工控安全之勒索病毒篇
勒索病毒并不是某一个病毒,而是一类病毒的统称,主要以邮件、程序、木马、网页挂马的形式进行传播,利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。
已知最早的勒索软件出现于 1989 年,名为“艾滋病信息木马”(Trojan/DOS.AidsInfo,亦称“PC Cyborg木马”),其作者为 Joseph Popp。早期的勒索病毒主要通过钓鱼邮件,挂马,社交网络方式传播,使用转账等方式支付赎金,其攻击范畴和持续攻击能力相对有限,相对容易追查。2006 年出现的 Redplus 勒索木马(Trojan/Win32.Pluder),是国内首个勒索软件。2013下半年开始,是现代勒索病毒正式成型的时期。勒索病毒使用AES和RSA对特定文件类型进行加密,使破解几乎不可能。同时要求用户使用虚拟货币支付,以防其交易过程被跟踪。这个时期典型的勒索病毒有CryptoLocker,CTBLocker等。自2016年开始,WannaCry勒索蠕虫病毒大爆发,且目的不在于勒索钱财,而是制造影响全球的大规模破坏行动。
戏剧性的是,在此阶段,勒索病毒已呈现产业化、家族化持续运营状态。
自2018年开始,勒索木马技术日益成熟,已将攻击目标从最初的大面积撒网无差别攻击,转向精准攻击高价值目标。比如直接攻击医疗行业,企事业单位、政府机关服务器,包括制造业在内的传统企业面临着日益严峻的安全形势。
勒索病毒工作原理
勒索病毒文件一旦进入被攻击者本地,就会自动运行,同时删除勒病毒母体,以躲避查杀、分析和追踪(变异速度快,对常规的杀毒软件都具有免疫性)。接下来利用权限连接黑客的服务器,上传本机信息并下载加密私钥与公钥,利用私钥和公钥对文件进行加密(先使用 AES-128 加密算法把电脑上的重要文件加密,得到一个密钥;再使用 RSA-2048 的加密算法把这个密钥进行非对称加密。)。除了病毒开发者本人,其他人是几乎不可能解密。如果想使用计算机暴力破解,根据目前的计算能力,几十年都算不出来。如果能算出来,也仅仅是解开了一个文件。(当然,理论上来说,也可以尝试破解被 RSA-2048 算法加密的总密钥,至于破解所需要的时间,恐怕地球撑不到那个时候。)加密完成后,还会锁定屏幕,修改壁纸,在桌面等显眼的位置生成勒索提示文件,指导用户去缴纳赎金。
值得一提的是,有的勒索方式索要赎金是比特币,如果你不会交易流程,可能会遭到勒索者的二次嘲讽:自己上网查!( Ĭ ^ Ĭ )
以下为APT沙箱分析到勒索病毒样本载体的主要行为:
1、调用加密算法库;
2、通过脚本文件进行Http请求;
3、通过脚本文件下载文件;
4、读取远程服务器文件;
5、通过wscript执行文件;
6、收集计算机信息;
7、遍历文件。
该样本主要特点是通过自身的解密函数解密回连服务器地址,通过HTTP GET 请求访问加密数据,保存加密数据到TEMP目录,然后通过解密函数解密出数据保存为DLL,然后再运行DLL (即勒索者主体)。该DLL样本才是导致对数据加密的关键主体,且该主体通过调用系统文件生成密钥,进而实现对指定类型的文件进行加密,即无需联网下载密钥即可实现对文件加密。同时,在沙箱分析过程中发现了该样本大量的反调试行为,用于对抗调试器的分析,增加了调试和分析的难度。
如何防勒索病毒?
青铜段位
不要打开陌生人或来历不明的邮件,防勒索病毒通过邮件的攻击;
需要的软件从正规(官网)途径下载;
升级杀毒软件到最新版本,阻止已存在的病毒样本攻击;
Win7、Win 8.1、Win 10用户,尽快安装微软MS17-010的官方补丁;
定期异地备份计算机中重要的数据和文件,万一中病毒可以进行恢复;
定期进行安全培训,日常安全管理可参考“三不三要”(三不:不上钩、不打开、不点击。三要:要备份、要确认、要更新)思路。
钻石段位
1. 物理,网络隔离染毒机器;
2. 对于内网其他未中毒电脑,排查系统安全隐患:
a)系统和软件是否存在漏洞
b)是否开启了共享及风险服务或端口,如135、137、139、445、3389
c)只允许办公电脑,访问专门的文件服务器。使用FTP,替代文件夹共享。
d)检查机器ipc空连接及默认共享是否开启
e)检查是否使用了统一登录密码或者弱密码
3. 尽量不要点击office宏运行提示,避免来自office组件的病毒感染;
4. 尽量不要双击打开.js、.vbs等后缀名文件;
5. 事后处理
在无法直接获得安全专业人员支持的情况下,可考虑如下措施:
通过管家勒索病毒搜索引擎搜索,获取病毒相关信息。搜索引擎地址(勒索病毒拦截|文件恢复_文档守护者保护文档安全 - 腾讯电脑管家
若支持解密,可直接点击下载工具对文件进行解密
王者段位
在如何防勒索病毒这个话题中,人们常规的防御思维综上所述。虽然没什么毛病,但怎么看都像是“坐以待毙”,被动挨打。不过也无可厚非,毕竟见招拆招是惯性思维。
正确的防勒索病毒手段,一定是以不变应万变。
举个栗子:
农场主养了一群羊,毛发油亮,膘肥体壮,卖相极好,农场主甚是欣慰。
有一天农场主发现少了几只羊,还发现了狼的踪迹,便明白了有狼偷羊。
农场主跟踪狼的踪迹,设置陷阱,日夜监督,身心俱疲,但还是没有捉到狼,羊的数量还在减少。
最后,农场主把茅草的羊圈换成了花岗岩羊圈,羊再也没少过,农场主也再也不用去寻找狼。
主机加固的概念便是如此。
所以如何防勒索病毒,主机加固的思路才是良策。
主机加固的核心要点:
系统加固
将调试好的系统锁定,变成可信系统。
在可信系统下,非法程序、脚本都无法运行。而且不会影响数据进出。
即使系统有漏洞,甚至管理员权限丢失,这个可信系统都是安全的。
程序加固
采用可信签名方式对可执行程序、脚本的启动进行实时的hash值校验,校验不通过
拒绝启动,并且可信程序无法被伪装。
文件加固
保护指定类型的文件不被篡改。
磁盘加密
创建安全沙盒,该沙盒对外隔离,对沙盒内的数据进行加密,确保数据只能在授权管理有效前提下,才能被解密。如果没有授权,即使管理员也无法拷贝使用这些数据,即使系统克隆也无效。
数据库加固
第一层:数据库文件禁止陌生程序访问和篡改。确保数据库文件级安全。
第二层:数据库端口访问可信过滤,只允许业务程序进行数据库端口通信连接,在连
接字符串的IP+端口+账号密码中,追加进程身份识别。
第三层:数据库连接SQL文进行智能过滤,防止关键数据被检索和访问,防止数据库
内数据被非法访问,防止数据库表单的危险操作行为。
很多问题换一种思维可能就迎刃而解。如何防勒索病毒,显然用主机加固的策略更佳。至于主机加固产品如何选型,各位仁者见仁智者见智吧。个人推荐MCK主机加固。这个产品所属公司在数据安全领域可是老前辈了,而且他们的另一个产品SDC沙盒在源代码安全领域是很能打的。
工控安全之勒索病毒篇相关推荐
- 工控安全工业网络病毒的防范与治理
由于工控网络的相对封闭性,目前针对工控系统的攻击以APT(恶意软件为载体).病毒.木马.勒索软件等恶意程序为主.恶意程序通过自我复制.主动探测.自动传播等方式,可在工业网络内快速扩散,造成网络延迟.主 ...
- 工控安全之系统加固篇
Ponemon研究所一份新报告强化了勒索软件攻击对病人的安全风险.22%的受访医疗机构在网络攻击后看到病人死亡率上升.该报告称,第三方风险对病人护理产生的不利影是响其中最大的痛点.网络攻击导致更多病人 ...
- 纵横网络靶场社区 工控
纵横网络靶场社区 工控 S7COMM协议分析 病毒文件恢复 modbus MMS协议分析 工控安全取证 工业现场应急响应 S7COMM协议分析 某10段工控网络中,工业协议中存在异常数据.请通过流量中 ...
- 工控系统主动安全防御体系的构建
目录 前言 一.工控安全事件 二.工控安全面临的主要风险 1.外围系统风险 2.过程控制风险 3.工控设备风险 三.工控系统主要使用的安全防御技术 1.传统安全防御技术 2.PKI数字证书技术 3.I ...
- JamesBin专属工控PLC博客导航
hello大家好,我是你们的朋友JamesBin,这篇文章主要是为了给大家进行博客导航的,方便大家的查找,下面是博客的全部连接,当然博客还在持续更新中,我会把最新的博客放到本博客中,希望大家能够关注我 ...
- 工控网络安全产品---学习笔记
工控网络安全产品 常见的工控安全产品分类 防护类产品 审计类产品 终端类产品 检测类产品 管理类产品 工业互联网态势感知(内网运维管理中心) 物联网态势感知(物联网在线监测系) 工控安全实验室 工控安 ...
- 工控安全下如何有效防勒索病毒措施分享
工控安全现状 工业控制系统是支撑国民经济的重要设施,是工业领域的神经中枢.现在工业控制系统已经广泛应用于电力.通信.化工.交通.航天等工业领域,支撑起国计民生的关键基础设施. 随着传统的工业转型,数 ...
- [网络安全自学篇] 七十.WannaCry勒索病毒复现及分析(三)蠕虫传播机制分析及IDA和OD逆向
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步.前文分享了宏病毒相关知识,包括宏病毒基础原理.防御措施.自发邮件及APT28样本分 ...
- [网络安全自学篇] 七十一.深信服分享之外部威胁防护和勒索病毒对抗
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步.前面三篇文章详细分享了WannaCry勒索病毒,包括病毒复现.IDA和OD逆向分析 ...
- XGBoost线性回归工控数据分析实践案例(原生篇)
1. 关于XGBoost XGBoost号称"比赛夺冠的必备大杀器",横扫机器学习Kaggle.天池.DataCastle.Kesci等国内外数据竞赛罕逢敌手,堪称机器学习算法中的 ...
最新文章
- 导入eclipse工程到Android Studio中
- Proxy 动态代理 InvocationHandler CGLIB MD
- WCF服务实现客户端Cookie共享,表单验证的解决方案
- android+notepad教程,Android Sample学习——NotePad
- kafka 不同分区文件存储_大白话 + 13 张图解 Kafka
- 窥探PTAM之Mapping线程
- SSL认证之相关证书的生成
- python-docx文档
- 苏宁易购正在“酝酿”下一场蝶变?
- SIM相关术语MCC MNC UIM SIM PIN PUK简介
- Python可视化和动画模拟物理
- 常见的无法上网故障原因和解决方法
- Navicat Premium 15 完全卸载
- 云计算与云原生 — Docker 容器技术完全解析
- OpenX系列标准介绍(5):OpenDRIVE和OpenSCENARIO的中文版本
- kindle电子书横竖屏切换方法
- NXP RT1021应用笔记
- 手机应用软件下载导航php源码_轻量级网址导航程序壹网分类目录v2.5源码免费下载...
- linux+字符串+补零,Linux之基本文本处理工具(一)
- 优秀的内部知识库对企业的重要性
热门文章
- bch码原理基于matlab,BCH码编译码matlab仿真
- log4j配置文件位置详解
- 常见API漏洞解释以及应用层解决方案
- 双目视觉立体匹配算法
- 【系统分析师之路】系分历年论文命题走向
- jrtplib linux编译,linux下jrtplib-3.9.1编译与安装.txt
- 学习网站及编程电子书下载网站
- 计算机函数说课ppt,幂函数说课课件
- 单片微型计算机原理及应用考试,单片机原理及应用《微机原理及应用》试卷(A卷)附答案...
- EJB开发web service