國內(nèi)某單位勒索病毒攻擊事件處置實(shí)例

國內(nèi)某單位勒索病毒攻擊事件處置實(shí)例7月2日，國內(nèi)某醫(yī)療單位HIS系統(tǒng)內(nèi)多臺關(guān)鍵服務(wù)器和操作終端業(yè)務(wù)數(shù)據(jù)被加密，疑似遭受勒索病毒攻擊。HIS系統(tǒng)是為醫(yī)院整體運(yùn)行提供全面的自動化管理及各種服務(wù)的重要信息系統(tǒng)，一旦癱瘓將對醫(yī)院造成較大的經(jīng)濟(jì)損失和負(fù)面社會影響。圖1HIS系統(tǒng)服務(wù)器文件被加密威努特得知客戶情況后，立即成立應(yīng)急專家小組，第一時(shí)間到達(dá)客戶現(xiàn)場開展該病毒事件的應(yīng)急處置工作。現(xiàn)場事件處置現(xiàn)場與客戶做深入的溝通之后，應(yīng)急專家小組梳理出應(yīng)急處置方案，總體處置流程及結(jié)果如下：1、現(xiàn)場情況梳理：快速梳理現(xiàn)場的網(wǎng)絡(luò)結(jié)構(gòu)，客戶網(wǎng)絡(luò)內(nèi)部署有防火墻、IPS和終端殺毒等防護(hù)措施，但是未能防御住勒索病毒的攻擊！通過插入U(xiǎn)盤測試，發(fā)現(xiàn)中毒的服務(wù)器依然在做持續(xù)加密動作。得出結(jié)論：病毒程序沒有自我刪除，很有可能會在內(nèi)網(wǎng)中繼續(xù)擴(kuò)散。2、病毒樣本分析：通過人工識別和判斷在中毒服務(wù)器中提取出病毒樣本，經(jīng)過研究分析該病毒為Eking，屬于Phobos勒索軟件家族的變種病毒。Phobos是一個(gè)攻擊性極強(qiáng)的勒索軟件，在HTA勒索信息打開后（標(biāo)志著Phobos加密結(jié)束），它會繼續(xù)在后臺運(yùn)行，并繼續(xù)對目標(biāo)范圍內(nèi)的新文件進(jìn)行加密。具體病毒行為分析如下：1）釋放文件病毒執(zhí)行后會在系統(tǒng)臨時(shí)目錄下創(chuàng)建3582-490目錄及Fast.exe文件：圖2Eking釋放臨時(shí)文件示意圖2）文件遍歷遍歷磁盤（遍歷系統(tǒng)所有磁盤、網(wǎng)絡(luò)共享盤等）：圖3Eking遍歷磁盤示意圖遍歷目錄（遍歷除系統(tǒng)重要目錄外的其它目錄，優(yōu)先遍歷Users目錄）：圖4Eking遍歷目錄示意圖3）文件加密圖5Eking加密文件示意圖4）病毒駐留釋放病毒母體文件文件：圖6Eking釋放病毒母體文件示意圖注冊表修改exe關(guān)聯(lián)路徑（打開exe程序時(shí)會再次執(zhí)行病毒文件）：圖7Eking注冊表修改exe關(guān)聯(lián)路徑示意圖3、攻防對抗測試：將勒索病毒樣本與威努特防勒索系統(tǒng)進(jìn)行真實(shí)攻防對抗，勒索病毒樣本運(yùn)行后，防勒索系統(tǒng)的行為監(jiān)測模塊監(jiān)測到有惡意程序在調(diào)用高危指令，同時(shí)病毒誘捕模塊誘捕到該勒索病毒遍歷行為，主機(jī)防勒索系統(tǒng)立即發(fā)出告警，對勒索病毒進(jìn)行阻攔和隔離，有效的阻止了勒索病毒的運(yùn)行。4、防止擴(kuò)散動作：為避免病毒在內(nèi)網(wǎng)中繼續(xù)橫向擴(kuò)散，感染其它服務(wù)器和操作工作站，應(yīng)急專家小組協(xié)助客戶對重要服務(wù)器和工作站部署威努特主機(jī)防勒索系統(tǒng)，并開啟相關(guān)防護(hù)措施。最終，僅用時(shí)4個(gè)小時(shí)，就完成了從采樣、分析、防護(hù)等一系列應(yīng)急處置工作，保障現(xiàn)場業(yè)務(wù)正常運(yùn)行，不再繼續(xù)遭受該勒索病毒的攻擊威脅，威努特技術(shù)專家的專業(yè)技能能力得到了用戶的一致好評。為什么防火墻、IPS和終端殺毒等防護(hù)措施無法有效防御？目前活躍在市面上的勒索攻擊病毒種類繁多，而且每個(gè)家族的勒索病毒也處于不斷地更新變異之中，極高頻率的變種使得基于病毒特征庫的傳統(tǒng)殺毒軟件在應(yīng)對海量新型勒索病毒時(shí)，毫無用武之地。并且勒索攻擊形式多樣，主要有文件加密、數(shù)據(jù)竊取、系統(tǒng)加密和屏幕鎖定等四種主要的形式，造成的后果嚴(yán)重，EDR產(chǎn)品響應(yīng)阻斷機(jī)制生效的前提是勒索病毒已經(jīng)產(chǎn)生了異常行為，響應(yīng)阻斷的動作一旦滯后，將造成為時(shí)已晚、不可挽回的嚴(yán)重?fù)p失。此外，勒索攻擊已顯著具備APT攻擊的特點(diǎn)，勒索攻擊普遍采用漏洞利用、釣魚郵件、移動介質(zhì)、供應(yīng)鏈、遠(yuǎn)程桌面等方式進(jìn)行傳播，防火墻、IDS等傳統(tǒng)安全解決方案，已無法有效應(yīng)對勒索病毒的傳播泛濫。綜上所述，傳統(tǒng)產(chǎn)品和方案應(yīng)對勒索攻擊時(shí)收效甚微。威努特防勒索系統(tǒng)的防御思路與效果展示威努特防勒索系統(tǒng)基于勒索病毒誘捕發(fā)現(xiàn)+關(guān)鍵業(yè)務(wù)保護(hù)和核心數(shù)據(jù)保護(hù)+數(shù)據(jù)備份兜底技術(shù)來實(shí)現(xiàn)對勒索病毒的防范，此次現(xiàn)場具體防范效果如下：1、事前防御-行為監(jiān)測模塊與病毒誘捕模塊的雙模塊聯(lián)動圖8行為監(jiān)測與病毒誘捕模塊防護(hù)效果防勒索病毒防范的關(guān)鍵在于前期勒索病毒的發(fā)現(xiàn)和阻攔。防勒索系統(tǒng)不再依靠傳統(tǒng)特征庫的方式發(fā)現(xiàn)病毒，而是通過病毒的行為特征做出有效判斷?？杀O(jiān)控操作系統(tǒng)底層的函數(shù)調(diào)用，系統(tǒng)內(nèi)置了勒索軟件的行為特征規(guī)則，基于勒索軟件磁盤遍歷和惡意加密等高危指令調(diào)用動作，觸發(fā)行為監(jiān)測機(jī)制，以及創(chuàng)新性的動態(tài)生成誘餌文件病毒捕獲技術(shù)，勒索軟件對誘餌文件的加密行為將被防勒索系統(tǒng)識別，進(jìn)而精準(zhǔn)判斷出惡意程序?yàn)槔账鞑《?，及時(shí)終止勒索進(jìn)程對其進(jìn)行阻斷與隔離。2、事中檢測/阻斷-病毒查殺模塊與關(guān)鍵業(yè)務(wù)和核心數(shù)據(jù)保護(hù)同步運(yùn)行本次應(yīng)急處理中，對關(guān)鍵業(yè)務(wù)和核心數(shù)據(jù)的刪除和加密行為進(jìn)行有效阻攔，是保障終端的關(guān)鍵業(yè)務(wù)和核心數(shù)據(jù)不被勒索病毒終止和加密的關(guān)鍵。圖9關(guān)鍵業(yè)務(wù)和核心數(shù)據(jù)防護(hù)圖10核心數(shù)據(jù)加密阻攔告警關(guān)鍵業(yè)務(wù)和核心數(shù)據(jù)保護(hù)原理：威努特防勒索系統(tǒng)可通過建立系統(tǒng)中應(yīng)用與數(shù)據(jù)間的訪問關(guān)系模型，阻斷勒索軟件對應(yīng)用程序非法終止，以及數(shù)據(jù)非法的讀寫、刪改、加密。本次應(yīng)急處置過程中，對客戶重要醫(yī)療業(yè)務(wù)系統(tǒng)做專門的安全防護(hù)，避免由此導(dǎo)致的業(yè)務(wù)中斷或系統(tǒng)崩潰，同時(shí)對醫(yī)療資產(chǎn)數(shù)據(jù)庫、醫(yī)療影像文件、電子病歷等核心數(shù)據(jù)做安全防護(hù)，避免被加密、竊取、公開等。3、事后恢復(fù)-文件保險(xiǎn)箱技術(shù)兜底，快速完成對加密文件的恢復(fù)極端情況下病毒成功加密終端文件，威努特防勒索系統(tǒng)基于按需觸發(fā)的文件備份機(jī)制，快速完成對加密文件的恢復(fù)?；趹?yīng)用數(shù)據(jù)動態(tài)備份策略，任何可疑操作前完成數(shù)據(jù)自動備份，并對備份數(shù)據(jù)嚴(yán)密保護(hù)，勒索攻擊發(fā)生后，可