方案 後綴 dba 文章 賬號密碼 rabbit 沈澱 博弈 趨勢

2017年5月12日，一種名為“WannaCry”的勒索病毒襲擊全球150多個國家和地區，影響領域包括政府部門、醫療服務、教育、公共交通、郵政、通信和汽車制造業。很多這次攻.擊事件中的受害者，真切的感受到了什麽叫“想哭”。
這是勒索病毒這個名詞在國內第一次進入公眾視野，緊接著，Petya、Locky、Bad Rabbit等一系列勒索病毒的爆發，勒索病毒一詞不僅被公眾所熟知，更是入選了國家語言資源監測與研究中心發布的“2017年度中國媒體十大新詞語”。

在過去的一年多裏，安全技術論壇中更新了一篇又一篇勒索病毒分析文章、安全資訊裏發布一起又一起勒索病毒事件、各個安全廠商更新了一個又一個對應策略，但勒索病毒的攻.擊和防禦仍在持續博弈著。
最近幾天勒索病毒再次活躍，國家計算機網絡應急中心廣東分中心發布預警通報：

從本次的勒索事件來看，受影響的基本都是行業專網，涉及的勒索病毒經分析為GlobeImposter的新變種GlobeImposter3.0。這一事件再次警醒安全從業者，對勒索病毒的攻.擊趨勢，必須關註病毒的變種以及對行業專網的入.侵，前者讓抵禦勒索病毒的難度加大，後者增加了勒索病毒產生的影響。

勒索病毒的變種趨勢

勒索病毒頻繁的出現變種，是其難以有效防禦的最根本原因，從WannaCry到WannaSister、從locky到ykcol，幾乎每一個勒索病毒都會伴隨著幾個不同的變種，每一次的變種就是一次攻.擊能力升級，病毒更復雜，傳播途徑更廣，最重要的是繞過已知的檢測和防禦手段。每當有新的漏洞公布，勒索病毒也會相應的出現新的變種，利用安全機制對新漏洞的滯後響應進行傳播。

拿最近在醫院和國土資源網肆虐的GlobeImposter來說，Globelmposter勒索病毒首次出現在2017年5月，主要以釣魚郵件進行傳播，最初版本的Globelmposter勒索病毒（暫定為1.0版本）甚至可以被解密，這個版本也出現過幾次變種，但除了增加了RDP爆破手段進行傳播之外，並無大的變化。
到2018年2月，Globelmposter2.0勒索病毒爆發，全國各大醫院遭受攻.擊，Globelmposter2.0采用了RSA算法進行加密，先通過CryptGenRandom隨機生成一組128位密鑰對，然後使用樣本中的硬編碼的256位公鑰生成相應的私鑰，最後生成受害用戶的個人ID序列號，然後加密相應的文件夾目錄和擴展名，並將生成的個人ID序列號寫入到加密文件末尾，這個變種目前沒有任何解密工具可以破解。在傳播途徑上，這一版本可以通過社會工程，RDP爆破，惡意程序捆綁的方式進行傳播，其加密的後綴名也不斷發生變化，之前發現的後綴名有：.TECHNO.DOC、.CHAK、.FREEMAN、.TRUE，最新的Globelmposter2.0勒索病毒樣本的後綴名：FREEMAN、ACL0、ACL02、ACL03，其代碼結構和加密算法等與之前Globelmposter2.0變種一致。
近期安全人員發現Globelmposter勒索病毒已經更新到3.0變種，受影響的系統，數據庫文件被加密破壞，病毒將加密後的文件重命名為.Ox4444擴展名。3.0版本除了沿用原有的傳播途徑之外，還融合了WannaCry的特性，可以利用445端口傳播，增強了病毒在內網的傳播能力。同時，安全人員發現，3.0版本具備病毒隱藏行為，能夠刪除磁盤卷影、刪除遠程桌面連接信息、刪除日誌信息，從而達到潛伏隱藏的目的。

勒索病毒對行業專網的入.侵趨勢

勒索病毒的變種，在傳播方式上，更傾向於適合內網傳播的方式，例如近期發現的各種勒索病毒，無一例外的具備RDP爆破傳播能力，由於個人用戶的RDP服務不在互聯網開放，因此這一能力對互聯網上的個人用戶來說，幾乎沒有任何作用，但對於行業專網來說，這是非常有效的傳播手段。
行業專網一般通過物理隔離來進行安全保障，依靠隔離來抵抗來自互聯網的攻.擊，即使在今天，依舊是很多單位所信奉的安全寶典，實際上這種方式早被證明非常之脆弱。以WannaCry為例，這種蠕蟲式勒索病毒，依靠“永恒之藍”漏洞，借助內網開放的445端口主動傳播感染，黑.客要做的只是想辦法攻下任意一臺內網主機：
1）通過入.侵邊界上的Windows服務器，如果服務器連接內網，病毒可以快速在內網傳播；
2）通過入.侵個人PC，當感染的PC接入內網時，病毒可以快速在內網傳播；
入.侵的方式可以有多種，通過釣魚郵件、應用層攻.擊、甚至以社會工程的方式，通過被感染的U盤進行入.侵，都可能讓隔離的內網感染病毒。
長久的隔離，單位往往忽略內網的系統安全升級與防禦建設，這種大的內網互通的局域網環境，一旦內網的一臺主機被感染，病毒就可以快速的傳播到整個網絡，從而造成大面積的影響。再加上行業專網背後的單位，往往都是政府機構、教育、大型集團公司等，這些單位的數據更具價值，勒索病毒本身就是以利益驅動的攻.擊行為，針對行業專網的攻.擊，無論是攻.擊成本還是攻.擊獲益，都驅使黑.客不斷湧入。
行業專網一旦被感染勒索病毒，除了單位自身的損失外，也會給社會、給公眾帶來不可預估的間接損失，過去一年裏出現的勒索病毒事件中，影響最大的事件都是針對行業專網的攻.擊。

勒索病毒的防護建議

由於勒索病毒一旦感染，基本上都無法進行還原，因此針對勒索病毒的防護，都是以提前預防為主：
1、 及時更新系統及軟件補丁，修復漏洞；
2、 定期更改賬號密碼，設置復雜度較高的強密碼，避免多個系統使用統一的密碼；
3、 關閉不必要的文件共享權限及不必要的端口，如3389、445、135、139等；
4、 不要點擊來源不明的郵件以及附件；
5、 不從垃圾網站或不明網站下載軟件；
6、 安裝專業的終端/服務器安全防護軟件；
目前從各個途徑獲取的應對措施往往大同小異，這些措施可以極大的降低勒索軟件利用已知漏洞對網絡的攻.擊行為，需要關註的是如何確保這些措施被有效的執行。除此之外，我們還需要加強對未知威脅的防禦能力、對勒索病毒的檢測預警能力，這樣才能夠有效的抵禦勒索病毒通過未知威脅（如0day漏洞）進行入.侵和傳播、才能及時的發現勒索病毒新的變種並及時預警，避免漏洞擴散。針對這些挑戰，深信服下一代防火墻認為，針對勒索病毒需要：
加強有效的未知威脅防禦能力，以應對不斷變種的勒索病毒
以未知威脅防禦能力來應對勒索病毒，不僅可以快速識別、查殺勒索病毒的各類變種病毒，還可以通過對各類未知威脅漏洞的提前預警、精準防禦，防止變種勒索病毒利用未知威脅漏洞進行入.侵和傳播。
以安全可視化和自動化運維，保障安全策略和意識有效執行
勒索病毒的防治工作，重點在於預防，需要及時的修復系統漏洞、修改弱密碼等，單純依靠人工運維和安全意識，難以保障執行效果，同時，也無法清楚的知道當前的安全狀態，自動化運維結合安全可視化，可以簡化安全運維工作，明確工作重點和安全狀態，用自動化、工具化的安全產品來保障安全策略和意識的落地。

加強有效的未知威脅防禦能力

人工智能和深度學習的發展，為未知威脅防禦提供了可能。
在針對勒索病毒及其變種的識別和查殺上，傳統的方式是基於病毒特征碼來比對病毒特征，而面對現在越來越多勒索病毒及其變種，傳統技術應對乏力；人工智能和機器學習的發展為采用人工智能技術後，利用算法自動化的提取病毒特征，依托大數據的泛化能力，就可以根據已知的家族的變種特征，通過人工智能深度分析，推算新的變種，可以準確檢測未知病毒/變種勒索病毒。下圖右是深信服下一代防火墻SAVE安全智能檢測引擎，基於人工智能技術對比傳統殺毒技術在病毒檢出率及病毒誤報率層面的數據對比（誤報率在同等檢出率下遠低於傳統方案），同時下圖左展示的是深信服下一代防火墻在2017年底通過舊的數據模型，基於大數據泛化能力，可有效應對識別最新勒索病毒的情況：

除了對勒索病毒本身及其變種行為的識別、查殺之外，未知威脅防禦還必須關註各類漏洞的預警和防護，防止勒索病毒采用新的漏洞進行入.侵和傳播，例如2017年初爆發的Satan勒索病毒，每一次變種都會增加很多對新漏洞的利用，如果安全工具不能夠及時更新對應的防禦能力，很難應對變種勒索病毒的傳播。

對各類漏洞要做到未知防禦，不僅需要人工智能，還需要豐富的多維度威脅數據、強大的雲端計算能力，以及與雲端聯動、可以不斷更新安全能力的架構。
首先，威脅數據的采集，必須是對維度的，可以通過構建全球樣本采集點以及與安全機構、安全廠商進行情報的交換的方式豐富數據來源，擴充自身的數據生態；
其次，采集到的數據通過雲端和本地的數據分析架構，對海量的數據進行匯聚、分析、挖掘，通過人工智能構建各類威脅分析引擎，如僵屍網絡引擎、惡意鏈接引擎，惡意文件檢測引擎等，不斷的對高危、熱點威脅進行深度檢測與分析，並通過攻.防、安全專家不斷的優化雲端架構和算法引擎。
第三，經過雲端人工智能不斷分析優化，最終輸出安全能力，並將安全能力落地應用。安全能力的落地應用分為兩部分，一是安全能力的應用，雲端分析的結果以安全規則的方式下發到本地安全工具，持續增加本地工具對熱門威脅的檢測能力；二是智能分析的算法模型的應用，經過雲端海量數據和場景的不斷訓練、安全專家的不斷優化以及不斷的攻.防驗證，最終沈澱成有效的算法模型，應用到本地安全工具中，讓安全工具具備本地自生長的安全能力，效應對0day攻.擊。
最後，要利用雲端的全網威脅情報提升本地的快速響應能力，從威脅樣本獲取、樣本分析、全網下發，實現對現網威脅的快速響應。
以上述技術理念來實現未知威脅防禦，已被驗證其有效性。8月23日Struts2通報新漏洞（S2-057），深信服下一代防火墻在不做任何規則更新的情況下，基於智能行為分析有效防禦了Struts2新漏洞的多種攻.擊報文。深信服下一代防火墻的威脅深度檢測引擎融合詞法、語法算法並全面采用人工智能對威脅進行深度分析，構建業務安全基線，同時，通過不斷對業務資產的組件發起模擬攻.擊，通過不斷發現服務器的真實響應動作去構建數據模型，針對每一個業務組件單獨構建算法，從而可以保障有效覆蓋所有的業務服務組件，全面融入業務解析能力，保障內容的深度還原，當Struts2的新漏洞出現時，其攻.擊軌跡及其攻.擊環境均被提前預知，因此在不需更新防禦規則的前提下有效抵禦了Struts2漏洞攻.擊。

安全可視化和自動化運維

除了要加強抵禦未知威脅的能力之外，安全可視化能力也尤為重要，在龐大的行業專網內，有多少主機、開通了哪些端口、有哪些服務在運行、是否存在未更新的補丁、是否存在弱密碼等等，這些信息如果不能及時掌握，對於安全決策來說，會存在極大的風險。安全的可視化不僅要能夠及時掌握這些信息，更需要實時的了解狀態及變化，借助工具掃描的方式固然能獲取對應的信息，但一旦出現狀態變化，很難及時發現，例如某主機在掃描檢查工作完成後，開放了RDP端口，這一變化帶來的風險就無法被及時感知到。
安全的決策離不開可視化，而策略的執行則需要自動化的運維能力。面對主機數量龐大、服務類型繁多的行業專網，如果依賴人工運維的方式，工作繁多且難以被檢視，就拿關閉某個服務來說，如何執行，執行結果是什麽樣，都無法有效進行。自動化運維的理念是，當威脅情報發出某個威脅的預警時，具備自動化運維的安全工具可以一鍵生成對應的防護策略並下發，並聯動可視化分析，實時檢視策略執行結果。最終實現以安全工具輔助安全策略和意識的執行及檢視

變種、入.侵專網，勒索病毒你不得不關註的攻.擊趨勢