勒索病毒當道的時代

2021-08-01 03:04:53 字數 2724 閱讀 3624

黑客也僅是乙個符號

昨天的 wannacry 勒索蠕蟲席捲了全球,即使像我們這樣遊走在邊界的人,也還是嚇了一跳。

無數沒打 ms-17010 補丁的 win 電腦或伺服器中招,尤其是不少學校、相關單位有各種大內網的,這一波就可能直接導致這些機構工作癱瘓...

全世界鋪天蓋地的,充斥著下面這個勒索病毒介面:

不用贅述這個過程,說一些這大半年來的一些觀點吧,有些大觀點在年初開篇時已經提了,摘錄如下:

黑客技能的分支領域確實很多很多

黑客攻擊無時無刻不在發生,比你想象的可能還要激烈

除了大規模撒網攻擊,你幾乎沒被黑的價值

安全的本質是信任,「緊內聚松耦合」是偉大的思想

黑客攻擊裡存在上帝視角,防禦也一樣

任何黑客攻擊都不會讓網際網路毀滅

黑客可以只是一種身份,除此之外,黑客和正常人沒什麼區別

成本是任何人都需要考慮的重要因素,包括黑客

...

這次已經載入史冊的 wannacry 勒索蠕蟲事件,應該更能引起大眾的安全意識吧?雖然我相信,很快會淡忘。無論怎樣,下面這幾點觀點或建議,來自我們這些長期遊走在邊界的安全人員,希望能觸動到你。

1. 匿名之惡

匿名貨幣如位元幣,幾乎所有的勒索病毒,都只接收位元幣,原因很簡單,位元幣可以做到匿名,這正是這些犯罪分子最好的擋箭牌。

雖然這並不能否定匿名貨幣的價值,但這殘酷的「惡」事實,你我有目共睹。不說匿名貨幣,只要是匿名的,總會有乙個角度淋漓盡致地暴露人性的醜惡。

我曾經開玩笑說:位元幣這麼兇猛,真應該感謝這些勒索病毒。

2. 勒索尾隨大漏洞

一般乙個大漏洞爆發後,由於匿名之惡及巨大的產業利益,隨之而來的就是勒索病毒了。這個間隔時間目前來看,一周到乙個月幾個月的都有可能,而現在應該會越來越快。

從去年進入我們視野的 redis、mongodb、elasticsearch 勒索病毒,到後來只要是個大漏洞(如上個月 struts2 的 s2-045 漏洞)都來個勒索,這次方程式被洩露的 eternalblue 漏洞,不到乙個月就被尾隨來了個震驚全球的 wannacry...

這個現象應該給我們乙個很透徹的教訓,一旦乙個漏洞爆發,為了不被黑,我們的應急**週期需要在 24 小時之內,甚至應該更短。無論業務大還是業務小,都應該不斷優化自家的應急**週期及應急策略。而如果真的由於各種原因應急滯後一周,那就不得不面對至少可能被勒索蠕蟲感染到的風險。

對於我們這些在甲方做安全防禦的人來說,這真是內憂外患。外患是要麼可能被黑偷走資料要麼可能被勒索;內憂嘛,各家有各家的難處,有時候應急快慢得是一場有組織的戰役,沒有順暢的內部溝通環境,難。

3. 蠕蟲傳播可以打破隔離「神話」

當下,國內還是無數單位靠著內網隔離來對抗攻擊者,這種方式早被證明非常之脆弱。就比如這次的勒索蠕蟲傳播,怎麼進入大內網的?可以這樣:

1) 感染掉一台邊界上的 win 伺服器,這台伺服器可通內網,於是內網遭殃;

2) 在某個場景下感染了某個人的 win 電腦,這人跑到其他大內網去上網,於是內網遭殃;

蠕蟲嘛,就是這樣肆無忌憚地傳播,如果再來個感染 u 盤方式,那麼傳播途徑就又多了一條。當年我在大學期間,身處校網路管理團隊,並靠著寫各種病毒專殺而入這行,後來自己也寫了不少各型別的「良性」蠕蟲,對蠕蟲算是真的情有獨鍾。現在回頭來看看,這麼多年過去了,大學網路的脆弱性改善得太慢。

4. 成本考慮

其實這次 wannacry 勒索蠕蟲,截至我發文,才收到不到 17 枚位元幣,差不多人民幣 17 萬。這 17 萬,對於這起「震驚全球」來看,確實太少,反而因為這樣,導致這個勒索團隊不得不優先考慮「跑路」問題,事情搞大了,絕對首當其衝被盯上,17 萬夠跑一次路。

對於我們來說,我給出一條最中肯的建議:無論電腦手機伺服器還是其他任何機器中招了,盡量不要支付任何勒索需要的費用。讓乙個產業沉寂最好的方式使其虧損

5. 一些好習慣

除了上面提到的「應急**週期」,針對這個事件,還有個好習慣必須養成,那就是:勤備份。個人應該養成重要程度不同的檔案的不同週期備份習慣,比如一天、一周的備份策略。

然後,警惕心一定要有。有個有趣現象,前年 iphone 上的 xcodeghost 事件,很多使用者就喊了「還好我不用 iphone」,現在這次 wannacry 事件,又很多使用者喊著「還好我不用 win」。不要僥倖,無論你用什麼不用什麼,被黑與沒被黑不完全由你意識決定,對絕大多數人來說,其實根本輪不到由個人意識來決定是否被黑。

要真黑你,你能躲哪去?:)

這個解決方案,微軟破天荒地居然支援了古董 xp,可想而知這次蠕蟲事件影響有多麼的大。

如果 445 等埠對你來說沒特別意義,建議關閉,win 上自帶的防火牆可以設定,自己查查怎麼做吧,不再贅述。

在勒索病毒當道的時代,我們要麼成為有能力與之對抗的安全人員,要麼養成如上所述的好習慣。

新型病毒 加強勒索病毒預防

勒索病毒,是一種新型電腦病毒,主要以郵件 程式木馬 網頁掛馬的形式進行傳播。這種病毒利用各種加密演算法對檔案進行加密,被感染者一般無法解密,必須拿到解密的私鑰才有可能破解。最新案例 浙江省溫州市一家超市儲值卡管理系統遭 位元幣勒索病毒 攻擊,導致系統內所有資料庫被鎖定,系統無法使用。同時,受害系統內...

關於 GlobeImposter 的勒索病毒說明

有關 globelmposter 勒索病毒以及其它的 ransomware 的問題,請參考如下幾個知識庫 這是乙個老病毒變種的介紹和說明 下面鏈結是乙個詳細的17頁英文介紹 以下是幾個有關sophos勒索病毒的知識庫,建議有時間時可以閱讀一下,這樣可以對使用者有更好的支援和幫助。article id...

勒索軟體病毒分析

勒索軟體病毒分析報告 目錄 1.病毒樣本概況 2.樣本資訊 3.測試環境及工具 4.具體行為分析 5.小結 1.病毒樣本概況 2.樣本資訊 1.使用 hash 檢視樣本資訊 2.病毒主要行為 樣本執行後刪除了本身的檔案,拷貝了乙份隱藏檔案在c盤,將自身刪除,並將其隱藏為cmd啟動,不斷感染遍歷目錄感...