由于勒索病毒的变种较多,同时具有病毒、蠕虫、人为投毒等多种形式,当勒索病毒成功运行后,解密较为困难,所以勒索病毒的防治主要预防为主,加强整体网络安全管理网页病毒,以及有效的技术治理手段,如强化勒索病毒防护的EDR 产品,监测传播途径的APT 产品等。
一、基础防护措施及建议
1、增强安全意识
除了漏洞利用与暴力破解外,最多的感染勒索病毒的原因就是利用网页挂马、垃圾电子邮件与捆绑恶意程序,所以日常使用网络时要有以下安全意识:
不访问色情、博彩等等不良信息网站,这些网站通常会引导访客下载病毒文件或发动钓鱼、挂马攻击。
不轻易下载陌生人发来的邮件附件,不点击陌生邮件中的链接。
不随意使用陌生U 盘、移动硬盘等外设,使用时切勿关闭防护软件比如Windows 自带的Windows defender,避免拷入恶意文件。
不轻易运行bat、vbs、vbe、js、jse、wsh、wsf 等后缀的脚本文件和exe可执行程序,不轻易解压不明压缩文件。陌生文件下载运行前可使用文件威胁分析平台进行检测(:8080/),避免感染病毒。
定期查杀病毒网页病毒,清理可疑文件,备份数据。
2、增强口令强度
勒索病毒最常用的攻击方式是利用永恒之蓝漏洞和爆破RDP(远程桌面协议)等服务弱口令,为应对后者应立即修改系统和各应用(MySQL、SQLServer 等)的弱口令、空口令、多台服务器共用的重复口令。强密码长度不少于8 个字符,至少包含以下四类字符中的三类:大小写字母、数字、特殊符号,不能是人名、计算机名、用户名、邮箱名等。在企业中可以通过密码策略让电脑使用者必须设置一个复杂密码,Windows 操作系统可以通过配置密码策略来实现。
3、修复系统漏洞
在微软发布高危漏洞公告后应尽快修复系统存在的漏洞,避免被恶意利用。微软安全响应中心:。在企业中或个人如果不能及时关注响应这些漏洞信息,应借助安全软件完成漏洞修复。尤其当企业有庞大数量的主机需要管理时,应选择合适的安全管理系统完成修复漏洞的工作。
4、修复应用漏洞
勒索病毒利用的漏洞工具除了广为人知的永恒之蓝系列,新型的勒索病毒一般还携带许多Web 应用漏洞利用工具,比如JBoss 反序列化漏洞(CVE-2013-4810)、Tomcat任意文件上传漏洞(CVE-2017-12615)、Tomcat web 管理后台弱口令爆破、ApacheStruts2 远程代码执行漏洞S2-045 等。所以应定期检测并修复漏洞,最好是能够及时更新版本。
5、端口管理
除了必要的业务需求应关闭135、139、445、3389 等端口,及时需要对部分机器开放,也应做出配置仅限部分机器可访问。通过防火墙配置、安全软件隔离或准入管理。
二、边界网络检测建议
1、传统安全设备边界防护弱点
利用电子邮件、应用程序漏洞(例如web 应用漏洞)、0day 漏洞(零日漏洞)、Nday 漏洞(已知漏洞)、社会工程学等找到进入目标网络的大门获取权限后,进行勒索病毒植入。由于传统防御体系是建立在已知知识、规则的基础上,缺乏对未知威胁的感知能力,难以有效发现勒索病毒及其变种。
1) 网络防火墙
防火墙核心功能是网络层逻辑隔离和规则控制,应用层检测能力较弱,一般需要管理员手工添加规则防护,新一代防火墙通常集成了病毒、web 和内容检测,但都局限于特征明显的攻击检测,对于隐藏在合法数据包内的攻击难以防范。
2) 入侵检测系统(IDS)
IDS 基于单规则和特征库分析,仅限于对已知漏洞进行检测,易被绕过,误报率和漏报率较高,尤其在隐蔽性较强的攻击行为和0day 面前无能为力。
3) 防病毒网关
防毒墙主要通过对HTTP、FTP、SMTP、IMAP 等协议的数据进行病毒扫描,检测进出的数据,但所有的检测基本都基于文件类型,并且只能根据特征匹配已知的病毒木马攻击,难以检测利用0day 进行的病毒传播行为。
三、终端防护建议:终端检测与响应(EDR)
1、传统杀毒软件在应对勒索时的困境
1) 单点能力无法应对勒索的分布式扩散
勒索病毒在局域网内大量扩散,对主机上安装的杀毒软件无法及时全部配置检测任务。
2) 杀毒软件无法处理未知的勒索病毒变种
勒索病毒变种繁多,杀毒软件依赖规则库,面对新型勒索病毒无法识别,只能任由其完成加密行为。