对勒索程序进行了大的改版变更。攻击者具有一定的地域划分,比如国内最常见的一个攻击者邮箱为[email protected]
(5)WannaRen(已公开私钥) : WannaRen勒索家族的攻击报道最早于2020年4月,通过下载站进行传播,最终在受害者主机上运行,并加密几乎所有文件;同时屏幕会显示带有勒索信息的窗口,要求受害者支付赎金,但WannaRen始终未获得其要求的赎金金额,并于几天后公开密钥。
(6)Conti :Conti勒索家族的攻击最早追踪到2019年,作为“勒索软件即服务(RaaS)”,其幕后运营团伙管理着恶意软件和Tor站点,然后通过招募合作伙伴执行网络漏洞和加密设备。在近期,因为分赃不均,合作伙伴多次反水,直接爆料攻击工具、教学视频、以及部分源代码。
(7)WannaCry: WannaCry(又叫Wanna Decryptor),一种“蠕虫式”的勒索病毒软件,由不法分子利用NSA(National Security Agency,美国国家安全局)泄露的危险漏洞“EternalBlue”(永恒之蓝)进行传播,WannaCry的出现也为勒索病毒开启了新的篇章。
(8)其他家族: 当然,勒索病毒的家族远远不止如此。
05 勒索病毒家族的判断方式有哪些?
通过加密的文件格式即可判断勒索病毒家族,如加密的文件格式,桌面,邮箱,勒索信,当然也可以通过威胁情报或者沙箱来判断家族。
(1)通过加密格式来判断,以Phobos家族为例,加密的文件格式为:源文件格式.id[].勒索者邮箱.后缀,比如PurgeAcrylicCacheData.bat.id[CC5D85EE-2423].[[email protected]].deal,其中PurgeAcrylicCacheData.bat为源文件名称,id[CC5D85EE-2423].[[email protected]].deal,为Phobos常用格式,注意,ID、邮箱和后缀都是可以根据攻击者的信息修改的,所以要以源文件格式.id[].勒索者邮箱.后缀来判断。
(2)通过桌面的形式来判断,以Revil家族为例,加密后桌面会设置为蓝色,并且在桌面标记有固定勒索格式。
(3)通过勒索者的邮箱来判断家族,可以通过搜索引擎来搜索勒索罪留下的邮箱信息,即可获得勒索家族信息,如[email protected]为十二生肖家族勒索传播者使用。
(4)通过勒索者留下的勒索信为例,可以判断是啥家族,以Lockbit为例,勒索信中包含以Lockbit为开头的的联系方式,以下分别为Lockbit2.0和Lockbit3.0的勒索信。
(5)通过微步云沙箱/威胁情报/暗网论坛: 除了以上方法还可以使用这些方式 来确定勒索家族,记得要灵活使用哦。
06 确定勒索动作
为什么要确定勒索动作发生的时间,虽然在实际勒索中,勒索者通常以很快的速度完成勒索,但是也遇到过只要手速够快,就能避免勒索或者减少勒索的情况。对付勒索最有效的办法就是断网,断网是指断开当前主机所有网络链接,最好是直接禁用网卡,看起来暴力,实际上这是避免勒索的最好手段。
在疑似发生勒索事件前,如发现RDP远程异常登录成功或者爆破成功,接收到了钓鱼邮件,系统或者应用被攻破,杀毒终端告警,那么建议立即定位终端进行综合研判,当勒索者刚开始勒索时或者勒索发生已经超过八小时,那么断网也是必须操作,也是做快最有效的操作,虽然断网的行为看起来有一些不成熟,但是在多次实战中,不管勒索是发生在那个间断,断网都是必须操作的一步,只要你断网手速快,就能减少损失,这不是一句空话。
07 勒索病毒取证分析的思路有哪些?
( 1)入侵时间
通过文件修改时间、恶意程序落地时间、安全设备告警时间、系统日志等可以获得勒索者入侵时间。
(2)入侵范围/勒索的范围
通过网络结构及被害机器确定入侵范围,其中分为已经获取全部权限并全部加密的机器有多少。通过内网扫描加密其他设备开启的文件共享系统加密有多少。未能加密 被杀毒软件清理掉的或者未及时加密的有多少。
(3)确定攻击范围及手法
通过网络拓扑、是否有域、有哪些对外服务及应用以及有哪些安全设备,如全流量/终端杀毒/防火墙/IDS/IPS日志分析系统来快速确认攻击手法、攻击路径、攻击手段等。常见的勒索病毒大部分是使用RDP爆破作为攻击方式进行突破互联网边界,在勒索病毒取证排查中可以作为第一优先级,比如哪些机器对外开放了RDP远程登录,是否为弱口令,安全设备日志系统是否记录RDP爆破或者异地登陆行为。
(4)常见攻击手法及流程
首先通过RDP爆破、钓鱼、漏洞、软件捆绑等等方式突破边界,使用弱口令、漏洞、密码读取、网络嗅探等方式横移,使用系统远程、远程工具、远控进行投递,部分勒索家族会使用Rclone等工具进行窃密。当然还会使用一些手段进行对抗杀软或者EDR,这里就不过多介绍了 。
(5)窃密排查
根据不同的家族可以作为是否被窃密,如LockBit家族通常就使用勒索加窃密双重威胁手段,当然也可以关注暗网地下交易论坛来确定数据是否泄漏。
08 逐步恢复
(1)数据恢复
数据恢复的方式大概分为如下几种:
1)通过备份来恢复数据,这是最简单有效低成本的方式,当然在日常处置勒索事件中,要么是没有备份,要么是备份也没加密了,当然关于备份这个详细方案日后再说。
2)通过缴赎金来拿回密钥解密,而往往缴赎金需要虚拟货币,而且联系语言多数为非中文且需要提前支付,能不能拿回密钥就看勒索者的信誉度。
3)通过第三方机构进行解密,第三方机构基本分为2种,一种是可以恢复数据库文件,因为数据库文件较大,勒索一般不会全加密,基于数据库的恢复机制进行恢复,而普通文件则无法恢复,另一种是第三方机构找勒索者购买密钥进行恢复。
4)找到勒索病毒设计漏洞,通过漏洞拿回加密密钥。
5)等待勒索发布解密密钥,这种几率很小很小。
(2)网络恢复
如果遭受勒索病毒的机器为单台且不是复杂网络环境,那么可以重装系统,安装预防勒索病毒守则进行防御。如果多台机器被勒索,且网络环境复杂,建议寻找专业人员按照应急流程进行恢复,不要盲目恢复,因为勒索者如果没拿到钱那么盲目恢复可能再次勒索,如果拿到钱了盲目恢复可能未找到问题源头会被二次勒索。
09 总结
其实导致勒索病毒的发生多数情况是因为安全意识不足系统老旧不升级、漏洞百出,例如最常见的就是把RDP远程放在公网且系统为弱口令,据HFish全球蜜罐捕捉到的攻击弱口令数据来看,现在最长的弱口令已经达到32位。
当勒索事件发生时应该毫不犹豫的断网处置,因为只要发生勒索,迟早是要断网的,断网是最最最有效简单的处理方法;然后再根据具体情况进行取证分析溯源,以及网络恢复、数据恢复,同时根据实际情况采取防护、加固措施。
最后,万一真的遭遇了大面积勒索,即便被索要天价赎金,作为相关负责人千万要稳住,按照应急流程开展处置工作,以免因为慌了阵脚,导致数据被二次加密,二次勒索等情况。
10 勒索病毒防御守则
