勒索病毒解决方案

　

一．事件概况

l   某行业专网爆发勒索病毒变种

         2018年8月22日，政府某垂管单位专网爆发勒索病毒变种。黑客通过对外发布web业務(wù)系统入侵到专网内部网络，以RDP协议（windows系统遠(yuǎn)程桌面协议）口令爆破的方式获取遠(yuǎn)程账号密码，之后黑客人工(gōng)方式登录windows服務(wù)器上传病毒。本次事件涉及数十个业務(wù)系统服務(wù)器被加密勒索，全國(guó)大部分(fēn)省份相关单位都受到影响。

l   新(xīn)型变种Globelmposter2.0隐蔽性较强

本次爆发的Globelmposter勒索病毒变种其加密文(wén)件為(wèi)RESERVE扩展名(míng)，采用(yòng)RSA2048算法加密文(wén)件，目前该病毒样本加密的文(wén)件暂无解密工(gōng)具(jù)。 由于是采用(yòng)人工(gōng)正常登陆投毒的方式，导致大量传统安(ān)全产(chǎn)品无法检测到这种新(xīn)型病毒。

二．由勒索病毒反思网络安(ān)全建设

勒索病毒并非APT攻击，仅仅是病毒攻击行為(wèi)，并不是不可(kě)防御的。并且，微软已在今年4月份发布了SMB 漏洞的补丁，用(yòng)户有(yǒu)足够的时间做好预防工(gōng)作(zuò)，為(wèi)什么还有(yǒu)大量用(yòng)户受影响？并且其中(zhōng)还包括一些行业的与互联网隔离的专网。究其原因主要是以下几点：

1）大量用(yòng)户缺乏全过程保护的安(ān)全體(tǐ)系

这起事件并非APT攻击或0DAY攻击，4月就已经有(yǒu)了解决办(bàn)法。但是大部分(fēn)用(yòng)户的安(ān)全建设仅仅是在事中(zhōng)堆叠防御设备，缺乏事前风险预知的能(néng)力，使其没有(yǒu)提前部署好安(ān)全防护手段；在威胁爆发后，又(yòu)没有(yǒu)持续检测和响应的能(néng)力，使得这些客户在事件爆发前没有(yǒu)预防手段、爆发中(zhōng)没有(yǒu)防御措施、爆发后没有(yǒu)及时检测和解决问题的办(bàn)法。

2）忽视了内部局域网、专网和数据中(zhōng)心的安(ān)全防护

经过这段时间的响应，我们发现很(hěn)多(duō)客户的威胁是与互联网相对隔离的内部网络中(zhōng)泛滥。比如专网、内网、数据中(zhōng)心，这些區(qū)域过去被用(yòng)户认為(wèi)是相对安(ān)全的區(qū)域，很(hěn)多(duō)客户在这些區(qū)域仅仅部署了传统防火墙进行防护。但勒索病毒感染内部网络的途径很(hěn)多(duō)，比如U盘等存储介质(zhì)、比如社会工(gōng)程學(xué)，再或者是与DMZ间接相连的网络都可(kě)能(néng)成為(wèi)来源。

3）过于复杂的安(ān)全體(tǐ)系，没有(yǒu)发挥应有(yǒu)作(zuò)用(yòng)

这起事件影响的用(yòng)户中(zhōng)也不乏安(ān)全投入比较高、设备購(gòu)买比较齐全的用(yòng)户。但是过于复杂的體(tǐ)系，使得安(ān)全设备并没有(yǒu)用(yòng)好，没有(yǒu)及时更新(xīn)，没有(yǒu)及时获取到安(ān)全事件等。用(yòng)户通过复杂的體(tǐ)系，需要运维很(hěn)多(duō)设备，并且看到的是碎片化的日志(zhì)。复杂的體(tǐ)系和过多(duō)无效信息，使得很(hěn)多(duō)用(yòng)户丧失了对安(ān)全的信任，并没有(yǒu)很(hěn)好的把安(ān)全设备用(yòng)起来，这也是造成用(yòng)户被感染的原因。

三．事前防护+事中(zhōng)监测+事后处置的整體(tǐ)安(ān)全解决方案

基于勒索病毒的这一类安(ān)全事件，我们重新(xīn)审视网络安(ān)全建设，提供深信服的解决之道。因此该解决方案基于事前、事中(zhōng)、事后全过程设计，通过下一代防火墙AF、终端检测响应软件EDR、全网安(ān)全大数据检测平

台和人工(gōng)安(ān)全服務(wù)等实现：事前风险预知、事中(zhōng)有(yǒu)效防御、以及事后持续检测和快速响应，為(wèi)用(yòng)户提供全程的安(ān)全保护能(néng)力，让安(ān)全更简单更有(yǒu)效。针对勒索病毒的防护，应当依据病毒感染的完整生命周期进行防护，必须涵盖事前的防护、病毒入侵后的持续监测、发现病毒快速处置三个环节。

| 事前防御

1）边界防护:防止病毒从边界入侵，关闭风险传输端口，更新(xīn)防护规则，阻断传播

2）终端防护:防止病毒从终端入侵，提升终端端口开放、弱口令、漏洞等安(ān)全基線(xiàn)

| 持续监测

病毒入侵后会横向扫描、广泛扩散繁殖。持续监测能(néng)第一时间发现入侵事件，及时止损

| 隔离+处置

发现中(zhōng)毒事件，首先需要应急隔离失陷主机，控制疫情，避免反复感染;之后再定点查杀，清除病毒文(wén)件。

四．推荐预防加固方案

1、此次勒索病毒事件发生在相对隔离的區(qū)域泛滥。建议还需要重点加固传统安(ān)全建设的薄弱區(qū)：在广域网分(fēn)支、局域网和数据中(zhōng)心内部等區(qū)域，在传统ACL控制策略的基础上，通过增加系统层和应用(yòng)层的安(ān)全防护技(jì )术，提升防御有(yǒu)效性。

2、建议采用(yòng)网络分(fēn)级分(fēn)區(qū)防护措施，下一代防火墙会过滤边界中(zhōng)应用(yòng)层威胁流量，防止病毒、木(mù)马等威胁在网络内部横向扩散，有(yǒu)效避免分(fēn)支机构因薄弱的安(ān)全建设成為(wèi)黑客入侵的短板，同时实现安(ān)全投资最大化。封闭RDP协议端口加固防护線(xiàn)：在互联网出口和边界处封堵RDP协议端口（3389），同时加强对外发布的web业務(wù)的应用(yòng)层防护。对于无需开放RDP协议的主机，采用(yòng)安(ān)全策略封堵RDP端口或协议，建议采用(yòng)下一代应用(yòng)层防火墙在互联网出口和专网边界部署完成此项功能(néng)。

3、构建终端防护和响应能(néng)力：在主机上部署终端管控软件，终端管控软件应能(néng)够防御最新(xīn)型的勒索病毒攻击以及未知风险，并利用(yòng)微隔离功能(néng)封堵RDP协议防止扩散，區(qū)别于传统杀毒软件，建议采用(yòng)下一代EDR终端安(ān)全检测响应软件，从而提高检出率和多(duō)层级响应能(néng)力。

4、持续检测勒索病毒行為(wèi)：通过部署探针系统，对于没有(yǒu)防火墙防护节点的办(bàn)公(gōng)网之间的通讯流量、专网与专网核心交换机上的全网流量进行抓取，并通过部署全网安(ān)全大数据检测平台，利用(yòng)机器學(xué)习和人工(gōng)智能(néng)技(jì )术进行综合分(fēn)析，持续检测，从而识别和捕获内部尚未爆发的潜伏威胁。同时感知平台还应该具(jù)备同时接入防火墙、终端管控的流量、策略和安(ān)全内容日志(zhì)，全面分(fēn)析新(xīn)型勒索病毒的攻击面及其影响范围，并进行实时呈现，帮助组织提升应急处置速度。

5、人工(gōng)安(ān)全服務(wù)：提供专业的威胁分(fēn)析、威胁处置和加固建议服務(wù)，从而实现威胁发现到处置的闭环安(ān)全效果。