域名預(yù)訂/競價，好“米”不錯過

摘要

去年的WannCry勒索病毒，讓全社會都關(guān)注到了這類新生的惡意軟件。從去年下半年開始，勒索病毒在國內(nèi)的攻擊重點開始轉(zhuǎn)向了各類服務(wù)器，尤其以windows服務(wù)器為甚。黑客利用弱口令和各類系統(tǒng)漏洞，軟件漏洞向服務(wù)器遠程滲透投毒，經(jīng)常出現(xiàn)一個服務(wù)集群多臺主機被感染的情況，造成的影響輕則服務(wù)中斷，有嚴重的更影響到整個公司的運營，已經(jīng)成為影響企業(yè)安全的一大問題。

趨勢與攔截數(shù)據(jù)

針對服務(wù)器的爆破攻擊，一直是服務(wù)器主機面臨的一大類安全風(fēng)險，我們對過去近兩個月來的爆破攻擊攔截量進行了統(tǒng)計，雖然從數(shù)據(jù)波峰來看漲勢并不明顯，但波谷卻一直在穩(wěn)步提升，整體趨勢還是有進一步提升的風(fēng)險性。

自去年(2017年)下半年以來，服務(wù)器入侵就成為了勒索病毒傳播的主流手段。到本年度，通過入侵服務(wù)器植入勒索病毒的疫情已經(jīng)在所有勒索事件中的絕對主力，反倒是之前規(guī)模較大的個人PC用戶中招情況有所好轉(zhuǎn)。

與針對個人用戶的勒索攻擊有所不同，通過入侵服務(wù)器植入勒索病毒的方法受服務(wù)器整體數(shù)量和植入方式的影響，導(dǎo)致整體感染量級不會像個人PC一樣，動輒上千。服務(wù)器一般數(shù)據(jù)資產(chǎn)價值要大大高于個人PC，雖然感染的絕對量沒有個人PC用戶高，但造成的損失和影響范圍缺遠高于個人PC用戶。此外，值得注意的是，雖然針對服務(wù)器的入侵手段目前還是以RDP弱口令入侵為主要的入侵方案——這主要還是得益于該方案技術(shù)成熟且廣泛適用于大多數(shù)Windows服務(wù)器系統(tǒng)。但通過漏洞入侵系統(tǒng)也漸成趨勢：以目前流行的WebLogic漏洞入侵案例來說，就是利用了WebLogic的WLC組建漏洞對服務(wù)器實施滲透入侵。這主要是由于去年爆出的WLC組建CVE-2017-10271漏洞導(dǎo)致——雖然該漏洞已經(jīng)在去年10月被Oracle修復(fù)，但由于服務(wù)器系統(tǒng)中運行的服務(wù)往往不能輕易中斷，更新經(jīng)常不夠及時，也有部分管理員不愿進行更新。導(dǎo)致黑客可以利用已公開的漏洞攻擊那些尚未修復(fù)漏洞的服務(wù)。此類入侵手段將會成為黑客入侵服務(wù)器勒索投毒的新突破口，也希望廣大的服務(wù)器管理員能提起重視，及時關(guān)注安全趨勢并修復(fù)有漏洞的軟件。

被攻擊用戶分析

我們對今年被攻擊用戶的情況從行業(yè)分布、地域分布、系統(tǒng)、被攻擊原因等多方面做了統(tǒng)計分析，希望能幫助廣大管理員提高安全防護效果。

1. 行業(yè)分布

我們對今年1月到4月中招反饋情況統(tǒng)計分析發(fā)現(xiàn)，互聯(lián)網(wǎng)，工業(yè)企業(yè)，對外貿(mào)易與批發(fā)零售，政府機構(gòu)合計占比超過一半。其中尤以中小企業(yè)與中小互聯(lián)網(wǎng)企業(yè)最為突出，企業(yè)在網(wǎng)絡(luò)安全方面投入不足，而產(chǎn)品銷售維護又嚴重依賴互聯(lián)網(wǎng)信息系統(tǒng)，在中招之后只能選擇支付贖金解決，這也進一步刺激了黑客的攻擊行為。對外貿(mào)易與批發(fā)零售行業(yè)，由于對外交流廣泛，也容易成為境外黑客的攻擊目標(biāo)。地方政府機構(gòu)服務(wù)器、網(wǎng)站，一直以來都是黑客攻擊重災(zāi)區(qū)，由于缺乏專業(yè)的安全運維，漏洞修補不及時，被黑客攻擊拿下。

2. 地域分布

從地域分布看，信息產(chǎn)業(yè)發(fā)達的廣東省首當(dāng)其沖，位列第一，占比接近一半。之后是江蘇，浙江，山東，上海，北京等。地域分布情況看，主要和信息產(chǎn)業(yè)發(fā)展情況相關(guān)。

3. 系統(tǒng)分布

從操作系統(tǒng)分布來看，作為服務(wù)器使用，感染勒索病毒的機器中，windows server 2008與windows server 2008 R2是絕對的主力，很多用戶使用的還是較老版本的操作系統(tǒng)，甚至有已經(jīng)停止支持多年的windows server 2003。

4. 被攻擊原因分布

我們統(tǒng)計到的攻擊原因看，第一大類是由“弱口令”造成的，遠程桌面服務(wù)被爆破，黑客遠程登錄用戶計算機投毒，占比超過一半。從我們實地調(diào)查分析情況看，很多遠程爆破并不是短時間完成的，而是持續(xù)一段時間的攻擊。用戶在攻擊過程中并未察覺異常，直至機器被拿下并投毒，再去查看日志才發(fā)現(xiàn)的問題!

而排第二位的，是共享文件夾被加密的情況，這一類情況相對比較“無辜”。被加密的是在局域網(wǎng)中共享的文件，這類一般是由于局域網(wǎng)中其它機器感染了勒索病毒，勒索病毒通過搜索局域網(wǎng)中共享文件夾，找到并加密了這些文件，共享文件的主機本身并未中木馬。

此外，如前所述，軟件漏洞和系統(tǒng)漏洞最近也常被用來投放木馬，如上文提到的WebLogic的反序列化漏洞，Apache Struts2的多個任意代碼執(zhí)行漏洞都被用做過遠程投毒，對于沒有打補丁的機器來說，這些也都是極其危險的!

攻擊來源分析

我們對勒索木馬家族進行了長期對抗和跟蹤，在對抗過程中，我們發(fā)現(xiàn)了其中的一些特點，我們做了一些整理說明，希望通過我們的分享可以提升廣大管理員應(yīng)對此類攻擊的能力。我們也將繼續(xù)關(guān)注這類攻擊的后續(xù)發(fā)展。

1. 攻擊者家族

GlobeImposter,Crysis,BTCWare三款勒索病毒，是近來針對服務(wù)器攻擊的主流，占比超過90%。這三款勒索病毒，都屬于全球爆發(fā)類的勒索病毒，其中GlobeImposter更是多次攻擊國內(nèi)醫(yī)療和公共服務(wù)機構(gòu)，國內(nèi)外安全機構(gòu)多次發(fā)布過該家族的預(yù)警。

2. 使用工具情況

通過分析用戶端被攻擊情況，我們發(fā)現(xiàn)攻擊者使用工具主要有一下幾類：

1. 第一類，掃描爆破工具，此類工具配合“密碼字典”對主機實施第一波嗅探打擊，使用弱口令的機器很容易在這波掃描中被拿下!

2. 第二類是各類密碼嗅探工具，在完成第一波打擊之后，對局域網(wǎng)進行滲透時使用的。這也是經(jīng)常出現(xiàn)一個集群，多臺主機同時中招的原因。

3. 第三類常用工具是進程管理類工具。攻擊者一般在投毒時，通過這些工具結(jié)束安全防護軟件進程和一些備份程序，數(shù)據(jù)庫服務(wù)等，方便木馬的投放與效果發(fā)揮。針對此類工具，我們也做了相應(yīng)防護。

4. 第四類工具是長期駐留工具，常見的有遠控和后門程序，通過這類工具實現(xiàn)多主機的長期控制，一般會在滲透階段使用。

通過經(jīng)常被使用到的工具也可以看出，存在弱口令和嚴重系統(tǒng)漏洞或軟件漏洞的機器，最容易成為攻擊目標(biāo)!攻擊者通過這些工具的組合使用，對安全防護薄弱的這類服務(wù)器實施打擊，并進行滲透和長期駐留，這對于服務(wù)器集群來說也是比較致命的，一臺存在漏洞的主機，就可能造成整個集群的淪陷。

從被攻擊時間角度看，攻擊多發(fā)生在晚上19點到次日7點這段時間，占比達到62%，而這段時間在國內(nèi)一般都是非工作時段。管理員經(jīng)常是在第二天早上來上班時才發(fā)現(xiàn)服務(wù)器出現(xiàn)故障。

從留下的勒索信息的聯(lián)系郵箱統(tǒng)計中，我們發(fā)現(xiàn)，較常使用的有qq.com的郵箱和匿名郵箱cock.li，通過我們與攻擊者的聯(lián)系發(fā)現(xiàn)，使用郵箱和我們交流的攻擊者大多使用了代理工具來訪問郵箱，ip地址遍布世界各地，攻擊者自身的防范意識較強。溝通使用的語言以英文為主，也有使用俄語等其它語種的聯(lián)系人。

攻擊手法與防護方案

弱口令爆破防護

針對這類最常見的攻擊方式，我們增加了遠程登錄保護，對發(fā)現(xiàn)的可疑登錄行為進行攔截，以提高這類攻擊的門檻。同時防黑加固也會對使用弱口令的機器進行提示，提醒管理員盡快修改密碼。

防黑加固被弱口令攻擊的提醒：

漏洞防護

通過系統(tǒng)或者軟件漏洞，對服務(wù)器進行攻擊，是僅次于RDP爆破的常見攻擊方式，針對此類攻擊我們提供了漏洞修復(fù)，熱補丁，漏洞防護三個維度的防護。當(dāng)然最穩(wěn)妥的方式還是安裝系統(tǒng)補丁，修復(fù)漏洞。但對于一些無法安裝補丁，或者沒有補丁的機器，我們熱補丁技術(shù)與漏洞防護技術(shù)，可以保護機器免收漏洞攻擊的影響，最大限度保護服務(wù)器安全。

解密工具

針對市面上出現(xiàn)的勒索病毒，我們都做了分析研究。對于其中可以解密的部分，我們制作了一鍵解密工具。360“解密大師”目前已成為全球最大最有效的勒索病毒恢復(fù)工具，可破解勒索病毒達百余種。我們也會繼續(xù)跟進勒索病毒發(fā)展趨勢，繼續(xù)不斷補充完善這一工具。

反勒索服務(wù)

我們從2016年開始，推出了反勒索服務(wù)，旨在幫助已經(jīng)中招的用戶，協(xié)助解決勒索病毒的后續(xù)問題。通過反勒索服務(wù)，我們協(xié)助用戶解密文件，幫助用戶查找中招原因，排查機器中存在的安全隱患，提供安全建議，到目前已經(jīng)服務(wù)數(shù)千位用戶。對之前聯(lián)系過我們的中招用戶，在解密工具發(fā)布后，我們也會推送消息給用戶協(xié)助解密。

總結(jié)

根據(jù)我們對目前情況的分析，勒索病毒在今后一段時間，仍將是企業(yè)和個人面臨的最嚴重的一類安全問題。通過積極的防護措施，可以極大地避免勒索病毒帶來的風(fēng)險，而事后補救措施往往代價高昂。針對windows服務(wù)器，我們給出以下安全建議：

1. 遵守安全規(guī)范，避免使用簡單口令，建議打開組策略中的密碼策略，強制要求使用足夠復(fù)雜度的口令，同時定期更換口令。

2. 及時更新系統(tǒng)和使用的軟件，尤其是有安全補丁放出時，更需要及時安裝更新。

3. 做好權(quán)限控制，關(guān)閉不必要的服務(wù)與端口。對于非對外提供的服務(wù)，避免暴露于公網(wǎng)上，控制機器間的訪問權(quán)限。

4. 對重要數(shù)據(jù)定期備份，可以選擇離線備份。

5. 安裝專業(yè)的安全防護軟件，保護系統(tǒng)安全。

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機遇！