压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

在過(guò)去的一年中，勒索軟件可謂是一波未平，一波又起。2018年，勒索病毒注定還將繼續(xù)活躍。為了個(gè)人用戶以及企業(yè)用戶能更好的應(yīng)對(duì)勒索病毒，瑞星安全專家為大家梳理一下勒索病毒主要的傳播方式，以及防范方法與建議。

勒索病毒傳播方式分析

一、針對(duì)個(gè)人用戶常見的攻擊方式

通過(guò)用戶瀏覽網(wǎng)頁(yè)下載勒索病毒，攻擊者將病毒偽裝為盜版軟件、外掛軟件、色情播放器等，誘導(dǎo)受害者下載運(yùn)行病毒，運(yùn)行后加密受害者機(jī)器。此外勒索病毒也會(huì)通過(guò)釣魚郵件和系統(tǒng)漏洞進(jìn)行傳播。

針對(duì)個(gè)人用戶的攻擊流程如下圖所示：

圖：攻擊流程

二、針對(duì)組織用戶常見的攻擊方式

對(duì)于醫(yī)院、學(xué)校、公司等組織用戶，病毒的傳播途除了和個(gè)人用戶有相似的地方外，還會(huì)有其他特點(diǎn)。由于組織局域網(wǎng)中機(jī)器較多，系統(tǒng)漏洞和弱口令對(duì)整個(gè)網(wǎng)絡(luò)影響較大，并且由于業(yè)務(wù)需要，服務(wù)器中運(yùn)行了大量的web程序和數(shù)據(jù)庫(kù)程序，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)復(fù)雜，內(nèi)外網(wǎng)混用，開放大量端口，給勒索病毒傳播打開了方便之門。接下來(lái)介紹幾種針對(duì)組織用戶常見的攻擊方式：

1. 系統(tǒng)漏洞攻擊

系統(tǒng)漏洞是指操作系統(tǒng)在邏輯設(shè)計(jì)上的缺陷或錯(cuò)誤，不法者通過(guò)網(wǎng)絡(luò)植入木馬、病毒等方式來(lái)攻擊或控制整個(gè)電腦，竊取電腦中的重要資料和信息，甚至破壞系統(tǒng)。同個(gè)人用戶一樣，組織用戶也會(huì)受到系統(tǒng)漏洞攻擊，由于組織局域網(wǎng)中機(jī)器眾多，更新補(bǔ)丁費(fèi)時(shí)費(fèi)力，有時(shí)還需要中斷業(yè)務(wù)，因此組織用戶不太及時(shí)更新補(bǔ)丁，給系統(tǒng)造成嚴(yán)重的威脅，攻擊者可以通過(guò)漏洞植入病毒，并迅速傳播。席卷全球的Wannacry勒索病毒就是利用了永恒之藍(lán)漏洞在網(wǎng)絡(luò)中迅速傳播。

攻擊者利用系統(tǒng)漏洞主要有以下兩種方式：

一種是通過(guò)系統(tǒng)漏洞掃描互聯(lián)網(wǎng)中的機(jī)器，發(fā)送漏洞攻擊數(shù)據(jù)包，入侵機(jī)器植入后門，然后上傳運(yùn)行勒索病毒。

圖：通過(guò)系統(tǒng)漏洞掃描網(wǎng)絡(luò)中的計(jì)算機(jī)

另外一種是通過(guò)釣魚郵件、弱口令等其他方式，入侵連接了互聯(lián)網(wǎng)的一臺(tái)機(jī)器，然后再利用漏洞局域網(wǎng)橫向傳播。大部分組織的網(wǎng)絡(luò)無(wú)法做到絕對(duì)的隔離， 一臺(tái)連接了外網(wǎng)的機(jī)器被入侵，內(nèi)網(wǎng)中存在漏洞的機(jī)器也將受到影響。

圖：先入侵一臺(tái)機(jī)器，再通過(guò)漏洞局域網(wǎng)橫向移動(dòng)

網(wǎng)上有大量的漏洞攻擊工具，尤其是武器級(jí)別的NSA方程式組織工具的泄露，給網(wǎng)絡(luò)安全造成了巨大的影響，被廣泛用于傳播勒索病毒、挖礦病毒、木馬等。有攻擊者將這些工具，封裝為圖形化一鍵自動(dòng)攻擊工具，進(jìn)一步降低了攻擊的門檻。

2. 遠(yuǎn)程訪問弱口令攻擊

由于企業(yè)機(jī)器很多需要遠(yuǎn)程維護(hù)，所以很多機(jī)器都開啟了遠(yuǎn)程訪問功能。如果密碼過(guò)于簡(jiǎn)單，就會(huì)給攻擊者可乘之機(jī)。很多用戶存在僥幸心理，總覺得網(wǎng)絡(luò)上的機(jī)器這么多，自己被攻擊的概率很低，然而事實(shí)上，在全世界范圍內(nèi)，成千上萬(wàn)的攻擊者不停的使用工具掃描網(wǎng)絡(luò)中存在弱口令的機(jī)器。有的機(jī)器由于存在弱口令，被不同的攻擊者攻擊，植入了多種病毒。這個(gè)病毒還沒刪除，又中了新病毒，導(dǎo)致機(jī)器卡頓，文件被加密。

通過(guò)弱口令攻擊和漏洞攻擊類似，只不過(guò)通過(guò)弱口令攻擊使用的是暴力破解，嘗試字典中的賬號(hào)密碼來(lái)掃描互聯(lián)網(wǎng)中的設(shè)備。

圖：弱口令掃描網(wǎng)絡(luò)中的計(jì)算機(jī)

通過(guò)弱口令攻擊還有另一種方式，一臺(tái)連接外網(wǎng)的機(jī)器被入侵，通過(guò)弱口令攻擊內(nèi)網(wǎng)中的機(jī)器。

圖：先入侵一臺(tái)機(jī)器，再弱口令爆破局域網(wǎng)機(jī)器，橫向移動(dòng)

3. 釣魚郵件攻擊

企業(yè)用戶也會(huì)受到釣魚郵件攻擊，相對(duì)個(gè)人用戶，由于企業(yè)用戶使用郵件頻率較高，業(yè)務(wù)需要不得不打開很多郵件，而一旦打開的附件中含有病毒，就會(huì)導(dǎo)致企業(yè)整個(gè)網(wǎng)絡(luò)遭受攻擊。

釣魚郵件攻擊邏輯圖：

圖：釣魚郵件攻擊邏輯

通過(guò)釣魚郵件傳播勒索病毒，主要有以下方式：

（1）通過(guò)漏洞下載運(yùn)行病毒

釣魚郵件附件攜帶攻擊者精心構(gòu)造的，含有漏洞的office文檔、PDF文檔或者含有瀏覽器漏洞的網(wǎng)址。如果沒有安裝對(duì)應(yīng)辦公軟件補(bǔ)丁、瀏覽器補(bǔ)丁，打開之后就會(huì)觸發(fā)漏洞，下載并運(yùn)行勒索病毒。

此外，網(wǎng)上存在大量Exploit Kit（漏洞攻擊包），漏洞攻擊包里面集成了各種瀏覽器、Flash和PDF等軟件漏洞代碼。攻擊者一鍵自動(dòng)化生成釣魚郵件，簡(jiǎn)直是勒索即服務(wù)。受害者點(diǎn)擊鏈接或者打開文檔就可以觸發(fā)漏洞，下載運(yùn)行勒索軟件。常見比較著名的EK有Angler、Nuclear、Neutrino和RIG等。

其中一款漏洞攻擊包的操作界面如下：

圖：釣魚郵件攻擊邏輯

（2）、通過(guò)office機(jī)制下載運(yùn)行病毒

除了漏洞之外，office的一些機(jī)制也可以被用來(lái)傳播勒索病毒。office宏腳本、DDE、OLE等都曾被利用傳播勒索病毒。

有的攻擊者為了防止被查殺，發(fā)送郵件時(shí)對(duì)附件中office文檔進(jìn)行加密，同時(shí)在郵件正文中 附帶密碼。

圖：釣魚郵件

好奇心比較強(qiáng)的用戶會(huì)輸入密碼打開文件，如果默認(rèn)開啟宏腳本，輸入密碼后病毒就會(huì)下載執(zhí)行。

圖：加密的文檔

如果沒有開啟宏腳本，文件內(nèi)容也會(huì)誘導(dǎo)用戶啟用宏。

圖：誘導(dǎo)啟動(dòng)宏

（3）、偽裝office 、PDF圖標(biāo)的exe程序

郵件附件攜帶的勒索程序會(huì)偽裝為office文檔圖標(biāo)，實(shí)際上是exe程序，如果系統(tǒng)默認(rèn)不顯示文件擴(kuò)展名，那就很容易中招。

圖：偽裝圖標(biāo)

4. web服務(wù)漏洞和弱口令攻擊

很多組織服務(wù)器運(yùn)行了web服務(wù)器軟件，開源web框架，CMS管理系統(tǒng)等，這些程序也經(jīng)常會(huì)出現(xiàn)漏洞。如果不及時(shí)修補(bǔ)，攻擊者可以利用漏洞上傳運(yùn)行勒索病毒。此外如果web服務(wù)使用弱口令也會(huì)被暴力破解，有些組織甚至一直采用默認(rèn)密碼從沒有修改過(guò)。

常見攻擊邏輯如下圖所示：

圖：web服務(wù)攻擊邏輯

Apache Struts2是世界上最流行的JavaWeb服務(wù)器框架之一， 2017 年Struts2被曝存在重大安全漏洞S2-045，攻擊者可在受影響服務(wù)器上執(zhí)行系統(tǒng)命令，進(jìn)一步可完全控制該服務(wù)器，從而上傳并運(yùn)行勒索病毒。

5. 數(shù)據(jù)庫(kù)漏洞和弱口令攻擊

數(shù)據(jù)庫(kù)管理軟件也存在漏洞，很多組織多年沒有更新過(guò)數(shù)據(jù)庫(kù)軟件，甚至從服務(wù)器搭建以來(lái)就沒有更新過(guò)數(shù)據(jù)庫(kù)管理軟件，有的是因?yàn)槭韬?，也有的是因?yàn)榧嫒輪栴}，擔(dān)心數(shù)據(jù)丟失。如果不及時(shí)更新，會(huì)被攻擊者利用漏洞上傳運(yùn)行勒索病毒。

常見攻擊邏輯如下圖：

圖：針對(duì)數(shù)據(jù)庫(kù)的攻擊邏輯

勒索病毒防御措施

（一）個(gè)人用戶的防御措施

1、瀏覽網(wǎng)頁(yè)時(shí)提高警惕，不下載可疑文件，警惕偽裝為瀏覽器更新或者flash更新的病毒。

2、安裝殺毒軟件，保持監(jiān)控開啟，及時(shí)升級(jí)病毒庫(kù)。

3、安裝防勒索軟件，防御未知勒索病毒。

4、不打開可疑郵件附件，不點(diǎn)擊可疑郵件中的鏈接。

5、及時(shí)更新系統(tǒng)補(bǔ)丁，防止受到漏洞攻擊。

6、備份重要文件，建議采用 本地備份+脫機(jī)隔離備份+云端備份 。

（二）組織用戶的防御措施

1、系統(tǒng)漏洞攻擊

防御措施：

（1）及時(shí)更新系統(tǒng)補(bǔ)丁，防止攻擊者通過(guò)漏洞入侵系統(tǒng)。

（2）安裝補(bǔ)丁不方便的組織，可安裝網(wǎng)絡(luò)版安全軟件，對(duì)局域網(wǎng)中的機(jī)器統(tǒng)一打補(bǔ)丁。

（3）在不影響業(yè)務(wù)的前提下，將危險(xiǎn)性較高的，容易被漏洞利用的端口修改為其它端口號(hào)。如139 、445端口。如果不使用，可直接關(guān)閉高危端口，降低被漏洞攻擊的風(fēng)險(xiǎn)。

2、遠(yuǎn)程訪問弱口令攻擊

防御措施：

（1）使用復(fù)雜密碼

（2）更改遠(yuǎn)程訪問的默認(rèn)端口號(hào)，改為其它端口號(hào)

（3）禁用系統(tǒng)默認(rèn)遠(yuǎn)程訪問，使用其它遠(yuǎn)程管理軟件

3、釣魚郵件攻擊

防御措施：

（1）安裝殺毒軟件，保持監(jiān)控開啟，及時(shí)更新病毒庫(kù)

（2）如果業(yè)務(wù)不需要，建議關(guān)閉office宏，powershell腳本等

（3）開啟顯示文件擴(kuò)展名

（4）不打開可疑的郵件附件

（5）不點(diǎn)擊郵件中的可疑鏈接

4、web服務(wù)漏洞和弱口令攻擊

防御措施：

（1）及時(shí)更新web服務(wù)器組件，及時(shí)安裝軟件補(bǔ)丁

（2）web服務(wù)不要使用弱口令和默認(rèn)密碼

5、數(shù)據(jù)庫(kù)漏洞和弱口令攻擊

防御措施：

（1）更改數(shù)據(jù)庫(kù)軟件默認(rèn)端口

（2）限制遠(yuǎn)程訪問數(shù)據(jù)庫(kù)

（3）數(shù)據(jù)庫(kù)管理密碼不要使用弱口令

（4）及時(shí)更新數(shù)據(jù)庫(kù)管理軟件補(bǔ)丁

（5）及時(shí)備份數(shù)據(jù)庫(kù)